Virtual DSM & Netzwerk VLAN

[kalle87]

Hallo!

Ich verzweifle. Ich habe mit dem Virtual DSM zwei virtuelle Maschinen erstellt auf einer DS1815+. Bisher sind diese im Intranet auf dem Standard VM Netzwerkadapter. Die VM haben eine IP aus dem Intranet und sind ganz normal ansprechbar.
Jetzt habe ich ein extra VLAN auf dem Router aufgemacht indem die VMs laufen sollen. Der Switch gibt an dem Port die VLAN ID untagged raus wo die DS mit eth3 dran hängt. Dieses Interface eth3 habe ich im Virtual DSM als VM Netzwerk deklariert und in der Systemsteuerung der DS eine IP aus dem VM Netz zugewiesen inkl der VLAN Id.
Dann habe ich im DSM der VM selbst in der Systemsteuerung eine IP aus dem VM Netz vergeben.
Laut Virtual DSM Manager hat die VM auch die Adresse und läuft.
Ich kann jetzt allerdings trotz Route in das VM Netz aus dem Intranet nicht auf die VM zugreifen. Was habe ich nicht beachtet oder falsch gemacht?

Grüße

 

[tschortsch]

Wenn der Port im Switch die Pakete ungetagt asugibt aber die DS ihre Pakete tagt (du hast doch dort den VLAN id eingeben) können sie nicht miteineander kommunzieren. Entweder tagen beide oder keiner.

 

[kalle87]

Habe jetzt so eingestellt das keiner Taged. Der Switch steht auf Untag und in der Syno ist unter VLAN kein Haken gesetzt. Geht trotzdem nicht und ich verstehe es nicht.








und der Switch (DS1815+ ETH3 ist am Switch an Port 13):





Der Router sieht so aus:





Hat irgendwer noch Ideen? Was mache ich falsch oder was fehlt? Eine Firewall ist derzeit noch nicht aktiv.


Gruß
Pascal

 

[tschortsch]

Um welchen Router geht es hier?

Ich nehem an der Router hängt am Port 16 am Switch (T)
Kann der Switch (geht das überhaupt?) ungetaggete und getaggete Pakete über einen Port laufen? Bei meine HP geht das nicht und mit meinem Netgear ist sowieso nciht das gelbe vom Ei...

Laut https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen geht entweder nur das eine oder das andere wenn ich das richtig interpretiere. (Kann aber auch komplett daneben liegen)

Hast du schon probiert am Router eine echten Port für das VM Netzwerk bereitzustellen und über den Switch zu trennen? Klappt das?
Ich habe das bisher imemr so gemacht siehe Signatur.
Dort ist mein HP Switch in 2 Vlans getrennt die alle über ungetaggete Port nach aussen kommunizieren.
Einen einzigen Port habe ich komplett getagget damit ich an einem entfernten Standort wo nur ein Kabel hingeht LAN und WLAN über eine WRT54G3G wieder aufsplitte. Der kommuniziert nach auss auch nur über tagges

 

[kalle87]

Der Router ist ein Ubiquiti EdgeRouter Lite.

Ich habe noch nicht die Vlans auf ein extra Interface gelegt. Da auf dem eth1 Interface wo das VM VLAN ist auch noch ein Gäste VLAN ist und das geht, gehe ich von einer erdtmal generellen Machbarkeit aus.

Ich habe mal den aktuellen Aufbau (auf das Szenario VM reduziert) als Bild bereitgestellt:

https://www.dropbox.com/s/d7ge3muja1p634r/Foto 07.10.16, 08 36 56.jpg?dl=0

Zur Erinnerung: es ist kein Zugriff auf die VM möglich sobald diese als 10.52.74.25 im VM Netzwerk ist.

 

[tschortsch]

Kannst du das Bild hier posten? Links auf unbekannte Inhalte werden hier im Forum nicht gerne angeklickt

Dann steck doch mal die DS mit dem Port für die VM ans Gäste LAN, dann solltes du sofort sehen ob es klappt. Dort wird wahrscheinlich ein DHCP Server laufen und die VM sollte ebenfalls davon eine IP bekommen.

 

[kalle87]

Kannst du das Bild hier posten? Links auf unbekannte Inhalte werden hier im Forum nicht gerne angeklickt

Dann steck doch mal die DS mit dem Port für die VM ans Gäste LAN, dann solltes du sofort sehen ob es klappt. Dort wird wahrscheinlich ein DHCP Server laufen und die VM sollte ebenfalls davon eine IP bekommen.

Sorry. Vom iPhone aus lassen sich keine Fotos hier reinstellen. Hiermit stelle ich das Foto hier rein:



Das mit dem Gäste LAN muss ich mal ausprobieren. Muss dazu nur ein langes Kabel organisieren da der bestreffende Switch wo das drauf ist und die DS ca. 20m auseinander stehen...

 

[tschortsch]

Brauchst ja nur auf dem Switch neben der DS einen ungetaggten Port für das Gäste LAN schalten. Ist einfacher

 

[kalle87]

Brauchst ja nur auf dem Switch neben der DS einen ungetaggten Port für das Gäste LAN schalten. Ist einfacher

Wenn Tagged. Denn das Gäste LAN ist bei mir komplett getagged (da hängen Ubiquiti Unifi AP's dran).

 

[tschortsch]

Muss egal sein was da dran hängt.

Der Switch bekommt das getaggte Paket und übersetzt es auf einen Port ungetagget.

Damit kannst du jeden beliebigen Clienten an den besagten Port anschließen und man ist ohne Umwege im Gäste LAN. Dann kannst du auch das VLAN konstrukt in der DS mal komplett deaktivern und kontrolieren ob es am Router liegt oder das (VLAN)Problem in der DS ist.

 

[kalle87]

... Dann kannst du auch das VLAN konstrukt in der DS mal komplett deaktivern und kontrolieren ob es am Router liegt oder das (VLAN)Problem in der DS ist.

Hast Du auch wieder recht. Ist ja eigentlich nur das VLAN in der VM abschalten... Oder irre ich da jetzt?

 

[tschortsch]

Überall.
Am Switch muss es ungetaggte raus, die DS (auf DHCP) darf kein VLAN haben (ist ja e im gäste lan mit seapratem IP bereich und kommst somit nicht mit dem haupt lan in die quere) und die VM auf DHCP und auch kein VLAN.

Somit alle offensichtlichen Fehlerquellen ausgeschallten und die VM sollte erreichbar sein. (Vorrausgesetzt du kannst vom Haupt LAN auf des Gäste LAN zugreifen und im Gäste LAN einen DHCP Server).

 

[kalle87]

Die Aktion mit dem Gäste LAN geht. Jetzt stellt sich mir nur noch die große Frage wieso das VM LAN nicht funktioniert. Ich habe irgendwas vergessen vermute ich. Ich weiß nur aktuelle nicht was....

 

[kalle87]

Die Aktion mit dem Gäste LAN geht. Jetzt stellt sich mir nur noch die große Frage wieso das VM LAN nicht funktioniert. Ich habe irgendwas vergessen vermute ich. Ich weiß nur aktuelle nicht was....

Jetzt geht es mit dem VLAN. Unglaublich was mir passiert ist: auf der Strecke zwischen den beiden Switches gibt es zwei Trunks. Die Leitungen hatte ich gegeneinander vertauscht und auf dem einen Trunk gab es nicht das VM VLAN. Sowas simples...

Jetzt geht das soweit. Bis auf mein zweites offenes Thema im parallelen Thread wegen dem Halbduplex beim Bond.

 

[tschortsch]

Sehr schön wenn das jetzt klappt.
Kleiner Fehler große Wirkung.

Abseits vom Thema:
Da du von vlans etc schon Ahnung hast... Wie zufrieden bist du mit deinem Router? Welches Modell Hast du genau? Benutzt du VPN?

 

[kalle87]

Da du von vlans etc schon Ahnung hast... Wie zufrieden bist du mit deinem Router? Welches Modell Hast du genau? Benutzt du VPN?

Ich habe den Ubiquiti EdgeRouter Lite. Ich finde für knapp 100€ bietet der ein super Preis/Leistungsverhältnis. Läuft jetzt seit knapp 4 Wochen bei mir und bin soweit zufrieden. Firewall muss ich noch optimieren da sind derzeit nur Basics drin. Was schwierig ist für mich umzudenken das gerade die Firewall in meinen Augen schwerer zu konfigurieren ist als an meinem Vorgänger ein alter Lancom 1711. muss man sich eben erstmal reinfinden.
VPN will ich wieder nutzen habe ich aber noch nicht fertig konfiguriert. Da klemmt noch irgendwas an der IPSEC konfig. Das ist der nächste Punkt auf meiner Liste.
OpenVPN hab ich schon drauf und das läuft. Macht eben nur mit iOS Probleme weswegen ich wieeer IPSec will.
Würde die Kiste wieder kaufen. Hatte überlegt erst UniFi kompatiblen Router zu nehmen weil ich von denen schon mein komplettes wifi habe aber der Mehrpreis bringt mir für mich kein großen Vorteil.