gelöst VLAN für Gäste WLAN einrichten über FritzBox und Switch

Mitglied: Elo-14

Elo-14 (Level 1) - Jetzt verbinden

21.10.2017 um 23:11 Uhr, 21705 Aufrufe, 10 Kommentare, 1 Danke

Hi zusammen,

Es geht um das gute alte Wohnzimmer und die ganzen Besucher die ständig in meinem WLAN rumlungern. Die FritzBox bietet zwar bereits einen WLAN Gastzugang, dieser kommt aber nicht in Frage da die Box in meinem 19" Schrank im HWR gefangen ist .

Wo wir gerade dabei sind kurz die Hardware und Aufbau : Ich habe die erwähnte FritzBox 7360 am VDSL Anschluss . Da ich zuhause noch einiges vor habe folgt dahinter ein Zyxel GS1910-24HP (Managed PoE Switch) . Das ganze Haus ist Cat7 Duplex verkabelt .

Nun hab ich in der Küche an der Dose ein Zyxel NWA1100-N installiert , der kann MultiSSID , VLAN und ist eben klein, kompakt, PoE fähig.
Dieser strahlt nun mein eigenes WLAN aus und eben das besagte Gast WLAN. Es ist aber noch keine Trennung bzgl. VLAN erfolgt da der Switch natürlich nicht wenig Funktionen hat und ich durch die ganze nachleserei nun im geistigen Chaos versunken bin.

Ich muss nun irgendwie den über LAN Port 4 nutzbaren Gastzugang an der FritzBox erst durch den Switch schleifen (wegen PoE) und dann über eine gemeinsame Cat Leitung des Kabels zur Küche an den AP. Alles andere wäre ja Verschwendung .

Es müsste doch wie folgt gehen : Ich kann ja nun alle Ports des Switch im MGM VLAN 1 lassen, zwei frei gewählte Ports auf ein zusätzliches VLAN 101 legen (Tagged?) Dort nervt der Switch aber nun mit Ingress filtering,ingress acceptance, egress tagging
. Da scheitert es dann bei mir ?

Am AP eben diese VLANs auch tagged einstellen ,die Kabel an FritzBox und Switch stecken und fertig ? Oder gibt es hier ein IP -Adressenproblem ? Ich arbeite mit dem FB DHCP 192.168.168.xxx und der Gastzugang hat eine ganz andere IP die man nicht verstellen kann.

Ich wäre für ein klärendes Gespräch dankbar
Mitglied: Pjordorf
21.10.2017 um 23:41 Uhr
Hallo,

Zitat von Elo-14:
Box in meinem 19" Schrank im HWR gefangen ist .
Was bitteschön ist den ein HWR?

Nun hab ich in der Küche an der Dose ein Zyxel NWA1100-N installiert , der kann MultiSSID , VLAN und ist eben klein, kompakt, PoE fähig.
Nur das deine Fritte gar kein VLAN beherrscht. Somit kannst du nur das GastLAN (Port 4 der Fritte) auch als GastWLAN nutzen wenn du einen Router hast der dir dein LAN und GastWLAN an dein NWA1100-N entsprechend auf einen Port routet. Danach kannst du ja per separatem LAN Kabel dein Port 1-3 der Fritte und dein GastLAN (Port 4) gemeinsam nutzen. Das GastlAN der Fritte gibt dir anderes IP Netz vor. Also Fritte mit 2 Patchkabel an dein Switch, dort mit ein LAN Kabel zu dein NWA1100-N und diesen Port die beiden VLANS zuweisen damit die gesamte Traffic dann über den FrittenPort (Port 4) GastLAN als GastWLAN ausgestrahlt wird. Du musst schauen was dein GS1910-24HP dort kann, ansonsten brauchst du einen Switch der das umsetzen kann.


Dieser strahlt nun mein eigenes WLAN aus und eben das besagte Gast WLAN. Es ist aber noch keine Trennung bzgl. VLAN erfolgt
Ist aber zwingend nötig

. Da scheitert es dann bei mir ?
Handbuch lesen, und verstehen musst du schon können, oder soll jemand vorbeikommen und es für dich tun?

Gruß,
Peter
Bitte warten ..
Mitglied: BassFishFox
22.10.2017, aktualisiert um 02:10 Uhr
Hallöle,

Was bitteschön ist den ein HWR?

Das ist der Hauswirtschaftsraum.
Früher sagte man wohl Abstellkammer oder so.

BFF
Bitte warten ..
Mitglied: em-pie
LÖSUNG 22.10.2017 um 11:09 Uhr
Moin,

warum nicht einfach so bauen (quasi die visualisierte VErsion von Peters Vorschlag) :
vlan_mssid - Klicke auf das Bild, um es zu vergrößern

Solange deine Gäste nicht in dein privates LAN geroutet werden müssen (z.B. wegen eines Zugriffs auf die NAS...), durchaus so lösbar. Ansonsten müsstest du noch irgendeinen Router dazwischen setzen, z.B. einen Pi oder Mikrotik o.Ä....

Gruß
em-pie
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.10.2017, aktualisiert um 11:32 Uhr
Dieses Tutorial beschreibt die Einrichtung von AP und Switch:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Wie die Kollegen oben schon richtig schreiben supportet die FB kein VLAN Tagging mit 802.1q. Damit hast du dann keine Chance deine beiden VLANs über einen Draht auf die FritzBox zu bringen wie es üblixh ist und auch das 0.a. Tutorial beschreibt.

Kollege em-pie hat oben dir schon die Lösung präsentiert. Du musst dann leider vorsintflutlich 2 Kabel aus dem Switch zur FB legen. Pro VLAN 1 Kabel und das einmal in den normalen LAN Port und einmal in den Gastnetz Port stecken.
Nicht schön aber es bleibt dir durch den fehlenden VLAN Support bei der FB keine andere Wahl.
Außer natürlich du flashst eine alternative Firmware wie z.B. Freetz auf die FB die das kann.
Bitte warten ..
Mitglied: Elo-14
22.10.2017 um 13:37 Uhr
Zitat von Pjordorf:

Hallo,

Zitat von Elo-14:
Box in meinem 19" Schrank im HWR gefangen ist .
Was bitteschön ist den ein HWR?
wie bereits von einem User unter Dir kommentiert, meinte ich den Hauswirtschaftsraum. Dort kommen alle Leitungen von Innen und Außen zentral an und man hat ruhe vor der Frau die sich über das Kabelwirrwarr ärgert

Nun hab ich in der Küche an der Dose ein Zyxel NWA1100-N installiert , der kann MultiSSID , VLAN und ist eben klein, kompakt, PoE fähig.
Nur das deine Fritte gar kein VLAN beherrscht. Somit kannst du nur das GastLAN (Port 4 der Fritte) auch als GastWLAN nutzen wenn du einen Router hast der dir dein LAN und GastWLAN an dein NWA1100-N entsprechend auf einen Port routet. Danach kannst du ja per separatem LAN Kabel dein Port 1-3 der Fritte und dein GastLAN (Port 4) gemeinsam nutzen. Das GastlAN der Fritte gibt dir anderes IP Netz vor. Also Fritte mit 2 Patchkabel an dein Switch, dort mit ein LAN Kabel zu dein NWA1100-N und diesen Port die beiden VLANS zuweisen damit die gesamte Traffic dann über den FrittenPort (Port 4) GastLAN als GastWLAN ausgestrahlt wird. Du musst schauen was dein GS1910-24HP dort kann, ansonsten brauchst du einen Switch der das umsetzen kann.


Dieser strahlt nun mein eigenes WLAN aus und eben das besagte Gast WLAN. Es ist aber noch keine Trennung bzgl. VLAN erfolgt
Ist aber zwingend nötig
das habe ich ja auch vor daher musste ich mich auch an Euch wenden

. Da scheitert es dann bei mir ?
Handbuch lesen, und verstehen musst du schon können, oder soll jemand vorbeikommen und es für dich tun?
danke, Handbuch gibt nicht viel her, dachte die Bezeichnungen seien geläufiger in der "Switch-Sprache "

Gruß,
Peter
Bitte warten ..
Mitglied: Elo-14
22.10.2017 um 13:40 Uhr
Zitat von em-pie:

Moin,

warum nicht einfach so bauen (quasi die visualisierte VErsion von Peters Vorschlag) :
vlan_mssid - Klicke auf das Bild, um es zu vergrößern

genau so war ja mein Plan, super danke Dir

Solange deine Gäste nicht in dein privates LAN geroutet werden müssen (z.B. wegen eines Zugriffs auf die NAS...), durchaus so lösbar. Ansonsten müsstest du noch irgendeinen Router dazwischen setzen, z.B. einen Pi oder Mikrotik o.Ä....
ne die brauchen nur Zugang ins Internet

Gruß
em-pie
Bitte warten ..
Mitglied: Elo-14
22.10.2017 um 13:43 Uhr
Ja das sie kein VLAN Tagging kann wusste ich,
aber ich habe ja diesen himmelteuren (lasst mich nicht lügen?) Layer 3 Switch und der sollte die Sache doch in den Griff bekommen
wie oben in der Grafik beschrieben. Meine Unsicherheit lag in den Bezeichnungen in der Weboberfläche mit Ingress Filtering etc,
Ich habe mich nämlich nun schon einige male ausgesperrt Das mit den zwei Strippen von Fritte zu Switch ist egal, da hängt eh schon genug rum .

Ich gebe mich dann nun nochmal dran.
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.10.2017, aktualisiert um 14:06 Uhr
3 separate Theads die man logisch auch in einen einzigen hätte bringen können. Respekt !
Aber egal, warum einfach machen wenn es umständlich auch geht...
Zurück zum eigentlichen Thema:
Layer 3 Switch und der sollte die Sache doch in den Griff bekommen
Das stimmt...übersehen das du einen L3 Switch hast, sorry. Dann ist es kinderleicht und du lässt den L3 Switch zentral routen !
Den Internet Zugang realisierst du dann mit einem separaten VLAN (z.B. 99) wo die FritzBox angeschlossen ist. Dann benötigtst du auch keine 2 Strippen und Tagging.

Aber VORSICHT bei solchem Design:
Das Gäste VLAN muss ja vollkommen isoliert zum Router geführt werden. Folglich musst du ein Routing ins private LAN / VLAN wasserdicht unterbinden !
Wenn du beide VLAN Segmente Layer 3 seitig auf dem Switch terminierst, dann würde der ja erstmal transparent routen dazwischen
Ohne irgendwelche Filterlisten könnten Gäste so problemlos in dein privates LAN...ein absolutes NoGo.
In so einer L3 Konstellation über den Switch sind also IP Filter- bzw. Accesslisten auf dem L3 Switch absolute Pflicht !!!
Die müssen hier am Gäste VLAN Interface greifen und ein Routing der Gästedaten ins private LAN sicher unterbinden ! Zusätzlich sollten sie Dienste filtern die deine Gäste im Internet aus rechtlichen Gründen nicht nutzen sollten (Filesharing etc.)
Wie man so ein Design mit dem Internet VLAN 99 aufsetzt erklärt dir dieser Thread:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Dir sollte aber klar sein, das du mit so einem Design auf die Gäste VLAN Funktion der FB dann verzichtest und die Steuerung über den Switch machst.
So oder so ist die Gäste Lösung in der FB eine Lachnummer und für jemand der es kennt einfach zu überwinden.
Besser und rechtssicherer wäre ein Captive Portal mit Einmalpasswörtern gewesen.
Siehe hier:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
bzw.
https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
Dann wäre auch die L3 Funktion eigentlich überflüssig. Du hast es sicher gut gemeint bei der Anschaffung aber so richtig Sinn macht die L3 Funktion auf deinem Switch eher nicht...verbranntes Geld
Bitte warten ..
Mitglied: Elo-14
22.10.2017 um 14:39 Uhr
Zitat von aqui:
3 separate Theads die man logisch auch in einen einzigen hätte bringen können. Respekt !
Aber egal, warum einfach machen wenn es umständlich auch geht...
Zurück zum eigentlichen Thema:
Layer 3 Switch und der sollte die Sache doch in den Griff bekommen
Das stimmt...übersehen das du einen L3 Switch hast, sorry. Dann ist es kinderleicht und du lässt den L3 Switch zentral routen !
Den Internet Zugang realisierst du dann mit einem separaten VLAN (z.B. 99) wo die FritzBox angeschlossen ist. Dann benötigtst du auch keine 2 Strippen und Tagging.

Das wäre auch noch eine Möglichkeit, ja.


Aber VORSICHT bei solchem Design:
Das Gäste VLAN muss ja vollkommen isoliert zum Router geführt werden. Folglich musst du ein Routing ins private LAN / VLAN wasserdicht unterbinden !
Wenn du beide VLAN Segmente Layer 3 seitig auf dem Switch terminierst, dann würde der ja erstmal transparent routen dazwischen
Ohne irgendwelche Filterlisten könnten Gäste so problemlos in dein privates LAN...ein absolutes NoGo.
In so einer L3 Konstellation über den Switch sind also IP Filter- bzw. Accesslisten auf dem L3 Switch absolute Pflicht !!!
Die müssen hier am Gäste VLAN Interface greifen und ein Routing der Gästedaten ins private LAN sicher unterbinden ! Zusätzlich sollten sie Dienste filtern die deine Gäste im Internet aus rechtlichen Gründen nicht nutzen sollten (Filesharing etc.)
Wie man so ein Design mit dem Internet VLAN 99 aufsetzt erklärt dir dieser Thread:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Dir sollte aber klar sein, das du mit so einem Design auf die Gäste VLAN Funktion der FB dann verzichtest und die Steuerung über den Switch machst.
So oder so ist die Gäste Lösung in der FB eine Lachnummer und für jemand der es kennt einfach zu überwinden.
Ich bin auch nicht so der Freund von Standardanwendungen 0-8-15 aber die Leute die mich besuchen finden am PC gerade so den "Ein-Schalter"
ich denke da tut der NWA1100 mit WPA-2 Verschlüsselung am Gastnetz sein übriges. Um mich herum wohnt auch kein Hacker :-P

Besser und rechtssicherer wäre ein Captive Portal mit Einmalpasswörtern gewesen.
Siehe hier:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
bzw.
https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
danke das sehe ich mir auf jeden fall noch an

Dann wäre auch die L3 Funktion eigentlich überflüssig. Du hast es sicher gut gemeint bei der Anschaffung aber so richtig Sinn macht die L3 Funktion auf deinem Switch eher nicht...verbranntes Geld
naja ich hätte auch standard Schrott kaufen können für das Geld, oder wie geschehen Glück bei einer Auktion gehabt und das Ding für nen 100er abgegriffen
Bitte warten ..
Mitglied: Elo-14
22.10.2017 um 14:43 Uhr
Aktuell läuft das ganze nun.
Die FritzBox fragt im Gastnetz erst nach dem PW
und dann noch Bestätigung Nutzungsbedingungen etc.
Ich bekomme auch die richtige IP.
Ich kann aus diesem Netz keins meiner privaten Geräte anpingen.

Umgekehrt habe ich im privaten LAN keine Veränderung bemerkt.
Dann müsste das doch erst mal so passen oder?

Aber wie von euch angemerkt machen hier wohl noch diverse
Regeln bzw Filter Sinn um sicher zu gehen.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerkkomponent mit SD-Kartenslot
gelöst waddalosFrageWindows Netzwerk26 Kommentare

Hallo an alle, folgendes Problem gibt es bei uns im Unternehmen: Der Wareneingang soll jeden Eingang fotografieren und anschließend ...

Server
File Portal mit Userverwaltung gesucht
McLionFrageServer16 Kommentare

Hallo zusammen, ich suche eine Art Fileserver im Webbrowser. Es gibt diese zwar wie Sand am Meer, jedoch ohne ...

PHP
Fehler mit PHP-FPM
adriaanFragePHP11 Kommentare

Hallo guten Abend liebe Forenmitglieder, ich habe ein Problem. Nämlich habe ich ein Kontroll PHP Skript heruntergeladen und damals ...

Netzwerke
Heimnetzwerk erweitern
TellMyWifiLoveHerFrageNetzwerke11 Kommentare

Gott zum Gruße die Herrn und Damen, Ich habe bereits einige Seiten im großen weiten interwebz erforscht aber konnte ...

Windows Server
Internetzugang über Terminalserver
Felix0201FrageWindows Server10 Kommentare

Hallo, ich habe folgendes Anliegen. Wir wollen einen Terminalserver für ca. 20-25 Nutzer bereitstellen. Ist es da besser den ...

Netzwerke
NTP-Referenzsetup für mittelgroße Netzwerke
Der-PhilFrageNetzwerke10 Kommentare

Hallo! Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger, da ohnehin alles verschlüsselt wird, ...

Ähnliche Inhalte
Switche und Hubs

FritzBox Router - L3 Switch - FritzBox WLAN Router

SeniforFrageSwitche und Hubs11 Kommentare

Hallo zusammen, ich bin, was Netzwerken angeht ziemlicher Anfänger. Ich hoffe, das ist kein Problem. Ich möchte ein kleines ...

Netzwerke

Gast WLAN einrichten

Hajo2006FrageNetzwerke25 Kommentare

Hallo, also ich bin gerzeit dabei nachforschungen anzustellen um ein Gast-WLAN zu realisieren. Da ich das bisher noch nie ...

Router & Routing

Tagged Vlan Switch Netgear 108 E mit fritzbox 7530

CorraggiounoFrageRouter & Routing6 Kommentare

Hallo liebe Community, Erstmal ein großes Dankeschön an dich aqui für die tolle Anleitung. Ich hätte folgende Frage: Ist ...

Switche und Hubs

Switch VLAN einrichten

gelöst TastuserFrageSwitche und Hubs8 Kommentare

Hallo, ich habe einen Switch mit VLAn-Funktion, verstehe jedoch nicht ganz wie das funktioniert. Folgende Punkte sind vorhanden: - ...

Switche und Hubs

Switch mit Switch verbinden (VLAN)

gelöst NurWeilEsGehtFrageSwitche und Hubs5 Kommentare

Halloooo, ich habe mal eine Frage zu meinem „neuen“ Switch von Netgear. Vorher habe ich einen 8-Port Switch von ...

LAN, WAN, Wireless

Vlan zwischen fritzbox

gelöst Derdark1337FrageLAN, WAN, Wireless10 Kommentare

Hallo erstmal, Folgende umgebung: FritzBox , cisco switch, wlc 2504 Wlan Controller Unzwar kann ich dem Wlc ein Port ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud