VLANs nötige eure Empfehlung

[beli3ver]

Guten Tag,

Ich habe da mal eine Frage, Bei meiner Firewall gibt es vier physische NetzwerkKarten.
Aktuell ist ein Port als WAN einer als LAN und einer als WLAN angelegt.
Auf LAN läuft eine DHCP (192.168.10.0/24) und auf WLAN für das freie Netz auch (192.168.15.0/24)
WLAN und LAN gehen zusammen auf einen 48er Switch managed. Dort sind zwei Ports für das WLAN. In einen kommt die Firewall in den anderen die AP.
Die restlichen 46 sind für die interne Firmenverkablung.
Die AP haben auch zwei Netzwerkports einer wurde schon gesagt und der andere läuft in die 46 Reihung.
Der AP strahlt zwei Netze aus, einmal ein freies für Kunden und ein weiteres internes für die mobilen Geräte.

Beide SSID laufen auf einem andern VLAN im AP entsprechend denen im Switch.
AP ist ein Netgear WAC540.

Um mir zwei Kabel im AP und zwei bei der Firewall zu sparen dachte ich das ich auf die LAN stelle jetzt zwei VLANS lege, gleich wie auf dem Switch und dort die DHCP's drauf laufen lasse, macht das Sinn? Switch ist ein Netgear GC752X
Jetzt sind mir das zu viele Kabel und ich würde das Erbe reduzieren

[JeGr]

> Jetzt sind mir das zu viele Kabel und ich würde das Erbe reduzieren

Naja das ist meist eher weniger der Grund ;)

> macht das Sinn?

Jein. Never change a running system ;) or never run a changing system :D

Spaß beiseite, muss/sollte man da ran? Jetzt nicht so wirklich. Kann man? Ja, aber dann gibt es zwei Möglichkeiten:

1) Du konfigurierst das VLAN für WLAN (Gäste WLAN so ich verstanden habe) on top auf dem LAN und mischst damit untagged und tagged VLAN Traffic. Kann man machen, ist aber IMHO nicht wirklich schön und führt gern mal zu Chaos beim Debugging. Wäre aber machbar und wahrscheinlich (ohne die Switche genau zu kennen) einfach machbar.

2) Du konfiguriest LAN um zu einem VLAN auf dem physikalischen NIC das es jetzt ist und konfigurierst WLAN dann als zweites VLAN da drauf. Das geht auch, ist - wie ich finde - der sauberere Weg, macht es dir aber etwas schwerer, weil du dir damit im Lauf der Konfig erstmal selbst den Ast absägst, wenn du das LAN rekonfigurierst. Dann geht deine Verbindung down.

Wenn du 2 umsetzen willst, würde ich hergehen und erstmal WLAN als VLAN anlegen und dem jetzigen WLAN zuweisen (also vlan xy auf interfaceXY). Damit ist das aber erstmal kaputt bis alles fertig konfiguriert ist natürlich. Dann würde ich das physikalische Interface wo vorher das WLAN zum Switch gesteckt hat neu als Interface konfigurieren. Ich nenne sowas gern CON/CONS. Darauf dann eine allow any Regel und ein DHCP Server konfiguriert und in einem IP Bereich den ihr garantiert nicht nutzt. Warum? Dann hast du sowas wie eine "Webkonsole" ohne gleich ne echte serielle oder Hardware anschließen zu müssen und auf der Shell zu tippen. Quasi ein Management Port am Gerät. An den würde ich mich dann anstecken, testen dass ich überall hinkomme und die WebUI erreiche und dann damit weitermachen. Dann kannst du in aller Ruhe das LAN umkonfigurieren zum VLAN und mit LAN und WLAN VLANs herumbasteln und konfigurieren ohne dich selbst vom Gerät zu werfen.

[lfirewall1243]

? Dann hast du sowas wie eine "Webkonsole" ohne gleich ne echte serielle oder Hardware anschließen zu müssen und auf der Shell zu tippen. Quasi ein Management Port am Gerät. An den würde ich mich dann anstecken, testen dass ich überall hinkomme und die WebUI erreiche und dann damit weitermachen. Dann kannst du in aller Ruhe das LAN umkonfigurieren zum VLAN und mit LAN und WLAN VLANs herumbasteln und konfigurieren ohne dich selbst vom Gerät zu werfen.

Danke für den Tipp mit dem Management Port :)