Ein Router dient, vereinfacht gesagt, dem Zuweisen von Wegen für Datenpakete.
In unserem Konfigurationsbeispiel sollen an den Port „LAN1“ angeschlossene Geräte Zugriff haben, auf:
WAN = Internet
VLAN 10 = Gast
VLAN 20 = Test
Beide VLAN’s haben Zugang zum Internet, aber keine Verbindung untereinander.
Die Konfiguration
Hier exemplarisch an einem NAS-Server des Typs: Zyxel USG20-VPN aufgezeigt. Hierbei wurde der Router bereits mit dem Internet verbunden.
Selbstverständlich gibt es noch andere Hersteller von NAS-Stationen, die dann andere Installatiosroutinen haben. Meine persönliche Auswahl viel auf Zyxel, ohne irgendwelche Werbe- oder andere gewerbliche Zwecke zu verfolgen!
Anmelden an dem Router
Je nachdem wie Ihr Computer eingestellt ist, müssen Sie ggf. die Sicherheitseinstellungen Ihres Computers/Browsers oder Ihres Virenprogramms ggf. deaktivieren.
In meinem Fall, kommt der Browser mit einem Warnhinweis beim Aufruf der voreingestellten IP-Adresse von Zyxel in der Adressleiste des Browsers:
192.168.1.1
Wenn man den Hinweis dann verstanden hat und sich sicher ist, kann man durch drücken von „Erweitert“ eine weitere Auswahlmöglichkeit angezeigt bekommen.
Nun kommt eine weitere Erläuterung, zu dem vermeintlichen Risiko, das man dann auch lesen und zur Kenntnis nehmen muss und es erscheint der Link „Weiter zu 192.168.1.1“ Nachdem diesem Link gefolgt wurde, erscheint die webbasierte Benutzeroberfläche des Routers mit der Anmeldemaske.
Hier geben Sie dann den werksseitig vorbelegten Namen und das Passwort ein.
User: admin
Passwort: 1234
Automatisiert erfolgt jetzt aus Sicherheitsgründen die Aufforderung zum Ändern Ihres Administrator-Passwortes.
Sobald hier eine neues Passwort eingegeben und mit „Apply“ bestätigt wurde, müssen Sie sich neu anmelden.
User: „admin„
Passwort: Das oben vergebene
Dashboard
Jetzt erscheint das Dashboard des Routers mit einem Überblick, über die gerade herrschenden Zustände und dem Menübaum, in dem Sie nun Punkte auswählen und ändern können.
Anmerkung: Hier sollten Sie nur Änderungen durchführen, wenn Sie sich sicher sind, diese auch zu verstehen, oder wieder Rückgängig machen zu können. Fehleingaben können bis zur Unbedienbarkeit des Routers führen!
Zonen einrichten
Zonen werden in einem Router eingerichtet, um Sicherheitseinstellungen festzulegen und sie ermöglichen das Routing der entsprechenden Datenpakete. Also welche Datenpakete dürfen wohin oder welche Zugänge werden ihnen verwehrt.
Diese Zone werden wir jetzt für unser beiden VLAN’s (Gast&Test) jetzt einrichten.
Dazu navigieren wir:
1. ins Feld „Einstellungen“ dann zu
2. „Object„, dort öffnet sich dann das Untermenü, hier wird
3. „Zonen“ ausgewählt.
In der nun erscheinenden Maske, werden die voreingestellten Zonen schon dargestellt.
Für unser Projekt legen wir zwei neue Zonen an, deshalb klicken wir auf
4. „Add„
Im nun erscheinenden Fenster geben wir den gewünschten Namen, hier „Test„ein und bestätigen dies mit „OK„
Jetzt erscheint unsere eben erstellte Zone „Test“ schon in der Gesamtübersicht.
Den gleichen Vorgang wiederholen wir mit der Zone „Gast„
Nun sehen wir in der Übersicht der Zonen im Fenster User Configuration unsere beiden eben erstellten Zonen.
VLAN einrichten
Jetzt müssen noch die VLAN’s mit den Ihnen zugeordneten Adressbereichen hinzugefügt werden.
Diese beiden VLAN’s (Gast&Test) werden jetzt eingerichtet.
Dazu navigieren wir:
1. ins Feld „Einstellungen“ dann zu
2. „Network„, dort öffnet sich dann das Untermenü, hier wird
3. „Interface“ ausgewählt.
In der nun erscheinenden Maske gehen wir auf das Registerblatt
4. „VLAN“ und wählen dann dort den Punkt
5. „Add„um unsere VLAN jetzt einzurichten.
In der nun erscheinenden Maske werden folgende Einstellungen getätigt.
1. bei „Enable Interface„wird das Päckchen „activate“ gesetzt, da wir das Profil direkt aktivieren wollen.
2. „Interface Typ„, wird auf „internal“ gesetzt, da das VLAN nur in unserem Router verarbeitet werden soll.
3. „Interface Name“ wird vergeben, damit man das auch Zuordnen kann. (hier vlan10)
4. Welcher „Zone“ dieses VLAN zugeordnet wird, wird hier angegeben. (hier Gast)
5. „Base Port“ gibt an, an welchem physikalischen Port des Routers Ihr VLAN abgegriffen wird. (hier Lan1)
6. „VLAN ID“ hier wird die einmalig im Netzwerk vorkommende ID Ihres VLAN’s angegeben.(hier 10)
7. „Description“ hier könnenSie noch optionale Infos zum VLAN angeben.
Jetzt muss noch der Adressbereich angegeben werden, indem sich unsere VLAN10 bewegen darf. Hier wird dann
8. die „IP-Adresse“ angegeben (hier 192.168.100.1)
mit der über die Anzahl der möglichen Hosts entscheidenden
9. „Subnet Mask“ (hier 255.255.255.0)
Um es für die Nutzer einfacher zu machen, werden wir die IP-Adressvergabe in diesem VLAN mittels eines DHCP-Servers (den uns dieser Routerhersteller freundlicherweise mitliefert 😉 realisieren. Hierzu wird unter DHCP Setting nun
1. „DHCP“ hier der „DHCP-Server“ ausgewählt und unter
2. „IP Pool Start Adress“ die Startadresse des möglichen Adresspools angegeben (hier 192.168.100.1) und unter „Pool Size“ die Anzahl der möglich zu vergebenden Adressen. (hier 100)
Nachdem die ganzen Angaben mittels „OK“ bestätigt worden sind, erscheint wieder der Übersichtsbildschirm mit unseren eben getätigten Angaben.
Den gleichen Vorgang wiederholen wir nun für das VLAN20 „Test“
Nach betätigen von „Add“ geben wir nun die notwendigen Daten ein.
1. bei „Enable Interface„wird das Päckchen „activate“ gesetzt, da wir das Profil direkt aktivieren wollen.
2. „Interface Typ„, wird auf „internal“ gesetzt, da das VLAN nur in unserem Router verarbeitet werden soll.
3. „Interface Name“ wird vergeben, damit man das auch Zuordnen kann. (hier vlan20)
4. Welcher „Zone“ dieses VLAN zugeordnet wird, wird hier angegeben. (hier Test)
5. „Base Port“ gibt an, an welchem physikalischen Port des Routers Ihr VLAN abgegriffen wird. (hier Lan1)
6. „VLAN ID“ hier wird die einmalig im Netzwerk vorkommende ID Ihres VLAN’s angegeben.(hier 20)
7. „Description“ hier könnenSie noch optionale Infos zum VLAN angeben.
8. die „IP-Adresse“ angegeben (hier 192.168.10.1)
mit der über die Anzahl der möglichen Hosts entscheidenden
9. „Subnet Mask“ (hier 255.255.255.0)
Auch in diesem VLAN ermöglichen wir eine automatische IP-Adressvergabe mittels eines DHCP-Servers. Hierzu wird unter DHCP Setting nun
1. „DHCP“ hier der „DHCP-Server“ ausgewählt und unter
2. „IP Pool Start Adress“ die Startadresse des möglichen Adresspools angegeben (hier 192.168.10.1) und unter „Pool Size“ die Anzahl der möglich zu vergebenden Adressen. (hier 100)
Zusatzinfo: DHCP – Das Dynamic Host Configuration Protocol
Um eine einfache Verbindung zwischen Geräten in einem TCIP/IP Netzwerk zu ermöglichen, wird meist das DHCP genutzt. Vereinfacht gesagt, fragt beim Anschluß eines Gerätes, die Datenpakete versenden oder empfangen sollen, nach einer Adresse und der DHCP-Server teilt dann diesem Gerät eine IP-Adresse zu und verwaltet dann den Adresspool. Beim Herauslösen aus dem Netzwerk, z.B. das Abschalten, wird die Adresse ggf. einem anderen Gerät zugeteilt.
Eine andere Möglichkeit wäre eine feste IP-Adresse zu vergeben. Dann muss diese aber allen anderen Geräten im Netzwerk bekannt gegeben. Das ist leider mit mehr Aufwand und mühsam und muss von einem Administrator erfolgen.
Nach der Bestätigung mittels „OK“ wird man zur Übersichtsseite zurückgeleitet und kann hier die eingerichteten VLAN’s, deren zugeordneten IP-Adressen und die Subnetzmaske sehen.
Nun fehlt noch das Festlegen des Routings unserer beiden eingerichteten VLAN’s (Gast&Test).
Dazu navigieren wir:
1. ins Feld „Einstellungen“ dann zu
2. „Security Police„, dort öffnet sich dann das Untermenü, hier wird
3. „Policy Control“ ausgewählt.
Neben den bereits in diesem Beispiel vorinstallierten Routings, gehen wir jetzt zu
4. „Add“
Dem Roter müssen jeweils immer Regeln für ausgehenden und hereinkommende daten zugewiesen werden.
1. ins Feld „Name“ tragen wir einen eindeutigen Namen ein, hier z.B. Gast_outgoing,
2. „Description„, hier besteht die Möglichkeit optional eine Beschreibung einzugeben.
3. „From“ aus welcher Zone heraus der Verkehr geroutet wird. Hier aus der Zone „Gast“
4. „To“ in welche Zone Verkehr geroutet wird. Hier in die Zone „WAN“ Hier ins Internet, keine Verbindung in andere VLAN’s!
Nach der Bestätigung mittels „OK“ wird man zur Übersichtsseite zurückgeleitet und kann hier die eingerichteten Regel zum Routing sehen.
Denn gleichen Arbeitsschritt von oben machen wir jetzt mit dem VLAN „Test_outgoing“.
Da wir ja auch in dem zugehörigen VLAN „Gast“ untereinander eine Verbindung zulassen wollen, muss dies nun konfiguriert werden.
1. ins Feld „Name“ tragen wir hier einen eindeutigen Namen, hier z.B. Gast_to_Device,
2. „Description„, hier besteht die Möglichkeit optional eine Beschreibung einzugeben.
3. „From“ aus welcher Zone heraus der Verkehr geroutet wird. Hier aus der Zone „Gast“
4. „To“ in welche Zone Verkehr geroutet wird. Hier in die Zone „zywall“, unserem Router.
Da wir ja auch in dem zugehörigen VLAN „Test“ untereinander eine Verbindung zulassen wollen, muss dies nun konfiguriert werden.
1. ins Feld „Name“ tragen wir hier einen eindeutigen Namen, hier z.B. Test_to_Device,
2. „Description„, hier besteht die Möglichkeit optional eine Beschreibung einzugeben.
3. „From“ aus welcher Zone heraus der Verkehr geroutet wird. Hier aus der Zone „Test“
4. „To“ in welche Zone Verkehr geroutet wird. Hier in die Zone „zywall“, unserem Router.
Im folgenden erkennen wir nun unsere vier angelegten Regeln wieder.
Auf der obigen Übersicht erkennen wir aber auch, das „LAN1_Outgoing“ auf „Zywall“ steht.
Das bedeutet, das die an den Port „LAN1“ angeschlossen Geräte nur in dem VLAN „Zywall“ geroutet werden. Also nur innerhalb des eigenen Routers.
Da wir aber ins Internet „WAN“ wollen, muss die Zieladresse ebenfalls auf „WAN“ eingesetellt werden.
Stand: 08/2023