[fli4l] Bräuchte nochmal Hilfe zu VLAN-Setup (spezifisch: mit Ubiquiti Hardware)

[Hans Bachner]

K. Dreier schrieb am 23.01.2019 um 14:05:
> Hallo,
>
> [...]
>>> Bedeutet aber, daß dann das Mgmt-LAN sein eigenes VLAN bekommen
>>> muß,
>>> s.u.
>>
>> Ja, mit VLAN Id 1. ;-)
>
> Verstehe das anders. Habe gelesen, daß Leute sagen, daß das standard
> VLAN0/1 auch als DO NOT TOUCH bezeichnet werden kann und man z.b. ein
> VLAN 10 explizit als Mgmt-VLAN einrichten soll. Wenn dem so ist: dann
> gehören _dort_ (=10) auch die Switches rein. Oder nicht?

Seh ich auch so. Da alles zunächst einmal automatisch im VLAN 1 landet, 
gehört dort das Mgmt-VLAN am allerwenigsten hin

>> Die untagged Ports sind für normale Geräte, die mit VLAN nichts
>> anfangen
>> können oder davon nichts wissen brauchen, also Laptop, PC,
>> Fernseher, ...
>
> Sofern man die Datenschleudern à la TV nicht auch mittls VLAN
> separieren will...

Ich nehme an, so hat Alex das auch gemeint. TV und iOT "können" häufig 
kein VLAN, also kommen sie an ein Port, für das "VLAN 20 untagged" 
definiert ist - alles was hier hereinkommt, wird vom Switch mit einem 
Tag 20 versehen und weitergeleitet. Und alles, was aus dem Netz mit Tag 
20 kommt, wird ohne Tag bei diesem Port rausgeschickt.

> Von der Logik her, stecke ich meinen Laptop in das Mgmt-VLAN. Denn der
> ist das Gerät, mit dem ich manage. Dazu tatsächlich auch mein
> Smartphone, das ebenfalls (als einziges WLAN-Gerät) auf den fli4l httpd
> zugreifen darf. Gleiches gilt für die Unifi Controller-Software.
> Letzterer steht für mich einem Switch gleich.
> Macht das Sinn?

Das kommt drauf an. Du könntest ja z.B. dem Mgmt-VLAN den Zugang zum 
Internet verbieten. Als NTP-Server funktioniert der fli4l, und 
Software-/Firmware-Updates kommen nur aus dem LAN, wenn auch u.U. via 
Router (wie Alex unten beschreibt) aus einem anderen VLAN.

Dein Laptop hat bezüglich Internet-Anbindung dann andere Anforderungen.

>> Und ja, d.h. meine Switches (VLAN 1) sind in einem anderen Subnetz
>> als meine Rechner. Zugriff ist ja über den Router möglich, sprich
>> wenn ich mit meinem Laptop einen Switch konfigurieren will, dann
>> routet der fli4l ja von einem ins andere VLAN. Der Verkehr geht
>> dann zwar vom Laptop durch den Switch zum fli4l und wieder zurück
>> zum Switch, aber egal.
>
> Ok. Das wäre mir nie in den Sinn gekommen, aber macht, äh, Sinn. :-)
> Wobei: warum die Switches "raus" nehmen?
>
>> Dafür kann man dann auf dem fli4l Paketfilterregeln schreiben, die
>> den Zugriff auf das Management-Netz einschränken. Da soll ja vmtl.
>> sowieso nicht jeder rein?
>
> Richtig. Wobei, eigentlich jeder aus dem Mgmt-VLAN, was theoretisch alle
> PCs sein könnten. Aber natürlich nicht müssen. Grundsätzlich ist bei
> mir (zu hause) alles, was an PCs LAN-verkabelt ist, vertrauenswürdig
> und damit potentiell Teil vom Mgmt-VLAN. Muß aber natürlich nicht,
> erhöht jedoch die Komplexität.

Dann ist das aber kein Mgmt-VLAN mehr, sondern zur allgemeinen 
Verwendung, aka "Produktion".

> [...]
>> So kann man sich zumindest nicht vom Router aussperren, wenn man
>> gerade keinen korrekt konfigurierten Switch (aus welchen Gründen
>> auch immer) am Router hängen hat.
>
> Ja. Die Gefahr besteht ja tatsächlich, wenn Mgmt in VLAN !=1 verschoben
> wird. Denn default ist nur VLAN1 untagged. VLAN10 wäre zwar via "all"
> getagt, aber das dürfte dann der Laptop evtl nicht verstehen. Muß das
> mal mit einem Port testen.

Der Laptop hängt halt dann, wie Alex beschrieben hat, im allgemeinen 
VLAN 1 und greift via Router und passende forward-Regeln auf das 
Mgmt-VLAN zu.

Hope this helps,
Hans.