DI-804 NAT bzw. weiterleiten in eigenes VLAN

[Gast]

Hi,

habe folgende Konfiguration:

Ein Switch der seine Ports in 2 VLANs aufteilt, im ersten VLAN hängt der DI-804 als DSL Router. Das erste VLAN hat die Adesse 198.168.10.0 /255.255.255.0, der DI in dem VLAN hat die IP 192.168.10.250.

Das zweite VLAN hat die Adresse 192.168.11.0/255.255.255.0.


Alle Rechner im ersten Vlan können problemlos ins Internet, die im zweiten VLAN nicht. Im Switch habe ich eine Route vom 2ten VLAN zum DSL Router definiert. Damit es aber funktioniert, muß ich auf dem DSL Router irgendwie einstellen, das Anfragen aus 192.168.11.0 (VLAN2) auch wieder dorthin zurückgehen.

Ist das mit dem DI-804 möglich und wenn ja wie???

thanks
stefan

[Empfehlungen]

[Gairigo]

@steki

Damit es keine Missverständnisse gibt:

Was genau meinst Du mit VLAN bei Dir?

Dieses hier:

http://net21.ucdavis.edu/newvlan.htm#what

[Gast]

Ich verwende ein Switch Allied Telesyn 8724xl, der hat die Möglichkeit auf Layer 2 Ebene seine einzelnen Ports zu Vlans zusammenzustelllen. Jedem der VLANs lassen sich eigene IPs zuordnen.

Siehe http://www.alliedtelesyn.co.nz/support/at8700xl/info.html
Abschnitt "VLAN support".

Ich suche also nach einer Möglichkeit auf dem DI-804 zu sagen, das wenn Anfragen aus (einem anderen Netz =VLAN2) kommen, auch wieder dahin zurückgeschickt werden müssen. Sonst sieht es für Rechner im VLAN 2 so aus als ist der Router, bzw alles darüber hinaus nicht erreichbar.

gruss
stefan

[Gairigo]

steki hat folgendes geschrieben: Ich verwende ein Switch Allied Telesyn 8724xl, der hat die Möglichkeit auf Layer 2 Ebene seine einzelnen Ports zu Vlans zusammenzustelllen. Jedem der VLANs lassen sich eigene IPs zuordnen.

Siehe http://www.alliedtelesyn.co.nz/support/at8700xl/info.html
Abschnitt "VLAN support".

Ich suche also nach einer Möglichkeit auf dem DI-804 zu sagen, das wenn Anfragen aus (einem anderen Netz =VLAN2) kommen, auch wieder dahin zurückgeschickt werden müssen. Sonst sieht es für Rechner im VLAN 2 so aus als ist der Router, bzw alles darüber hinaus nicht erreichbar.

gruss
stefan

So ganz weiß ich noch nicht, was Du eigentich wofür, wozu machen willst!

Eine genaue Beschreibung wär daher schon sinnvoll!

[Gast]

Hi,

typische Situation sind der Internetzugang im Hotel oder in Klassenräumen.

Im Hotel hat man einen Internetzugang, darf aber die anderen Hotelgäste nicht sehen. Bei Schulklassen wird es verwendet, um einen gemeinsamen Router zu nutzen, die Klassen sollen sich aber untereinander nicht sehen können.

Das wird über vlans realisiert. Die Vlans kennen sich unterneinander erst mal nicht. Hat man mehrere Ports des Switch zu einem VLAN zusammengestellt, dann können sich alle beteiligten (Klassen-PCs) sehen, aber eben nicht die der Nachbarklasse. Natürlich hat nicht jede Klasse ihren eigenen Internetzugang, sondern alle Klassen haben einen gemeinsam.

Beispiel
Port 1-8 Net 192.168.10.0 /255.255.255.0 (Schulklasse 1)
Port 9-16 Net 192.168.11.0 / 255.255.255.0 (Schulklasse 2)
Port 42 DSL Router 192.168.20.250

mit einer Defaultroute 0.0.0.0/255.255.255.0 next 192.168.20.250 auf dem Switch kommen erst mal alle bis zum Router hin, aber der Router muß die Pakete die nicht aus seinem Netz kommen 192.168.10.0 und 192.168.11.0 wieder an die richtige Stelle zurücksenden und eigentlich ist ja keiner in seinem Netz (192.168.20.0). Daher kennen z.B. Bintec Router direkten VLAN Support oder haben NAT Tabellen, in denen man eintragen kann das Traffic für 192.168.10.0/255.255.255.0 bitte an 192.168.20.249 (= Interface des Switch weitergeleitet werden sollen), der schickt es weiter.

gruss
stefan

[Privateer]

@steki
der DI-804 kann das nicht bewerkstelligen, dafür muss der Switch sorgen, dass die Pakete zwischen den VLAN´s transportiert werden. Ich vermute mal, dass als Gateway der Switch angegeben werden muss, der mit einer statischen Route auf den DI-804 verweist. Bin mir aber in der Richtung nicht 100%ig sicher. werde mich noch mal schlau machen. :grins:
Eine andere Möglichkeit wäre noch, wenn es der Switch unterstützt, das ganze über ein sg. overlapping VLAN zu machen. D.h. beide VLAN haben einen gemeinsamen Port, an dem dann der Router hängt.
Melde mich aber diesbezüglich noch mal.

[Empfehlungen]

[Gast]

Hi,

schon mal danke für die Antwort.

Ich meine aber schon, das der DI-804 (vorausgesetzt er ist überhaupt so konfigurierbar), die Pakete wieder den einzelen VLANs zuordnen müsste.

Alles was aus den VLANs kommt wird per default Route an den DSL Router weitergegeben, die Antworten die jetzt zurückkommen müssen jetzt aber wieder den entsprechenden Netzen zugeordnet werden.

Der Switch hat ein Interface, das die Verteilung übernimmt, aber dahin gehts ja nicht automatisch zurück.

Bei dem DI-804 weiss ich noch nicht mal ob das über eine statische Route oder über Firewall zu konfigurieren ist.

gruss
stefan

[Privateer]

@steki
das ist ja genau der Knackpunkt, dass der Router nicht weiß, wohin damit, weil er auch nur und ausschließlich in seinem IP Bereich die Pakete verteilen kann. Die Pakete, die in den anderen IP Bereich sollen, müssen vom Switch geroutet werden. Der DI-804 kann nur zwischen Internet und seinem IP Bereich agieren.

[Gast]

Hi,

ja das ist richtig, aber der Router muß die Pakete erst mal an der Switch weiterreichen, und das muß ich ihm mitteilen,
Im Moment sieht es so aus, das eine Anfragen von VLan 2 kommt ( 192.168.11.x) über den Router rausgeht, dort beantwortet wird und zurück kommt. Er Router erhält jetzt ein Paket für 192.168.11.x, da das aber nicht sein NEtz ist schickt er es einfach wieder ins Internet. Er müßte jedoch eine Route für diese Pakete haben die dann an den Switch weitergereicht werden müssen, so was in der Form

192.168.11.0 / 255.255.255.0 -> 192.168.20.94 (der switch in seinen segment)



gruss
stefan