Hjelp til VLAN oppsett!

[GrH]

Hei ...

 

 

jeg skal sette opp VLAN hjemme til meg ... har prøvd en del ganger før men uten hell ...

 

så nå spørr jeg dere

 

Jeg kjører mOnOwall som router sw og en D-link DGS-1216T switsj

 

Jeg har lyst til og dele inn sånn :

 

VLAN nr. Port på Switsj :

 

[?] VLAN 1 = Magment = 2

[Ja]VLAN 2 = Servere = 5,6,7

[Ja]VLAN 3 = Wifi = 4

[Ja]VLAN 4 = Leilighet 1 = 8,9,10,11,12

[Ja]VLAN 5 = Leilighet 2 = 13,14

[Ja]VLAN 6 = Leilighet 3 = 15,16

[Nei]VLAN 7 = Studio ( offline ) = 3

 

[Ja] = Skal ha Tilgang til internett !

[Nei] = Skal IKKE ha tilgang til internett !

[?] = Vet ikke

 

Port 1 på switsjen er fra routeren

 

Der servere er en web server en filserver og en alt mulig server ( mirc , nedlasting osv )

 

Studio pc`n min skal lagre sampels, lydfiler ++ på filserveren ... mens den skal ikke ha tilgang til Internett ..

det jeg da lurer på er om jeg skal skille opp serverene i to Vlan grupper ? (en for filserveren og en for de andre ?)

hva syns dere med tanke på sikkerhet ?

 

Vlan 4 skal og ha tilgang til alle serverene!

 

Men det som er hovedproblemet mitt er og få konfigurert alt ...

sist jeg prøvde fikk jeg til at de var delt opp men ingen fikk internett !

 

slenger med noen bilder ..

Ruteren :

Der kan man legge til Vlan .. vet ikke om jeg trenger det ?

 

Så noen bilder fra oppsettinga av Vlan på Switsjen

 

 

 

 

Klikk på bildene så blir de større ..!

 

 

 

 

 

 

Setter STOR pris på svar

 

 

 

Mvh

-Djgunnah

[ranvik]

først av alt, reduser det til 2 stk vlan siden det er første gang du gjør det.

1 med inet og 1 uten inet.

 

siden hvis du skal ha 1 vlan til vær port må du route som en gud for og få ting til og funke.

 

den switchen der har ikke noe mulighet og lage "bro" mellom dem forsjelige vlan.

 

måten du gjør det på er som følger:

sjekk at lan kort i m0nowall din støtter vlan, så må du installer vlan på den, det vil si du får et virtuelt lan kort på vært vlan.

så må du sette opp routing mellom dem.

på selve switchen må du bruke tag vlan, på port 1(der m0n0wall står) og så må du bruke port vlan på alle andre portene.

 

port nr 1 vil da få til gang på alle vlan, og du kan sette opp akuratt som du vil.

 

litt noob måten: sett et lan kort til i m0n0wall'en og du kan bare bruke port vlan.

 

den beste løsninger hvis server/router støtter vlan.

så setter du eks 1 vlan for vær pc, og tager dem opp mot server, router.

da vil ingen kune se annet enn server.

 

husk vært vlan må ha vær sin egent sub net

vlan1 = 192.168.1.XX

vlan2 = 192.168.2.XX

osv... ellers får du problemer med route trafikk ut mot inet (veldig lett og knote ting til) hvis eks 2vlan er samme ip så skjøner ikke m0n0wall veldig mye

Endret 17. juli 2007 av ranvik

[GrH]

Takk ... forklarte en del ...

 

det var smart sånn at jeg først prøver med 2 Vlan sånn at jeg skjønner det ... også etterpå når jeg har skjønt det så gjør jeg det som jeg vill

 

 

Sikkert at jeg ikke forrige gang jeg testet så kjørte jeg ikke forskjellige subnet på Vlan `a , sikkert derfor det vart litt kluss ...

 

 

I router pcn så støtter nettverks kortet Vlan ja .. og iallefall på 2 av serverene ... ( usikker på siste, men viss ikke så bytter jeg bare nettverks kort )

 

Men må alle Klient pc`ne støtte Vlan ?

 

den beste løsninger hvis server/router støtter vlan.

så setter du eks 1 vlan for vær pc, og tager dem opp mot server, router.

da vil ingen kune se annet enn server.

 

Da må jeg jo ha 16 Vlan!

jeg kan iallefall kjøre leilighetene på egene Vlan ... da alle innenfor en leilighet skal ha samme rettigheter

 

 

Broen mellom Vlan`ene router jeg i routeren , det funker ja ?

 

 

viss du ser på siste bildet mitt : Port VID Setting

 

Hva skal jeg gjøre der ?

Litt usikker på den ..

 

 

 

 

Tuuusen takk for svar ..

 

Blir vell stor omlegging her i morgen ..

 

mvh

-Djgunnah

[ranvik]

du kan kjøre 2stk vlan per leilighet.

sånn som jeg vil setta det opp var:

 

port 1 = router , vlan = 1,2,11,12,13 (bruk tag vlan her)

port 2 = server , vlan = 1,2,11,12,13 (bruk tag vlan her)

port 3 = leielighet1 , vlan = 11 (port vlan)

port 4 = leielighet1 , vlan = 11 (port vlan)

port 5 = leielighet1 , vlan = 11 (port vlan)

port 6 = leielighet2 , vlan = 12 (port vlan)

port 7 = leielighet2 , vlan = 12 (port vlan)

port 8 = leielighet2 , vlan = 12 (port vlan)

port 9 = leielighet3 , vlan = 13 (port vlan)

port 10 = leielighet3 , vlan = 13 (port vlan)

 

ip ranger: 1 = m0n0wall på alle subneta, 10 er server på alle netta.

vlan1 = 10.10.1.X

vlan2 = 10.10.2.X

vlan11 = 10.10.11.X

vlan12 = 10.10.12.X

vlan13 = 10.10.13.X

vlan14 = 10.10.14.X

 

den måten her vil ingen få kontakt med ennet enn server og routern til inet.

NB: aldri bruk disse vlan 0 eller 1 eller 2 , for 0 = default vil si den ikke er i bruke og 1 er ofte default hvis dem ikke støtter den , derfor ligg unna dem 3-4 første vlan

[GrH]

skjønner ...

 

 

så viss jeg da starter Vlan på 4 og oppover da... ? ( på switsjen står det at Vlan1 er magment og det går ikke ant og endre på ..! så da blir Vlan 1 magment og så starter jeg på Vlan 4 på de andre )

 

 

"viss du ser på siste bildet mitt : Port VID Setting

Hva skal jeg gjøre der ?

Litt usikker på den .. "

 

har du noen svar der ?

 

 

 

Tuusen takk for hjelp ...

 

 

mvh

-Djgunnah

 

 

EDIT : i opsettet på vlan på switsjen .. så skal jeg "tage" port 1 .. og de portene ( feks leilighet 1 sine porter "untaget" ... mens de andre "not member"

Rett?

Endret 17. juli 2007 av Djgunnah

[ranvik]

skjønner ...

 

 

så viss jeg da starter Vlan på 4 og oppover da... ?  ( på switsjen står det at Vlan1 er magment og det går ikke ant og endre på ..! så da blir Vlan 1 magment og så starter jeg på Vlan 4 på de andre )

 

 

"viss du ser på siste bildet mitt : Port VID Setting

Hva skal jeg gjøre der ?

Litt usikker på den .. "

 

har du noen svar der ?

 

 

 

Tuusen takk for hjelp ... 

 

 

mvh

-Djgunnah

 

 

EDIT : i opsettet på vlan på switsjen .. så skal jeg "tage" port 1 .. og de portene ( feks leilighet 1 sine porter "untaget" ... mens de andre "not member"

Rett?

9092727[/snapback]

 

http://i186.photobucket.com/albums/x318/djgunnah/4.jpg

Port VID = Port Vlan ID = port vlan nr.

det er den du skal bruke når du skal fylle ut : 3 på port 3 så kommer den portern på vlan 3 (ikke men for tag)

 

 

http://i186.photobucket.com/albums/x318/djgunnah/3.jpg

tag = brukt når du skal ha flere vlan på en port. (tag vlan)

untag = kun den portern (port vlan)

NB: alle porter som ikke er gitt noen ting havner normalt på vlan 0 eller 1

som oftest så pleier jeg bare sette dem til vlan 1000 så ser du veldig lett om noen har vært inne og knota

 

hvis du er usiker på hvordan vlan funker sjekk ut den her :

http://www.commsdesign.com/showArticle.jht...icleID=26806942

Endret 18. juli 2007 av ranvik

[GrH]

heii

 

 

Nå har jeg fått opp vlan ..

 

så nå snakker switsj og router sammen

 

Prøvde med to med forskjellige sub`net og det funket

 

 

men så kommer det smarte sprøsmålet ...

 

hvordan gir jeg internett til vlan`sa ? ...

 

nå har jeg to .. ett med og ett uten .. ( For og teste) nå har ingen av de nett !

 

og hvordan åpner jeg sånn at feks VLan 8 får tilgang til Vlan 4

( 4 = filserver 8= Leilighet 1 ?)

 

 

Igjen : TUuusen takk for hjelp

 

 

mvh

-Djgunnah

Endret 18. juli 2007 av Djgunnah

[ranvik]

hehe er ikke mange andre enn meg som svarer her :-)

 

du har self testa så alle vlan får kontakt med routern ?

når det er teste og det funker.

for at vlan 4 skal få tilgang til vlan 8 må du route det over router pc'en

for og få tilgang mellom net så må du bruker routing.

eks 192.168.14.255 to 192.168.18.255

 

ELLER så legger du vlan 8 til på file server.

den siste her er enekleste, da får folk tilgang til server og ikke mellom verandre, og den måten hvis du får noe virus, så tryner ikke alt. clienter kan heller ikke arp spoffe seg frem til andres bruker navn/password.

[1915]

Tipper det heter WLAN jeg

[GrH]

Nå tar du grundig feil

 

VLAN = Viturelle nettverk over ett nettverk

WLAN = Trådløst nettverk ..

 

Det er to forskjellige ting !

 

 

mvh

-Djgunnah

[1915]

Sorry da

[GrH]

Hehe ... ikke farlig ...

 

 

 

Jeg har noen merkelige problemer nå

 

 

Jeg får automatisk ip ... ( Inndelt med forskjellige ranges , det funker )

 

men når jeg prøver og pinge gatewayen på feks vlan4 ( som er 10.0.4.1 )

så får jeg 100 % tap ...

 

og viss jeg pinger 10.0.1.1 ( som er lan ip ) så får jeg 100 % tap

 

 

hva kan denna feilen komme av ?

 

 

Tuusen takk for svar

 

 

mvh

-Djgunnah

[ranvik]

har du lagt til 10.0.4.1 på gateway pc'en ? og adda alle vlan til den ?

[GrH]

på routeren mener du ?

 

 

isåfall ja ...

 

mvh

-Djgunnah

 

 

Edit : Sånn som det er nå ...

 

Vlan 4 viss jeg stapper inn en pc her får den ip mellom 10.0.4.2- 10.0.4.255 men den kan ikke pinge gateway ( 10.0.4.1 )

 

Vlan 5 viss jeg stapper inn en pc her får den ip mellom 10.0.5.2- 10.0.5.255 men den kan ikke pinge gateway ( 10.0.5.1 )

Endret 18. juli 2007 av Djgunnah

[nomore]

Er m0n0wall satt til å svare på ICMP pakker på de aktuelle interfacene?

[GrH]

ikke viss det ikke er default nei

 

 

vet du hvordan jeg gjør det (A)?

 

 

 

Takk

[nomore]

Eg mener å huske at dette ikke er default. Mange brannmurer kommer med dette slått av som standard.

 

Eg husker desverre ikke hvordan dette skal aktiveres, da det er år og dag, og vel så det, siden eg satte opp m0n0wall.

[GrH]

Jeg finner ikke NOEN innstillinger som nevner noe om ICMP inne på m0n0wall.

 

 

mvh

-Djgunnah

 

 

Edit : Jeg får heller ikke til og pinge ut fra routeren og til en av pcne på vlan 4

Men de motar jo Ipadresse fra routeren

Endret 18. juli 2007 av Djgunnah