Vlan
VLANs sind eine schöne Sache, um Netzwerke sicherer zu machen, wenn diese halbwegs intuitiv aufzusetzen wären. Nach der Lektüre der ct habe ich die bereits vorhandene Hardware (zyxel GS1200-5) nochmals in die Hand genommen und ein weiteren Versuch gewagt. Ich benutze allerdings kein RasPi, sondern ein nanopi A64 mit Quad-core und Gigabite-Port. Es wird auch kein Raspbian, sondern armbian - ein debian Derivat - verwendet. Sinn des Ganzen ist es das home-office und andere Endgeräte voneinander zu trennen; der nanopi fungiert dabei als dhcp-Server und leitet die Adressen dank VLAN und 802.1Q an die diversen Ports weiter. Sowas ähnliches habe ich bereits mit proxmox-VM realisiert, nur dass nun quasi auch eine router-Kaskade aufgebaut wird.
Die Linux Installation erfolgt wie üblich, plus den Zusatzpaketen vlan und isc/kea-dhcp-server, ggf. noch irqbalance. Der kernel sollte 8021q können, sonst als Modul nachgeladen bekommen. Der nanopi muss eine statische Netzwerkadresse erhalten, um später in der FBox pro Subnet geroutet werden zu können.
Anbei die beispielhafte Konfig (/etc/defaults/isc-dhcp-server):
# Separate multiple interfaces with spaces, e.g. "eth0 eth1"
INTERFACESv4="eth0.10 eth0.20"
Und /etc/dhcp/dhcpd.conf für die Subnetze:
# Hier startet die Konfig der Subnetze
subnet 172.16.10.0 netmask 255.255.255.0 {
}
subnet 172.16.20.0 netmask 255.255.255.0 {
}
# VLAN 10 subnet (eth0.10)
subnet 172.16.10.0 netmask 255.255.255.0 {
range 172.16.10.10 172.16.10.150;
option broadcast-address 172.16.10.255;
option routers 172.16.10.1;
}
# VLAN 20 subnet (eth0.20)
subnet 172.16.20.0 netmask 255.255.255.0 {
range 172.16.20.10 172.16.20.150;
option broadcast-address 172.16.20.255;
option routers 172.16.20.1;
}
# tbc VLAN xx
Dank an den user aqui für die Erläuterungen in administrator.de
[!NOTE] Der DNS Eintrag über die vlans hinweg kann schon mal zu verbindungslosigkeit führen