Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

(gelöst) Accesspoint im VLAN nicht erreichbar

Mitglied: tumichnix
Moin Moin,

mein Netzwerk besteht aus den folgenden VLANs (nur die relevanten):

- VLAN100 (Workstations und Server)
- VLAN120 (Gäste-WLAN)
- VLAN140 (Management-VLAN)

Nun habe ich einen TP-Link TL-WA901ND Accesspoint mit OpenWRT im VLAN140 an einem Trunk-Port hängen.
WLAN-Clients können sich an diesem problemlos anmelden und bekommen eine IP vom DHCP-Server (in diesem Fall die Firewall) und werden in das VLAN120 gepackt. Soweit so gut.

Mein Problem ist aber nun das ich den Accesspoint in VLAN140 von VLAN100 aus nicht erreichen kann (alle anderen Geräte wie Switches klappen ohne Probleme).
Ändere ich den Port an dem der Accesspoint hängt von "Tagged" auf "Untagged" kann ich zwar den Accesspoint erreichen aber dann kann die Firewall keine Zuordnung der VLANs mehr machen da es ja nun kein "tagged" Port ist (laut meinem Verständnis wäre das ja auch nicht korrekt).

Meine Vermutung ist nun das der Accesspoint gar nicht weiß in welchem VLAN er sich selbst befindet und irgendwie im "Default-VLAN" rumdümpelt. Leider finde ich auch keine Option in OpenWRT mit der ich dem Accesspoint mitteilen kann welches das Management-VLAN ist (wie z.B. bei den Switches).

Die Frage ist nun: Handelt es sich dabei um einen Denkfehler meinerseits oder ist das ein generelles Problem mit OpenWRT?

Schöne Grüße

tumichnix

Content-Key: 249356

Url: https://administrator.de/contentid/249356

Ausgedruckt am: 30.11.2021 um 17:11 Uhr

Mitglied: dr-manny
dr-manny 16.09.2014 um 20:24:47 Uhr
Goto Top
Hallo tumichnix,

Idee meinerseits wäre, dass du dem DHCP-Server sagst, er soll auch das Standardgateway mitteilen. So kennt dann beispielsweise dein WLAN-Router sein zugehöriges Standardgateway und schickt die entsprechende (nicht ans VLAN120 adressierten Pakete) an dieses weiter. Dort musst du dann noch in der Firewall einstellen, dass VLAN120 mit VLAN100 kommunizieren darf.

Wie du das genau einstellst kann ich aufgrund fehlender Infos (Router, Netzinfos, etc.) im Moment nicht sagen.
Wenn du magst PN.

LG
dr-manny
Mitglied: aqui
Lösung aqui 17.09.2014, aktualisiert am 18.09.2014 um 22:39:38 Uhr
Goto Top
Bei einem Accesspoint mit MSSID (Multi SSID) liegt das Management Interface immer im Default VLAN. Pakete des default VLAN sendet der Accesspoint in der Regel immer untagged.
Das Default VLAN ist also immer das VLAN was untagged an einem tagged Trunk hängt wo die MSSIDs auf entsprechende VLAN IDs gemappt sind.
In der Regel ist das immer das default VLAN 1 sofern nicht anders eingestellt auf dem Endgerät !
In deinem Beispiel musst du also dafür sorgen das die Management Pakete des APs, die ja untagged kommen aus dem AP, untagged in das VLAN 140 geforwardet werden am Switch.
Hier begehst du vermutlich den Kardinalsfehler auf der Switchkonfig, denn wenn du das auf dem AP Port dort nicht customized, dann landen die Management Pakete ja im Default VLAN 1 logischerweise...und dann vermutlich im Nirwana.
Bei Cisco Switches macht das z.B. dieses Kommando:
interface FastEthernet 1
switchport mode trunk
switchport trunk allow vlan 100, 120, 140
switchport trunk native vlan 140

Bei einem Brocade Switch (Port 10) z.B.
vlan 100
tagged eth 10
vlan 120
tagged eth 10
vlan 140
tagged eth 10
!
interface eth 10
dual-mode 140

Bei anderen Herstellern ist das entsprechend.
Die fett gedruckten Kommandos bewirken das alle untagged Frames an diesem tagged Switch Trunk Port immer in das VLAN 140, also deinem Management VLAN, geforwardet werden !
Leider sagst du uns nicht welchen Switch du betreibst, deshalb musst du das für dich relevante Kommando selber rausfinden :-( face-sad

Das war aber nur der erste Schritt, denn das sorgt erstmal nur dafür das die Pakete nun in die richtigen VLANs kommen.
Irgendwo musst du ja nun noch routen zw. deinen VLANs also auch VLAN 100 und VLAN 140. Ob das ein externer Router, Firewall oder ein L3 Switch teilst du uns ja leider auch nicht mit... :-( face-sad
Ggf. existieren hier aber IP Accesslisten oder Firewall Regeln die den Zugriff von VLAN 100 auf das Management VLAN 140 regeln die du dann zwingend anpassen musst damit die Kommunikation klappt !
Traceroute und Pathping sind hier wie immer deine Freunde.
All diese Themen und deren Lösung werden im hiesigen VLAN Tutorial angeschnitten. Siehe auch das "Praxisbeispiel" !:
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Mitglied: tumichnix
tumichnix 18.09.2014 um 22:41:01 Uhr
Goto Top
Danke für die ausführliche Erklärung aqui!
Es war tatsächlich so wie Du es beschrieben hast. Nun ist der AP im Mgmt-VLAN erreichbar!

Danke!
Mitglied: aqui
aqui 19.09.2014 um 11:06:19 Uhr
Goto Top
Alles wird gut :-) face-smile
Heiß diskutierte Beiträge
question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
RDS 2019 - Excel2019 öffnet Dateien sehr langsam gelöst pr3adusVor 1 TagFrageWindows Server15 Kommentare

Guten Tag, ich habe ein Problem bei einem meiner Kunden: seit kurzem verwendet der Kunde meine RDS-Farm. Hier haben wir 2 RDS-Hosts und ein RDS-GW ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...

question
Welchen Router, Board für Pfsense, OpenVPN? gelöst ROBCB19Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo zusammen, ich suche Hardware für pfsense und Openvpn. Es sollten 10 VPN Verbindungen gleichzeitig möglich sein. Lese mich schon den 2ten Tag in die ...