[fli4l] Bräucht?==?utf-8?Q?e nochmal Hilfe zu VLAN-S?==?utf-8?Q?etup (spezifisch: mit Ubiquit?==?utf-8?Q?i Hardware)

[K. Dreier]

Hallo,

zunächst auch dir herzlichen Dank für deine wertvollen Antworten!

Ich habe scheinbar immer noch nicht ganz verstanden, was genau mit
tagged und untagged gemeint ist, wenn ich das hier lese:

> >> Die untagged Ports sind für normale Geräte, die mit VLAN
> nichts
> >> anfangen
> >> können oder davon nichts wissen brauchen, also Laptop, PC,
> >> Fernseher, ...
> >
> > Sofern man die Datenschleudern à la TV nicht auch mittls VLAN
> > separieren will...
> 
> Ich nehme an, so hat Alex das auch gemeint. TV und iOT "können"
> häufig 
> kein VLAN, also kommen sie an ein Port, für das "VLAN 20 untagged"
> 
> definiert ist - alles was hier hereinkommt, wird vom Switch mit
> einem 
> Tag 20 versehen und weitergeleitet. Und alles, was aus dem Netz mit
> Tag 
> 20 kommt, wird ohne Tag bei diesem Port rausgeschickt.

Mein Verständnis nach - und das scheint nun offensichtlich falsch zu
sein - heisst "untagged" auch so viel wie "dieses VLAN ist hier nicht
relevant". Das ist scheinbar aber nicht richtig, wenn ich das oben lese.
Wenn ich also auf einen Port das oben genannte VLAN 20 explizit als "U"
(bei meinem HP-Switch) setze statt "E", dann habe ich diesen Port für
VLAN 20 auf untagged gesetzt. Die "dummen" Clients an so einem Port sind
damit ins VLAN 20 verschoben. Stimmt das so? Falls ja: jetzt habe ich
bei Ubiqiti-Switches ein Problem, denn dort ist mir nicht klar, wie man
einen Port explizit untaggen kann. Es gibt "disabled", "all" (was aber
eben für alle VLANs ein untagged bedeutet) sowie das explizite taggen
für bestimmte VLAN(s). Da muß ich wohl mal in den einschlägigen Foren
versuchen, den richtigen Weg rauszufinden...

> > Von der Logik her, stecke ich meinen Laptop in das Mgmt-VLAN.
> > Denn der
> > ist das Gerät, mit dem ich manage. Dazu tatsächlich auch mein
> > Smartphone, das ebenfalls (als einziges WLAN-Gerät) auf den
> > fli4l httpd
> > zugreifen darf. Gleiches gilt für die Unifi
> > Controller-Software.
> > Letzterer steht für mich einem Switch gleich.
> > Macht das Sinn?
> 
> Das kommt drauf an. Du könntest ja z.B. dem Mgmt-VLAN den Zugang
> zum 
> Internet verbieten. Als NTP-Server funktioniert der fli4l, und 
> Software-/Firmware-Updates kommen nur aus dem LAN, wenn auch u.U.
> via 
> Router (wie Alex unten beschreibt) aus einem anderen VLAN.

Hhm. Verstehe ich, scheint mir aber für meinen Home-Bereich overkill zu
sein. Klar, kein Switch muß wirklich zwingend ins Internet, aber wenn
ich was blocken will, mache ich das auf Ebene vom fli4l. Ist für mich
einfacher, da es sozusagen zentral sehr schnell an- und abgeschaltet
werden kann.

> > Wobei, eigentlich jeder aus dem Mgmt-VLAN, was theoretisch alle
> > PCs sein könnten. Aber natürlich nicht müssen. Grundsätzlich
> > ist bei
> > mir (zu hause) alles, was an PCs LAN-verkabelt ist,
> > vertrauenswürdig
> > und damit potentiell Teil vom Mgmt-VLAN. Muß aber natürlich
> > nicht,
> > erhöht jedoch die Komplexität.
> 
> Dann ist das aber kein Mgmt-VLAN mehr, sondern zur allgemeinen 
> Verwendung, aka "Produktion".

Eben. In großen Netzen im Firmen-Umfeld macht das alles Sinn, aber für
den Home-Bereich dürfte das overkill sein, jedenfalls bei mir.

Ich muß nun wirklich nochmal über die Bücher, nachdem es nun
wenigstens in Teilen läuft, d.h. IoT- und Gäste-VLANs laufen. Jetzt
muß ich die Firewall finetunen und schauen, wie ich es dann genau im
Detail bezüglich eventueller weiterer VLAN mache. Denn noch habe ich
scheinbar Unschärfen im Forward-Bereich, da ich vom Mgmt-VLAN nicht auf
einen Client in einem anderen VLAN zugreifen konnte. Und das im LAN,
also Kabel-Bereich mit Anschluß am gleichen Switch...

Gruß
Klaus