VLAN und mehrere Netzwerkkarten (Gateway)

[marhal]

Hallo alle zusammen, 

 

vielleicht könnt Ihr mir ein wenig Licht ins Dunkle bringen. Ich habe ein Unraid Server am laufen und habe dort die Onboard Netzwerkkarten und eine 10G Karte. Eine der Onboard Netzwerk karte habe ich als WebGui konfiguriert. Dieses Lässt sich bei Unraid auch nicht abschalten. Dort habe ich die Adresse, Netzmaske, und DNS konfiguriert. (Gateyway ?) Kein BridgeMode, Kein Binding. 

 

Bei der 10G Karte habe ich VLAN und BridgeMode aktiviert. Dort sind dann 3 VLAN entstanden.  Dort habe ich eine VLAN Nummer vergeben  so wie eine IPv Adresse  mit Netzmaske. Hier kommt die erste Frage wieso muss ich hier eine IP Adresse vergeben ? Und dann kommt das defaut Gateway für das VLAN. Und da stellt sich meine zweite Frage. Weil das erste VLAN ist der gleiche Adressbereich wie die von der Onboard Netzwerkkarte, muss ich hier beide das Gateway eintragen ? Momentan habe ich das bei der Onboard weggelassen, weil ich denke es darf für jedes Netzwerk nur ein Gateway geben. Oder bezieht sich das auf die Netzwerkkarten. 

 

Wenn Ihr mir ein wenig Licht in die Sache bringen könntet wäre super.

 

Gruß

Marhal

[Ford Prefect]

Was willst Du denn erreichen?

Weisst Du überhaupt was VLANs sind? Das hat mit IP-Segmenten nur indirekt zu tun. VLANs sind auf L2, IPs auf L3.

Typischerweise nutzt man in jedem VLAN ein anderes IP-Segment.

Für VLANs brauchst Du aber auch einen VLAN-fähigen Switch und Router.

 

Am besten malst Du mal ein Diagramm, welche L2 (Kabel/Ports und VLAN-IDs) Segmente wie verbunden sind (inkl. Switch & Router) und welche L3 (IP) Segmente Du wie zuordnen willst.

 

1 hour ago, marhal said:

weil ich denke es darf für jedes Netzwerk nur ein Gateway geben.

Nein, über das Gateway wird die Route definiert. Natürlich kann es da mehr als eine geben. Welche präferiert wird, legt die "Distance" der Route fest (bzw. bei anderen, dynamischen Routing-Protokollen die "cost").

[MAM59]

bevor wir zum "Licht" kommen, die simple Lösung:: Du brauchst nur EIN Defaultgateway auf EINER Karte. (alle anderen Einträge leer lassen)

 

Warum?

Der Name "Defaultgateway" impliziert es eigentlich schon: "sende alles, was Du nicht kennst an diese Kiste". Und, wie beim Highlander, kann es davon nur eine geben. Der Kernel sucht sich automatisch die Netzwerkkarte, auf der er das Defaultgateway erreichen kann.

 

Warum dann die anderen Eintragsmöglichkeiten?

Man KANN mehrere angeben (man muß dann aber eine Priotität mit angegeben), wenn das mit der höchsten Priorität nicht antwortet, versucht es der Kernel dann nach einer Wartezeit über das nächste in der Liste.

 

Klingt, wie eine gute Idee, aber scheitert in der Praxis meist gnadenlos.

 

Grundsätzlich brauchst Du dafür eh "mehr als eine" Verbindung zum Internet. Also mit der üblichen DSL/Kabel oder sonstwigen Leitung kannst Du gar nix anfangen, Du brauchst mehrere Router mit mehreren Anbindungen.

 

Aber auch damit wirds nicht so klappen...

Denn Netzwerke sind bidirektional. Es hilft Dir wenig, wenn Du zwar dank Umschaltung trotz Ausfall weiter senden kannst, die Antworten aber bei Dir nicht eintreffen, da die Gegenstelle gar nix von dem Ausfall weis.

 

"richtige" Router im Internet kommunizieren miteinander und melden solche Leitungsstörungen den anderen weiter. Die Pakete werden dann umgeleitet über andere Verbindungen. In der Liga kann Dein PC aber nicht mitspielen. Dir fehlt schlichtweg die Berechtigung, Routinginformationen im Internet zu verbreiten (das ist nur auf Providerebene erlaubt).

 

-----------

Genausogut wirst Du wohl zuhause diese ganzen VLANs nicht brauchen, sie machen nur Sinn, wenn sie im angeschlossenen Switch auseinandergenommen und verteilt werden. Wenn Du eh alles über dasselbe Kabel abwickelst, sind sie völlig überflüssig. Du verrätst uns ja nicht, wozu sie gut sein sollen, aber meiner Erfahrung nach, braucht man sie nicht in kleinen Umgebungen (<100 PCs) und ohne spezielle Sicherheitsanforderungen (getrenntes Admin LAN oder so).

 

Bei Netzwerken sollte man sich an die KISS Regel halten:  "keep it simple and stupid" (manche übersetzen es auch frecher als "keep it simple, stupid!")

 

Man macht also nur, was unbedingt nötig ist, dann bleibt es noch überschaubar (weil erwartbar). Jeder Sonderstrick erfordert böse Dokumentation und wirf immer die Frage auf "wie sieht das von der anderen Seite aus aus?".

 

 

[marhal]

Ich danke euch für euere Beiträge. 

 

Ich habe natürlich ein Switch dahinter der VLAN kann :). Ich nutze dies halt um mein IoT, Kinder von meinem intern Netz zu trennen. Der Switch kann halt VLAN und ich habe halt die Onboard Karte an einem Port und die 10G Port auch an einem Port.  Und ich war mir halt nicht sicher da ich bei jedem VLAN ein Gateway angeben muss. Aber die erkärung von MAM59 das jetzt netzwerkkarte nur ein Gateway haben sollte. Hilft mir schon. 

Aber wieso brauchen die VLAN eine Netzwerkadresse ? Kann mir da jemand erklären ? Gern werde ich auch ein Bild mal mit Anhängen wie meine Umgebung ist.

Gruß

Marhal

[Ford Prefect]

1 hour ago, marhal said:

Der Switch kann halt VLAN und ich habe halt die Onboard Karte an einem Port und die 10G Port auch an einem Port. 

...VLAN bedeutet aber, das die LANs in einem physichen Port sind. Ergo brauchst Du keine VLANs in unraid, nur getrennte IP Segmente und im Switch port-based VLAns.

 

1 hour ago, marhal said:

Ich habe natürlich ein Switch dahinter der VLAN kann :). Ich nutze dies halt um mein IoT, Kinder von meinem intern Netz zu trennen.

...was ist mit Deinem Router...kann der auch VLANs? Sonst ist ja nix mit Trenung...oder dürfen die Kids nicht auf die / einzelne Datenbibliotheken im Unraid zugreifen?

[marhal]

Hallo Ford, 

 

Nun der es ist ein 24 Port Switch wo mehrere Vlan konfiguriert sind. Und je nach Port sind bestimmte Rechner in bestimmten VLAN. Ich kann aber auch auf einem Port halt mehere VLAN schalten. Und die möchte ich halt zum Unraid durchreichen. Es geht hier Hauptächlich um die Docker und VM, die in bestimmen Netzwerken sein sollen. 

 

Gruß

Marhal

[MAM59]

5 hours ago, marhal said:

Aber wieso brauchen die VLAN eine Netzwerkadresse ? Kann mir da jemand erklären ?

Na ja, ohne eigene Adresse kannst der Kernel ja nicht wissen, zu WELCHEM VLAN Du senden willst.

Stell Dir vor, Du hast die VLANS 1,3 und 99. Alle auf derselben Karte, alle mit derselben Adresse.

Und Du schickst ein Paket raus (mit ebendieser Adresse).

Welches VLAN soll der Treiber dort einsetzen? 1,3, 99, oder alle ?

(Alle wäre total Banane, dann  wären ja alle VLANS sinnlos).

 

Also kriegt jedes VLAN sein eigenes Netz (nicht einfach eine weitere Adresse aus dem Hauptnetz!) zb. 192,168.1.x für VLAN 1, 192.168.3.x für VLAN 3 und 192.168.99.x für VLAN 99.

In jedem dieser Netze belegt UNRAID dann EINE Adresse (kann bei jedem anders sein, aber ich nehm mal für x = 100 und das bei allen Netzen).

 

Wenn nun ein Paket zu 192.168.99.14 (einem fiktiven Rechner der Kinder) gehen soll, so setzt UNRAID als Absender sein 192.168.99.100 und als VLAN 99 ein.

 

Das erfordert natürlich, dass die ganzen Geräte auch jeweils in (und NUR in diesen!) Netzen angesiedelt sind und der Switch weis, welches VLAN auf welche Ports gehört.

 

Komm nicht auf die Idee, den Klienten auch mehrere Netze/Adressen/VLANs zuzuordnen, das führt nur zu Chaos. Nur bei Servern, die von überall her ansprechbar sein sollen, macht man diesen Aufwand.

 

So macht vielleicht auch die Einzigartigkeit des Defaultgatways Sinn? Es weist auf eine Kiste, die aus diesem ganzen VLAN Dickicht rauskommt und die Pakete zu beliebigen (anderen) Zielen zustellt. Dabei ist es egal, ob diese Kiste in einem VLAN ist, oder "normal" erreichbar ist.

 

Ich bin von Deinen VLANs immer noch nicht wirklich überzeugt. Bist Du sicher, dass Du weißt, welchen Rattenschwanz Du damit lostrittst? (z.b separate DHCP Server für jedes VLAN, DNS Server/Weiterleitungen und diverse Proxydienste???) Ich hab den Eindruck, Du übersiehst nicht die Komplexität der Lage. Manche hypen ja VLANS bis zum geht nicht mehr, was meist darin endet, dass nichts mehr geht 😁

 

[Ford Prefect]

1 hour ago, marhal said:

Nun der es ist ein 24 Port Switch wo mehrere Vlan konfiguriert sind. Und je nach Port sind bestimmte Rechner in bestimmten VLAN. Ich kann aber auch auf einem Port halt mehere VLAN schalten. Und die möchte ich halt zum Unraid durchreichen. Es geht hier Hauptächlich um die Docker und VM, die in bestimmen Netzwerken sein sollen. 

Na dann mach das doch, wo ist denn jetzt das Problem?

Verstehe nicht, was Du nicht verstehst 😁

jedes (V)LAN hat ein eigenes IP-Segment, mit Netzmaske und Gateway....stell das an den VLAN Inerfaces in der Network Config ein.

Dein Management (V)LAN dann nur an der internen NIC...alle anderen VIDs an der 10G Karte.

[MAM59]

2 minutes ago, Ford Prefect said:

Verstehe nicht, was Du nicht verstehst 😁

Ich befürchte, er versteht gar nix, hat nur irgendwie "VLAN" und "cool" und "must have" aufgeschnappt, aber ist sich nicht wirklich der Konsequenzen bewußt.

z.b "´Kinneks & Shares & Aussperren" passt ja nun überhaupt nicht zum Thema VLAN.

 

[Ford Prefect]

....ich denke, der TE hat meinen ersten Post nicht gelesen/verstanden und weiss nicht, was eine IP-Route und eine Metric ist, in der Network-Config.

 

Edit: und wohl, da meine Frage nach dem Router nicht beantwortet ist, auch keine Idee davon, welche Route(n) zum unRaid Server einzustellen sind, für diesen Fall.

Wenn ein VLAN-fähiger Switch da ist, wäre ein Bond aus beiden NICs einfacher, da man keine multiplen Routen auf beiden Seiten braucht.

Edited June 21, 2022 by Ford Prefect

[marhal]

Hallo ihr Beiden, 

 

erstmal Danke für eure Unterstützung. Nun ich habe halt Unifi Hardware im einsatz. Der Aufbau ist halt von Internetz zur Fritzbox, die alles weiter leitet zu der USG von UNifi. Dieser ist dann an dem 24 Port Switcht angeschlossen. Über den Unifi Controller  erstelle ich und konfiguriere ich die Hardware so wie die Netzwerke.  Im USG definiere ich die Vlan inkl dns, dhcp gateway.  Dort kann ich über die eingebaute Firewall halt die VLAN Netze trennen. usw.  Das läuft auch alles Problem los. Auch mit den Einstellungen am Unraid mit den Vlan Netzen und eigenem IP, Gateway pro VLAN funktioniert das.  Mich hatte halt interressiert wiso ich halt eine IP angeben muss für jedes VLAN. Aber das hat MAM59 mir ja dann gut erklärt. Also danke für eure Unterstützung.

 

Gruß

Marhal