Home » Allgemein » Synology » Mehrere VLANs mit einem Netzwerkadapter auf der Synology

Mehrere VLANs mit einem Netzwerkadapter auf der Synology

eingetragen in: Allgemein, Docker, ioBroker, Synology 4

Manchmal benötigt man mehrere Netzwerke auf der Synology NAS. Bei einer Netzwerkkarte kann man dieses, wenn es die Netzwerkkomponenten wie z.B. Router und Switches zulassen mit VLANs abbilden.

Bei mir läuft auf der Synolgy NAS 216+II im Docker Container die IOT Anwendung ioBroker um meine Smarthomegeräte zu steuern. Alle Smarthomegeräte im LAN und WLAN sollen in einem extra Netzwerk ohne Zugriff auf das Heimnetzwerk und Internet sein.

Aus diesem Grund benötige ich 2 von einander getrennte Netzwerke. Eines für mein Heimnetzwerk mit Zugriff auf das Internet, Drucker, heimische PCs usw. Und ein Netzwerk für die Geräte ohne Zugriff auf die heimischen PCs und Internet. Da ich keine 2 Netzwerkanschlüsse habe, wird dieses über VLANs wie folgt abgebildet:

NetwerkVLANAufgabe
192.168.20.0/24VLAN 20Heimnetzwerk mit Zugriff auf das Internet und die heimischen PCs und mit Verbindung zum Smarthomenetzwerk (VLAN 25)
192.168.25.0/24VLAN 25Netzwerk mit den Smarthomegeräten ohne Internetzugriff und ohne Verbindung zum Homenetzwerk (VLAN 20)

Leider kann man auf der Synology NAS mit einer Netzwerkkarte genau ein VLAN über die Oberfläche einrichten. Dieses ist als erstes zu tun. Dafür in der Systemsteuerung der Punkt Netzwerk aufzurufen. Dort auf den Reiter „Netzwerk-Schnittstelle“ auswählen. Hier LAN anklicken und auf bearbeiten gehen. Jetzt das VLAN aktivieren und das VLAN eingeben.

Damit ist das VLAN 20 eingerichtet. Vergesse vorher nicht den Port der NAS an dem Switch auf VLAN 20 tagged zu stellen. Sonst kannst Du die Synology NAS nicht mehr erreichen.

Nun musst Du Dich per ssh oder telnet auf der Synology NAS anmelden. Wechsele in das Verzeichnis /etc/sysconfig/network-scripts und kopiere die Konfiguration des VLAN 20 welches Du über die Synology Oberfläche angelegt hast für das VLAN 25.

cd /etc/sysconfig/network-scripts
sudo cp ifcfg-eth0.20 ifcfg-eth0.25

Im nächsten Schritt musst Du die Netzwerkadressen und Devices des eben kopierten Interfaces ifcfg-eth0.25 ändern.

# Geänderte ifcfg-eth0.25 
DEVICE=eth0.25
VLAN_ROW_DEVICE=eth0
VLAN_ID=25
ONBOOT=yes
BOOTPROTO=static
IPADDR=192.168.25.30
NETMASK=255.255.255.0

Entweder Du startest die NAS neu oder die Netzwerk Services mit sudo /etc/rc.network restart

Wer wie ich noch für die eingerichteten VLANs die MACVLANs für die Docker Container erstellen möchte, muss folgendes tun:

# MACVLAN für VLAN 20 - IP Adresse 192.168.20.80/32 
ip link del mac20
ip link add mac20 link eth0.20 type macvlan mode bridge
ip addr add 192.168.20.80/32 dev mac20
ip link set mac20 up
ip route add 192.168.20.80/28 dev mac20

# MACVLAN für VLAN 25 - IP Adresse 192.168.25.80/32 
ip link del mac25
ip link add mac25 link eth0.25 type macvlan mode bridge
ip addr add 192.168.25.80/32 dev mac25
ip link set mac25 up
ip route add 192.168.25.80/28 dev mac25

# Anlage MACVLAN 20 für Docker Container für Netz 192.168.20.80/28
docker network create -d macvlan --subnet=192.168.20.0/24 --gateway=192.168.20.1 --ip-range=192.168.20.80/28  --aux-address 'host=192.168.20.80' -o parent=eth0.20 macvlan20

# Anlage MACVLAN 25 für Docker Container für Netz 192.168.25.80/28
docker network create -d macvlan --subnet=192.168.25.0/24 --gateway=192.168.25.1 --ip-range=192.168.25.80/28  --aux-address 'host=192.168.25.80' -o parent=eth0.25 macvlan25

Mehr zu MACVLANs den findet Du hier. Das Thema ist nicht ganz einfach!

Damit sind die MACVLANs für beide VLANs eingerichtet und können im Docker verwendet werden. Der ioBroker Docker Container hat bei mir 2 MACVLANs. Die Sonoff, Shelly, Yelight, Xiaomi, … Adapter horchen im 192.168.25.0 Netz. Die ioBroker Web und Admin Oberfläche sind nur im 192.168.20.0 erreichbar aber nicht im 192.168.25.0 Netz.

4 Responses

  1. Matze
    | Antworten

    Hi Stübe, vielen Dank für deine Blogeinträge, diese haben mir bisher sehr geholfen.

    Kurze Frage zu der Einrichtung bei der Synology: DHCP könnte ich auch auf Automatisch belassen, oder?

    • Stübi
      | Antworten

      Hallo Matze,
      ja, das funktioniert. Aber Du musst für jedes VLAN auch einen DHCP Server haben.
      Viele Grüße
      Stübi

  2. Tobi
    | Antworten

    Hi Stübi,

    vielen dank für die tolle Anleitung. Bei so Einstellungen über SSH stellt sich mir immer die Frage, wie beständig die bei einem Update der Diskstation sind. Hast du da Erfahrungen? Du wirst ja wahrscheinlich auch auf DSM 7 aktualisiert haben. Musstest du da gewisse Einstellungen erneut setzen?

    Viele Grüße
    Tobi

  3. rubinho
    | Antworten

    Hi Stübi,

    weißt du ob es eine Möglichkeit gibt, die Vlan Interfaces ohne IP Adresse zu erstellen (auch nicht via DHCP).

    Ich habe aus Sicherheitsgründen mehrere Vlans und möchte ausschließlich nur über meine Firewall mit den unterschiedlichen Netzen Kommunizieren.
    Wenn ich allerdings ein Vlan Interface anlege, bekommt meine Synology immer eine IP Adresse, auch wenn ich BOOTPROTO=static eintrage ohne eine IP anzugeben. Auch BOOTPROTO=none hat keine Lösung gebracht.

    Mein Problem ist, dass ich dieses Interface nur für Docker Container benötige und sobald die Synology eine IP Adresse hat, habe ich mir einen Bypass zwischen den zwei Netzen geschaffen, was zu einer Sicherheitslücke führen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert