FritzBox 7360 - VLANs nutzen, Routing unterbinden

alcros

Neuer User
Mitglied seit
23 Okt 2016
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hallo IPPF,

ich habe eine FritzBox 7360 und will VLANs nach dem 802.1q-Standard nutzen.
Das funktioniert soweit auch einwandfrei, die FritzBox verarbeitet die VLAN-Tags passend, ich kann die Box anpingen und auch ins Internet.
Dazu habe ich per Telnet für jedes VLAN folgendes gemacht: ($id als Platzhalter für VLAN-ID)
Code:
# vconfig add lan $id
# ip addr add 10.0.$id.1/24 brd 10.0.$id.255 dev lan.$id
# ip link set lan.$id up

Jetzt hab ich allerdings noch folgendes Problem:
Die VLANs sind nicht voneinander getrennt, die FritzBox routet zwischen ihnen.
Mein erster Gedanke war, das mit mehreren Routingtabellen und PBR zu machen, das unterstützt der Kernel anscheinend aber nicht.
Code:
# ip rule
ip: RTNETLINK answers: Operation not supported
ip: dump terminated
Ich weiß mittlerweile auch, dass multid für die Trennung von Gast- und Heimnetz (Interfaces guest und lan) verantwortlich ist.
Kann ich diesen irgendwie umkonfigurieren, sodass dieser die Kommunikation zwischen z.B. lan.100 und lan.200 auch verbietet?
Oder hat jemand eine andere Idee, wie ich das Routing unterbinden kann?

Danke schonmal!

alcros
 
ich habe eine FritzBox 7360 und will VLANs nach dem 802.1q-Standard nutzen.
Das funktioniert soweit auch einwandfrei, die FritzBox verarbeitet die VLAN-Tags passend, ich kann die Box anpingen und auch ins Internet

bist Du sicher, dass VLAN nach 802.1q Standard funktioniert ?
für mich sieht es bisher nur nach zweiter IP aus anderem Netzwerk aus, die in gleicher Bridging-Domain betrieben wird;
ich sehe bisher keine Definition eines Uplink-Trunk-Port oder Zuweisung eines physikalischen Netzwerkport zu einem VLAN (port-basiertes VLAN) oder getaggte Ethernet-Frames.
 
bist Du sicher, dass VLAN nach 802.1q Standard funktioniert ?
Ja, da bin ich mir ziemlich sicher. Ich hab zum testen natürlich meinen PC so konfiguriert, dass er getaggte Pakete versendet, das oben war nur die Konfiguration vom Router.
Ich kann auch gerne irgendwelche Szenarien ausprobieren, wenn du nicht überzeugt bist

Das komische: als ich das ganze gerade eben getestet habe, wurde nicht geroutet (auch keine Internetverbindung), also eigentlich genau das, was ich will....nur dass er die VLANs ins Internet routen soll
 
Ich kann auch gerne irgendwelche Szenarien ausprobieren, wenn du nicht überzeugt bist

könntest Du mal ein separate Bridge erstellen sowie "VLAN-Interface" definieren und einen phsikalischen Ethernet-Port dieser Bridge/Bridge-Domain zuordnen.
Kontrolle per "brctl show"

Bitte auch mal einen VLAN-Trunk (802.11Q-Trunk-Port) Uplink-Port definieren;
 
ok (MAC-Adresse zensiert):
Code:
# brctl show
bridge name     bridge id               STP enabled     interfaces
lan             8000.xxxxxxxxxxxx       no              eth0
                                                        eth1
                                                        eth2
                                                        eth3
guest           8000.xxxxxxxxxxxx       no
# brctl delif lan eth2
# brctl delif lan eth3
# brctl addbr test
# brctl show
bridge name     bridge id               STP enabled     interfaces
lan             8000.xxxxxxxxxxxx       no              eth0
                                                        eth1
guest           8000.xxxxxxxxxxxx       no
test            8000.000000000000       no
So weit so gut, jetzt passiert was komisches, was ich mir selber net so recht erklären kann:
Code:
# brctl addif test eth2
# brctl addif test eth3
# brctl show
bridge name     bridge id               STP enabled     interfaces
lan             8000.xxxxxxxxxxxx       no              eth0
                                                        eth1
                                                        eth2
                                                        eth3
guest           8000.xxxxxxxxxxxx       no
test            8000.000000000000       no
Wieso das?

Bitte auch mal einen VLAN-Trunk (802.11Q-Trunk-Port) Uplink-Port definieren;
Was genau meinst du damit? Wie soll das gehen? Das mach ich doch mit vconfig
 
ein 802.11Q-Trunk-Port ist ein phsikalischer Port, bei dem mehrere VLAN mit getaggten Frames transportiert werden

Beispiel: CISCO VLAN Switchkonfiguration fuer 802.11Q-Trunk-Port mit angebundenem Raspberry PI

Code:
interface FastEthernet0/24
  description Vlan Uplink Raspberry
  switchport trunk native vlan 10
  switchport trunk allowed vlan 10,20,30
  switchport mode trunk

hier werden die VLANs 10,20,30 über physikalischen Port24 im getaggten Ethernet-Frame-Format transportiert.

Frage: Ist Dir der Unterschied zwischen getaggten und un-getaggten Ethernet-Frames klar ?
 
Zuletzt bearbeitet:
ein 802.11Q-Trunk-Port ist ein phsikalischer Port, bei dem mehrere VLAN mit getaggten Frames transportiert werden
Das schon, aber ich muss diesen ja nicht explizit als VLAN-Trunk konfigurieren.
Ich lege ja per
Code:
# vconfig add lan 100
ein neues Interface lan.100 an.
Jetzt wird alles was am lan-Interface mit VLAN-ID 100 getaggt ankommt, zu lan.100 geleitet und der Traffic, der durch lan.100 rausgeht, wird mit VLAN-ID 100 getaggt und geht über lan raus.
Steht auch so im ArchLinux-Wiki https://wiki.archlinux.org/index.php/VLAN
Frage: Ist Dir der Unterschied zwischen getaggten und un-getaggten Ethernet-Frames klar ?
Ja
 
ein 802.1Q-Trunk-Port ist ein phsikalischer Port, bei dem mehrere VLAN mit getaggten Frames transportiert werden

Das schon, aber ich muss diesen ja nicht explizit als VLAN-Trunk konfigurieren.
Ich lege ja per
Code:
# vconfig add lan 100
ein neues Interface lan.100 an.

Hinweis: bei "lan.100" handelt es sich nicht wirklich um ein neues Interface, sondern um Sub-Interface des Bridge-Interface "lan";

bei einem Trunk-Port geht es geht doch um ein physikalisches Interface und nicht um ein Bridge-Interface "lan"; also um "eth0|1|2|3" bei der FritzBox;

die Wiki-Seite https://wiki.archlinux.org/index.php/VLAN beschreibt nur Teil-Aspekte von IEE 802.1Q, keine port-basierenden VLANs, auch keine 802.1Q-Trunk-Ports, dies ist Standard bei L3-Switches/Multiport-Routern.
 
Zuletzt bearbeitet:
Trunks gehn z.B so: Wenn ich an eth0 VLAN 10 und 11 haben will, lege ich 2 Subinterfaces eth0.10 und eth0.11 an und mach mit denen, wozu ich grad Lust habe.

Das ganze hilft mir aber leider nicht bei meinem eigentlichen Problem, die Kommunikation zwischen Interfaces einzuschränken bzw. zu erlauben, weiter :-(
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,695
Beiträge
2,216,699
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.