VLAN mit VPN

[Georg_K]

Hallo,

ich arbeite mich gerade im Thema VLAN ein, und habe eine einfache Frage, die ich mir selbst nicht so richtig beantworten konnte.

Kann man auch VPN Clients in ein VLAN einbinden? Wenn ja wie soll das gehen?Wenn ich einen Client in ein Netzwerk einwähle hat dieser ja nur eine IP Adresse und keinen physischen Port am Switch u.ä. wo man ihm eines VLAN`s zuweisen könnte.

Wird das ganze dann über die IP Adresse geregelt? Oder wie funktioniert das?

Gruß Georg

[gouranga]

Warum sollte es nicht funktionieren. VLAN hängt an das Ethernetframe ne VLAN ID dran. Die IP hat damit nicht viel zu tun. Anhand der VLAN ID wird entschieden welche unterteilten Netze sich sehen oder nicht sehen. Da du VLAN eher im Intranet verwendest gibts doch kein Problen, wenn du mittels eines VPN Tools eine Verbindung zu einem Rechnern irgendwo auf der Welt aufbaust.

[Georg_K]

Moment, du meinst das VLAN Tagging, dieses dient aber nur zur Zordung der VLAN Pakete zwischen den Switches das hat rein gar nichts mit meinem eigentlichen Problem zutun. Das ich aus einem VLAN heraus ein VPN aufbauen kann ist mir schon klar. Ich wollte nur wissen ob es möglich ist, einen VPN Client in ein VLAN einzubinden, da die Zuweiseung ja beim statischen VLAN auf Switchports basiert, kann ich mir das schon mal bei VPN Clients ausschließen

Bei mir geht es jetzt darum, dass du den Client überhaupt erstmal zuweisen musst. Ich kann mir das höchstens mit dynamischem VLAN wo dann entsprechend der MAC Adresse zugewiesen wird vorstellen, oder ist da ein Denkfehler drinne?

Korrigier mich wenn ich da falsch liege...

[gouranga]

Ich versteh dich nicht ganz. Was willst du mit dem VPN Client anstellen, soll er ein Tunnel innerhalb deines Netzes von einem VLAN zum anderen machen oder sich aber über einen Router zu einem Rechner aushalb deines Netzes verbinden?

Die statische Zuordnung basiert nur darauf das Geräte die sich an Port 1 befinden sagen wir die VLAN ID 1 immer bekommen und so miteinander kommunizieren können. Besser steht das hier -> Virtual Local Area Network - Wikipedia

[Georg_K]

Nein,

Beispiel:

Mitarbeiter A arbeitet von zuhause, soll aber im Firmennetzwerk in der Abteilung Marketing dem VLAN zugeordnet werden.

Dazu mache ich als Administrator jetzt ein Site to End VPN und will den jeweiligen Benutzer dann VLAN Marketing zuordnen.

Die kann doch mittels statischem VLAN gar nicht funktionieren, da ich kein Switchport habe, an dem ich

Mitarbeiter A angeschlossen habe.

Kann ich habe da mal was über "Schicht 4" VLAn gelesen wo mittels TCP/UDP Ports das VLAN zugeordnet werden kann. ist das die Lösung? Oder mache ich das ganze dann doch über ein dynamisches VLAN, indem ich die Mac Adresse des Mitarbeiters A zuweise?

Gruß Georg

[gouranga]

Ok, nun ist es verständlich. Also über die IP würde ich es nicht tun (da lokale eh nicht über das Internet geroutet wird und die öffentlich sich wohl öfters ändert). Die richtige Alternative wäre Schicht 2 eben über MAC da die so ziemlich einzigartig ist. Nur weiß ich nicht wie der VLAN-Switch über das Internet die MAC mitgeteilt bekommen soll???

[Georg_K]

Ich hab nochmal nachgedacht das geht logisch eigentlich auch nicht, hast du Recht. Die Mac adresse kriegt er ja auch nur wenn er vorher an einem Switchport angeschlossen wird.

Für mich bleibt dann nur noch Schicht 4 wie sie in Wikipedia beschrieben ist wo TCP/UDP Ports zugewiesen werden. Wenn ich jetzt annehme, das Mitarbeier A über ein SSH VPN Tunnel angebunden ist, kann ich ja jeden beliebigen TCP Port rüber mappen. Dann sollte ich doch an der Stelle einen Port festlegen können, der dann wiederrum dem VLAN zugewiesen wird.

:confused::old:D

[DocInfra]

Das geht durchaus mit Firewallsystemen. Netscreen Firewalls können sowas. Da kann man Tunnel an Interfaces hängen, die Interfaces haben eine VLAN ID und schon ist wieder alles im grünen Bereich. Die Daten des Tunnels laufen dann eben für ein solches, virtuelles, Interface und was darüber ins Netz geht landet im richtigen VLAN.

Ansonsten hängst du deine Firewall in ein VLAN, die User kommen da rein und werden dann über Routing und entsprechende ACLs weitergeleitet. Kommunikation zwischen VLANs ist mittels Routings möglich.