VLAN - aber richtig

[sebastianbrandner]

Hallo liebe CLI Hacker ;-)

Folgendes Problem, das schon viele hatten, ich möchte ein paar VLANs einrichten.
Link Aggregation hab ich schon aufgegeben, das ist mir zu kompliziert auf der DS, weil dann werden VLANs noch komplizierter und nichts hat funktioniert was ich probiert habe.


SWITCH
- Port 1: native/untagged VLAN 10, tagged VLAN 20,30
- Port 2: native VLAN 40

NAS DS920+
- LAN 1: hängt auf Port 1 (server vlan
- LAN 2: hängt auf Port 2 (damit ich im media client netzwerk broadcasts abfangen kann für DLNA)

Warum das ganze?
Weil ich ein bisschen Nerd bin und alles im Netzwerk bereits perfekt funktioniert außer die Synology spielt noch nicht mit.
Es sollen dann wieder Docker und VMs auf der NAS laufen die dann von außen erreichbar sind und sich im Servernetz befinden.
Die Firewall kontrolliert im Prinzip schon wer was darf.

Hier die aktuelle ifconfig, hab ALLES wieder komplett zurück gedreht (kein vSwitch, kein VLAN über GUI, Docker + VMM deinstalliert)
bis die VLANs laufen.

Spoiler: ifconfig

eth0 Link encap:Ethernet HWaddr 00
inet addr:10.10.10.2 Bcast:10.10.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:16000444 errors:0 dropped:0 overruns:0 frame:0
TX packets:53272410 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1294278701 (1.2 GiB) TX bytes:35035487207 (32.6 GiB)
Interrupt:89

eth1 Link encap:Ethernet HWaddr 00
inet addr:10.10.40.2 Bcast:10.10.40.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:50851 errors:0 dropped:0 overruns:0 frame:0
TX packets:657899 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:17274606 (16.4 MiB) TX bytes:3183445209 (2.9 GiB)
Interrupt:88 base 0xc000

Was möchte ich?

eth0: Bleibt native, ohne VLAN Tag, ip kommt dann 10.10.10.2
eth0.20: wird VLAN 20, ip 10.10.20.2


Also weiß jemand wie ich das auf der DS konfiguriere so das es auch persistiert ist?
Weil eth0 sollte native/untagged bleiben damit bei einem "reset" mittels Knöpfchen die IP nach wie vor passt.

Wenn die VLAN config steht würde ich erst den vSwitch und die Virtualisierungen aktivieren

Danke!

LG
Sebastian

 

[blurrrr]

Hallo liebe CLI Hacker ;-)

Direkt versch***** mit dem Spruch. Das ist genauso blöde, wie wenn man die nerdigen Informatiker als "Freaks" und ähnliches bezeichnet.

Weil ich ein bisschen Nerd bin

Ganz oder garnicht! Halbe Arme machen auch noch lange keine Kekse! ?

Und im Grunde genommen ist es doch ganz einfach: Pro Interface 1 VLAN (oder eben nicht). Interfaces solltest Du ja zwei haben. Also nix mit eth0 und eth0.20 auf der gleichen NIC. Nimm brav eth0 + eth1.20, dann haste auch kein Problem. Alternativ direkt untagged und ab dafür, dann kannste Dir den restlichen Konfigurationsaufwand auch direkt sparen ??

 

[sebastianbrandner]

auf synology bezogen passt das finde ich, weil bei dem was die da aufführen musst schon ziemlich auf der cli ins system graben um sachen einstellen zu können die bei jedem normalen linux ganz einfach gehen. hab auf meinem macbook auch ein native network das somit automatisch das vom untagged beliefert wird, zusätzlich jedes VLAN konfiguriert zum up und down nehmen für den zugriff auf alles. auch auf meinem ubuntu notebook stellt das kein problem dar mit einem native und einem tagged vlan zu fahren auf einer nic.

und ja ein bisschen passt, ich kann mich nicht als richtigen nerd bezeichnen, das wäre eine beleidigung für echte technik nerds die WIRKLICH ahnung von der materie haben. für mich als softwareentwickler der seit 22 jahren programmiert ist ein nerd auch nichts negatives sondern jene die so richtig reinviechern in ihrem gebiet.


zu dem anderen muss ich leider sagen, bringt dein post nämlich genau gar nichts
NIC 1+2 fahren aktuell bereits auf dem untagged 10 und 40 um aus zwei netzen korrekt erreichbar zu sein,
jetzt fehlt noch zB das cam-vlan, damit dieses nicht extra über den 1gbit uplink zum router muss und wieder retour geht.
weil wozu alles immer routen über einen trunk uplink wenn die NAS doch direkt im vlanX erreichbar sein kann und selbst mittels firewall regelt was genau funktioniert?


Frage bleibt somit bestehen: gibts eine funktionierende anleitung für VLANs auf Synology Geräten mit der man nicht an das eine VLAN pro LAN Port gebunden ist?

 

[blurrrr]

Wie immer... Google kann helfen: https://www.mybenke.org/?p=2373 (allerdings ohne Syno-Gewähr)

Und mal davon ab, ich weiss ja, dass Programmierer es nicht so unbedingt mit Netzdesign haben, aber vllt schon mal drüber nachgedacht (bei Deinem ganzen VLAN-Gefrickel), dass Du das NAS selbst einfach in ein extra VLAN stellst und über die Hardware-Firewall einfach die entsprechenden Regelungen vornimmst? ?

EDIT:

zu dem anderen muss ich leider sagen, bringt dein post nämlich genau gar nichts

Vermutlich trotzdem besser, als so ein völlig egoistisches Verhalten (Mitglied seit 2014, 7 Beiträge, alles nur Fragen, niemals antworten, man man man, da kannste Dir ja richtig auf die Schulter klopfen...) ?

 

[sebastianbrandner]

Und mal davon ab, ich weiss ja, dass Programmierer es nicht so unbedingt mit Netzdesign haben, aber vllt schon mal drüber nachgedacht (bei Deinem ganzen VLAN-Gefrickel), dass Du das NAS selbst einfach in ein extra VLAN stellst und über die Hardware-Firewall einfach die entsprechenden Regelungen vornimmst? ?

die hardware firewall (Unifi Security Gateway 4 Pro) macht genau das, sie verbindet aktuell die VLANs miteinander, das einzige was ich nicht zum laufen bekommen habe auf der FW ist die mDNS&Co funktion für die media player. heißt die 40er clients (amazon firetv, smart tv, ...) haben den Synology Medienserver nicht erreicht.

das hab ich kurzfristig gelöst durch lan1-10er, lan2-40er


mein plan wäre es, nicht alles zwingend über die FW laufen zu lassen sofern es zwischen clients und server im gleichen vlan möglich wäre.


so langsam kommt mir aber vor, bei den versuchen die ich gerade mache, das größte problem an der ganzen konfiguration ist anscheinend der vSwitch, sobald der aktiviert ist. ich hab es jetzt ohne den versucht mit ganz klassischen vorlagen (ohne bond) und es läuft mal so wie gedacht ?

nur das mit der anzeige in der oberfläche muss ich noch hinbekommen, der verschluckt ein interface

 

[blurrrr]

Warum wusste ich, dass nu irgendwas von Unify kommt...

Thema mDNS wurde z.B. hier behandelt: https://community.ui.com/questions/...ss-VLANs/b47199a0-5e7e-4caf-a8c6-d3c9c56f1e27 (kann Dir aber nicht sagen, ob es Dir weiterhilft, liest sich aber irgendwo so)

Ich nutze diese... na nennen wir es mal: "Zwischenlösung" (zwischen SoHo-Router und Enterprise-Firewall - denke, dass kann man durchaus so nennen ) halt nicht, bewege mich eher im Enterprise-Sektor und die haben es i.d.R. nicht so mit dem Multimedia-Kram (ich generell auch nicht), von daher läuft auch bei mir Privat einfach eine Enterprise-Firewall und da sind solche Themen einfach... keine Themen ??

Aber mal so als Tip: Warst ja schon auf dem richtigen Weg, hast Dich einfach nur zu schnell abbringen lassen (und schon fing das "Gefrickel" an). So wie Du es ursprünglich vor hattest, war das schon alles ganz gut. Sicherlich muss nicht "alles" über die Firewall, aber wenn man schon die entsprechenden Möglichkeiten hat (und nicht jeden Client/Server extra anfummeln muss), kann einem das schon einiges an Frust ersparen (wie Du ja derzeit merkst).

Probleme tauchen immer auf, es lohnt sich aber dennoch, einfach nach einer zentralen Lösung zu schauen (und nicht jedes Gerät anfassen zu müssen). Hier Privat laufen bei mir mittlerweile (*kurz nachschau*)... 14 VLANs (wobei auch welche zu reinen Installationszwecken, etc. angedacht sind und nicht alle ständig in Benutzung sind). "Probleme" hab ich hier allerdings nicht, da ich eben auch weitestgehend auf sämtliche Technologien verzichte, welche per se dann schon "problembehaftet" sind. Ab und zu mal ein Film vom NAS (oder direkt aus dem RZ) über den Mediaplayer, jou, aber dann via CIFS (lokal) oder WebDAV (RZ), sind ja nu auch alles keine "kritischen" Bandbreiten mehr...

mein plan wäre es, nicht alles zwingend über die FW laufen zu lassen

Bist also nicht so der Fan von zentralisierter Verwaltung, hm? Da wird Dir vermutlich "jeder" Administrator etwas anderes erzählen, aber sei's drum... Jede/r so, wie er/sie will. Deswegen gehen die Programmierer und Admins auch immer nur Bier trinken... wegen dem Gedanken...

 

[the other]

Moinsen,
da kann ich dem werten Vorredner nur beipflichten:
hier (nur im Heimnnetz, kein gewerblicher Kram) ist alles über die FW zentral organisiert, eben auch die VLANs. Alternativ können das gute (Layer3( switche auch, bringt ein wenig Performance, ist bei dem kleinen Netz zu Hause aber imho überflüssig...
Also: schalt dir die VLANs auf dem Router/FW, setz gute Regeln ein, dann musst du die Geräte nicht einzeln konfigurieren....hab ich hier nie angefasst, die Synos bekommen ihre Zuteilung ausschließlich via pfsense.