113726

10.01.2015, aktualisiert am 24.01.2015

9058

167

2 getrennte Netze, wenn DHCP auf dem SBS läuft

Guten Nabend,

ich möchte bei uns gerne Schritt für Schritt 2 getrennte Netze aufbauen.
Ein komplettes internes Netz und eins, was nur Internetzugang bekommt mit einem anderen IP Bereich.

Problem ist jetzt allerdings, dass der DHCP auf unserem SBS 2011 läuft. Selbst wenn ich für das Gastnetz am Router DHCP getrennt aktiviere, nimmt er sich eine IP vom SBS, ergo hat er wieder Zugriff aufs interne Netz.

Wie kann man das lösen? Der DHCP sollte am SBS weiterhin laufen bleiben.

Manuel

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 259438

Url: https://administrator.de/contentid/259438

Ausgedruckt am: 23.11.2024 um 07:11 Uhr

167 Kommentare

Neuester Kommentar

Hallo,

Zitat von @113726:
Problem ist jetzt allerdings, dass der DHCP auf unserem SBS 2011 läuft.

DER ist nicht dein Problem. Dein Netzdesign ist dein Problem.

getrennt aktiviere, nimmt er sich eine IP vom SBS,

Es wird immer die IP des am schnellsten Antwortenden DHCP genommen. Entdeckt der Windows DHCP einen anderen DHCP, beendet sich der klügerer DHCP (dein SBS)

Wie kann man das lösen? Der DHCP sollte am SBS weiterhin laufen bleiben.

Wie dir schon in all deinen anderen Threads bezüglich WLAN etc. mitgeteilt wurde ist dein Freund VLAN. Du hast aber kein Gerät welches VLAN Routing kann um mehr als 1 Netz zu nutzen bzw. 2 Netze oder mehr per VLAN oder auch echt (Physikalisch getrennte Netze) gemeinsam zu nutzen um dort z.B. das Internet gemeinsam zu nutzen. Deine Fritte kann kein VLAN dort. Du brauchst zwingend ein VLAN fähigen Router oder Switch (L3).. Mikrotik wurde dir schon mal genannt.....als Beispiel..... Ein Cisco SG-300 kann es auch sein....

2 DHCP in eine Broadcastdomäne ergibt massive Probleme wenn nicht alles entsprechend Konfiguriert wird, und dein SBS mag das nicht tun bzw. ist dafür nicht geschaffen worden.

Gruß,
Peter

Suche einen neuen Access Point und eventuell Modem
Nutzungsvereinbarung des WLANS im Unternehmen

Hallo Peter,

vielen Dank.

Ja das VLAN gehe ich ja an, ich bin jetzt gerade dabei, das Szenario bei mir Privat daheim zu testen.

Auch hier habe ich eine Fritzbox, die kein VLAN kann. Aber ich habe noch eine alte Fritzbox hier, wo ich mal Freetz drauf flashe und schon sollte das mit dem VLAN funktionieren.
Wie gesagt will ich es Privat jetzt nur testen, um es zu verstehen.

Ich habe mir auch ein bisschen was besorgt zum testen.

Wenn die FB geflasht ist, ist das Problem ja schon mal erledigt.
Jetzt zum Switch. Wie ich gelesen habe, unterstützt der Netgear GS724 sogar 802.1Q.
Die Fritzbox aber nicht.
Also ordne ich dann der Fritzbox VLAN 1 am LAN 1 Anschluss zu und VLAN 10 am LAN 2 Anschluss und ziehe 2 Ethernetkabel dann jeweils zum Switch.
Dem Switch sage ich, dass an den beiden Ports die beiden VLANs sind und mache beide Ports untagged.
Untagged deswegen, weil ich eh 2 getrennte Kabel ziehen muss.
Ist das soweit erstmal korrekt?

Dann geht es weiter mit den AP.
Dieser kann VLAN und Multi-SSID.
Ich schließe den AP also an einen Port am Switch an und dem Switch sage ich, dass dort die beiden VLANs drauf liegen und vergebe tagged, da er sich ja selber die zuständige VLAN raussuchen soll.
Da ist das kuriose, dass man bei Netgear nur einen Port wählen kann (aber er ja 2 bedienen soll). Ich denke aber er sucht sich trotzdem den richtigen.
Dem AP sage ich natürlich, dass beide SSIDs unterschiedliche VLANS zugewiesen werden.

Damit müsste das verkabelte doch so passen oder?
Ich muss dann nur irgendwie sagen, welche VLAN welche IP bekommen soll, das geht aber sicherlich in der gemoddeten Fritzbox.
Die Clients, die Zugriff auf das interne Netz bekommen sollen, sollen die IP ja durch den SBS erhalten. Wie die Gäste den IP bekommen weiß ich nicht.

Ist das so im groben richtig aufgezeigt?

Schon wieder so ein Fritten-Geschädigter

Auch mit installiertem Freetz wirst du keine "getaggten" Pakete an einem eth-Port rausbekommen da die Fritte hier intern anders arbeitet. Auf den eth Interfaces kommen die Pakete immer untagged raus !! Nur dem WAN Port lassen sich getaggten Pakete entlocken.
http://www.ip-phone-forum.de/showthread.php?t=212727&page=3&s=a ...
Man kann zwar den Ports einzelne VLANs zuweisen, intern gehen die Pakete dann über die CPU und je nach zugeordnetem VLAN an die entsprechenden Ports ohne Tag.

Für multiple DHCP Scopes über die VLANs müsste man dann dnsmasq bemühen aber selbst das ist mit Freetz noch nicht vollkommen ausgereift.

Besorg dir also mindestens einen 35€ Mikrotik dann hast du alles was du für dein Vorhaben brauchst, und das Funktioniert dann 100%.

Gruß jodel32

Zitat von @113726:

Auch hier habe ich eine Fritzbox, die kein VLAN kann. Aber ich habe noch eine alte Fritzbox hier, wo ich mal Freetz drauf flashe
und schon sollte das mit dem VLAN funktionieren.

Das ist nur Wunschdenken. Nimm Dir lieber einen Mikrotik oder eine alix-board. Damit kannst Du dann wirklich bequem VLAN probieren. dir frittenb sind nciht dafür gemacht ordentlich mit VLAN umzugehen.

lks

Grundlagen dazu kannst du in diesem Forumstutorial nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Besten Dank.

Also ich habe mir noch einen TP-Link Modem ausgeliehen, der von Haus aus VLAN kann bevor ich mir noch was zulege. Ist zwar auch ein Chinading, aber müsste ja trotzdem funktionieren.

Aber ...

Es geht nicht.

Der TP-Link Modemrouter kann auch keine tagged. Ich habe zwar die Option, 802.1Q zu aktivieren aber auf der WAN/ppoe Schnittstelle und kann dort auch nur 1 VLAN angeben. Was bringt es mir bitte dort, ich muss doch VLAN an den LAN Ports des TPLink aktivieren.
Oder kann ich die WAN Schnittstelle als Bridge etc einrichten, 802.1Q aktivieren, VLAN 1 als Beispiel eintraggen und dann empfängt er es getagged? Also dann kann ich mir die beiden Kabel sparen und könnte nur 1 Kabel legen.

Also habe ich im Interface Grouping 2 LAN Anschlüsse des Modems jeweils einer VLAN zugewiesen und 2 Kabel zum Switch gezogen.
Der AP hängt auch am Switch.
Der AP Port ist mit tagged gekennzeichnet.
Die beiden Ports, die zum Router gehen jeweils als untagged (da zwei getrennte Kabel).
DHCP ist für das interne VLAN am Router deaktiviert, da das der SBS machen soll.
Für das Gästenetz ist DHCP am Router aktiviert.

Wähl ich mich jetzt per WLAN ins interne Netz ein, dauert es erst mal sehr lange, ich bekomme dann eine interne IP, aber Internet geht nicht.
Wähle ich mich dann ins GästeWLAN ein, dauert es ebenfalls sehr lange, er erkennt automatisch den SBS als DNS Server aber es gibt keine IP. Ergo geht gar nichts.

Hmm was könnte da faul sein, die Verkabelung müsste doch so stimmen oder?

//EDIT: Oder ihr habt recht, ich kaufe gleich ein ordentliches Modem was VLAN tagging unterstützt. Könnt ihr mir da genau ein Modell empfehlen?
Gibt es vielleicht auch etwas wo ich gleich Multi-SSID WLAN mit habe, ansonsten kommt einfach ein zweiter AP hin.
Dann leg ich meine Fritzbox in die Ecke und nutze das Mikrotik, nur welches?

TP-Link Modem ausgeliehen

Ist das wirklich ein reines Modem oder ist das ein Router ?? Technisch und vom Verständniss ist das ein himmelweiter Unterschied !
Das solltest du zum weiteren Troubleshooting hier wasserdicht klären !

Es geht nicht.

Das ist häufig klar, da diese Router ein NICHT abschaltbares NAT machen auf den Router Ports. Durch die dann immer aktive NAT Firewall kannst du kein transparentes Routing machen wie es eigentlich sein sollte, sondern Routing ist immer eine Einbahnstrasse. Daran scheitern häufig solche Umsetzungen, da die HW falsch ist oder das Feature nicht supportet.
Ist das bei deinem TP Link ggf. auch so ??
Wenn ja hast du nur die Option eine andere alternative Firmware wie OpenWRT oder DD-WRT zu flashen die diese Beschränkung der Original Firmware überwindet. Oder eben eine alternative Router HW !
Das obige Tutorial: Routing von 2 und mehr IP Netzen mit Windows, Linux und Router beschreibt diese NAT Problematik ausführlichst !
Als Alternative ein 30 Euro billiger Mikrotik Router löst alles was du vorhast im Handumdrehen inklusive VLANs. Das ist budgettechnsich ja nun nicht die Welt:
Mikrotik RB750 - Quick Review
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...

Der TP-Link Modemrouter kann auch keine tagged. Ich habe zwar die Option, 802.1Q zu aktivieren aber auf der WAN/ppoe Schnittstelle und kann dort auch nur 1 VLAN angeben.

Dann ist diese HW vollkommen ungeeignet für das was du vorhast !!
802.1q auf dem WAN Port wird nur im VDSL Umfeld benötigt. Siehe HIER. Das hat aber rein gar nichts mit dem zu tun was du vorhast.
Du benötigst einen Router der VLAN Support im lokalen LAN bietet wie es in diesem Tutorial, speziell im "Praxisbeispiel" genau beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Theroetisch kannst du das auch direkt mit dem SBS lösen. Siehe hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Geht auch aber letztlich besser ist aber immer ein externen Router um den Server nicht weiter zu belasten.

ich bekomme dann eine interne IP, aber Internet geht nicht.

Klar... Weil der Router nicht routet oder eben nicht mit VLANs umgehen kann !

er erkennt automatisch den SBS als DNS Server aber es gibt keine IP.

Das ist klar wenn du vergessen hast im DNS Setup des SBS eine Weiterleitung auf die Router IP einzurichten. Der Router arbeutet immer als DNS Proxy ins Internet. Fehlt eine Weiterleitung des internen DNS Servers kann der nur interne Hostnamen auflösen scheitert aber logischerweise mit der DNS Auflösung öffentlicher Hostnamen wenn die Weiterleitung fehlt oder fehlerhaft ist.

Ist das wirklich ein reines Modem oder ist das ein Router ?? Technisch und vom Verständniss ist das ein himmelweiter
Unterschied !
Das solltest du zum weiteren Troubleshooting hier wasserdicht klären !

Es ist ein Modem mit integrierten Router und WLAN. Genau genommen der TD-W8970B.

Das könnte sein. Ich habe auf dem WAN Port die Möglichkeit, Fullcone-NAT zu aktivieren aber das ist bestimmt wieder was anderes.
Ansonsten habe ich keine Möglichkeit gefunden.

Wenn ja hast du nur die Option eine andere alternative Firmware wie OpenWRT oder DD-WRT zu flashen die diese Beschränkung der
Original Firmware überwindet. Oder eben eine alternative Router HW !
Das obige Tutorial: Routing von 2 und mehr IP Netzen mit Windows, Linux und Router beschreibt
diese NAT Problematik ausführlichst !

Das Tutorial les ich mir gleich durch.
Ich glaube für den Router gibt es noch keine offizielle alternative Firmware.
Also muss ich anderer Router her. Benötige ich nur einen anderen Router? Also ständen dann der TP-Link (oder die Fritzbox) da, um den Internetzugang bereit zu stellen und direkt danach noch mal ein Router?
Wenn ja kann man das ändern und das alles mit einem Gerät machen?
Welche HW empfehlt ihr zum testen?

Als Alternative ein 30 Euro billiger Mikrotik Router löst alles was du vorhast im Handumdrehen inklusive VLANs. Das ist
budgettechnsich ja nun nicht die Welt:
Mikrotik RB750 - Quick Review
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...

Danke für die Empfehlung. Würde ich kaufen.
Heißt also ich nehme die Fritzbox oder den TP-Link Router mit Modem und hänge direkt dahinter den RB750 und gehe dann von da weiter zum Switch?

Dann ist diese HW vollkommen ungeeignet für das was du vorhast !!

Dann geb ich den Zurück, ist ja nur ausgeliehen

Du benötigst einen Router der VLAN Support im lokalen LAN bietet wie es in diesem Tutorial, speziell im
"Praxisbeispiel" genau beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Also dann den RB750 z.B.?

Theroetisch kannst du das auch direkt mit dem SBS lösen. Siehe hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Geht auch aber letztlich besser ist aber immer ein externen Router um den Server nicht weiter zu belasten.

Auch interessant. Schau ich mir mal an. D.h. dann könnte ich mir den externen Router sparen und könnte mein vorhaben mit der Fritzbox bzw. dem TPLINK Router mit modem machen?

Das ist klar wenn du vergessen hast im DNS Setup des SBS eine Weiterleitung auf die Router IP einzurichten. Der Router arbeutet
immer als DNS Proxy ins Internet. Fehlt eine Weiterleitung des internen DNS Servers kann der nur interne Hostnamen auflösen
scheitert aber logischerweise mit der DNS Auflösung öffentlicher Hostnamen wenn die Weiterleitung fehlt oder fehlerhaft
ist.

Das habe ich aber nicht vergessen, ist seit der SBS Installation gemacht. Also im DNS eine Weiterleitung zur Router IP, das ist korrekt gesetzt. Das einzige was nicht ist. Ich habe die Router IP nicht im DNS registriert mit Hostname. Also den kann er nicht auflösen, das macht aber ja nichts.

Alles in allem ist es dann sicherlich so (wenn ich es richtig vertansten habe) dass ich z.B. die Fritte nutzen kann nur für Internet zum bereitstellen. Das andere macht dann der RB750 Router. Aber die Möglichkeit mit dem SBS schaue ich mir auch noch mal an, da habe ich am Ende ja weniger Kabelgewirr, wenn ich mir einen Router Zwischenwirten spare.

Es ist ein Modem mit integrierten Router und WLAN. Genau genommen der TD-W8970B.

Also netwzwerktechnisch gesehen "ein Router" !

die Möglichkeit, Fullcone-NAT zu aktivieren aber das ist bestimmt wieder was anderes.

Ja völlig was anderes ! Du musst NAT GANZ abschalten können bzw. können müssen um dein Vorhaben umzusetzen !

Ich glaube für den Router gibt es noch keine offizielle alternative Firmware.

Das kannst du z.B. in der OpenWRT und DD-WRT datenbank ganz schnell überprüfen:
http://www.dd-wrt.com/site/support/router-database

Heißt also ich nehme die Fritzbox oder den TP-Link Router mit Modem und hänge direkt dahinter den RB750 und gehe dann von da weiter zum Switch?

Genau das heisst es !

Also dann den RB750 z.B.?

Ja, liest bitte das VLAN Tutorial dort kannst du es schwarz auf weiß nachlesen !

D.h. dann könnte ich mir den externen Router sparen und könnte mein vorhaben mit der Fritzbox bzw. dem TPLINK Router mit modem machen?

Ja, das kann man so machen.
Beachte aber das gerouteter Traffic deinen Server beeinflussen kann in der Performance. Bei weing Traffic sicher kein Thema bei mehr eher kontraproduktiv. Es gilt der goldene Netzwerker Grundsatz: "Server sollen serven und Router routen".
Bei Kleinstinstallationen und Netzen kann man dann weiniger streng sein

Ich habe die Router IP nicht im DNS registriert mit Hostname. Also den kann er nicht auflösen, das macht aber ja nichts.

OK, wenns der DNS nicht ist dann kann es nur das Routing sein was das verhindert. Ist auch klar wenn die NAT Firewall bei deinem testrouter aktiv ist und nicht abschlatbar ist.

die Fritte nutzen kann nur für Internet zum bereitstellen. Das andere macht dann der RB750 Router.

Jau...genau so ist es !

da habe ich am Ende ja weniger Kabelgewirr, wenn ich mir einen Router Zwischenwirten spare.

Na ja...bleib mal auf dem Teppich. Bei deinem Popelnetz sind das max. 3 zusätzliche Strippen !
Aber klar...kann man sparen mit der Server Lösung wenns passt.

ich freu mich schon auf die Folgefragen wenn er den Mikrotik hat @aqui :-P

Ja völlig was anderes ! Du musst NAT GANZ abschalten können bzw. können müssen um dein Vorhaben umzusetzen

Ja OK und genau das geh mit den TPLink nicht.

Das kannst du z.B. in der OpenWRT und DD-WRT datenbank ganz schnell überprüfen:
http://www.dd-wrt.com/site/support/router-database

Jap wird von beiden nicht unterstützt.

Ja, das kann man so machen.
Beachte aber das gerouteter Traffic deinen Server beeinflussen kann in der Performance. Bei weing Traffic sicher kein Thema bei
mehr eher kontraproduktiv. Es gilt der goldene Netzwerker Grundsatz: "Server sollen serven und Router routen".
Bei Kleinstinstallationen und Netzen kann man dann weiniger streng sein

Naja also ich weiß, dass unsere Netzwerklast eher wenig ist. Auch dann später in der Firma. Max 8 Leute
Aber übers Netzwerk wird auch von 3 IP Kameras aufgezeichnet, falls das auch mit dazugerechnet werden soll. Also wohl lieber ein Router.

OK, wenns der DNS nicht ist dann kann es nur das Routing sein was das verhindert. Ist auch klar wenn die NAT Firewall bei deinem
testrouter aktiv ist und nicht abschlatbar ist.

OK verstanden.

Na ja...bleib mal auf dem Teppich. Bei deinem Popelnetz sind das max. 3 zusätzliche Strippen !
Aber klar...kann man sparen mit der Server Lösung wenns passt.

Ja du hast recht

Auf die paar Kabel kommt es nicht drauf an.

Jetzt hat mich jodel32 aber schon wieder etwas zurückhaltender gemacht. Ist der Mikrotip wirklich so kompliziert? Im Prinzip ist es doch ein ganz normaler Router, der eine IP bekommt und wo ich dann über 1 Port die tagged Line zum Switch setze.

Vielleicht noch eine andere Alternative. Ich bekomme morgen noch einen TP-Link TL-WR841ND (für was anderes bestellt).
Dort kann ich (falls die Version passt) DD-WRT drauf flashen. Dann dürfte es auch damit gehen oder?
Aber ein RB750 ist sicherlich besser als der TP-Link oder?

PS.: Das mit den 2 DHCP Server im Netzwerk sieht mir kompliziert aus.

Ist der Mikrotip wirklich so kompliziert?

Für einen Netzwerkneuling macht man das mit dem nicht mal so eben. Das Gerät erfordert sehr gute Netzwerkkenntnisse Routing- und Firewall Erfahrung. So einfach wie mit einer Fritte oder den Chinaböllern ist das definitiv nicht. Aber probier dich doch einfach mal aus, gibt ja auf der Mikrotikseite das RouterOS zum ausprobieren. http://demo.mt.lv/ (User:demo , kein Passwort)

Im Prinzip ist es doch ein ganz normaler Router, der eine IP bekommt und wo ich dann über 1 Port die tagged Line zum Switch setze.

Ein Router mit 1000x mehr Features als deine TP-Link und Co Gurken

. Und hier musst du alles manuell machen, da nimmt dir eben kein Klicki-Bunti-GUI die komplette Arbeit ab !
Aber dafür lernst du mit dem Gerät sehr viel von Netzwerken, auch wenn die Lernkurve hier sehr sehr steil ist. Also nicht verzweifeln ...

Viel Erfolg !
Gruß jodel32

Hi,

und was wird aus diesen Thread wenn er sein SBS durch seine VLAN versuche dort erst zerschossen hat....

Ab SBS 2008 wird nur noch eine (1) netzwerkkarte unterstützt. Alle Assistenten können nur noch mit einer NIC umgehen, alles andere artet in Fehler aus. Prinzipiell kann ein SBS ab 2008 schon noch mehr als eine NIC, dazu ist aber reine Handarbeit erforderlich und die Assistenten dürfen nie wieder genutzt werden. Dazu ist aber sehr umfangreiches Wissen von Server, IIS, DHCP, DNS, SharePoint, SQL, Exchange usw. nötig. Einen SBS komplette per Hand einzustellen ist eine Mammutaufgabe und nicht Trivial. Nur der SBS 2003 wurde für mehr als eine NIC Konzipiert und seine Assistenten auch dafür ausgelegt ...

Ich finde die Idee mit einen laufenden Server eben das VLAN abzufackeln auch nicht verkehrt, nur mit einen SBS macht man das nicht, außer es ist eine Labor Umgebung....

Ein SBS beinhaltet auch immer ein Server OS - Ein Server OS ist aber kein SBS

Gruß,
Peter

Für einen Netzwerkneuling macht man das mit dem nicht mal so eben. Das Gerät erfordert sehr gute Netzwerkkenntnisse
Routing- und Firewall Erfahrung. So einfach wie mit einer Fritte oder den Chinaböllern ist das definitiv nicht. Aber probier
dich doch einfach mal aus, gibt ja auf der Mikrotikseite das RouterOS zum ausprobieren. http://demo.mt.lv/ (User:demo , kein
Passwort)

Oh ja sieht wirklich kompliziert aus, aber dafür gibt es doch bestimmt irgendwo Anleitungen oder (außer das VLAN Tutorial)? Ich brauche ja vielleicht nur 5% der Funktionen.
Also im Prinzip will ich ja nur 2 VLANS erzeugen, mehr soll der Router ja gar nicht machen. Kann ich da einfach das VLAN Tutorial nehmen oder benötigt der Router dann noch viel mehr Informationen, die man eingeben muss, damit es erstmal so läuft wie ich möchte. Das andere kann ich mir ja dann Schritt für Schritt aneignen.
Würde die 100Mbit Variante reichen oder lieber die 1000Mbit nehmen?
Oder ist es dann doch einfacher, auf den TPLink Router (reiner WLAN Router) DD-WRT zu flashen?
Oder sollte ich wirklich mal unsere IT Firma fragen und mir ein Angebot machen lassen bezüglich einen Router um mein Vorhaben umzusetzen?

Ich finde die Idee mit einen laufenden Server eben das VLAN abzufackeln auch nicht verkehrt, nur mit einen SBS macht man das
nicht, außer es ist eine Labor Umgebung....

Danke, ja ich werde das über einen Router regeln.

Ich möchte euch einen kurze Zwischenstand geben.

Ich habe eine Möglichkeit gefunden, auf einen Tp-Link TL-WR941ND DD-WRT drauf zu flashen.

Jetzt kann ich damit rumspielen

Damit sollte der Router tagged VLAN können, ich kann NAT deaktivieren und (wenn ich richtig geschaut habe) kann ich sogar multi-SSID aktivieren und ihn gleich als einen AP mit nutzen.

Liege ich richtig in der Annahme, dass ich vom Router zum Modem (Fritzbox) dann den WAN Port nutze und zum Seitch hin einen LAN Port?

Hallo,

Zitat von @113726:
dann den WAN Port nutze

Wenn dies ein Ethernet Port ist, ja, sonst nein.

Gruß,
Peter

Hallo Peter,

Wenn dies ein Ethernet Port ist, ja, sonst nein.

Das sehe ich wo? Er hat die gleiche Größe

Noch paar kleine Fragen:
- Die WAN Schnittstelle stelle ich dann auf automatisch DHCP, richtig?
- Betriebsmodus Gateway oder Router?
- ich habe die Option VLAN nicht, wie es überall geschrieben wird. Anscheinend muss ich das irgendwie anders einstellen, aber der Tab Vlan ist nicht vorhanden bei mir

Hallo,

Zitat von @113726:
Das sehe ich wo? Er hat die gleiche Größe

Na, die Größe sagt nichts über deren Funktion aus

Der Hersteller oder seine veröffentlichten Technischen Daten oder seine Handbücher sagen es dir.... Was machst du bloß wenn du mal ein Problem hast wenn es an begriffen wie Ethernet oder (a/v)DSL schon happert? Dein Hersteller sagt du hast

Schnittstelle
4 10/100Mbps-LAN-Ports
10/100Mbps-WAN-Port

für dich nachgelesen auf dieser Seite

- Die WAN Schnittstelle stelle ich dann auf automatisch DHCP, richtig?

Was du möchtest und je nachdem wie du dort Konfigurierst

- Betriebsmodus Gateway oder Router?

Auch das hängt davon ab wie du dort Konfigurierst und du deine Frittenschmiede noch verwendest, sofern du die noch verwendest....

- ich habe die Option VLAN nicht,

Wo? Setze nicht voraus das hier ein jeder deine Hardware, deren Firmwares und Versionen und die so zusammen gepappt hat wie es bei dir vor Ort ist. Hier können wir jetzt nur Vermuten das du von deiner uns unbekannten DD-WRT Version xx redest.

der Tab Vlan ist nicht vorhanden bei mir

So langsam sollte dir klar sein das ein Forum keine Grundlagenschulung machen kann ... Und wenn du dir Zutraust dies alles selbst zu machen, dann wirst du halt selbst Lernen müssen. Dein Internet hat alle Grundlagen welche du brauchst, nur Lernen musst du selbst, es nützt dir nichts wenn wir dir alles Bit für Bit vorkauen.

Gruß,
Peter

Zitat von @113726:
Noch paar kleine Fragen:
- Die WAN Schnittstelle stelle ich dann auf automatisch DHCP, richtig?
- Betriebsmodus Gateway oder Router?
- ich habe die Option VLAN nicht, wie es überall geschrieben wird. Anscheinend muss ich das irgendwie anders einstellen, aber
der Tab Vlan ist nicht vorhanden bei mir

http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

Auch das hängt davon ab wie du dort Konfigurierst und du deine Frittenschmiede noch verwendest, sofern du die noch
verwendest....

Die Fritte muss ich ja weiter verwenden, irgendwo brauche ich ja ein Modem. Also ja, die Fritte.

- ich habe die Option VLAN nicht,

Wo? Setze nicht voraus das hier ein jeder deine Hardware, deren Firmwares und Versionen und die so zusammen gepappt hat wie es bei
dir vor Ort ist. Hier können wir jetzt nur Vermuten das du von deiner uns unbekannten DD-WRT Version xx redest.

Ich habe die aktuellste v24-sp2 Build 25697.

So langsam sollte dir klar sein das ein Forum keine Grundlagenschulung machen kann ... Und wenn du dir Zutraust dies alles selbst
zu machen, dann wirst du halt selbst Lernen müssen. Dein Internet hat alle Grundlagen welche du brauchst, nur Lernen musst du
selbst, es nützt dir nichts wenn wir dir alles Bit für Bit vorkauen.

Ich meine diesen Tab oben:
Ergo kann ich kein VLAN machen mit den Router aber das sollte ja laut Informationen von euch und vom Internet her gehen.

Hallo,

Zitat von @113726:
Ich meine diesen Tab oben:

Ist das Bild von deiner Maschine? Firmware wurde ohne Fehler korrekt aufgespielt? alle nötige Module vorhanden?

Ergo kann ich kein VLAN machen mit den Router aber das sollte ja laut Informationen von euch und vom Internet her gehen.

Dein WR941ND ist welcher?

Gruß,
Peter

Nein das Bild ist nicht von meiner Maschine sondern aus dem VLAn Tutorial, was schon verlinkt wurde hier im Forum.

Es ist der v5.x new. Also ich kann keine von den Versionen dort nehmen aus deinem Bild.
Ich sollte mit der Firmware des 841ND flashen, das hat auch der Admin im Forum dort geschrieben.
Solange keine "ofizielle" für 5.x new draußen ist soll die vom 840ND genutzt werden.

VLAN-Support hängt auch vom Chipsatz ab, kann also gut sein das unter DD-WRT deine Kiste kein VLAN supported. Btw. ist OpenWRT sowieso die bessere Wahl ...
http://wiki.openwrt.org/toh/tp-link/tl-wr941nd

VLAN-Support hängt auch vom Chipsatz ab, kann also gut sein das unter DD-WRT deine Kiste kein VLAN supported. Btw. ist
OpenWRT sowieso die bessere Wahl ...
http://wiki.openwrt.org/toh/tp-link/tl-wr941nd

Danke, dann kann ich ja das noch mal testen, wird nur schwer jetzt wieder von DD-WRT auf OpenWRT zu flashen.

Zitat von @113726:

VLAN-Support hängt auch vom Chipsatz ab, kann also gut sein das unter DD-WRT deine Kiste kein VLAN supported. Btw. ist
OpenWRT sowieso die bessere Wahl ...
http://wiki.openwrt.org/toh/tp-link/tl-wr941nd

Danke, dann kann ich ja das noch mal testen, wird nur schwer jetzt wieder von DD-WRT auf OpenWRT zu flashen.

Erst zurück zur Original-Firmware von TP-Link , dann erst zu OpenWRT !

Aber OpenWRT ist ja auch schwerer in der Handhabung, für mich also eher wieder kontraproduktiv.

Wie bekomme ich das mit dem Chipsatz raus, ob VLAn geht oder nicht?
Ich habe eine VLAN-TAGGING Option unter Setup>Networking

Zitat von @113726:

Aber OpenWRT ist ja auch schwerer in der Handhabung, für mich also eher wieder kontraproduktiv.

Sorry aber wenn man mit VLANs hantiert ... Sind wir wieder beim Thema Grundlagen .... das nimmt hier eh kein Ende mehr, i'm out

Viel Erfolg

Hallo,

Zitat von @113726:
das hat auch der Admin im Forum

Wenn du schon dort mit den Admin Kontakt hast und er dir gesagt hat eine andere FW zu nehmen, kann er dir vielleicht sagen warum bei dir dann einige Punkte nicht da sind oder existieren. meinst du nicht das dort dir besser geholfen werden kann? Hier wird sich keiner deine Hardware besorgen um dein Hexentreiben nachzuvollziehen.

Solange keine "ofizielle" für 5.x new draußen ist soll die vom 840ND genutzt werden.

Können wir hier nicht wissen.

Gruß,
Peter

Guten Morgen,

könnte ihr mir vielleicht noch mal kurz helfen

Ich habe jetzt viel herumprobiert, jedes Tutorial das ihr vorgeschlagen habt durchgelesen. Aber ich bekomme es immer noch nicht hin

Gestern habe ich auch OpenWRT versucht, was etwas stabiler läuft, aber ich bin wieder zurück zu DD-WRT.

Ich möchte ja meine Fritzbox als Modem behalten.
Mein TP-Link Router läuft mit DD-WRT.
Ich berninde also die Fritte per LAN zum Router und geh in den WAN Port des Routers.
Vom Router aus gehe ich von einem LAN PORT zum Switch.

An der Verkabelung dürfte ja alles soweit passen (habe auch statt WAN den LAN Port probiert).
Jetzt bekomme ich aber selbst in der Standardinstallation von DD.WRT kein Internet, also der Server z.B. kommt nicht ins Internet. Und da habe ich noch nichts verändert.
Wenn es daran schon scheitert, möchte ich gar nicht mit AP etc herum experimentieren.
Mein Ziel ist es erst mal, dass ich mittels WLAN an dem Router ins Internet gehen kann mit 2 verschiedenen SSIDs und IP Adressbereichen.
Die 2 Bereiche hat er auch schon korekt vergeben.
Aber eben Internet funktionierte noch nicht.

Ich habe testweiße mal unter DD-WRT statt Gatewy Router eingestellt, was aber auch nichts brachte.
Das einzige was ich gemacht habe, ist die Router IP umzuändern und das Gateway (die IP der Fritte) einzutragen.

Was habe ich später im Detail bei DD-WRRT versucht:
Nicht viel, ich habe nur ein neues virtuelles Interface ath0.1 angelegt, das unbridge gemacht und einen eigenen Ip Bereich vergeben.
Und dann unter Multiple DHCP Server das neue virtuelle Interface gewählt und nich einen DHCP Bereich vergeben.
Die IP Adressvergabe funktioniert, aber eben kein Internet (logisch wenn nicht mal der Server internet hat).

Wäre über jede Hilfe dankbar.

Gruß
Manuel

Wollt ihr noch einen kleinen Zwischenbericht hören?

Ich habe wieder OpenWRT auf dem TP-Link und habe mich etwas mit den Terminal beschäftigt statt mit der Weboberfläche.
Und so langsam habe ich den dreh raus und habe denke ich, jetzt den Router richtig eingestellt.
ICh muss nun nur noch die Ports den entsprechenden VLANs zuordnen und in der Fritte die statische Route für die beiden Netzbereiche hinterlegen.

Das teste ich aber alles heute Nachmittag daheim.

Wollt ihr noch einen kleinen Zwischenbericht hören?

Das ist ja der tiefere Sinn eines Forums, also immer her mit dem Feedback. Soll ja auch anderen helfen !

Das teste ich aber alles heute Nachmittag daheim.

Hört sich gut an.... Dann harren wir mal auf mehr positive Meldungen ?!

Zitat von @aqui:

> Wollt ihr noch einen kleinen Zwischenbericht hören?
Das ist ja der tiefere Sinn eines Forums, also immer her mit dem Feedback. Soll ja auch anderen helfen !
> Das teste ich aber alles heute Nachmittag daheim.
Hört sich gut an.... Dann harren wir mal auf mehr positive Meldungen ?!

Oder überhaupt auf feedback, damit wir auch was lernen.

lks

Also ich kann euch soweit sagen, dass ich das ganze daheim erfolgreich getestet habe.

D.h. fritzbox macht das Internet, danach kommt der OpenWRT Router und an dem ist ein PC per LAN angeschlossen.

Also erst mal ohne Switch etc.

Ich konnte aber erfolgreich am OpenWRT Router 2 WLAN Interface machen und beide haben Internet bekommen, ebenso der angeschlossene PC.

Heute früh dann wollte ich es dann in der Firma testen und ich bin fast verzweifelt.
Genau gleich angesteckt etc... diesmal natürlich mit Switch. Alles erst mal auf untagged gelassen, sogar mal testweiße VLAN komplett deaktiviert. Aber unser Server bekommt einfach kein Internet.

Der SBS findet auch keinen Router.
Ich habe es heute dann aufgegeben, weil ich nicht wusste, was ich noch umstellen sollte.
Habe heute mal unsere IT Firma angefragt, die haben aber auch bisher ganz selten etwas mit VLANs gemacht.

Wäre schon gut, wenn ich das Problem selbst noch lösen könnte, aber mir fehlt gerade der Lösungsansatz.

Habe den OpenWRT Router auch zurücksetzt und wirklich mit den Grundeinstellungen bekommen (wo es bei mir daheim sofort ging) und auch da bekomm ich in der Firma kein Internet.

Der SBS findet auch keinen Router.

Wie immer ein Windows Problem....

Habe heute mal unsere IT Firma angefragt, die haben aber auch bisher ganz selten etwas mit VLANs gemacht.

Uuuhhhuhu.... da solltest du aber besser mal nachdenken ob du da noch richtig aufgehoben wird.
Das ist billiges Commodity Wissen und lernt heute jeder Azubi im ersten Lehrjahr und jeder PC Shop um die Ecke kennt das. Spricht nicht wirklich für den Laden.
VLANs sind auch in kleinen Firmennetzen heute simpler Standard. In Zeiten von VoIP muss eine Firma allein schon aus rechtlichen Gründen zwingend diesen Traffic trennen.
Hoffentlich meinten die das nicht im Ernst...?!

Wäre schon gut, wenn ich das Problem selbst noch lösen könnte, aber mir fehlt gerade der Lösungsansatz.

Aber du hast es doch schon gelöst !! Wenn es bei dir klappt klappts auch in der Firma. Es gibt kein gutes und kein böses Ethernet oder ein rotes und ein blaues !

(wo es bei mir daheim sofort ging) und auch da bekomm ich in der Firma kein Internet.

Wenn da nicht irgendwo noch ne Firewall dazwischen ist kann das ja nicht sein !!
Gehe mal strategisch vor...

kannst du vom OpenWRT das Internet (z.B. 8.8.8.8) pingen ?
Wen ja weiter nach unten arbeiten mit dem Ping oder im gerouteten Umfeld immer Traceroute um die Routing Hops zu sehen !!
Wenn nein, kannst du den Internet Router pingen ?
Sind die statischen Routen der Subnetze auf dem Internet Router konfiguriert wie hier beschrieben

usw. usw. ??
Man kann dort doch Schritt für Schritt mit dem Troubleshooting vorgehen um das zu lösen ?!

Aber du hast es doch schon gelöst !! Wenn es bei dir klappt klappts auch in der Firma. Es gibt kein gutes und kein böses
Ethernet oder ein rotes und ein blaues !

Ja aber daheim hatte ich keinen Switch. Es kann ja sein, dass der Server da intern noch irgendwas regeln etc. und es deshalb nicht geht.

Wenn da nicht irgendwo noch ne Firewall dazwischen ist kann das ja nicht sein !!

Daheim hatte ich: Fritte->OpenWRT->PC
In der Firma: Fritte->OpenWRT->Switch->Server

Gehe mal strategisch vor...

kannst du vom OpenWRT das Internet (z.B. 8.8.8.8) pingen ?

Ich habe heute früh direkt auf dem Server das pingen probiert.
Den OpenWRT Router konnte ich pingen. Die Fritte vom Server aus aber nicht, deshalb ging auch kein Internet.
Dann kann es aber doch nicht am Switch liegen, da bin ich ja schon vorbei.
Auf dem OpenWRT Router ist aber die Firewall richtig eingestellt mMn.

* Wenn nein, kannst du den Internet Router pingen ?

Nein kann ich nicht.

* Sind die statischen Routen der Subnetze auf dem Internet Router konfiguriert wie
hier beschrieben

Die statischen Routen in der Fritte sind gesetzt. Aber ich habe nur für das Netz gesetzt, was die Fritte nicht kennt. Das interne Netz kennt die Fritte ja und das habe ich nicht gesetzt.

Es kann ja sein, dass der Server da intern noch irgendwas regeln etc. und es deshalb nicht geht.

Nein eigentlich nicht, denn er Server ist aus Sicht des Switches ja nur ein dummes Endgerät an einem untagged Port wie jeder einfache PC aus.
Es sei denn ihr habt am Server eine aufwendige VLAN Konfiguration wie es hier beschrieben ist gemacht.
Nach deiner Beschreibung zur IT Firma oben ist davon aber wohl eher mal nicht auszugehen ?!

Interessant ist dann schon eher der Switch selber ob der einen VLAN Konfig drauf hat. Aber das hast du ja wohl hoffentlich vorher geklärt ??

In der Firma: Fritte->OpenWRT->Switch->Server

Ist ja dasgleiche wie daheim wenn der Switch ein dummer, einfacher L2 Switch ohne VLANs ist.
Nicht aber wenn er ein VLAN und/oder L3 Switch ist !

Den OpenWRT Router konnte ich pingen. Die Fritte vom Server aus aber nicht, deshalb ging auch kein Internet.

Klar... Wie immer fehlte dann wohl mal wieder die statische Route auf der Fritte wie es hier beschrieben ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
(Server ist ja hier quasi der OpenWRT Router !)
Das du eine Default Route auf den Open WRT auf die IP der Fritte eingerichtet hast ist ja wohl hoffentlich klar.
Sicher ist aber das du eins von den obigen beiden ganz sicher vergessen hast !! Ein Traceroute hätte dir das gezeigt !

Dann kann es aber doch nicht am Switch liegen, da bin ich ja schon vorbei.

Richtig !

Auf dem OpenWRT Router ist aber die Firewall richtig eingestellt

Die solltest du IMMER erstmal ausgeschlatet lassen bevor nicht dein Routing sauber rennt.
Ein Firewall Funktion schafft dir erheblich mehr Fehlerquellen ! Also aus damit ertsmal um die reine Netzwerk Funktion zu testen und sicherzustellen. Security kommt später, denn so kannst du Routing oder Forwarding Probleme ja sicher ausschliessen weil du weist das das ja sauber klappt...logisch !

Aber ich habe nur für das Netz gesetzt, was die Fritte nicht kennt

Richtig. Das sollte dann tunlichst das ein was hinter dem OpenWRT liegt und wo der Server drin ist !!

Es sei denn ihr habt am Server eine aufwendige VLAN Konfiguration wie es hier beschrieben ist gemacht.
Nach deiner Beschreibung zur IT Firma oben ist davon aber wohl eher mal nicht auszugehen ?!

Nein hat er nicht, habe ihn selbst aufgesetzt.

Interessant ist dann schon eher der Switch selber ob der einen VLAN Konfig drauf hat. Aber das hast du ja wohl hoffentlich vorher
geklärt ??

Der Switch hat ein vordefinierte default VLAN d.h. alle Ports untagged. Also VLAN 1.
Sollte man das überhaupt dann gleich für das Netzinterne verwenden oder ist es angebracht, 2 separate VLANs aufzubauen also z.B. 10 und 20?

In der Firma: Fritte->OpenWRT->Switch->Server

Ist ja dasgleiche wie daheim wenn der Switch ein dummer, einfacher L2 Switch ohne VLANs ist.
Nicht aber wenn er ein VLAN und/oder L3 Switch ist !

Es ist ein Netgear GS724T. Er kann mit VLAN umgehen und ich kann die Ports dementsprechend T oder U kennzeichnen. Ich glaube nicht, dass es L3 ist aber vielleicht könnt ihr mir das sagen? Kann man das herauslesen irgendwo?
(Edit: Habe gelesen, dass es ein l2 ist)

Den OpenWRT Router konnte ich pingen. Die Fritte vom Server aus aber nicht, deshalb ging auch kein Internet.

Also meine IP Bereiche sind 192.168.2.0 und 192.168.3.0.
Die einzige Route, die ich angelegt habe ist in der Fritzbox für den IP Bereich 192.168.3.0, weil das 2.0 das interne Netz ist und das kennt doch die Fritzbox.
Welche Route muss ich da noch anlegen?
Und die Route lege ich doch immer so an, dass ich den IP Bereich eintrage also z.b. 192.168.3.0/24, die Subnetmask und das Standardgateway ist ja die Router IP (Fritte) richtig?

Dann kann es aber doch nicht am Switch liegen, da bin ich ja schon vorbei.

Richtig !

Auf dem OpenWRT Router ist aber die Firewall richtig eingestellt

Die solltest du IMMER erstmal ausgeschlatet lassen bevor nicht dein Routing sauber rennt.
Ein Firewall Funktion schafft dir erheblich mehr Fehlerquellen ! Also aus damit ertsmal um die reine Netzwerk Funktion zu testen
und sicherzustellen. Security kommt später, denn so kannst du Routing oder Forwarding Probleme ja sicher ausschliessen weil
du weist das das ja sauber klappt...logisch !

Also alles auf "Accept" stellen?
(Edit: Im Tutorial steht alles. Also setzte ich alles für den Anfang auf Accept, damit ist die Firewall aus)

Aber ich habe nur für das Netz gesetzt, was die Fritte nicht kennt

Richtig. Das sollte dann tunlichst das ein was hinter dem OpenWRT liegt und wo der Server drin ist !!

OK dann ist das wohl der Fehler.
Wie gesagt das interne Netz ist 192.168.2.0 und der Server liegt in dem Bereich. Die statische Route habe ich aber für 3.0 gesetzt.
Aber ich verstehe das Prinzip nicht. Die statischen Routen sagen der Fritzbox doch nur, welchen IP Bereich sie zusätzlich abspeisen soll. Die Fritzbox ist auch im IP Bereich 2.0, also müsste sie doch den Server erkennen können oder?

Wo ich mir auch noch nicht sicher bin ist das WAN Port Protokoll.
Im Tutorial steht, man solle von PPPoE auf static umstellen. Das Internet stellt die Fritte ja parat. Wir haben eine feste IP von der Telekom. Was muss ich jetzt da einstellen?

Danke schon mal :D

Nur nochmal doof nachgefragt: WIE sieht das IP Adress Design aus ??

(Internet)====(Friite)-----192.168.2.0 /24-----(OpemWRT)-----192.168.3.0 /24----(PC)

Wenn die Fritte da dann z.B. die 192.168.2.1 hat und der Open WRT die 192.168.2.254 dann muss die Route in der FB lauten:
Zielnetz: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.2.254
Entsprechend zeigt auf dem OpenWRT Router nur eine Default Route auf die Fritte also 192.168.2.1 !
Das ist das ganze Routing !
Wenn der Server so oder so direkt im Frittennetz ist also 192.168.2.0 dann hat er ja niemals mehr was mit dem OpenWRT zu tun wenn er ns Internet geht, ist also in all das gar nicht involviert.

Thema Firewall und

Also alles auf "Accept" stellen?

Schalte sie besser ertsmal komplett aus zum Testen...besser ist das !

Ich habe jetzt auch keine Möglichkeit das die Schnelle gefunden die firewall auszuschalten. Aber das schau ich morgen noch mein Ruhe.

Es sieht folgendermaßen aus
Internet === Fritte 192.168.2.1 === Openwrt 192.168.2.2 === Switch 192.168.2.252 === Server 192.168.2.250

Der 3.0 Bereich soll dann für die wlan gastnutzer sein. Und der 2.0 Bereich natürlich für wlan intern

Das mit den Routen habe ich jetzt verstanden.
Da fehlt sicherlich beim Openwrt die default Route.

Nichtsdestotrotz ist der Server im Netzwerk der Fritte. und es ging nicht.

Zitat von @113726:

Es sieht folgendermaßen aus
Internet === Fritte 192.168.2.1 === Openwrt 192.168.2.2 === Switch 192.168.2.252 === Server 192.168.2.250

Wie ist das gemeint?

Hängen alle am selben switch oder ist das eine Kette?

Wenn zwischen Server und Fritzbox tatsächlich der WRT-Router hängt, mußt Du Deine Ip-Netze anpassen.

lks

Ja so dachte ich war die ausgangslage.
Also an der Fritte hängt der OpenWRT Router und an den Router hängt der Switch und an dem Switch hängt der Server. Eine Kette, ja.

Ich dachte so ist das zu lösen oder muss ich den OpenWRT Router einzeln an den Switch hängen?
Ich dachte eine Kette wäre richtig und dann eben vom Openwrt Router den WAN Port zur Fritte nutzen.

Ich habe es übrigens gerade noch mal probiert ohne erfolg. Der Server findet dei Openwrt Router aber keine Fritte.
Statische Routen habe ich in der Fritte angelegt (Netzwerk 192.168.2.0 und Gateway 192.168.2.2) und auch eine Route im OpenWRT Router (Interface WAN, Netzwerk 192.168.2.0 und Gateway 192.168.2.1)
Ich weiß nicht, ob die Routen so richtig sind.

Aber wenn du sagtst dass die Ip Netze nicht stimmen, haben wir ja schon den fehler gefunden.
Nur wie verkabel ich am besten alles?
Habe ich falsch verkabelt?
Soll ich den WRT Router direkt an den Switch hängen und nicht zwischen Switch und Fritte?

Oben habe ich mal eine Skizze gemacht für euch.

Die Zielstellung ist:
Ich möchte 2 getrennte Netzte mit den APs bewirken, die beide am Switch hängen.
Das Interne Netz ist die 192.168.2.0 und dann das zweite Gastnetz ist die 192.168.3.0.
Der Server und die Clients/NAS etc sollen alle im internen Netz bleiben, nur wirklich die WLAN Nutzer sollen über VLAn eine eigene IP bekommen.

Zitat von @113726:

Ja so dachte ich war die ausgangslage.
Also an der Fritte hängt der OpenWRT Router und an den Router hängt der Switch und an dem Switch hängt der Server.

wie genau hast Du denn den openWRT-Router konfiguriert? Wenn der drei "Beinchen" benutzt, muß der auch drei IP-Netze konfiguriert haben,

Wenn Du nur zwei Beinchen hast, müssen die etsprechenden Geräte aus dem 192.168.2.0/24-er-netz alle am selben switch hängen (ggf. kaskadiert mit anderem switch).

Also:

Welche Anschlüsse am OpenWRT-Router hast Du konfiguriert und welche Ports hängen wo dran.

Lösung auf die schnelle:

Du konfigurierst ein transfernetz zwschen fritte udn WRT-Router, das von Deinen anderen netzen disjunkt ist.

lks

wie genau hast Du denn den openWRT-Router konfiguriert? Wenn der drei "Beinchen" benutzt, muß der auch drei
IP-Netze konfiguriert haben,

Er hat keine 3 Beinchen.
2 IP Bereiche
192.168.2.0 (Intern)
192.168.3.0 (Gast)

Wenn Du nur zwei Beinchen hast, müssen die etsprechenden Geräte aus dem 192.168.2.0/24-er-netz alle am selben switch
hängen (ggf. kaskadiert mit anderem switch).

Der Switch und alle anderen Geräte sind im 192.168.2.0 Netz.
Selbst die AP sind in dem Netz, sollen aber über VLAN ein zweites Netz bereitstellen.

Welche Anschlüsse am OpenWRT-Router hast Du konfiguriert und welche Ports hängen wo dran.

Ich habe die Fritte mit dem OpenWRT verbunden. Die Fritte im LAN Anschluss, OpenWRT im WAN Anschluss.
Der WAN Anschluss bei OpenWRT ist auf DHCP gestellt.
Und dann hängt der OpenWRT Router per LAN am Switch.

Ich habe das Bild oben mal editiert...

Zitat von @113726:

> wie genau hast Du denn den openWRT-Router konfiguriert? Wenn der drei "Beinchen" benutzt, muß der auch drei
> IP-Netze konfiguriert haben,
Er hat keine 3 Beinchen.
2 IP Bereiche
192.168.2.0 (Intern)
192.168.3.0 (Gast)
> Wenn Du nur zwei Beinchen hast, müssen die etsprechenden Geräte aus dem 192.168.2.0/24-er-netz alle am selben
switch
> hängen (ggf. kaskadiert mit anderem switch).
Der Switch und alle anderen Geräte sind im 192.168.2.0 Netz.
Selbst die AP sind in dem Netz, sollen aber über VLAN ein zweites Netz bereitstellen.

> Welche Anschlüsse am OpenWRT-Router hast Du konfiguriert und welche Ports hängen wo dran.
Ich habe die Fritte mit dem OpenWRT verbunden. Die Fritte im LAN Anschluss, OpenWRT im WAN Anschluss.
Der WAN Anschluss bei OpenWRT ist auf DHCP gestellt.
Und dann hängt der OpenWRT Router per LAN am Switch.

Arbeitet Dein WRT als bridge? Ansonsten hast du das Problem, daß Du auf WAn udn auf LAN dasselbe Netz hast und damit gegen die Regel verstößt, daß IP-netze disjunkt sein müssen.

Entweder Du hängt die Fritte und den WRT an denselben switch oder Du konfigurierst die verbindung zwischen WRT und fritte auf ein andere netz.

lks

Ja die interne 2.0 Ip wäre dann auf beiden ports anzutreffen.

Was ist die saubere / Bessere Lösung?

Ich kann natürlich auch die Reihe auflösen und beide (Fritte & Openwrt) an den selben Switch hängen.
Wie bekommt das 3.0 Netz dann Internet? Über die statischen Routen?
D.h. ich brauche dann nur für den 3.0 Ip Bereich eine statische Route, der auf die Fritte verweist?

Ja die interne 2.0 Ip wäre dann auf beiden ports anzutreffen.

Aha...daher rührt vermutlich das kranke Verhalten !??
Das ist natürlich totaler Unsinn bei einem Router !! Ein Router ist ein Layer 3 Gerät !! Dort müssen die Interfaces immer in eigenen IP Netzen hängen. Was du da machst ist Bridging aber kein Routing !
Sorry aber vielleicht solltest du dir erstmal die einfachsten Grundlagen von IP Routing hier aneigenen bevor wir hier sinnvoll weitermachen.
Wenn es schon an solch einfachen Basics scheitert...kein Wunder das wir uns hier im Kreis drehen und einen Wolf suchen.

Was sollte der OpenWRT den in dem Design bewirken ?? Den kannst du ja dann auch durch einen dummen Switch ersetzen wenn er nur im selben IP Netz als Bridge verwendet wird.....vergiss das, das ist ja aus Routing Sicht totaler Unsinn !
Klar das das in die Hose gehen musste

Zitat von @113726:

Ja die interne 2.0 Ip wäre dann auf beiden ports anzutreffen.

Was ist die saubere / Bessere Lösung?

Ich kann natürlich auch die Reihe auflösen und beide (Fritte & Openwrt) an den selben Switch hängen.
Wie bekommt das 3.0 Netz dann Internet? Über die statischen Routen?
D.h. ich brauche dann nur für den 3.0 Ip Bereich eine statische Route, der auf die Fritte verweist?

Ich gehe mal davon aus, daß dein switch VLANS kann:

Die Fritte direkt an den swicth hängen.
Auf der Fritte ein eine statische Router zum Netz 192.168.3.0/24 via WRT eintragen.

Wenn Dein WRT-hardware VLANs kann:

Genau ein Beinchen an den switch und beide VLANs auf dieses Beinchen konfigurieren und routen lassen.

Wenn Deine WRT-hardware kein VLAN kann:

LAN und WAN des WRT-Routers an den switch hängen. und eine Port auf das eine netz und ein Port af das andere Netz konfigurieren. (Und natürlich dem switch sagen, welcher Port zu welchem VLAN gehört).

Du hast hier aber imemr noch den Fall, daß das gastnetz durch das Produktivnetz geroutet wird und somit theoretisch die Möglichkeit besteht, auf die produktivsysteme zuzugreifen.

Sinnvoller wäre es andersherum oder die Netze ganz zu trennen, d.h. die Frittte durch einen ordetlichen Router (z.B. eine Cisco der 880-er Reihe) zu ersetzen. Der kann dann per VLAn beide Netze getrennt halten. udn Du hast nicht das Risiko, daß die Pakete durch das jeweils andere Netz geroutet werden (außer natürlichm, du konfigurierst den VLAn-switch falsch).

lks

Edit: Ergänzungen

Ich gehe mal davon aus, daß dein switch VLANS kann:

Jap L2

Die Fritte direkt an den swicth hängen.
Auf der Fritte ein eine statische Router zum Netz 192.168.3.0/24 via WRT eintragen.

Wenn Dein WRT-hardware VLANs kann:

Genau ein Beinchen an den switch und beide VLANs auf dieses Beinchen konfigurieren und routen lassen.

Ich teste das sofort.

Was müsste da verändert werden, um das Produktivnetz über das Gastnetz zu routen?
Kann man es trotzdem so verwenden oder ist das dann genau so sicher wie der hauseigene Gastzugang in der Fritte?

Wie oben geschrieben bringt der Switch auch bereits ein dafault VLAn mit. VLAN 1 = alle Ports untagged.
Sollte man das direkt für das Produktiovnetz verwenden oder eine eigene VLAn anlegen?
Ich muss im Openwrt ja dann 2 VLAns anlegen oder reicht da eine für das Gastnetz zu ?

Zitat von @113726:

> Du hast hier aber imemr noch den Fall, daß das gastnetz durch das Produktivnetz geroutet wird und somit theoretisch
die
> Möglichkeit besteht, auf die produktivsysteme zuzugreifen.
>
> Sinnvoller wäre es andersherum.
Was müsste da verändert werden, um das Produktivnetz über das Gastnetz zu routen?

"Netze tauschen". Aber ich würde davon abraten.

Kann man es trotzdem so verwenden oder ist das dann genau so sicher wie der hauseigene Gastzugang in der Fritte?

Können kann man vieles. Aber ich würde es nicht tun.

Wie oben geschrieben bringt der Switch auch bereits ein dafault VLAn mit. VLAN 1 = alle Ports untagged.
Sollte man das direkt für das Produktiovnetz verwenden oder eine eigene VLAn anlegen?
Ich muss im Openwrt ja dann 2 VLAns anlegen oder reicht da eine für das Gastnetz zu ?

Mein Vorschlag wenn du wirklich nicht in neue Hardware investieren willst:

Stell die Fritte auf ein andere netz, z-B. 192.168.254.0/24 um.
Hänge den WRT-Router mit WAN an die Fritte.
Sag der fFritte wo sie die netze 192.168.2.0/24 und 192..168.3.0/24 findet (nämlich beim WRT-Rourter).
Häng den WRT-Router an den switch, falls VLAns auf dem WRT möglich sind, mit einem beinchen udn beiden netzen, ansonsten mit zwei beinchen und zwei Netzen.
verbiete die kommunikation auf dem WRT zwischen den netzen 192.168.2.0/24 und 192.168.3.0/24.

Aber wie ich schon sagte: Ein ordentlicher Cisco88X-DSL-Router statt Fritte und WRT erspart Dir viel Kopfzerbrechen.

lks

"Netze tauschen". Aber ich würde davon abraten.

OK da müsste ja alles umgestellt werden.

Können kann man vieles. Aber ich würde es nicht tun.

Naja wenn es genauso unsicher ist, wie das von der Fritte...
Wenn es aber schon bisschen sicherer ist würde es reichen.

Mein Vorschlag wenn du wirklich nicht in neue Hardware investieren willst:

Stell die Fritte auf ein andere netz, z-B. 192.168.254.0/24 um.

Ok das kann ich machen, kein Problem. Dann vergebe ich die 192.168.254.1.

* Hänge den WRT-Router mit WAN an die Fritte.

* Sag der fFritte wo sie die netze 192.168.2.0/24 und 192..168.3.0/24 findet (nämlich beim WRT-Rourter).

OK
Auf dem WRT-Router braucht es dann keine Routen, richtig?

* Häng den WRT-Router an den switch, falls VLAns auf dem WRT möglich sind, mit einem beinchen und beiden netzen,
ansonsten mit zwei beinchen und zwei Netzen.

Ok dann mit ein beinchen und tagged.

* verbiete die kommunikation auf dem WRT zwischen den netzen 192.168.2.0/24 und 192.168.3.0/24.

Wie mache ich das? (Über Firewall)?

Aber wie ich schon sagte: Ein ordentlicher Cisco88X-DSL-Router statt Fritte und WRT erspart Dir viel Kopfzerbrechen.

Ich weiß aber erst mal soll es das so tuen (später kann man imemr noch schauen) und ich lerne so mehr.

Die Frage bleibt aber immer noch, ob ich dann 2 seperate VLANS auf dem Switch anlege oder die VLAn 1 für das produktiovnetz nutze.
Dort sind standardmäßig aber alle Ports untagged.
Ich will ja dann auch per Server oder ClientPC auf die Weboberfläche des WRT zugreifen.

Zitat von @113726:

> * Sag der fFritte wo sie die netze 192.168.2.0/24 und 192..168.3.0/24 findet (nämlich beim WRT-Rourter).
OK
Auf dem WRT-Router braucht es dann keine Routen, richtig?

Nur daß die default Route zu der fritzbox geht.

> * Häng den WRT-Router an den switch, falls VLAns auf dem WRT möglich sind, mit einem beinchen und beiden netzen,
> ansonsten mit zwei beinchen und zwei Netzen.
Ok dann mit ein beinchen und tagged.

jepp.

> * verbiete die kommunikation auf dem WRT zwischen den netzen 192.168.2.0/24 und 192.168.3.0/24.
Wie mache ich das? (Über Firewall)?

In der WRT-Firewall. bevor Du die regeln aktivierst, solltest Du aber sicherstellen, daß das restliche Setup funktioniert.

> Aber wie ich schon sagte: Ein ordentlicher Cisco88X-DSL-Router statt Fritte und WRT erspart Dir viel Kopfzerbrechen.
Ich weiß aber erst mal soll es das so tuen (später kann man imemr noch schauen) und ich lerne so mehr.

Mit der Cisco lernst Du besser und schneller.

lks

PS: hast Du in der Fritte irgendwelche Weiterleitungen oder VPn-einstellungen? Diese müssen ggf angepaßt werden.

Nur daß die default Route zu der fritzbox geht.

In der Grundinstallation sind keine Routen sichtbar in der Weboberfläche.
Also muss ich eine neue anlegen?
Interface dann WAN richtig?
Host-Ip ist die des WRT (192.168.2.2) und Gateway ist die IP der Fritte?

> > * verbiete die kommunikation auf dem WRT zwischen den netzen 192.168.2.0/24 und 192.168.3.0/24.
> Wie mache ich das? (Über Firewall)?

In der WRT-Firewall. bevor Du die regeln aktivierst, solltest Du aber sicherstellen, daß das restliche Setup funktioniert.

Gut, dazu später die bleibt eh erst mal deaktiviert.

PS: hast Du in der Fritte irgendwelche Weiterleitungen oder VPn-einstellungen? Diese müssen ggf angepaßt werden.

Ich habe den VPN und HTTPS Port auf dem Server weitergeleitet.

Die Frage bleibt aber immer noch, ob ich dann 2 seperate VLANS auf dem Switch anlege oder die VLAN 1 (die am Switch schon default angelegt ist) für das produktivnetz nutze.
Dort sind standardmäßig aber alle Ports untagged, kann man aber ändern.
Ich will ja dann auch per Server oder ClientPC auf die Weboberfläche des WRT zugreifen. Nicht, dass ich mich da aussperre, wenn der WRT nur tagged Pakete annimmt.

//EDIT: Jetzt ergibt alles Sinn.
Daheim hatte ich alles auch in Reihe gehangen aber da hatte meine Fritzbox einen anderen IP Bereich, deshalb ging es da

Für den Server ist dann das Standardgateway die Fritte oder der WRT?

Und den WAN Port im WRT lasse ich dannj auf DHCP oder setze ich eine statische IP? Da die Fritte keinen DHCP aktiv hat, muss ich statisch nehmen richtig? Dann muss ich eine IP aus dem Frittenetzwerk nehmen?

So, ich habe in der Mittagspause d as ganze Szenario noch mal getesten, leider ohne erfolg.

Hiernoch mal alle einzelnen Schritte, die ich ausgeführt habe:
- Von der Fritte habe ich ein Kabel zum WAN Port des OpenWRT gezogen
- Vom der openWRT LAN Buchse habe ich ein Kabel zum Switch gezogen.

> Damit ist die verkablung mMn schon mal fertig und auch richtig.
- Die Fritte hat die IP 192.168.254.1 bekommen
- Der OpenWRT hat die IP 192.168.2.1 bekommen
- Ich habe bewusst jetzt erst mal auf das zweite Netzwerk (192.168.3.0) verzichtet. Bevor ich auf dem Router kein internet bekomme, macht das ganze keinen Sinn.
- Ich habe über SSH die komplette Firewall gestoppt und ausgeschaltet, zusätzlich im Webinterface alles auf accept gesteltl und überall (LAN/WAN) NAT deaktiviert.
- Die Fritte hat die 2 statischen Routen bekommen, also 192.168.2.0 auf Gateway 192.168.2.1 (OpenWRT)
- Im openWRT Webinterface habe ich eine statische Route angelegt. Da wusste ich nicht genau, was rein muss. Gateway ist ja dann die IP der Fritte Und Netzwerk das 192.168.254.0 oder das 192.168.2.0? Wenn letzteres, benötige ich ja auch wieder zwei, nämlich für die 3.0 mit.
- Die statische Route im OpenWRT, betrifft doch das WAN Interface richtig, denn das geht ja in Richtung Fritte. Oder doch das LAN Interface?

Ich hoffe ich habe nichts vergessen.

Ich konnte am Server wieder den OpenWRT Router anpingen, aber nicht die Fritte. Demzufolge kein internet.
Meiner Meinung nach habe ich aber alle Tipps von euch umgesetzt, woran könnte es hapern?
Wie erreiche ich überhaupt dann das Webinterface der Fritte? Ich habe ja keinen Rechner in dem IP-Bereich und das WLAN der Fritte ist auch aus.

Hallo,

Zitat von @113726:
So, ich habe in der Mittagspause d as ganze Szenario noch mal getesten, leider ohne erfolg.

Da du permanent immer noch fast alles durcheinander bringst und somit nicht mischbares vermischt. kann und werden deine versuche immer ins leere laufen.

- Von der Fritte habe ich ein Kabel zum WAN Port des OpenWRT gezogen

- Vom der openWRT LAN Buchse habe ich ein Kabel zum Switch gezogen.

OK.
Damit hasst du dich für eine Routerkaskade entschieden. Dein Exchange, VPN, RWW, OWA etc. sind von extern nun nicht mehr ansprechbar weil die Portweiterleitungen in der Fritte nicht mehr stimmen.

----> Damit ist die verkablung mMn schon mal fertig und auch richtig.

Die Verkabelung schon.

- Die Fritte hat die IP 192.168.254.1 bekommen

OK (und wir dürfen annehmen das du hier explicit nur von der LAN Seite redest)

- Der OpenWRT hat die IP 192.168.2.1 bekommen

Das ist aber nur 50% der Lösung . Hier fehl die angabe ob es die WAN oder LAN seite ist. Es ist ein Router, also müssen zwnagsweise mindestens 2 verschiede IPs existieren, und wenn die zum Routen genommen werden müssen es gar zwei getrennte Netze sein. Was also ist die andere IP?

- Ich habe bewusst jetzt erst mal auf das zweite Netzwerk (192.168.3.0) verzichtet

Nein, das wäre dein 3.tes Netz. Durch deine Routerkaskade hast du schon 2 Netze.

Bevor ich auf dem Router kein internet

Welcher Router - du hast 2?

- Ich habe über SSH die komplette Firewall gestoppt und ausgeschaltet, zusätzlich im Webinterface alles auf accept gesteltl und überall (LAN/WAN) NAT deaktiviert.

Bridge?!?

- Die Fritte hat die 2 statischen Routen bekommen, also 192.168.2.0 auf Gateway 192.168.2.1 (OpenWRT)

Und wie bitte, deiner Meinung nach, soll deine Fritte das Gateway 192.168.2.1 erreichen? Deine Frittennetz ist doch das 192.168.254.0/24!

- Im openWRT Webinterface habe ich eine statische Route angelegt. Da wusste ich nicht genau, was rein muss. Gateway ist ja dann die IP der Fritte Und Netzwerk das 192.168.254.0 oder das 192.168.2.0? Wenn letzteres, benötige ich ja auch wieder zwei, nämlich für die 3.0 mit.
- Die statische Route im OpenWRT, betrifft doch das WAN Interface richtig, denn das geht ja in Richtung Fritte. Oder doch das LAN Interface?

Du mischt alles wild durcheinander weil du immer noch nicht die Grundlagen auch nur ansatzweise verstanden hast. Bei dir ist 2 + 2 immer 3 oder 5, aber auch wenn wir dir 4 vorsagen, kommt dann immer noch alles, nur keine 4.

Ich hoffe ich habe nichts vergessen.

Vergessen ist nicht schlimm, Verstanden ist das entscheidende.

Ich konnte am Server wieder den OpenWRT Router anpingen, aber nicht die Fritte.

Klar, das ist auch zu 100% zu erwarten nach dem du dran warst. Das ist das einzige was bei deinem tun als Ergebnis schon feststeht. Und das liegt nur an dein nicht Verstehen der Grundlagen. Du bist wie ein Lektor mit Buchstabenschwäche (Legasthenie)

Demzufolge kein internet.

Klar, aber sogar vorhersagbar

Meiner Meinung nach habe ich aber alle Tipps von euch umgesetzt

Und alles wild durcheinander geworfen.

woran könnte es hapern?

Grundlagen?

Wie erreiche ich überhaupt dann das Webinterface der Fritte?

Über ein Routing und die entsprechenden Gateways.

Ich habe ja keinen Rechner in dem IP-Bereich

Nicht nötig. Routing ist das Zauberwort

und das WLAN der Fritte ist auch aus.

Ist auch so in Ordnung weil du doch dazu dir extra deine Access Points angeschafft hast....

Hast du dir jemals mal die Routingtabelle deines Rechners angeschaut und gefragt wie der Aldi zeigen kann, obwohl du nicht mit einer IP von Aldi ausgestattet bist? Ohne Routing würde es kein Internet geben. Und genau dieses Routing ist das was du brauchst. Ohne dieses Routing kannst du deine VLANs vergessen und du hast dann nur Fritte - Switch - Rechner und gut ist.

Ich weiß nicht wo deine Stärken sind, IT ist es definitiv nicht.

Gruß,
Peter

> - Vom der openWRT LAN Buchse habe ich ein Kabel zum Switch gezogen.
OK.
Damit hasst du dich für eine Routerkaskade entschieden. Dein Exchange, VPN, RWW, OWA etc. sind von extern nun nicht mehr
ansprechbar weil die Portweiterleitungen in der Fritte nicht mehr stimmen.

Ja, ist dann überhaupt noch eine Portweiterleitung möglich? Muss ich die Ports dann zum OpenWRT leiten und von dort dann weiter zum Server?

> - Die Fritte hat die IP 192.168.254.1 bekommen
OK (und wir dürfen annehmen das du hier explicit nur von der LAN Seite redest)

Ja genau, nur die LAN Seite. Die Internetseite nutzt DHCP. Das hat auch die Telekom so vorgegeben, dass wir auf DHCP stellen sollen.

> - Der OpenWRT hat die IP 192.168.2.1 bekommen
Das ist aber nur 50% der Lösung . Hier fehl die angabe ob es die WAN oder LAN seite ist. Es ist ein Router, also müssen
zwnagsweise mindestens 2 verschiede IPs existieren, und wenn die zum Routen genommen werden müssen es gar zwei getrennte
Netze sein. Was also ist die andere IP?

Genau da ist schon mal mein Denkfehler. Du hast natürlich recht. Die LAN Seite hat die 192.168.2.1, die WAN Seite war auf DHCP gestellt, was natürlich nicht funktioniert. Privat zuhause hat das funktioniert, weil ich dort auf der Fritte den DHCP aktiv hatte. In der Firma natürlich nicht.

> - Ich habe bewusst jetzt erst mal auf das zweite Netzwerk (192.168.3.0) verzichtet
Nein, das wäre dein 3.tes Netz. Durch deine Routerkaskade hast du schon 2 Netze.

Ja auch wieder richtig. Das Frittennetz, das Produktivnetz und das Gästenetz, sind 3 Netze.

> Bevor ich auf dem Router kein internet
Welcher Router - du hast 2?

Fritte meinte ich.

> - Ich habe über SSH die komplette Firewall gestoppt und ausgeschaltet, zusätzlich im Webinterface alles auf accept
gesteltl und überall (LAN/WAN) NAT deaktiviert.
Bridge?!?

? Hätte ich den Firewall doch nicht deaktivieren sollen? Oder hätte ich auf der WAN Seite beim OpenWRT NAT aktiv lassen sollen?

> - Die Fritte hat die 2 statischen Routen bekommen, also 192.168.2.0 auf Gateway 192.168.2.1 (OpenWRT)
Und wie bitte, deiner Meinung nach, soll deine Fritte das Gateway 192.168.2.1 erreichen? Deine Frittennetz ist doch das
192.168.254.0/24!

Ebenso ein Denkfehler von mir. Du hast recht, ich muss dann die IP der WAN Seite vom openWRT nehmen, die im frittennetz liegt.

> - Im openWRT Webinterface habe ich eine statische Route angelegt. Da wusste ich nicht genau, was rein muss. Gateway ist ja
dann die IP der Fritte Und Netzwerk das 192.168.254.0 oder das 192.168.2.0? Wenn letzteres, benötige ich ja auch wieder zwei,
nämlich für die 3.0 mit.
> - Die statische Route im OpenWRT, betrifft doch das WAN Interface richtig, denn das geht ja in Richtung Fritte. Oder doch das
LAN Interface?
Du mischt alles wild durcheinander weil du immer noch nicht die Grundlagen auch nur ansatzweise verstanden hast. Bei dir ist 2 + 2
immer 3 oder 5, aber auch wenn wir dir 4 vorsagen, kommt dann immer noch alles, nur keine 4.

Ja du hast schon recht, habe leider vorher nie damit zu tun gehabt aber habe auch schon eure Tutoriaöls gelesen.
Also liege ich richtig in der Annahme, dass ich am OpenWRT eine statische Route brauche auf WAN seite, die zur Fritte geht?
Für die LAN Seite brauche ich nichts, da der OpenWRT die IPs ja schon kennt.

Ich teste es morgen früh noch mal in Ruhe.
Vom theorischen her habe ich jetzt wieder einen kleinen Bricken mehr gelernt und zwar LAN / WAN Seite und es ergibt langsam Sinn. Ich muss es nur richtig umsetzen und das werde ich morgen angehen. ;)
Mit hoffentlich positiven Feedback!

Mich würde nur noch das Thema mit der Firewall interessieren, damit ich es morgen richtig umsetze.

Zitat von @113726:

- Die Fritte hat die IP 192.168.254.1 bekommen
- Der OpenWRT hat die IP 192.168.2.1 bekommen

Wie Peter schon sagte:

Auch der WRT-Router braucht eine IP-Adrese zu der Fritte hin. Das ist dann das gaetway, daß Du in der fritte für die netze 192.168.2.0/24 udn 192.168.3.0/24 eintragen mußt.

Aber Du scheinst ein grundsätzliche Verständnisproblem der Termini und der Zusammenhänge zu haben. Daher wäre jetzt erstmal lesen angebracht. Oder Du holst Dir jemanden, der wirklich etwas davon versteht.

lsk

also nochmal ...
das hier lesen, dann hast du dein Gefrickel der Routerkaskade schon mal stehen. Das zu lesen und zu verstehen schafft jeder Dummy, dann verstehst du auch wieso um warum diese und jene Einstellung gesetzt sein muss:
http://www.heise.de/netze/artikel/Router-Kaskaden-1825801.html

So, damit das hier endlich mal ein Ende hat, hier ein Beispiel-Setup

Viel Erfolg

Gruß jodel32

Und hier nochmal die Routing Topologie Ansicht zu den beiden Optionen du du hast:

Das ist das klassische Design wie es der Kollege @114757 oben auch schon grafisch beschrieben hat !
Alternativ gibt es auch noch die Variante über einen Switch der VLANs und damit Tagging nach 802.1q supportet wie es das hiesige Forumstutorial im Detail beschreibt:

Die Einrichtung von 802.1q VLAN Tagging unter Linux / Unix und OpenWRT ist ja oben schon mit diveresen URLs angeführt.
Mit nur ein klein wenig Netzwerk Knowhow ist so ein simples Popelszenario ob in der klasssichen oder der VLAN Variante in 20 Minuten aufgesetzt und zum Fliegen gebracht.

Vielen Dank.

Da habe ich jetzt nur noch eine Frage.

Du hast mir jetzt schön meine Varianten gezeigt. Beide würden ja bei mir gehen.
Welche ist nun besser? Beziehungsweise welche ist angebrachter, welche hat mehr Sinn?
Gehen müssten ja beide bei mir.

Das kommt darauf an wieviel Ports du auf dem OpenWRT Router hast.
Wenn du nur 2 Netze hast und auch nur 2 Ports nimm die Variante ohne VLANs

Die VLAN Varianet musst du immer nur dann nehmen wenn du mehr IP Netze routen musst als du physische Ports hast.
Dann musst du ja zwangsweise aufs Tagging gehen und das über einen Tagged Link bedienen weil du physisch nicht so viele Ports hast...logisch.

Aus Performance Sicht sind dedizierte Links natürlich immer besser. In einem tagged Link teilen sich ja alle anderen gerouteten Netze die physische bandbreite eines einzelnen Links.
Bei moderatem Traffic Volumen in kleinen Netzen macht aber solche Überbuchung nichts.
Kommt man aber auch von selber drauf wenn man mal in Ruhe drüber nachdenkt

Ok besten Dank.

Der OpenWRT Router hat 4 LAN Anschlüsse.
Und mehr Netze sind nicht geplant, muss erst mal die hin bekommen.

Ich werde höchstens später mal noch so umstellen, dass es so Routet wie ihr vorgeschlagen habt, also das Produktivnetz über das Gastnetz, aber das ist Zukunft.
Wenn das Sinn hat.

Wenn die VLAN Variante wirklich dann wenig Sinn macht, werde ich Variante 1 nehmen

Außerdem eine kleine Frage noch:
Im Switch exisitiert, wie schon gesagt, eine VLAN 1, alle Ports untagged.
Laut Zeichnung muss da auch der Port zum OpenWRT Router bei VLAN 1 tagged. Stimmt das oder ist das egal und ich sollete mich nur auf VLAN 10 und VLAN 20 konzentrieren?
Für VLAN 10 und VLAN 20 mach ich den Port tagged wie auf der Zeichnung.
Oder soll ich diese VLAN 1 einfach missachten und alle untagged Ports dort entfernen, da ich mir 2 neue VLANs mache?

Und wie konfiguriere ich jetzt die Port Weiterleitung für VPN Etc?

Der OpenWRT Router hat 4 LAN Anschlüsse.

Dann mach es direkt ohne VLAN. Bei deinen 3 Netzen ist das dann das Einfachste und verringert deinen Setup Aufwand ! Oben hast du ja nun die Designs auch vom Kollegen jodel32 wie es richtig gemacht wird !

also das Produktivnetz über das Gastnetz, aber das ist Zukunft.

Keine gute Idee !!! Dann können die Gaste prima mitsniffern was im Produktivnetz so alles rennt. Kein verantwortungsvoller Netzwerker macht sowas. Weist du vermutlich auch selber....!!
Du musst so ein Unsinn ja auch gar nicht machen ! Zentraler Router ist ja nacher dann dein OpenWRT. Da hast du 4 Ports und musst nichts über andere Netze routen.
Ein Port ist dein Transfernetz zur Fritte
Mit den 3 anderen Ports fackelst du Produktivnetz, Gäste und z.B. DMZ ab....Fertisch ! Klassisches Banalszenario !

Wenn die VLAN Variante wirklich dann wenig Sinn macht, werde ich Variante 1 nehmen

Richtig ! Du hast ja genügend Ports zur Verfügung. Außerdem ists wie gesagt von den ToDos einfacher.

Im Switch exisitiert, wie schon gesagt, eine VLAN 1, alle Ports untagged.

Das ist wie immer die Standard Default Konfiguration bei allen VLAN Switches

Laut Zeichnung muss da auch der Port zum OpenWRT Router bei VLAN 1 tagged. Stimmt das oder ist das egal

Nein, das ist natürlich Unsinn und stimmt nicht. VLAN 1 ist immer untagged auf tagged Links. VLAN 1 als Default VLAN kannst du nicht tagged setzen.
Du musst ja auch nirgendwo mehr taggen wenn du die NICHT VLAN Variante mit dem Open WRT umsetzt !
Du definierst einfach deine VLANs auf dem Switch und hängst da untagged die OpenWRT Ports rein, fertig !
Ein Port des OpenWRT verbindest du direkt mit dem Internet Router (Fritte).
VLAN 1 kannst du also ruhig weiter behalten. Mach dir so wenig Umstand wie möglich ! Ist immer einfacher

Und wie konfiguriere ich jetzt die Port Weiterleitung für VPN Etc?

Ahem, diese Frage meinst du nicht im Ernst, oder ??
Das ist so einfach das kann mittlerweile jeder. Sieh dazu ins Handbuch !
Ein paar wichtige Dinge gilt es da zu beachten:

WELCHES VPN Protokoll verwendest du ??? Das ist essentiell wichtg denn davon hängt ab WELCHE Ports du forwarden musst !
Die Regel ist immer einfach: Eingehender TCP oder UDP Port auf lokale IP des OpenWRT Routers

Fragt sich WARUM du überhaupt VPN forwarden willst ?? Die Fritte als Eingangsrouter supportet doch VPNs mit IPsec Protokoll:
http://avm.de/service/vpn/uebersicht/
Wo ist also dein Problem mit Portforwarding ? Brauchst du gar nicht bei VPN ?!

Soll ich euch was sagen ... ich habe heute von 7 Uhr bis 11:30 versucht und es schließlich aufgegeben.

ICh habe mich genau nach den Punkten gehalten.
Ich habe auch auf dem Server Internet bekommen, alles wunderbar.
Selbst am Laptop über WLAN habe ich Internet bekommen.

Ich habe die APs absichtlich erst mal weggelassen und wollte es über das WLAN vom OpenWRT versuchen.
Ich habe mir also auch 2 Interface angelegt mit 2 getrennten IP Netzwerke.
Der Laptop hat in beiden SSIDs unterschiedliche IPs bekommen, perfekt.
Aber mit der zweiten IP (Gastnetz) bekam ich nie Internet.
Ich habe auch eine Menge Bugs in OpenWRT gesehen, vor allem bei der VLAN Config oder Interface Config.
Wie kann es sein, dass es erst geht, ich dann ein zweites Interface anlege und plötzlich geht es nicht mehr. Ich lösche das Interface wieder und es geht immer noch nicht.
Ich habe bestimmt 10x den OpenWRT resettet

Dann habe ich am Ende noch mal die VLAN Variante versucht aber da bin ich noch zu unerfahren, das umzusetzen.

Also wie gesagt, ich habe mich zu 100% an eure Grafik gehalten.
Habe für den ersten Test 2 SSID angelegt und auf VLAN verzichtet.
Die erste SSID im Interface LAN mit der 192.168.2.1
Die zweite SSID im Interface LANGUEST mit der IP 192.168.3.1.

Und mit der zweiten SSID bekam ich nie Internet.
Das ist nur ein Beispiel, as nicht funktioniert hat. Ab und an ist auch einfach die Weboberfläche abgestürzt bzw. der Ping war verschwunden.

Also wie gesagt, ich habe mich zu 100% an eure Grafik gehalten

Theorie und Praxis sind halt immer zwei paar Stiefel.

Und mit der zweiten SSID bekam ich nie Internet.

Tracert, Wireshark & CO sind deine Freunde !!

Ab und an ist auch einfach die Weboberfläche abgestürzt bzw. der Ping war verschwunden.

Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.
RB750GL

Das was du hier machst grenzt an Trial & Error. Wenn du die Grundlagen nicht verstehst kommst du mit einem OpenWRT nicht weit, vor allem wenn dieser auch noch Buggy sein sollte bzw. nicht vollkommen supported wird.

Schwere Geburt, mal wieder...

Soll ich euch was sagen ... ich habe heute von 7 Uhr bis 11:30 versucht und es schließlich aufgegeben.

Schade eigentlich.... Ein simples Design aber dann bist du an deiner eigenen Inkompetenz gescheitert.

Aber mit der zweiten IP (Gastnetz) bekam ich nie Internet.

Warum nicht ??

Hast du ein Traceroute gemacht ?
Hast du die IP Adressierung der Endgeräte überprüft ? Gateway, DNS etc.
Hast du erstmal einen nackte IP wie 8.8.8.8 im Internet versucht zu pingen um möglichen DNS Problemen aus dem weg zu gehen ?
ifconfig Output des OpenWRT hier zu posten wäre mal sinnvoll gewesen ?!

ch habe auch eine Menge Bugs in OpenWRT gesehen, vor allem bei der VLAN Config

VLAN hast du ja versprochen NICHT zu nutzen oben !! Warum also jetzt doch wieder VLAN Konfig ??

ch lösche das Interface wieder und es geht immer noch nicht.

Vielleicht solltest du wirklich mal ein paar Screenshots hier posten sofern du das Web GUI benutzt zum Konfigurieren oder wenns das CLI ist dann ein paar Terminal Outputs WAS du da eigentlich wirklich machst ?
Wie gesagt ein ifconfig wäre hilfreich, ebenso ein netstat -r

Dann habe ich am Ende noch mal die VLAN Variante versucht aber da bin ich noch zu unerfahren, das umzusetzen.

Hatten wir ja auch so besprochen...

Habe für den ersten Test 2 SSID angelegt und auf VLAN verzichtet.

Das geht technsich gar nicht und hier hat das Unglück vermutlich seinen Lauf geniommen !!!
Bei Multi SSID APs kannst du NICHT ohne VLANs arbeiten !!! Wie sollte das gehen die SSIDs werden immer statisch auf VLAN IDs gemappt. Multi SSID bedingt zwangsläufig IMMER Vlans !!!
Der AP mappt immer feste jede SSID fest einem VLAN zu. Bei 2 SSIDs hast du also IMMER schon 2 VLANs ! Ohne geht das doch gar nicht technisch. Siehe auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
wo du das VLAN Mapping auf den APs je sehen kannst.
Was du also minimal machen musst ist

ein zusätzliches VLAN auf dem Switch anlegen !
Einen tagged Uplink Port definieren mit diesem VLAN ! Auf diesem Port ist dann das Default VLAN 1 untagged drauf und dein neues VLAN
Eine SSID mappst du in das Default VLAN und eine in das neue VLAN.
Im neuen VLAN legst du zusätzlich einen untagged Port für den OpenWRT an
OpenWRT dann mit einem Port ins neue VLAN, ein Port ins Default VLAN und ein Port geht auf die Fritzbox
Default Route auf dem OpenWRT zur Fritzbox IP
Zwei statische Routen auf der Fritzbox auf das VLAN 1 IP Netz und das neue VLAN IP Netz auf die OpenWRT IP an der FB
Fertisch

Was bitte ist so schwer daran ??
Du machst immer und immer wieder schon Fehler bei den simpelsten Grundlagen, sorry.

Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.
RB750GL

Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?

Das was du hier machst grenzt an Trial & Error. Wenn du die Grundlagen nicht verstehst kommst du mit einem OpenWRT nicht weit,
vor allem wenn dieser auch noch Buggy sein sollte bzw. nicht vollkommen supported wird.

Komischerweise wird er bei meinen Router full supported.
Und die Grundlagen (auf mein Beispiel bezogen) kann ich jetzt ganz gut nachvollziehen, nicht zuletzt durch eure Grafik, wo ich es noch mal schwarz auf weiß sehe und nachverfolgen kann.

Zitat von @113726:
Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?

Aber der funktioniert wenigstens 200% !! Auch mit OpenWRT geht das, nur hast du eben noch zu wenig Erfahrung im Umgang damit. Und für diesen Umgang benötigt es eben mehr als nur Fragen in einem Forum zu stellen.

Zitat von @113726:

> Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.
> RB750GL
Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?

Wie ich schon weiter oben sagte: tritt die Fritte und den OpenWRt in die Tonen und besorg Dir eien Cisco 88X mti DSL-Modem.

Da kannst Du wunderbar VLANs aufspannen (oder auch nicht) und mußt keine krücken wie transfernetz, Gast und Produktivnetz über gemiensame Infratruktur Routen o.ä. verwenden.

Wenn ich sehe Wieviel Arbeitszeit Du investierst, würde so ein Cisco deutlich billiger kommen, es sei denn Du arbeitest "kostenlos"..

lks

PS. Übrigens hat aqui auch zu den Ciscos eine gute Anleitung gschrieben.

> Aber mit der zweiten IP (Gastnetz) bekam ich nie Internet.
Warum nicht ??

Hast du ein Traceroute gemacht ?
Hast du die IP Adressierung der Endgeräte überprüft ? Gateway, DNS etc.
Hast du erstmal einen nackte IP wie 8.8.8.8 im Internet versucht zu pingen um möglichen DNS Problemen aus dem weg zu gehen

ifconfig Output des OpenWRT hier zu posten wäre mal sinnvoll gewesen ?!

Ping etc habe ich versucht, aber nichts kam durch. Ich konnte aber mit der Gastip die Produktivnetzips gingen o.O.

> ch habe auch eine Menge Bugs in OpenWRT gesehen, vor allem bei der VLAN Config
VLAN hast du ja versprochen NICHT zu nutzen oben !! Warum also jetzt doch wieder VLAN Konfig ??

Ja aber anders geht es doch nicht, wie bekomme ich sonst einen zweiten Ip Bereich wenn nicht mit einem zweiten Interface.

> Habe für den ersten Test 2 SSID angelegt und auf VLAN verzichtet.
Das geht technsich gar nicht und hier hat das Unglück vermutlich seinen Lauf geniommen !!!

OK. Ich wusste, dass es mit den APs nicht geht, weil die über VLAN senden. Aber dass es selbst im Internet WLAn des OPENWRT nicht geht...

Bei Multi SSID APs kannst du NICHT ohne VLANs arbeiten !!! Wie sollte das gehen die SSIDs werden immer statisch auf VLAN IDs
gemappt. Multi SSID bedingt zwangsläufig IMMER Vlans !!!

Der AP mappt immer feste jede SSID fest einem VLAN zu. Bei 2 SSIDs hast du also IMMER schon 2 VLANs ! Ohne geht das doch gar nicht
technisch. Siehe auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
wo du das VLAN Mapping auf den APs je sehen kannst.

OK, ja wie gesagt, dass die APs das über VLAN machen war mir bewusst. Aber ich dachte, das geht auch mit der Variante 1 der Grafik. Ich wollte ja von Anfang an schon Multi SSID nutzen. Ich möchte mir nicht für jedes Netz einen eigenen AP hinstellen.

Was du also minimal machen musst ist

ein zusätzliches VLAN auf dem Switch anlegen !

OK, hatte ich gemacht bei meinen VLAN Test heute.

* Einen tagged Uplink Port definieren mit diesem VLAN ! Auf diesem Port ist dann das Default VLAN 1 untagged drauf und dein neues
VLAN

OK hatte ich heute auch gemacht, nur hatte ich VLAN 1 auch taggen gesetzt. Der Uplink Port ist ja der zum OpenWRT.

* Eine SSID mappst du in das Default VLAN und eine in das neue VLAN.

Habe ich auch heute so gesetzt.

* Im neuen VLAN legst du zusätzlich einen untagged Port für den OpenWRT an

Aber 2 Zeilen weiter oben habe ich den doch schon auf tagged gesetzt.
Oder ist der Uplink Port der zur Fritte?

* OpenWRT dann mit einem Port ins neue VLAN, ein Port ins Default VLAN und ein Port geht auf die Fritzbox

Meinst du Interfaces? Ich brauch ja nicht 3 Kabel ziehen.

* Default Route auf dem OpenWRT zur Fritzbox IP

OK dann natürlich auf LAN Seite des OpenWRT, da der WAN Anschluss ja nicht angestöpselt it.

* Zwei statische Routen auf der Fritzbox auf das VLAN 1 IP Netz und das neue VLAN IP Netz auf die OpenWRT IP an der FB

> > Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.
> > RB750GL
> Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?

Wie ich schon weiter oben sagte: tritt die Fritte und den OpenWRt in die Tonen und besorg Dir eien Cisco 88X mti DSL-Modem.

Ok und wo finde ich den? Was kostet der?
D.h. mit den Cisco habe ich Modem und Router in einem. Mit dem RB 750GL bräuchte ich meine Fritte weiterhin?
Der Cisco ist sicherlich einfacher einzurichten.

PS.: Ich habe ein Bild gefunden, wenn es aber wirklich so groß ist dann ist das zu groß für uns und er passt nicht in den Schrank

D.h. mit den Cisco habe ich Modem und Router in einem

Single Point of Failure, aber das musst du selber wissen. Die Fritte lässt sich auch ganz einfach als Nur-Modem umpatchen ...
http://www.hauiswelt.de/2013/09/17/fritzbox-7390-mit-aktueller-firmware ...

Der Cisco ist sicherlich einfacher einzurichten

dann kauf dir sowas.

PS.: Ich habe ein Bild gefunden, wenn es aber wirklich so groß ist dann ist das zu groß für uns und er passt nicht in den Schrank

hahaha

Quatsch mit Soße (113x89x28mm)
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...

Also wenn du sowas noch nicht mal findest bist du im falschen Metier ....mal ehrlich.

http://www.hauiswelt.de/2013/09/17/fritzbox-7390-mit-aktueller-firmware ...
> Der Cisco ist sicherlich einfacher einzurichten
dann kauf dir sowas.

Mit einfacher meine ich, dass die Weboberfläche stabil läuft und man sich nicht auf einmal nicht mehr in die Weboberfläche einloggen kann. usw

> PS.: Ich habe ein Bild gefunden, wenn es aber wirklich so groß ist dann ist das zu groß für uns und er passt
nicht in den Schrank

hahaha

Quatsch mit Soße (113x89x28mm)
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...

Also wenn du sowas noch nicht mal findest bist du im falschen Metier ....mal ehrlich.

Das war auf den CISCO bezogen!!
Wenn ich danach googeln finde ich so gut wie keine Informationen und auf Seite 2 geht es Chinesisch weiter.

Zitat von @113726:
Mit einfacher meine ich, dass die Weboberfläche stabil läuft und man sich nicht auf einmal nicht mehr in die Weboberfläche einloggen kann. usw

Das haben die Mikrotiks in keinster Weise !

Wenn ich danach googeln finde ich so gut wie keine Informationen und auf Seite 2 geht es Chinesisch weiter.

Du suchst falsch, das sind geniale Systeme !

Zitat von @114757:

> D.h. mit den Cisco habe ich Modem und Router in einem
Single Point of Failure, aber das musst du selber wissen.

mit Fritte + Router oder Modem + Router hast Du zwei SPOFs, Satistisch gesehen ist da die Ausfallwahrscheinlichkeit höher.

lks

Zitat von @Lochkartenstanzer:
mit Fritte + Router oder Modem + Router hast Du zwei SPOFs, Satistisch gesehen ist da die Ausfallwahrscheinlichkeit höher.

nicht wenn ich zwei Zugänge nutze und zwei Mikrotiks mit VRRP

Zitat von @113726:

> > > Wie oben bereits mehrfach geschrieben, besorg dir einen vernünftigen Router.
> > > RB750GL
> > Ja aber wenn es mit den OpenWRT schon nicht mal richtig geht. Der 750GL ist ja sicherlich nicht gerade einfacher oder?
>
>
> Wie ich schon weiter oben sagte: tritt die Fritte und den OpenWRt in die Tonen und besorg Dir eien Cisco 88X mti DSL-Modem.
Ok und wo finde ich den? Was kostet der?

Bei ~~den üblichen Verdächtigen~~ den üblichen verdächtigen.

D.h. mit den Cisco habe ich Modem und Router in einem. Mit dem RB 750GL bräuchte ich meine Fritte weiterhin?

Ja.

Der Cisco ist sicherlich einfacher einzurichten.

Ansichstsache. Für erfahrene netzwerker sind sowohl RB750 als auch Cisco einafch einzurichten. Für den Rookie ist beides ein Buch mit sieben Siegeln.

PS.: Ich habe ein Bild gefunden, wenn es aber wirklich so groß ist dann ist das zu groß für uns und er passt
nicht in den Schrank

Das Ding paßt in jeden handelsüblichen 19"-Schrank.

lks

Zitat von @113726:

Wenn ich danach googeln finde ich so gut wie keine Informationen und auf Seite 2 geht es Chinesisch weiter.

Und was ist mit bei Cisco direkt schauen z.B. hier?

lks

Zitat von @114757:

> Zitat von @Lochkartenstanzer:
> mit Fritte + Router oder Modem + Router hast Du zwei SPOFs, Satistisch gesehen ist da die Ausfallwahrscheinlichkeit
höher.
>
nicht wenn ich zwei Zugänge nutze und zwei Mikrotiks mit VRRP

Das ist aber ein anderes Setup. Außerdem können Ciscos sowas auch. (wobei ich da natürlich auch Modem und Router trennen würde.)

lks

Du suchst falsch, das sind geniale Systeme !

Nein mach ich nicht, denn das war wieder auf den Cisco bezogen!

Ich finde da nur die offizielle Cisco Seite, keine Preise, kein nichts.

Das Ding paßt in jeden handelsüblichen 19"-Schrank.

Ja das sieh so aus, dass er rein passt, aber da haben wir keinen Platz mehr drin bzw. sehr begrenzt.
Bin trotzdem noch der Meinung, dass es auch mit dem OpenWRT gehen muss

Vielleicht sollte ich noch mal die Schritte von @aqui versuchen, aber da ist ja auch nicht alles klar (s. o.)

Zitat von @113726:

Du suchst falsch, das sind geniale Systeme !

Nein mach ich nicht, denn das war wieder auf den Cisco bezogen!

Ich finde da nur die offizielle Cisco Seite, keine Preise, kein nichts.

Sagte doch. einfach mal beim Heise preisvergleich oder bei Amazon die passenden Stichworte eintippen.

lks

Zitat von @Lochkartenstanzer:

Zitat von @113726:

Wenn ich danach googeln finde ich so gut wie keine Informationen und auf Seite 2 geht es Chinesisch weiter.

Und was ist mit bei Cisco direkt schauen z.B. hier?

lks

Ja ein paar deutsche Informationen wären schon cool bzw. mal eine nShop etc, der die vertreibt.
Oder verkaufen die nur an IT Unternehmen?

Zitat von @113726:

Bin trotzdem noch der Meinung, dass es auch mit dem OpenWRT gehen muss

Kann nicht muss.

Ob es letztendlich geht, hängt nicht zuletzt von Wissensstand des Ausführenden ab.

lks

Zitat von @Lochkartenstanzer:

Zitat von @113726:

Du suchst falsch, das sind geniale Systeme !

Nein mach ich nicht, denn das war wieder auf den Cisco bezogen!

Ich finde da nur die offizielle Cisco Seite, keine Preise, kein nichts.

Sagte doch. einfach mal beim Heise preisvergleich oder
bei Amazon die passenden Stichworte eintippen.

lks

ah perfekt aber aber dein Vorschlag kostet wirklich 400-500€.
Dann fällt er raus.
Also muss ich es noch mal mit den OpenWRT versuchen bzw. dem 750

Zitat von @113726:

Ja ein paar deutsche Informationen wären schon cool bzw. mal eine nShop etc, der die vertreibt.
Oder verkaufen die nur an IT Unternehmen?

Nein, Aber Endkunden finden das ganz leicht, indem sie z.B. heise fragen. Da sind über 10 Händler aufgeführt und es gibt garantiert noch Dutzende wetere, wenn man direkt google fragt udn das Stichwort kaufen oder preis mit angibt

lks

...never ending Story ..., setzt dich mal hin und lerne richtig anstatt dir dein Wissen nur in Foren zusammen zu klauben !!!
Wenn du die Zeit die du hier verprasst, in Lesen investiert hättest würde das schon fliegen ...

Was du also minimal machen musst ist

ein zusätzliches VLAN auf dem Switch anlegen !
Einen tagged Uplink Port definieren mit diesem VLAN ! Auf diesem Port ist dann das Default VLAN 1 untagged drauf und dein neues

VLAN

Eine SSID mappst du in das Default VLAN und eine in das neue VLAN.
Im neuen VLAN legst du zusätzlich einen untagged Port für den OpenWRT an
OpenWRT dann mit einem Port ins neue VLAN, ein Port ins Default VLAN und ein Port geht auf die Fritzbox
Default Route auf dem OpenWRT zur Fritzbox IP
Zwei statische Routen auf der Fritzbox auf das VLAN 1 IP Netz und das neue VLAN IP Netz auf die OpenWRT IP an der FB
Fertisch

Ein paar Dinge dazu habe ich ja schon gefragt weiter oben und andere auch schon gemacht.
Die Fritzbox muss aber wieder in einem anderen Netz sein richtig? Also habe ich dann wieder meine 3 Netze..?

Zitat von @113726:

Ein paar Dinge dazu habe ich ja schon gefragt weiter oben und andere auch schon gemacht.
Die Fritzbox muss aber wieder in einem anderen Netz sein richtig? Also habe ich dann wieder meine 3 Netze..?

Wie schonwiederholt gesagt: Weder soltle das produktivnetz über das Gastnetz noch das Gastnetz über das Produktivnetz geroutet werden. Du benötigst also zwangsweise 3 netze, wenn Du nicht diese auftrennung in gastnetz und Produktivnez schon im Zugangsrouter machst.

Du brauchst also auch 3 VLANS, bzw wenn der WRT direkt an der fritzbox hängt 2 VLANs auf Deinem switch.

Aber das haben wir ja schon alles durchgekaut.

Das Einfachste wäre wohl, Du machst zwei VLAns auf Deinem switch, aktivierst den gastzugang auf deiner Fritzbox udn hängtst diesen gastzugang auf des zusätzliche VLAn zu den APs.

Von der Sicherheit wäre das auch nciht schlimmer, als das gastnetz üebr das Produktivnetz oder das produktivnetz üebr das gastnetz zu routen.

lks

PS: 400€ hört sich zwar vielleicht teuer an, aber ein Mitarbeiter der einen ganzen Tag erfolglos an einem WRT-Router schraubt ist teuerer.

Ja 3 VLANS. Im Zugangsroter kann ich das ja nicht machen, dafür bräuchte ich dann eine andere Hardware laut euren Infos. OK

Du brauchst also auch 3 VLANS, bzw wenn der WRT direkt an der fritzbox hängt 2 VLANs auf Deinem switch.

Wenn der WRT direkt an der Fritzbox hängt, wäre das ja Variante 1 oben, also ohne VLANS. Sonst muss der WRT doch einzeln an den Switch hängen.

Das Einfachste wäre wohl, Du machst zwei VLAns auf Deinem switch, aktivierst den gastzugang auf deiner Fritzbox und
hängtst diesen gastzugang auf des zusätzliche VLAn zu den APs.

Die Fritte hat keinen Gastzugang.

Von der Sicherheit wäre das auch nciht schlimmer, als das gastnetz üebr das Produktivnetz oder das produktivnetz
üebr das gastnetz zu routen.

Ja, aber ihr habt mir jetzt die Infos gegeben, dass ich immer ein Netz über das andere route. Wie kann man das verhindern? Braucht man dafür unbedingt neue / mehr Hardware?.

PS: 400€ hört sich zwar vielleicht teuer an, aber ein Mitarbeiter der einen ganzen Tag erfolglos an einem WRT-Router
schraubt ist teuerer.

Ja schon recht aber da macht mein Chef nicht mit. Er braucht auch nicht unbedingt einen Gastzugange, ich mache das aus eigenen Stücken und ja, ich verlange da nichts.

Der 750GL ist ja sicherlich nicht gerade einfacher oder?

Doch er ist erheblich einfacher weil er ein Klicki Bunti Interface hat das auch für Laien einen sofortige Erfolgsgarantie verspricht.

Nochmal zu deinem OpenWRT:
Dir sollte klar sein das du bei OpenWRT wenn du ein Comodity Router benutzt wie TP-Link usw. den VORHER über einen Shell Zugang entsprechend customizen musst mit den Interfaces ?!
Hast du das bedacht ?
Wie die Interfaces logisch zuzuordnene sind erklärt das OpenWRT Wiki:
http://wiki.openwrt.org/doc/networking/network.interfaces

In der Default Konfig hängen z.B. die 4 LAN Ethernet Interfaces eines Commodity Routers immer in einer Bridge zusammen. Für deine Anwendung mit 3 Einzelports und davon noch ggf. einen getaggt erfordert das ein manuells Customizing.
Vermutlich hast du auch das nicht gemacht, denn in diesem Mammutthread fehlt jeglicher Hinweis darauf.

Besser ist es wirklich du investierst 30 Euro Taschengeld und beschaffst dir einen Mikrotik 750. Da hast du ein garantiertes Erfolgserlebnis !
Und wir natürlich weniger graue Haare

dass ich immer ein Netz über das andere route. Wie kann man das verhindern? Braucht man dafür unbedingt neue / mehr Hardware?.

Wenn du keine weitere HW hast ja ! Nur mit der FB ist das nicht zu machen.
Der Mikrotik hat auch ein Hotspot Feature mit an Bord ! Der fackelt das auch für die 30 Euronen mit ab.
http://www.hotspotsystem.com/de/installation-guide-mikrotik
Wenn du es mit einer Firewall haben willst was etwas sicherer und komfortabler ist nimmst du einen pfSense:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Ja schon recht aber da macht mein Chef nicht mit.

Na ja bei 30 Euronen wird er ja sicher mitmachen, oder ??
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...

> Der 750GL ist ja sicherlich nicht gerade einfacher oder?
Doch er ist erheblich einfacher weil er ein Klicki Bunti Interface hat das auch für Laien einen sofortige Erfolgsgarantie
verspricht.

Nochmal zu deinem OpenWRT:
Dir sollte klar sein das du bei OpenWRT wenn du ein Comodity Router benutzt wie TP-Link usw. den VORHER über einen Shell
Zugang entsprechend customizen musst mit den Interfaces ?!
Hast du das bedacht ?

Ja das habe ich. Ich habe vorher über die Shell alles eingestellt.
Habe mich auch daran gehalten z.B. : http://coderazzi.net/howto/openwrt/tl841n/vlans.htm

In der Default Konfig hängen z.B. die 4 LAN Ethernet Interfaces eines Commodity Routers immer in einer Bridge zusammen.
Für deine Anwendung mit 3 Einzelports und davon noch ggf. einen getaggt erfordert das ein manuells Customizing.
Vermutlich hast du auch das nicht gemacht, denn in diesem Mammutthread fehlt jeglicher Hinweis darauf.

Doch das habe ich. Das Normale et Interface wurde entfernt und stattdessen einzelne virtuelle hinzugefügt.

Besser ist es wirklich du investierst 30 Euro Taschengeld und beschaffst dir einen Mikrotik 750. Da hast du ein garantiertes
Erfolgserlebnis !
Und wir natürlich weniger graue Haare

JA also wenn er wirklich was ordentliches ist dann hast du schon recht. Das ist ja wirklich kein Geld.

> dass ich immer ein Netz über das andere route. Wie kann man das verhindern? Braucht man dafür unbedingt neue / mehr
Hardware?.
Wenn du keine weitere HW hast ja ! Nur mit der FB ist das nicht zu machen.
Der Mikrotik hat auch ein Hotspot Feature mit an Bord ! Der fackelt das auch für die 30 Euronen mit ab.
http://www.hotspotsystem.com/de/installation-guide-mikrotik
Wenn du es mit einer Firewall haben willst was etwas sicherer und komfortabler ist nimmst du einen pfSense:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

OK also mit den Mikrotik würde das gehen.
Der allgemeine Routineaufbau bleibt aber gleich. D.h. Fritte bekommt eigenes Netz und dann über getaggte VLAN. Ich bleibe also bei meinen 3 Netzen.

> Ja schon recht aber da macht mein Chef nicht mit.
Na ja bei 30 Euronen wird er ja sicher mitmachen, oder ??
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik- ...

Grade bestellt. Hoffentlich bekomme ich es damit hin

Die TP-Link gehen zurück.

Jetzt muss ich mir noch mal über den genauen Aufbau Gedanken machen mit den mikrotik.

//Edit: hätte ich lieber stehen GL nehmen sollen? Der hat doch auch WLAN mit integriert. Der normale RB hat es ja nicht oder?
Sonst brauche ich einen AP mehr oder Nutze den tplink (Geht das?)

Das kannst du machen wenn du WLAN benötigst. Der GL hat auch Gigabit Ethernet Ports der ohne GL hat 100 Mbit.

Ich werde die VLAN Konfig nochmal an einem TP-Link 841n mit OpenWRT durchspielen in der Hoffnung das dessen Switch Controller VLAN fähig ist und dir hier eine fix und fertige Konfig posten, sofern diese HW es dann auch supportet ?!

Also ich hätte das WLAN dann gleich genommen um mir einen AP zu sparen.
Jetzt habe ich den ohne GL aber bestellt und werde einfach einen AP mehr nehmen.
Oder ich bestelle den GL noch und storniere den ohne GL

Das ist sehr nett

Aber jetzt habe ich den Mikrotik ja bestellt, d.h. ich schicke ja den TP-Link eh zurück wenn alles klappt. Es sei denn das war keine gute Idee

//Edit: Achso ich dachte der GL hat WLAN integriert, aber dem ist doch nicht so, also brauche ich eh noch einen AP, das ist aber kein Problem.
Falls es natürlich wirklich mit dem TP Link klappt, habe ich den Mikrotik umsonst bestellt

Zitat von @113726:
Edit: Achso ich dachte der GL hat WLAN integriert, aber dem ist doch nicht so,

Die Variante mit WLAN gibt's natürlich auch:
MikroTik RouterBOARD RB951G-2HnD Level 4 600MHz

OK ohne externe Antennen kann man die Leistung bestimmt vergessen.
Egal, ich habe jetzt den 750 bestellt. Wenn es sollte doch mit dem TP gehen, kann man ja immer noch den nehmen.

OK ohne externe Antennen kann man die Leistung bestimmt vergessen.

Mit Nichten ! Den kannst du dafür mit bis zu 1000mW "tunen" wenns sein muss

Der Empfang ist hier damit exzellent durch 3 dicke Stahlbetondecken. Besser als TP-Links und Fritten zusammen allemal ...

Mit externen Antennen gibts ebenfalls :
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/Mikrotik- ...
Aber die solltest du ja jetzt eigentlich selber finden können !

Ohh jetzt mach ich mir doch wieder Gedanken, hätte ich nicht das WLAN Gerät nehmen sollen. Ich habe gern so viel Geräte wie möglich. So spare ich mir einen AP.

Ich werde wohl die Bestellung der 750 erst mal stornieren.
Dann warte ich was @aqui heraus findet. Dann kann ich immer noch ein Routerboeard bestellen.

Zitat von @113726:

Ohh jetzt mach ich mir doch wieder Gedanken, hätte ich nicht das WLAN Gerät nehmen sollen. Ich habe gern so viel
Geräte wie möglich. So spare ich mir einen AP.

hä? Das wiederspricht sich ....

Bingo ich hab den Century-Kommentar

Der Thread ist auf dem besten Weg den Rekord dieses Jahr zu knacken ;-P

Hast recht, ich meine so wenig Geräte wie möglich

Wie gesagt ich storniere und warte auf aqui, es kommt auch nicht auf den Tag drauf an.

Glückwunsch

Hi,

Zitat von @114757:
Mit Nichten ! Den kannst du dafür mit bis zu 1000mW "tunen" wenns sein muss

Dir ist schon klar das unser TE das Wörtlich nimmt und sich seine Endstufe brät bzw. die HF Transistoren (eh nur einer) sich in ewiger Ruhestellung begeben? Eine Sendestufe ohne Antennen zu betreiben ist wie Bungeespringen nur halt eben ohne Bungeeseil

Der Empfang ist hier damit exzellent

Wenn denn dort noch Antennen dran wären würde er auch die Gespräche (VOIP over WLAN) vom Nordpol auffangen und den Weihnachtsmann belauschen

Aber die solltest du ja jetzt eigentlich selber finden können !

Zumindest wenn unser TE sich endlich mal festlegen würde was er denn will und nicht immer alle bestellten Geräte zurückschicken.

Und zu deinem Century, ich denke dieser thread kann noch eine 10 Potenz vertragen, ich fang mal an ...

Gruß,
Peter

> Mit Nichten ! Den kannst du dafür mit bis zu 1000mW "tunen" wenns sein muss

Dir ist schon klar das unser TE das Wörtlich nimmt und sich seine Endstufe brät bzw. die HF Transistoren (eh nur einer)
sich in ewiger Ruhestellung begeben? Eine Sendestufe ohne Antennen zu betreiben ist wie Bungeespringen nur halt eben ohne
Bungeeseil

Naja schon klar, dass man das Gerät dann drosseln lassen muss.
Ist wahrscheinlich wie beim Auto,wenn er immer auf voller Umdrehung läuft geht der Motor schnell kaputt .

> Aber die solltest du ja jetzt eigentlich selber finden können !
Zumindest wenn unser TE sich endlich mal festlegen würde was er denn will und nicht immer alle bestellten Geräte
zurückschicken.

Naja ihr liefert ja auch viel Informationen von Geräten, die ich noch nie vorher gehört habe

Ich möchte dann neben dem Router eh WLAN Signal haben und dann noch einen weiteren AP auf der Etage.
Also wenn der Router gleich WLAN mitbringen würde, wäre das am besten. Wie gesagt, so wenig Geräte wie möglich wäre toll

Ansonsten muss ich mir noch einen TP Link AP kaufen, wie ich jetzt schon einen habe.

Die Frage ist, welche von denen ist für meine Bedürfnisse am geeignetsten?
Deshalb wollte ich erst mal stornieren (ist ja noch nichts verschickt) und dann noch mal paar Tage ih Ruhe zeit lassen.

OK ohne externe Antennen kann man die Leistung bestimmt vergessen.

Stimmt auch nicht. Das gerät hat eine externe LC Antennenbuchse an den man eine externe Antenne anschliessen kann wenn man es möchte !

@Pjordorf das Gerät hat Antennen, nur sind die eben im Gehäuse als Leiterbahnen ausgeführt!

Hi,

Zitat von @114757:
@Pjordorf das Gerät hat Antennen, nur sind die eben im Gehäuse als Leiterbahnen ausgeführt!

Ah, OK. Ich hatte diese MT noch nicht in meinen Händen. Danke, aber einen HF Sender ohne Antennen zu betreiben ist trotzdem etwas was vermieden werden sollte ...immer....

Gruß,
Peter

Zitat von @Pjordorf:

aber einen HF Sender ohne Antennen zu betreiben ist trotzdem etwas was vermieden werden sollte ...immer....

Oder mit den falschen Antennen.

lks

So, mal ein kurzes Feedback zu den OpenWRT Forschungen:
Getestet an einem Standard Allerwelts Wlanrouter TP-Link 841N.
Ums gleich vorweg zu nehmen, die Konfig ist sehr irreführend und sicher nichts für Anfänger ! Der Router besitzt einen internen Atheros AR934X built-in switch Chip den man entsprechend ZUERST über einen Shell SSH Zugang customizen muss damit das ganze überhaupt funktioniert.
Sehr erschwerend kommt hier dazu das die physische Port Bezeichnung NICHT mit der späteren im WebGUI übereinstimmt.
Zudem ist das eigentlich sinnvolle Konzept über VLAN Interfaces zu arbeiten damit aber bei direm Model extrem unübersichtlich und man muss genau aufpassen nicht die Interface Indexierung zu verwürfeln.
All das macht die Sache sehr aufwendig in der Konfiguration. Keine Ahnung ob das bei anderen OpenWRT Plattformen auch so ist aber beim TP-Link 8841N muss man da schon etwas Arbeit reinstecken damit es rennt.
Testweise hab ich außer dem VLAN 1 (Default) ein VLAN 10 eingerichtet was tagged über den Port 4 am Router (Physisch ist das Interface eth1 am internen Switchchip) ausgibt.
Für weitere VLANs muss man die Datei etc/config/network dann entsprechend erweitern.
Zum Neukonfigurieren ist ein Shell Zugang zwingend erforderlich mit PuTTY oder TeraTerm und es ist etwas Umgang mit den vi Editor erforderlich um die Konfig Dateien anzupassen.
Los gehts....
Zuerst erweitert man die Datei /etc/config/network das sie so aussieht:
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config interface 'lan'
option ifname 'eth1.1'
option type 'bridge'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'

config interface 'lan2'
option ifname 'eth1.10'
option type 'bridge'
option proto 'static'
option ipaddr '10.1.1.1'
option netmask '255.255.255.0'

config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'

config switch
option name 'eth1'
option reset '1'
option enable_vlan '1'

config switch_vlan 'vlan1'
option device 'eth1'
option vlan '1'
option vid '1'
option ports '0t 2 3'

config switch_vlan 'vlan10'
option device 'eth1'
option vlan '10'
option vid '10'
option ports '0t 1 4'

Wer automatisch IP Adressen mit DHCP verteilen lassen möchte auf diesem Interface konfiguriert noch einen zusätzlichen Eintrag in der Datei: etc/config/dhcp:

config dhcp 'lan2'
option start '100'
option leasetime '12h'
option limit '150'
option interface 'lan2'
Dies ist aber optional und kann entfallen wenn man auf dem Segment statische IPs vergeben will !

Im Web GUI taucht dieses VLAN dann als "LAN2" Adapter auf. In der Benennung ist man aber frei.
Als nächstes wird in der Firewall Datei einen neue Zone für dieses Interfae zugefügt in der Datei etc/config/firewall:
config zone
option input 'ACCEPT'
option forward 'REJECT'
option output 'ACCEPT'
option name 'lan2'
option network 'lan2'

Nach all diesen Änderungen MUSS das Netzwerk auf dem OpenWRT Router neu gestartet werden damit die Einstellungen aktiviert werden:
root@OpenWrt:/etc/config# ./network restart

Nun kann man hier am Port 4 einen tagged Uplink anschliessen der VLAN 10 dort tagged überträgt.
Getestet mit einem Cisco Catalyst 2960 mit folgendr Konfig:
interface fastEthernet 0/1
description Client im VLAN 1
switchport mode access
switchport access vlan 1
!
interface fastEthernet 0/2
description Client im VLAN 10
switchport mode access
switchport access vlan 10
!
interface fastEthernet 0/3
description Tagged Uplink auf den OpenWRT Router
switchport mode trunk
switchport trunk allow vlan all
!
Der Client dort in VLAN 10 kann die OpenWRT Router IP 10.1.1.1 im VLAN 10 fehlerfrei pingen über den tagged Uplink. Im Default VLAN funktioniert es ebenso.
Grundlagen dazu findet man auch auf dieser Internet Seite: http://www.pakitong.com/2014/11/how-to-tp-link-wr740n-openwrt-separate. ...

Vermutlich hat der TO all diese Anpassungen NICHT gemacht oder falsch gemacht und somit Schiffbruch erlitten.
Fazit:
Die OpenWRT Konfiguration ist speziell bei diesen embeddeten Switch Chipsätzen nicht ganz trivial und sicher nichts für Anfänger. Minimale Linux Erfahrungen und Sicherheit im Umgang mit dem vi Editor sollte man schon mitbringen wenn man sich daran wagt.
Ein Router wie der Mikrotik 750 ist durch seine logische Struktur und sein einfach verständliches WebGUI zum Konfigurieren erheblich einfacher so das auch blutige Anfänger damit sicher zum Ziel kommen.

Zitat von @aqui:

Fazit:
Die OpenWRT Konfiguration ist speziell bei diesen embeddeten Switch Chipsätzen nicht ganz trivial und sicher nichts für
Anfänger. Minimale Linux Erfahrungen und Sicherheit im Umgang mit dem vi Editor sollte man schon mitbringen wenn man sich
daran wagt.
Ein Router wie der Mikrotik 750 ist durch seine logische Struktur und sein einfach verständliches WebGUI zum
Konfigurieren erheblich einfacher so das auch blutige Anfänger damit sicher zum Ziel kommen.

ich sagte doch schon, 400€ für einen ordentlichen Cisco (oder 80€ für einen Mikrotik) sind deutlich billiger als einen Mitarbeiter 1-2 Tage (oder mehr) für vergeudete Arbeitszeit zu bezahlen, es sei denn der Mitarbeiter kostet den Arbeitgeber nichts (praktikant, Azubi, o.ä.) oder das soll der Ausbildung des Mitarbeiters dienen.

Wie man sieht arbeiten viele Firmen immer noch nach dem EHDO-Prinzip.

lks

PS: Auch ich verbeiße mich manchmal in Probleme, wo ich der Meinung bin, das "muss" doch funktionieren und kann daher zumindest die Motivation nachvollziehen. Das dient dann aber eher meiner "Fortbildung" als irgendwelchen minimalen Ersparnissen meiner Kunden. Denen kann ich die Arbeitszeit nämlich nicht imerm in Rechnung stellen.

WOW vielen Dank .-)

ICh werde das bei mir mal so testen.
Es ist aber jetzt noch so, dass die Fritzbox einen eigenen IP Bereich bekommt.
Und der OPENWRT Router wird "seperat" an den Switch angeschlossen und nicht in Reihe, richtig?
Eine statische Route im OPENWRT zur Fritzbox werde ich dann auch setzen (LAN Seite).

Aber du hast jetzt zwei seperate Kabel für beide VLANs gezogen, ist das korrekt so? Immerhin hat die eine VLAN 2 Ports und die andere VLAN die anderen beiden Ports.
Also ziehe ich beide Kabel zum Switch und im Switch bekommt jeweils das eine und das andere Kabel die passende VLAN zugewisen.

Die Anpassung oben habe ich ähnlich gemacht. Aber nicht alles exakt so.
VI Editor- und Linux-Kenntnisse habe ich.
Das die Portbezeichnung nicht passend mit dem Webgui ist habe ich auch gelesen. Das verwirrt das ganze etwas mehr.

Problem wird sein, wenn man mal was verstellen möchte oder noch eine VLAN dazu kommt, dann darf man keinen Fehler machen.

Ansonsten werde ich einen Mikrotik bestellen und gut ist es. Leider bin ich mir wegen dem WLAN überhaupt nicht sicher was da sinn macht. Einen einfachen 750 nehmen und lieber neben dem Server noch einen weiteren AP hinstellen oder gleich einen Mikrotik nehmen mit WLAN integriert. Wie gesagt ich mache das Kostenlos :D aber so mach ich mir auch weniger einen Kopf, wenn es dann funktioniert.

Wie würde denn das Konzept mit einem Mikrotik aussehen? Das wäre ja dann auch wieder Schema 2 von oben, richtig? Also über einen tagged Link (einem Kabel) sende ich alle VLANs zum Switch bzw. umgekehrt.
Gibt es dazu auch eine Konzeptgrafik, wie sie @114757 oben gepostet hat?

Aufjedenfall Danke für deine Mühe, echt super

oder 80€ für einen Mikrotik

Für die Anforderungen des TOs reicht ja auch schon ein 40 Euro Mikrotik 750 GL

Besser wäre der 2011 in seinem Falle.

Es ist aber jetzt noch so, dass die Fritzbox einen eigenen IP Bereich bekommt.
Und der OPENWRT Router wird "seperat" an den Switch angeschlossen und nicht in Reihe, richtig?

Das ist für die OpenWRT Konfig ja irrelevant WIE du es anschliesst ! Es ging ja nur um die Konfig der Interfaces !
ACHTUNG: Die Konfig oben beschreibt einen sog. "one armed" Konfig über einen VLAN tagged Uplink an den Switch wie im oben zitierten VLAN Tutorial hier im Forum beschrieben.
Bei dedizierten Interfaces auf dem OpenWRT sieht die /etc/config/networks Datei etwas anders aus !!
Vergiss das nicht !

Aber du hast jetzt zwei seperate Kabel für beide VLANs gezogen, ist das korrekt so?

Nein das ist FALSCH !
Das war bei der o.a. Konfig genau nicht die Intention sndern das sog. "one armed" Konzept über einen gemeinsamen tagged Uplink für alle VLANs. Am OpenWRT ist das Port 4 (intern physisch port eth1) über den der tagged Anschluss zentral auf den Switch terminiert.
Die anderen Ports sind nicht benutzt, bzw. man kann sie benutzen um den Router über SSH und WebGUI zu erreichen.

Also ziehe ich beide Kabel zum Switch und im Switch bekommt jeweils das eine und das andere Kabel die passende VLAN zugewisen.

Nein ! Genau nicht !
Lies dir bitte das obige Stament nochmal genau durch und sieh dir die dazu gepostete Testkonfig des Cisco Switches an !!
Dort kannst du doch ganz klar sehen das der Uplink auf den Router (Cisco Port fa 0/3) die einzige Verbindung ist. Da tagged transportiert sie alle VLANs.
Im Test ist das jetzt so eingestellt. Du kannst aber die /etc/config/network auch so customizen das jeder der 4 Port NON teagged in einem separtem VLAN ist. Dann musst du natürlich 4 einzelne Strippen ziehen...aber wer will das schon ?!

VI Editor- und Linux-Kenntnisse habe ich.

Sehr gut !! Dann bekommst du das auch hin. Halte dich parallel an den zitierten URL. Ganz wichtig ist das swconfig Kommando auf dem Router !! Damit kontrollierst du genau die Zuweisung der einzelnen Switchports !!
Beispiel:

root@OpenWrt:/etc/config# swconfig dev switch0 show
Global attributes:
        enable_vlan: 1
Port 0:
        pvid: 1
        link: port:0 link:up speed:1000baseT full-duplex txflow rxflow
Port 1:
        pvid: 10
        link: port:1 link:up speed:100baseT full-duplex auto
Port 2:
        pvid: 1
        link: port:2 link:up speed:100baseT full-duplex auto
Port 3:
        pvid: 1
        link: port:3 link:down
Port 4:
        pvid: 10
        link: port:4 link:down
VLAN 1:
        vid: 1
        ports: 0t 2 3
VLAN 10:
        vid: 10
        ports: 0t 1 4 

Problem wird sein, wenn man mal was verstellen möchte oder noch eine VLAN dazu kommt, dann darf man keinen Fehler machen.

Yepp...ganz genau !
Deshalb auch der wohlgemeinte Rat einen Mikrotik zu verwenden dafü

Da ist das Risiko erheblich geringer wen nicht gänzlich weg !

wegen dem WLAN überhaupt nicht sicher was da sinn macht. Einen einfachen 750 nehmen und lieber neben dem Server noch einen weiteren AP hinstellen oder gleich einen Mikrotik nehmen mit WLAN integriert.

Wegen des WLANs kann dir das kein Frum der Welt beantworten was du brauchst oder was nicht, das kannst nur du selbst. Die Mehrkosten eines Mikrotiks mit WLAN sind aber minimalst und du kannst das WLAN deaktivieren im Setup und erstmal nur Kabel basierend arbeiten.
Solltest du ein WLAN brauchen aktivierst du es. Mit der Option bist du also sicherer.
Nur wenn du eben sagen kannst: WLAN brauch ich NIE...dann solltest du einen Kabel only Version nehmen !

Wie würde denn das Konzept mit einem Mikrotik aussehen?

Das kannst du hier nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Beachte dazu unbedingt auch die weiterführenden Links am Ende des Tutorials ! Die erklären (fast) alle Fragen !
Ansonsten hast du ja weiter oben beide möglichen Konzept Grafiken bereits vorliegen !!!

Aufjedenfall Danke für deine Mühe, echt super

Immer gerne wieder... wenn du was dabei lernst umso besser

> oder 80€ für einen Mikrotik
Für die Anforderungen des TOs reicht ja auch schon ein 40 Euro Mikrotik 750 GL

Besser wäre der 2011 in seinem Falle.

Gibt es unterschiede vom Jahr her?

> Es ist aber jetzt noch so, dass die Fritzbox einen eigenen IP Bereich bekommt.
> Und der OPENWRT Router wird "seperat" an den Switch angeschlossen und nicht in Reihe, richtig?
Das ist für die OpenWRT Konfig ja irrelevant WIE du es anschliesst ! Es ging ja nur um die Konfig der Interfaces !
ACHTUNG: Die Konfig oben beschreibt einen sog. "one armed" Konfig über einen VLAN tagged Uplink an den Switch wie
im oben zitierten VLAN Tutorial hier im Forum beschrieben.
Bei dedizierten Interfaces auf dem OpenWRT sieht die /etc/config/networks Datei etwas anders aus !!
Vergiss das nicht !

Ich verstehe das nicht richtig. Dann hättest du in der Konfig doch einen Port als tagged kennzeichnen müssen, die sind aber alle untagged. Einzig Port 0 ist tagged (bei beiden VLANs), das ist aber die CPU (warum auch immer man die Kennzeichnen muss).
So will ich es aber ja, der OpenWRT Router wird mit einer Strippe an den Switch gehangen. Die Variante 1 in Reihe war ja nicht passend.

> Aber du hast jetzt zwei seperate Kabel für beide VLANs gezogen, ist das korrekt so?
Nein das ist FALSCH !
Das war bei der o.a. Konfig genau nicht die Intention sndern das sog. "one armed" Konzept über einen
gemeinsamen tagged Uplink für alle VLANs. Am OpenWRT ist das Port 4 (intern physisch port eth1) über den der tagged
Anschluss zentral auf den Switch terminiert.
Die anderen Ports sind nicht benutzt, bzw. man kann sie benutzen um den Router über SSH und WebGUI zu erreichen.

OK, aber wie gesagt es muss doch ein poart auf dem WRT tagged gekennzeichnet sein. Ist aber nicht.

> Also ziehe ich beide Kabel zum Switch und im Switch bekommt jeweils das eine und das andere Kabel die passende VLAN
zugewisen.
Nein ! Genau nicht !
Lies dir bitte das obige Stament nochmal genau durch und sieh dir die dazu gepostete Testkonfig des Cisco Switches an !!
Dort kannst du doch ganz klar sehen das der Uplink auf den Router (Cisco Port fa 0/3) die einzige Verbindung ist. Da tagged
transportiert sie alle VLANs.
Im Test ist das jetzt so eingestellt. Du kannst aber die /etc/config/network auch so customizen das jeder der 4 Port NON teagged
in einem separtem VLAN ist. Dann musst du natürlich 4 einzelne Strippen ziehen...aber wer will das schon ?!

> Problem wird sein, wenn man mal was verstellen möchte oder noch eine VLAN dazu kommt, dann darf man keinen Fehler
machen.
Yepp...ganz genau !
Deshalb auch der wohlgemeinte Rat einen Mikrotik zu verwenden dafü

Da ist das Risiko erheblich geringer wen nicht
gänzlich weg !

> wegen dem WLAN überhaupt nicht sicher was da sinn macht. Einen einfachen 750 nehmen und lieber neben dem Server noch
einen weiteren AP hinstellen oder gleich einen Mikrotik nehmen mit WLAN integriert.
Wegen des WLANs kann dir das kein Frum der Welt beantworten was du brauchst oder was nicht, das kannst nur du selbst. Die
Mehrkosten eines Mikrotiks mit WLAN sind aber minimalst und du kannst das WLAN deaktivieren im Setup und erstmal nur Kabel
basierend arbeiten.
Solltest du ein WLAN brauchen aktivierst du es. Mit der Option bist du also sicherer.
Nur wenn du eben sagen kannst: WLAN brauch ich NIE...dann solltest du einen Kabel only Version nehmen !

Ok es hätte ja sein können, dass es da unterschiede gibt und der "mit" WLAN nicht so toll ist usw.
Ich könnte also auch den mit WLAN nehmen und das Teil ohne Antennen betreiben? Er muss ja max 3-4 Räume ausstrahlen.

> Wie würde denn das Konzept mit einem Mikrotik aussehen?
Das kannst du hier nachlesen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Beachte dazu unbedingt auch die weiterführenden Links am Ende des Tutorials ! Die erklären (fast) alle Fragen !
Ansonsten hast du ja weiter oben beide möglichen Konzept Grafiken bereits vorliegen !!!

OK, also muss ich doch in Reihe schalten?
So zeigt es dir Grafik im verlinkten Tutorial. Ich orientier mich eher an Grafiken weil ich da mehr drauß nehmen kann.
Dort sind die Grafiken (ohne Rechner und ohne 2 NICs) alle in Reihe.
Also muss ich doch mit der WAN Schnittstelle arbeiten?

Viele Grüße
Manuel

Hallo,

Zitat von @113726:
Gibt es unterschiede vom Jahr her?

Das sind eher Produktbezeichnungen und haben mit Jahreszahlen so viel zu tun wie die Lottozahlen vom letzten Samstag....

Ok es hätte ja sein können, dass es da unterschiede gibt

Ja, es gibt verschiedene Modelle, je nach Geldbeutel und Funktionen....

das Teil ohne Antennen betreiben?

Nein, die Antennen sind doch Integriert (in dein Thread auch nochmals explicit dargestellt). Antennen sind auf jeden fall dran, und einen AP ohne Antennen zu betreiben ist unsinnig, sowohl Empfangs- wie auch Sendemäßig.

Er muss ja max 3-4 Räume ausstrahlen.

Aha, und bei nur ein Zimmer dann noch weniger Antennen?

Gruß,
Peter

Zitat von @113726:

Ich könnte also auch den mit WLAN nehmen und das Teil ohne Antennen betreiben? Er muss ja max 3-4 Räume ausstrahlen.

ohne externe Antennen, wie schon wiederholt in diesem Thread ausgeführt.

Und für die Sendestärke oder Anzahl notwendiger APs ist nicht die Anzahl der Räume maßgeblich, sondern welche "Hindernisse" überwunden werden müssen. Es ist schon ein Unterschied, ob Du Papp-Bürowände "druchleuchten" mußt oder dicke Stahlbetonwände von einem WK2-Bunker.

lks

Gibt es unterschiede vom Jahr her?

Bahnhof ??!!
Was meinst du mit "Jahr" ??

Port als tagged kennzeichnen müssen, die sind aber alle untagged.

Sorry aber da hast du nicht richtig hingesehen !! Sieh dir den Output von swconfig an:
VLAN 10:
vid: 10
ports: 0t 1 4
Das "t" steht für Tagged !!

Ok es hätte ja sein können, dass es da unterschiede gibt und der "mit" WLAN nicht so toll ist usw.

Nein, das wäre Unsinn. Das ist die gleiche HW nur ein WLAN Chip mit zusätzlich drin !

OK, also muss ich doch in Reihe schalten?

Nein, nicht wenn du mit einem "one armed" Szenario arbeitets. Oder meinst du jetzt die Anbindung an das Internet ??
Wenn ja ist das richtig.

Also muss ich doch mit der WAN Schnittstelle arbeiten?

Wie gesagt nur mit Internet. Wenn du rein nur zw. den VLANs routen willst nicht unbedingt.

> Gibt es unterschiede vom Jahr her?
Bahnhof ??!!
Was meinst du mit "Jahr" ??

Sorry mein Fehler, dachte weil du 2011 gesagt hast gibt es vielleicht unterschiede im Baujahr des Mikropik.

> Port als tagged kennzeichnen müssen, die sind aber alle untagged.
Sorry aber da hast du nicht richtig hingesehen !! Sieh dir den Output von swconfig an: VLAN 10:
vid: 10
ports: 0t 1 4
Das "t" steht für Tagged !!

Nunja das t steht inter der 0 und die 0 ist laut Webinterface die CPU. Wenn man einen Port tagged dann steht das t hinter dem jeweiligen Port.

> OK, also muss ich doch in Reihe schalten?
Nein, nicht wenn du mit einem "one armed" Szenario arbeitets. Oder meinst du jetzt die Anbindung an das Internet ??
Wenn ja ist das richtig.
> Also muss ich doch mit der WAN Schnittstelle arbeiten?
Wie gesagt nur mit Internet. Wenn du rein nur zw. den VLANs routen willst nicht unbedingt.

Liebe Leute, ich sehe nicht mehr so richtig durch

Wie ich es im Prinzip umsetze ist mir relativ egal.
Wichtig ist eben das ich mit den APs 2 VLANs habe.
Wie gesagt die Grafik von Jodel32 hat mir sehr geholfen.
Gibt es eine Möglichkeit, dass jemand für einen Mikrotik sowas für mich nochmal erstellt um die Schritte nachvollziehen?
Weil zurzeit sind es zu viel Informationen, die ich nicht zusammenfügen kann

Ich weiß z.B. jetzt nicht, welche "Methode" Vorteilhafter für ein kleines unternehmen wäre, was einfach nur 2 VLANs möchte.

Als IP Bereich nehme ich für die Fritte 192.168.1.0, als VLAN 1 192.168.2.0 und als VLAN 10 192.168.3.0.
Und wie gesagt, beide VLANs sollen ins Internet gehen und sich nicht gegenseitig sehen dürfen bzw. auch die Geräte nicht gegenseitig sehen dürfen.
Das ist das Ziel.

Sorry mein Fehler, dachte weil du 2011 gesagt hast gibt es vielleicht unterschiede im Baujahr des Mikropik.

Nein, das ist ein Modellname. Hättest du nur einmal nachgesehen wäre es dir sofort aufgefallen:
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/Mikrotik- ...
oder wenn du ihn mit einem schönen farbigen Touch Display und Glasfaser SFP Port haben möchtest:
http://varia-store.com/Hardware/MikroTik-Routers/MikroTik-RouterBoard/R ...

Nunja das t steht inter der 0 und die 0 ist laut Webinterface die CPU.

Ja das ist ja die Crux bei dem System das die physische Nummerierung nichts mit der Port Nummerierung im Webinterface zu tun hat. Ist im Text oben bereits mehrfach erwähnt.
Das scheint beim Atheros Chipset bei OpenWRT so üblich zu sein. Pauschla kann ich das aber nicht sagen weil ich das nur bei einem TP-Link 841N gesehen habe aber Angaben im Internet lassen darauf schliessen das das bei allen Modellen so ist die einen AR934X built-in switch Chipsatz verwenden mit 4 Ethernet Ports.
Siehe dazu auch die Ausführungen bei http://www.pakitong.com/2014/11/how-to-tp-link-wr740n-openwrt-separate. ...
Die CPU ist quasi der Systemport.

Was die Grafik und das Design anbetrifft: Halte dich an Jodels Grafik die ist richtig und entspricht 1:1 meiner zweiten Grafik oben.
Beide beschreiben das design was du umsetzen solltest und sind auch konform zum VLAN_Tutorial hier im Forum.

Gibt es eine Möglichkeit, dass jemand für einen Mikrotik sowas für mich nochmal erstellt um die Schritte nachvollziehen?

Ja die Möglichkeit gibt es natürlich !! Mit der Suchfunktion hier hättest du nicht danach fragen müssen:
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
oder
VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216
oder
VLAN mit MicroTik 750G einrichten
Alles einfach zum Aptippen oder Abklicken

Und wie gesagt, beide VLANs sollen ins Internet gehen und sich nicht gegenseitig sehen dürfen bzw. auch die Geräte nicht gegenseitig sehen

Das musst du später mit einer IP Accessregel oder Firewall Regel sperren. Aber erst dann wenn das funktionsfähig rennt bei dir. Bitte NICHT vorher...!

> Nunja das t steht inter der 0 und die 0 ist laut Webinterface die CPU.
Ja das ist ja die Crux bei dem System das die physische Nummerierung nichts mit der Port Nummerierung im Webinterface zu tun hat.
Ist im Text oben bereits mehrfach erwähnt.
Das scheint beim Atheros Chipset bei OpenWRT so üblich zu sein. Pauschla kann ich das aber nicht sagen weil ich das nur bei
einem TP-Link 841N gesehen habe aber Angaben im Internet lassen darauf schliessen das das bei allen Modellen so ist die einen
AR934X built-in switch Chipsatz verwenden mit 4 Ethernet Ports.
Siehe dazu auch die Ausführungen bei http://www.pakitong.com/2014/11/how-to-tp-link-wr740n-openwrt-separate. ...
Die CPU ist quasi der Systemport.

Ok also sind die Ports in der Config nur "Show" und die 0 ist der wichtige Port.
Und ich verbinde dann einen Lan Port als tagged line mit dem Switch (egal welchen?) und den WAN Port mit der Fritzbox.

Was die Grafik und das Design anbetrifft: Halte dich an Jodels Grafik die ist richtig und entspricht 1:1 meiner zweiten Grafik
oben.
Beide beschreiben das design was du umsetzen solltest und sind auch konform zum
VLAN_Tutorial hier im Forum.

Ah Ok also dann doch wieder das Prinzip in Reihe. Also von Fritte in OpenWRT und von openWRT in Switch.

> Und wie gesagt, beide VLANs sollen ins Internet gehen und sich nicht gegenseitig sehen dürfen bzw. auch die Geräte
nicht gegenseitig sehen
Das musst du später mit einer IP Accessregel oder Firewall Regel sperren. Aber erst dann wenn das funktionsfähig rennt
bei dir. Bitte NICHT vorher...!

Ok

Ich habe gerade die einfachste Variante gemacht und einfach einen TP Link Router (mit OEM Firmware) mit alternativen Ip Bereich angesteckt und habe damit auch ein eigenes WLAN, leider ohne VLAN.
ICh werde dann trotzdem noch mal probieren, VLAn in Gang zu bekommen.
Problem ist nur, dass oben erst die Reihenschaltung (so nenn ich es mal) angegangen wurde ohne VLAN.
Dann aber sollte doch mit VLAn (wegen Multi SSID) und Variante 2 wurde angestrebt. Also der OpenWRT extra an den Switch.
Jetzt doch wieder Reihe

Ich muss ja später dann auch noch die den HTTPS und VPN Port zum Server durchschleifen wollen.

Ich lade also die Konfiguration wie vorgeschlagen in den OpenWRT.
Ziehe dann ein Kabel von der Fritte in den OpenWRT (WAN).
Ziehe dann ein Kabel vom OpenWRT (LAN) zum Switch.
Kennzeichne den Switchport am Netgear als tagged (der zum Openwrt)
Mache die statische Routen in der Fritte.
Setze eine Route auf dem OpenWRT zur Fritzbox(?)
Habe ich was vergessen?

Ok also sind die Ports in der Config nur "Show" und die 0 ist der wichtige Port.

Na ja, nicht ganz. Man muss sie immer über einen VLAN Switch Definition mit dem CPU Port koppeln. Das sieht umstaändlich und kompliziert aus bietet aber im Einsatz die größte Flexipilität in allen möglichen Designs.
Macht auf der anderen seite die Konfig nicht gerade trivial wie du ja siehst

Und ich verbinde dann einen Lan Port als tagged line mit dem Switch (egal welchen?) und den WAN Port mit der Fritzbox.

Ja, richtig !
Egal welchen... Ja, aber natürlich nur wenn dieser natürlich für das VLAN tagged konfiguriert ist !! Welchen Port du damit konfigurierst ist freie Wahl. Nur konfiguriert muss er sein !!

Ah Ok also dann doch wieder das Prinzip in Reihe.

Ja !
Du kannst das auch alles über einen Trunk schicken indem du auf dem Switch dann das WAN Port VLAN isolierst, also da nur den Router WAN Port reinlegst und die Fritte.
Ziehst du das aber logisch auseinander hast du ja auch wieder ein Reihendesign.
Besser ist aber du machst das dann mit dedizierten Ports ganz genau wie Kollege jodel32 das oben schon aufgemalt hat.

Ich habe gerade die einfachste Variante gemacht und einfach einen TP Link Router (mit OEM Firmware) mit alternativen Ip Bereich angesteckt

Hilft dir nicht, denn in der Regel ist die NAT Firewall mit der originalen Firmware nicht abschlatbar.
Fazit: Kein transparentes Routing sondern Einbahnstrasse...

Das hilft dir nicht weiter.
So ein Design ist hier in der Alternative 2 (Routerkaskade) beschrieben:
Kopplung von 2 Routern am DSL Port

Dann aber sollte doch mit VLAn (wegen Multi SSID) und Variante 2 wurde angestrebt. Also der OpenWRT extra an den Switch.

So nun nochmals....
Die LAN Seite des Open WRTs, also die die mit den VLANs des Switches korrespondiert MUSS am Switch angeschlossen werden !
Die Seite die Rinchtung Internet geht ist ein dedizierter Port, hat nichts mit den VLANs zu tun, wird geroutet und ist auch am Router ein anderer Port von den 4 vorhandenen.
Ganz genau so wie es auch die Zeichnung vom Kollegen jodel32 oben zeigt !
Nur nochmal um das klarzumachen....

Ich muss ja später dann auch noch die den HTTPS und VPN Port zum Server durchschleifen wollen.

Besser wäre es du würdest das auf dem Router direkt abfackeln..jedenfalls das VPN.
Aber das ist erstmal alles zukünftige ToDos.... Bring doch bitte erstmal das Grundgerüst sicher zum Laufen !!

Ich lade also die Konfiguration wie vorgeschlagen in den OpenWRT.

Nee, die kannst du nicht laden !
Du gehst mit PuTTY auf die SSH Shell des OpenWRT und passt mit dem vi_Editor die oben aufgezeigten Dateien im Verzeichnis /etc/config/ an !

Ziehe dann ein Kabel von der Fritte in den OpenWRT (WAN).

Jau, genau richtig. Fritte LAN Port an OpenWRT WAN oder was als WAN deklariert ist. Denk aber dran das du NAT am OWRT WAN Port abschaltest und einen statische Route auf der Fritte definierst !

Ziehe dann ein Kabel vom OpenWRT (LAN) zum Switch.

Jaaa, genau richtig. Der Switchport muss natürlich tagged für die Vlans eingerichtet sein.

Setze eine Route auf dem OpenWRT zur Fritzbox(?)

Ja eine, nämlich die Default Route reicht !

> Und ich verbinde dann einen Lan Port als tagged line mit dem Switch (egal welchen?) und den WAN Port mit der Fritzbox.
Ja, richtig !
Egal welchen... Ja, aber natürlich nur wenn dieser natürlich für das VLAN tagged konfiguriert ist !! Welchen
Port du damit konfigurierst ist freie Wahl. Nur konfiguriert muss er sein !!

Ok also setze ich dann hinter dem passenden Port einfach noch ein t in der Config oder mach es über das Webinterface?
Wenn ich jetzt beispielsweiße Port 1 wähle. Dieser ist in deiner Config oben VLAN10 zugeordnet.
Ich lasse das also alles so und setze den Port 1 dann nur tagged bei beiden VLANs?

Besser ist aber du machst das dann mit dedizierten Ports ganz genau wie Kollege jodel32 das oben schon aufgemalt hat.

Ok dann halte ich mich mit deiner Config noch mal genau an die Grafik von @114757.

> Ich habe gerade die einfachste Variante gemacht und einfach einen TP Link Router (mit OEM Firmware) mit alternativen Ip
Bereich angesteckt
Hilft dir nicht, denn in der Regel ist die NAT Firewall mit der originalen Firmware nicht abschlatbar.
Fazit: Kein transparentes Routing sondern Einbahnstrasse...

Das hilft dir nicht weiter.
So ein Design ist hier in der Alternative 2 (Routerkaskade) beschrieben:
Kopplung von 2 Routern am DSL Port

Also zumindest funktioniert es so, dass ich 2 getrennte WLAN Netze habe und sich die IPs untereinander nicht sehen.
Ich kann aber jetzt kein VLAn nutzen, ergo kein Multi-SSID.

Die LAN Seite des Open WRTs, also die die mit den VLANs des Switches korrespondiert MUSS am Switch angeschlossen werden !

Jap

Die Seite die Rinchtung Internet geht ist ein dedizierter Port, hat nichts mit den VLANs zu tun, wird geroutet und ist auch am
Router ein anderer Port von den 4 vorhandenen.

Jap der WAN Anschluss.

> Ich muss ja später dann auch noch die den HTTPS und VPN Port zum Server durchschleifen wollen.

Besser wäre es du würdest das auf dem Router direkt abfackeln..jedenfalls das VPN.
Aber das ist erstmal alles zukünftige ToDos.... Bring doch bitte erstmal das Grundgerüst sicher zum Laufen !!

> Ich lade also die Konfiguration wie vorgeschlagen in den OpenWRT.
Nee, die kannst du nicht laden !
Du gehst mit PuTTY auf die SSH Shell des OpenWRT und passt mit
dem vi_Editor die oben aufgezeigten Dateien im Verzeichnis /etc/config/ an !

Ja sorry war blöd von mir geschrieben. ICh weiß, dass ich die Config nicht einfach laden kann sondern mit Putty ran muss, ist ja kein Problem.

> Ziehe dann ein Kabel von der Fritte in den OpenWRT (WAN).
Jau, genau richtig. Fritte LAN Port an OpenWRT WAN oder was als WAN deklariert ist. Denk aber dran das du NAT am OWRT WAN Port
abschaltest und einen statische Route auf der Fritte definierst !

Ok, das NAT heißt ja bei OpenWRT "Masquerading". Verstanden.

> Ziehe dann ein Kabel vom OpenWRT (LAN) zum Switch.
Jaaa, genau richtig. Der Switchport muss natürlich tagged für die Vlans eingerichtet sein.

> Setze eine Route auf dem OpenWRT zur Fritzbox(?)
Ja eine, nämlich die Default Route reicht !

Kannst du bitte das noch mal kurz erklären.
Ich habe in der Grundinstallation von OpenWRT keine einzige statische Route hinterlegt.
Ich lege mir also eine an. Interface ist dann WAN, richtig?
Trage dann als Bereich den IP-Bereich der Fritzbox ein?
Und Gateway ist dann die Fritzbox, richtig?

Ok also setze ich dann hinter dem passenden Port einfach noch ein t in der Config oder mach es über das Webinterface?

Das geht nicht auf dem Webinterface, nur über die Shell. Der interne Switch ist übers WebGUI nicht customizebar.
Jedenfalls bei meinem TP-Link 841N. Leider hab ich keine andere Vergleichsmöglichkeit wie das bei anderer HW gelöst ist und obs da geht

Über die Shell gehts aber immer. Versuch macht klug

Ich kann aber jetzt kein VLAn nutzen, ergo kein Multi-SSID.

Wie meinst du das ?? Aktuelle kannst du es nicht weil du es noch nicht eingerichtet hast, oder wie ??
Wenn du einen VLAN Switch hast und einen Multi SSID AP kannst du ja wenigstens schon mal 80% einrichten, VLANs auf dem Switch, Ports zuweisen, AP mit Multi SSID konfigurieren und SSID zu VLAN mappen usw.
Dann kannst du die einzelnen VLANs und die dazu korrespondierenden WLAN SSIDs schon mal zu Fuß austesten ob das sicher funktioniert.
So kannst du wenigstens aussschliessen das du da Fehler im Layer 2 Setup gemacht hast.
Das würde deinen Test erheblich erleichtern, denn so musst du dich ausschliesslich nur auf den OpenWRT (oder den Mikrotik) konzentrieren !

Ich habe in der Grundinstallation von OpenWRT keine einzige statische Route hinterlegt.

Kardinalsfehler !!!
Der OpenWRT muss doch zwnagsweise eine Default Route auf die Fritte haben !! Für alle Endgeröte in den VLANs ist der OpenWRT ja der Router den sie sehen als Default Gateway.
Hat der keinen Route zur Fritte also damit keine Route ins Internet ist Schicht im Schacht, denn WOHER soll er wissen wo er Pakete ins Internet hinschicken soll ohne diese Route.
Logisch ! und kommt man auch von selbst drauf wenn man mal ein klein wenig nachdenkt wie die IP Pakete sich im Netzwerk bewegen !
Also ganz einfach:

Default Route im Open WRT auf die IP der Fritte die am WAN Port des OpenWRT angeschlossen ist
Wenn du auf dem OpenWRT mit Masquerading (NAT) arbeitest brauchst du keine Route dort. Nur wenn du kein NAT machst.

Lies dir bitte dieses Tutorial durch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und danch die NAT Variante !
Die erklärt ganz genau den Untersched zw. NAT und nicht NAT !

Über die Shell gehts aber immer. Versuch macht klug

Also ich kann im Webinterface bei Switch die Ports jeweils konfigurieren. Ich kann jeden einzelnen Port tagged, untagged oder off setzen.

> Ich kann aber jetzt kein VLAn nutzen, ergo kein Multi-SSID.
Wie meinst du das ?? Aktuelle kannst du es nicht weil du es noch nicht eingerichtet hast, oder wie ??

Ich meine aktuell mit der Variante TP-Link Router im extra IP Bereich ohne OpenWRT etc..

SSID zu VLAN mappen usw.

Könntest du das noch mal kurz erklären? Was ist mit Mappen gemeint?

Dann kannst du die einzelnen VLANs und die dazu korrespondierenden WLAN SSIDs schon mal zu Fuß austesten ob das sicher
funktioniert.
So kannst du wenigstens aussschliessen das du da Fehler im Layer 2 Setup gemacht hast.

Das würde deinen Test erheblich erleichtern, denn so musst du dich ausschliesslich nur auf den OpenWRT (oder den Mikrotik)
konzentrieren !

OK klingt gut, das kann ich so erst mal testen.

Also ganz einfach:

Default Route im Open WRT auf die IP der Fritte die am WAN Port des OpenWRT angeschlossen ist

Achse das habe ich gemacht bei meinem Test. Es klang immer so, als wäre eine Default Route schon vorkonfiguriert, aber ich habe nie eine Route gesehen.
Ok mache ich.

* Wenn du auf dem OpenWRT mit Masquerading (NAT) arbeitest brauchst du keine Route dort. Nur wenn du kein NAT machst.
Lies dir bitte dieses Tutorial durch:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und danch die NAT Variante !
Die erklärt ganz genau den Untersched zw. NAT und nicht NAT !

Ich habe mir das Tutorial durchgelesen bin aber nur etwas schlau geworden.
Also besser ist wohl immer ohne NAT.
Es ist also so, dass ich ohne NAT auch ggf. Geräte von einem auf den anderen IP Bereich freigeben kann.
Mit aktivem NAT geht das nicht, da Einbahnstraße, richtig?
Eigentlich muss ich nichts freigeben, die Option zu haben wäre aber nicht verkehrt.

Also ich kann im Webinterface bei Switch die Ports jeweils konfigurieren.

Ja, die Ports des Routers aber nicht die des internen Switch Chips. Auf den kannst du nur über die Shell zugreifen.
Wie gesagt das musst du testen. Bei dem OpenWRT Router hier auf Basis der TP-Link 841N Hardware ist das im WebGUI nicht möglich, da muss man die Shell bemühen.
Das kann bei anderer Hardware anders sein !! Versuch macht klug !

Ich meine aktuell mit der Variante TP-Link Router im extra IP Bereich ohne OpenWRT etc..

OK, wenn der keine VLANs supportet (Tagging) dann ist das klar, dann kannst du das natürlich nicht !

Könntest du das noch mal kurz erklären? Was ist mit Mappen gemeint?

Mapping ist Englisch und bedeutet soviel wie "Zuweisung". Ein Mapping ist also die statische Zuweisung einer SSID auf eine VLAN ID.
Sorry für das Denglisch wenn das dir nicht geläufig ist.

Es klang immer so, als wäre eine Default Route schon vorkonfiguriert, aber ich habe nie eine Route gesehen.

Nein, das ist natürlich Unsinn. Wo soll die Route denn herkommen ?
Normal wird die dynamisch per PPPoE vom Provider übertragen ! Da du ja kein PPPoE machst musst du sie wohl oder übel statisch definieren !
netstat -r zeigt dir immer die aktuelle Routing Tabelle des Routers an.

Also besser ist wohl immer ohne NAT.

Ja, denn NAT bedeutet immer ein einseitiges Routing, da andersrum Traffic die NAT Firewall nicht überwinden kann.
Manchmal kann man es aber nicht vermeiden wenn die Router HW das NAT nicht deaktivieren kann im Setup.

Es ist also so, dass ich ohne NAT auch ggf. Geräte von einem auf den anderen IP Bereich freigeben kann.

Du musst gar nichts freigeben. Ohne NAT kann jeder mit jedem routen.

Mit aktivem NAT geht das nicht, da Einbahnstraße, richtig?

Ja, das geht dann nicht !

Eigentlich muss ich nichts freigeben, die Option zu haben wäre aber nicht verkehrt.

OK, wenn du nur Traffic in Richtung Internet hast dann lass NAT erstmal an, das stört dann nicht !
Erstmal so wenig Veränderung wie möglich, denn das bringt dich bloss wieder aus dem Tritt !

Ja, die Ports des Routers aber nicht die des internen Switch Chips. Auf den kannst du nur über die Shell zugreifen.
Wie gesagt das musst du testen. Bei dem OpenWRT Router hier auf Basis der TP-Link 841N Hardware ist das im WebGUI nicht
möglich, da muss man die Shell bemühen.
Das kann bei anderer Hardware anders sein !! Versuch macht klug !

Kannst du das bitte noch mal für Dumme erklären

Also ich habe in der Shell ja die 0 als t gekennzeichnet und jeweils 2 der LAN Ports einer VLAN zugeordnet.
Jetzt verbinde ich also den openWRT mit dem Switch und nehme irgendeinen der 4 Ports.
Muss ich jetzt noch am OpenWRT irgendwas als tagged kennzeichnen?
Oder ist diese Denkweiße richtig:
Ich nehme irgendeinen Port zum Switch. Durch das tagged Signal vom AP erkennt der OpenWRT automatisch, welche VLAN es ist.
Möchte ich jetzt z.B. einen permanetnen Zugriff von einem Rechnerclient aus haben, müsste ich z.B. noch einen LAN Port von VLAn 1 mit dem Switch verbinden.
Aber durch den AP erkennt er automatisch die VLAN.
Ist das so korrekt?

> Also besser ist wohl immer ohne NAT.
Ja, denn NAT bedeutet immer ein einseitiges Routing, da andersrum Traffic die NAT Firewall nicht überwinden kann.
Manchmal kann man es aber nicht vermeiden wenn die Router HW das NAT nicht deaktivieren kann im Setup.

Ok also sehen sich MIT NAt die Geräte sowieso nicht, es gibt dann aber auch keine möglichkeit was für den anderen Freizugeben.
OHNE NAT können sich die Geräte sehen (also gegenseitig pingen), es lässt sich also auch mal ein Drucker freigeben. Dafür kann ich dann selbstständig über die Firewall sperren was ich möchte. Richtig?

__

Ich habe jetzt gerade den OpenWRT noch mal konfiguriert.
Genau nach deiner Konfig oben.
Dabei fiel mir folgendes auf:
- bei mir ist die LAN Seite nicht eth1 sondern eth0, also habe ich auch eth0.1 und eth0.10 angelegt. Hoffe das war richtig.
- bei mir ist der switch mit "switch0" benannt, den habe ich jetzt nicht umbenannt zu eth1 nzw eth0 und so gelassen. Ist ja eh bloß der Name oder?

Es ist jetzt so, dass ich bei den verschiedenen LAn Ports auch verschiedene IPs erhalte, was ja aufgrund des zweiten IP Bereiches richtig ist.
Ich werde dann einen AP erst mal mit dem Switch verbinden und dort testen. Da aber noch kein OpenWRT etc angeschlossen ist, dürfte da noch nicht viel passieren.
Theoretisch müsste ich ja mit der derzeigien internen IP ins Internet können dann über dem AP. Mit der Gast IP dürfte das dann noch nicht gehen. Oder?
OpenWRT schließe ich dann erst an, wenn das klappt. Ebenso hat die Fritzbox noch die gleiche interne IP, wie das Produktivnetz.

Kannst du das bitte noch mal für Dumme erklären

Beisse dich bitte nicht so fest daran. Das kann einzig nur auf dem TP-Link 841N so sein mit dem internen Atheros AX95xx Chipset. Das MUSS auf anderer HW nicht so sein !!!
Du kannst das auf dem 841 auch sofort sehen. Die Linkanzeige der Ports im Switch auf der Rückseite korrespondiert NICHT mit der Portbezeichnung des internen Chipsets. Dort entspricht z.B. Port 1 im Routergehäuse dem logischen Port 4 des Chipsets was die ganze Sache nicht eben einfacher macht.
Den Chipset kann man aber nur mit dem swconfig Befehl einstellen nicht über das GUI.
Wie gesagt: Das mag eine Besonderheit rein des 841N sein und MUSS nicht für andere HW Plattformen gelten !! Ich habe keinerlei Vergleichsmöglichkeiten, da ich nur den 841 zum Testen habe hier.
Das Beispiel oben mit einem VLAN lässt 2 Switchports des Switches im VLAN 1 laufen und 2 im VLAN 10 einer liefert VLAN 10 tagged aus (Port 4 im Gehäuse)
Das kannst du aber in deinem Setup vollkommen frei gestalten wo du was ausgeben willst.

Durch das tagged Signal vom AP erkennt der OpenWRT automatisch, welche VLAN es ist.

Nein, nicht ganz. Der VLAN Tag am Paket hat ja die VLAN ID in sich. Der OpenWRT hat ja auch ein tagged Interface (sonst könnte er das VLAN Tag gar nicht lesen) dadurch liest er den Tag weiss für welches Interface das ist und gut ist.
Wichtig ist das beide Seiten Tagging machen !

Aber durch den AP erkennt er automatisch die VLAN.

Nein, durch das VLAN Tagging erkennt der Switch automatisch das VLAN ! Steht in der ID eine 10 weiss der Switch das er dieses Paket in VLAN 10 forwarden muss...so einfach ist das ! Die VLAN ID zeigt dem Empfänger sofern er tagged Frames lesen kann für welches VLAN das empfangene Paket ist !
Der AP tagged ja die Pakete je nach SSID und so weiss der Switch für welches VLAN es ist.
Auf dem Uplink zum OpenWRT tagged der Switch dann die Pakete je nach VLAN und der OpenWRT erkennt an der VLAN ID wieder für welches Segment das Paket ist...das ist die ganze Magie dahinter... !

Ok also sehen sich MIT NAt die Geräte sowieso nicht

Doch die sehen sich aber eben nur in eine Richtung ! Bitte lies die Grundlagen dazu:
http://de.wikipedia.org/wiki/Network_Address_Translation

OHNE NAT können sich die Geräte sehen (also gegenseitig pingen), es lässt sich also auch mal ein Drucker freigeben. Dafür kann ich dann selbstständig über die Firewall sperren was ich möchte. Richtig?

Das ist so richtig, ja !

bei mir ist die LAN Seite nicht eth1 sondern eth0, also habe ich auch eth0.1 und eth0.10 angelegt. Hoffe das war richtig.

Das mag so sein, wie gesagt jede HW ist da etwas anders. Wichtig ist erstmal nur das das unterschiedlich ist !

bei mir ist der switch mit "switch0" benannt

Das ist auch richtig so und ist oben beim 841N ja auch so wie du unschwer erkennen kannst. Dürfte generell so sein beim OpenWRT.

Ich werde dann einen AP erst mal mit dem Switch verbinden und dort testen.

Genau ! Das ist erstmal der richtige Weg und Schritt !!
Das wasserdicht testen das die SSID zu VLAN Zuordnung klappt und dann weitermachen....

Da aber noch kein OpenWRT etc angeschlossen ist, dürfte da noch nicht viel passieren.

Das ist ja erstmal egal !
Du kannst jedenfalls wasserdicht testen das die SSID VLAN Zuordnung klappt und das die Pakete in die richtigen VLANs übertragen werden. Das ist essentiell wichtig für die spätere Routing Funktion zw. den VLANs.

Theoretisch müsste ich ja mit der derzeigien internen IP ins Internet können dann über dem AP. Mit der Gast IP dürfte das dann noch nicht gehen.

Ja, ganz genau ! Das Gast VLAN kannst du aber auch austesten wenn du einem Testgerät dort mal ne statische IP gibst und checkst ob du dann via WLAN pingen kannst.

Du kannst das auf dem 841 auch sofort sehen. Die Linkanzeige der Ports im Switch auf der Rückseite korrespondiert NICHT mit
der Portbezeichnung des internen Chipsets. Dort entspricht z.B. Port 1 im Routergehäuse dem logischen Port 4 des Chipsets was
die ganze Sache nicht eben einfacher macht.

Das ist bei mir auch so, also die Bezcihnungen stimmen nicht überein.

Den Chipset kann man aber nur mit dem swconfig Befehl einstellen nicht über das GUI.

Jawohl

Das Beispiel oben mit einem VLAN lässt 2 Switchports des Switches im VLAN 1 laufen und 2 im VLAN 10 einer liefert VLAN 10
tagged aus (Port 4 im Gehäuse)

Und hier beisst es sich schon wieder.
2 LAN Ports VLAn 1
2 LAN Ports VLAN 10
Das habe ich verstanden und ist auch so konfiguriert.
Aber du schreibst, dass einer VLAN 10 tagged ausliefert (Port 4)
Woran sehe ich das? Warum port 4? Wo sehe ich, dass Port 4 tagged ist? Wenn alle 4 LAN Ports untagged (je2/VLAN) sind (laut Shell und Weboberfläche), wie kann dann Port 4 zusätzlich tagged sein?
Erklärt mich für dumm aber da blicke ich noch nicht durch.
Klar haben wir ein t hinter dem Port 0 gemacht, aber warum ist Port 0 = Port 4?

> Aber durch den AP erkennt er automatisch die VLAN.
Nein, durch das VLAN Tagging erkennt der Switch automatisch das VLAN ! Steht in der ID eine 10 weiss der Switch das er dieses
Paket in VLAN 10 forwarden muss...so einfach ist das ! Die VLAN ID zeigt dem Empfänger sofern er tagged Frames lesen kann
für welches VLAN das empfangene Paket ist !
Der AP tagged ja die Pakete je nach SSID und so weiss der Switch für welches VLAN es ist.
Auf dem Uplink zum OpenWRT tagged der Switch dann die Pakete je nach VLAN und der OpenWRT erkennt an der VLAN ID wieder für
welches Segment das Paket ist...das ist die ganze Magie dahinter... !

Ok verstanden.

> OHNE NAT können sich die Geräte sehen (also gegenseitig pingen), es lässt sich also auch mal ein Drucker
freigeben. Dafür kann ich dann selbstständig über die Firewall sperren was ich möchte. Richtig?
Das ist so richtig, ja !

Ok also wenn ich doch von vornherein sage, dass ich später einen netzwerkdrucker für das Gastnetz freigeben möchte, muss ich NAT deaktivieren?

> bei mir ist der switch mit "switch0" benannt
Das ist auch richtig so und ist oben beim 841N ja auch so wie du unschwer erkennen kannst. Dürfte generell so sein beim
OpenWRT.

Falsch, du hast oben bei "config switch" unter name den Namen umbenannt zu eth1 (bei mir habe ich den auf switch0 gelassen).
Dürfte aber denke ich keine Auswirkung haben.

> Da aber noch kein OpenWRT etc angeschlossen ist, dürfte da noch nicht viel passieren.
Das ist ja erstmal egal !
Du kannst jedenfalls wasserdicht testen das die SSID VLAN Zuordnung klappt und das die Pakete in die richtigen VLANs
übertragen werden. Das ist essentiell wichtig für die spätere Routing Funktion zw. den VLANs.

Naja aber ich bekomem ja auch noch keine IP gestellt. Da muss ich (solange der Openwrt noch NIChT dran hängt) erst mal mit fester IP arbeiten.
DHCP für das Gastnetz macht ja der openWRT, DHCP für das Produktivnetz macht der Server.

> Theoretisch müsste ich ja mit der derzeigien internen IP ins Internet können dann über dem AP. Mit der Gast IP
dürfte das dann noch nicht gehen.
Ja, ganz genau ! Das Gast VLAN kannst du aber auch austesten wenn du einem Testgerät dort mal ne statische IP gibst und
checkst ob du dann via WLAN pingen kannst.

ui ui ui, gar nicht so ohne.
Dieser blöde Netgear Switch und die doppelte PVID Zuordnung

Aber jetzt rennt das eine schon mal.
Das heißt, AP ist am Switch dran und die VLAn zuordnung klappt.

Ich kann sowohl im internen WLAn als auch im gäste WLAN jeweils Geräte des eigenen Netzes pingen.
Gegenseitig pingen, also von einem WLAN auf ein Gerät des anderen Netzes, kann ich nicht. Das ist ja normal, da ich noch keinen Router angeschlossen habe.
Damit sollte das schon mal richtig eingerichtet sein.
Was mich noch interessiert:
Wenn ich jetzt einen Drucker habe (später mit dem openWRT dann) der im Produktivnetz steht.
Dann hat dieser ja am Switch einen untagged Port, VLAN1. Vom Produktivnetz könnte ich dann ja ohne Probleme pingen, vom Gästenetz natürlich nicht.
Ist das korrekt? Ich müsste also dann mittels Firewall das eine Gerät freigeben für das andere Netz? Oder ne, falsch. Das wird dann durch das deaktivierte NAT von alleine passieren, dass sich die Geräte gegenseirig sehenm,richtig?
Und ich sperre dann per Firewall die Geräte, die sich nicht sehen dürfen.
Wie läuft das dann mit DHCP? Ich kann ja nicht allen Gästen eine statische IP geben. Aber die sollen natürlich sich auch "nicht" gegenseitig sehen können.

Warum port 4?

Das hab ich gewürfelt

Das ist vollkommen Latte welchen Port du nimmst. Der Übersicht hab ich einen genommen der "ganz am Rand" ist.
Das ist aber völlig frei wählbar !

Erklärt mich für dumm aber da blicke ich noch nicht durch.

Nein, das liegt auch nicht an dir sondern an dem etwas kranken Konzept vom OpenWRT was man erstmal durchschauen muss. Zusätzlich dann die limitierten Optienen dieser billigen Switch Chipsets. Alles zusammen nicht trivial.
Deshalb hier nochmals der Appell es besser mit einem Mikrotik zu versuchen !!!
Dort hast du ein garantiertes Erfolgserlebnis mal abgesehen von der erheblich besseren logischen Konfig Übersicht ! Dort passt wenigstens Port zu Konfig !!!

Ok also wenn ich doch von vornherein sage, dass ich später einen netzwerkdrucker für das Gastnetz freigeben möchte, muss ich NAT deaktivieren?

Nicht wenn der Drucker in einem der VLANs hängt, denn dort routet der Router ja ohne NAT. NAT macht er ja nur auf dem Port Richtung Fritte.
Solange du dort nichts erreichen musst befindest du dich in einen NAT freien Zone

du hast oben bei "config switch" unter name den Namen umbenannt zu eth1

Nein, nur den Port. switch0 ist ein Device Name den man nicht so ohne weiteres ändern kann. Kannst du auch am Output von: swconfig dev switch0 show sehen. Dort steht ja wieder switch0.

Naja aber ich bekomem ja auch noch keine IP gestellt.

Na ja nur zum Testen kannst du dir ja eine erstmal frei ausdenken und statisch auf den Testsystemen einrichten wie 10.0.0.1 /24 und 10.0.0.2 /24 z.B. Dient ja erstmal nur dazu die Layer 2 Connectivity und das VLAN Tagging des APs sicher zu testen !
Was du später im Live Betrieb IP mässig darauf machts ist ja erstmal völlig egal.

Dieser blöde Netgear Switch und die doppelte PVID Zuordnung

Ja, das ist megakrank bei NetGear ! Ist auch der einzige Hersteller der es so kompliziert macht und ein triftiger Grund bei VLANs kein NetGear Geraffel zu kaufen...niemals !
Halt dich aber an das VLAN_Tutorial ! Dort steht genau wie man das NetGear VLAN Mysterium löst !

AP ist am Switch dran und die VLAn zuordnung klappt.

Röchel....endlich !

Ich kann sowohl im internen WLAn als auch im gäste WLAN jeweils Geräte des eigenen Netzes pingen.

Ächz.. Heureka !! Ein Etappensieg !

Gegenseitig pingen, also von einem WLAN auf ein Gerät des anderen Netzes, kann ich nicht. Das ist ja normal, da ich noch keinen Router angeschlossen habe.

Genau richtig !

Wenn ich jetzt einen Drucker habe (später mit dem openWRT dann) der im Produktivnetz steht. Dann hat dieser ja am Switch einen untagged Port, VLAN1. Vom Produktivnetz könnte ich dann ja ohne Probleme pingen, vom Gästenetz natürlich nicht.

Das ist korrekt und genau richtig ! VLANs sind vollkommen getrennte L2 Domains. Ohne L3 Switch, Router oder FW dazwischen is da nix.

Ich müsste also dann mittels Firewall das eine Gerät freigeben für das andere Netz?

Nein ! Es reicht schon wenn Routing aktiviert ist dann können sich alle erstmal erreichen.
Wenn du nicht willst das jeder mit jedem können soll sondern nur mit dem Router, dann setzt du einen IP Accessliste oder eine Firewall Regel auf.

Wie läuft das dann mit DHCP? Ich kann ja nicht allen Gästen eine statische IP geben.

Das kannst du machen und steht dir frei nur dann kommen die Gäste alle naslang bei dir rum und fragen nach IPs. Das wird dir nach kurzer Zeit auf den Sack gehen und da ist es dann besser du aktivierst DHCP im Gastnetz.
Das sich nicht "gegenseitig sehen" ist immer eine Funktion des AP und nennt sich "WLAN isolation" ! Ist ein Häkchen im Setup des APs, das unterbindet dann any zu any Kommunikation im WLAN.

> Warum port 4?
Das hab ich gewürfelt

Das ist vollkommen Latte welchen Port du nimmst. Der Übersicht hab ich einen genommen
der "ganz am Rand" ist.
Das ist aber völlig frei wählbar !

ahh OK

> Ok also wenn ich doch von vornherein sage, dass ich später einen netzwerkdrucker für das Gastnetz freigeben
möchte, muss ich NAT deaktivieren?
Nicht wenn der Drucker in einem der VLANs hängt, denn dort routet der Router ja ohne NAT. NAT macht er ja nur auf dem Port
Richtung Fritte.
Solange du dort nichts erreichen musst befindest du dich in einen NAT freien Zone

Ja er hängt im VLAN1. Dann ist ja alles gut, verstanden .-)

> du hast oben bei "config switch" unter name den Namen umbenannt zu eth1
Nein, nur den Port. switch0 ist ein Device Name den man nicht so ohne weiteres ändern kann. Kannst du auch am Output von:
swconfig dev switch0 show sehen. Dort steht ja wieder switch0.

OK aber trotzdem hast du über die Shel eingetragen:
config switch
option name 'eth1'
option reset '1'
option enable_vlan '1'

und bei option name steht bei mir 'switch0'
aber das dürfte ja dann wirklich egal sein.

> Ich müsste also dann mittels Firewall das eine Gerät freigeben für das andere Netz?
Nein ! Es reicht schon wenn Routing aktiviert ist dann können sich alle erstmal erreichen.
Wenn du nicht willst das jeder mit jedem können soll sondern nur mit dem Router, dann setzt du einen IP Accessliste oder eine
Firewall Regel auf.

Ok das habe ich jetzt auch verstanden.
Sobald ich den OpenWRT Router anklemme und eingerichtet habe, können sich beide VLANs sehen und jeder kann auf jeden Zugreifen und anpingen.
Das wiederrum kann ich dann individuell mit der Firewall unterbinden.

> Wie läuft das dann mit DHCP? Ich kann ja nicht allen Gästen eine statische IP geben.
Das kannst du machen und steht dir frei nur dann kommen die Gäste alle naslang bei dir rum und fragen nach IPs. Das wird dir
nach kurzer Zeit auf den Sack gehen und da ist es dann besser du aktivierst DHCP im Gastnetz.

Ne genauso mein ich das, also ich würde dann im VLAN1 DHCP über dem Server laufen lassen und im VLAN10 DHCP über den OpenWRT laufen lassen.
DHCP lass ich aufjedenfall aktiv.

Das sich nicht "gegenseitig sehen" ist immer eine Funktion des AP und nennt sich "WLAN isolation" ! Ist
ein Häkchen im Setup des APs, das unterbindet dann any zu any Kommunikation im WLAN.

Oki perfekt, gefunden. Das beschreibt aber "nur" das "gegenseitige sehen" der WLAN Clients, richtig? Also ich kann dann trotzdem noch auf die eigenen Netzgeräte zugreifen, korrekt?

Ich glaube langsam wirds :D

Oki perfekt, gefunden. Das beschreibt aber "nur" das "gegenseitige sehen" der WLAN Clients, richtig? Also ich kann dann trotzdem noch auf die eigenen Netzgeräte zugreifen, korrekt?

Ja, richtig ! In Richtung LAN Port ist alles frei !

So liebe Freunde

Ich habe einen kleinen Sieg zu vermerken.

Die 2 VLANs laufen. Getrennte IP Bereiche. Jedes Gerät kann die anderen Geräte (egal welcher IP Bereich) pingen.
Alle Geräte können die Fritzbox pingen.
Das Produktivnetz hat Internetzugang.
Leider komme ich mit dem Gastnetz nicht ins Internet

Um Fehlerquellen auszuschließen habe ich den AP und den Switch mal außen vor gelassen (d.h. abgesteckt)
Ich haben 2 WLAN SSIDs am OpenWRT angelegt, jeweils eine SSID in einem VLAN.
Aber selbst so bekomme ich mit dem GastWLAN kein Internet hin.
Die statischen Routen auf der Fritte sind vorhanden.
Statische Routen am OpenWRT habe ich nicht, da ich NAT aktiv habe am WAN interface. Aber auch hier habe ich alles herumgetestet (mit NAT, ohne NAT, mit Route am OpenWRT, ohne Route etc). Auch mit der Firewall habe ich verschiedenes ausprobiert, sogar komplett deaktiviert. Vergeblich.
Also hier weiß ich jetzt gerade nicht, wo ich weiter anpacken soll, um das Problem zu lösen. Komisch ist eben, dass ich die Fritte gingen kann, aber kein Internet bekomme.

Dann habe ich mich kurz der Postweiterleitung gewidmet.
Ich bin mir nicht sicher, ob meine Denkweise richtig ist. Aber früher habe ich direkt von der Fritte auf dem Server den Port 443 z.b. geleitet. Nun muss ich von der Fritte den Port zum OpenWRT leiten und vom OpenWRT zum Server.
Aufjedenfall funktioniert das schon mal.
Das gleiche habe ich mit dem VPN Port gemacht, aber da bekomme ich keine VPN Verbindung zustande. (Ich weiß, man kann das direkt in der Fritte nutzen, Abrede muss meine IT Firma auch umstellen, deshalb wohnte ich es erstmal mit Port 1723 machen, wie vorher)

Oben pack ich euch dazu noch mal ein paar Bilder rein zu meiner Konfig. Könnt ihr euch das bitte mal anschauen, wo der Fehler liegen könnte.

Viele Grüße
Manuel

Hallo,

Zitat von @113726:
Getrennte IP Bereiche. Jedes Gerät kann die anderen Geräte (egal welcher IP Bereich) pingen.

Sollte dein Gast Netz eben nicht auf dein Produktiv Netz zugreifen dürfen?

Leider komme ich mit dem Gastnetz nicht ins Internet

Darf dort denn http bzw. https gemacht werden? Bedenke, Firewall ist erst mal alles verboten was du nicht explicit erlaubst....

die Fritte gingen kann, aber kein Internet bekomme.

Ping macht ICMP, Surfen ist aber TCPIP mit Port 80 bzw. 443. Nur weil ICMP geht, bedeutet diese nicht das auch http oder https geht - Firewall.

Nun muss ich von der Fritte den Port zum OpenWRT leiten und vom OpenWRT zum Server.

Nun, du hast ja jetzt auch eine Routerkaskade, da ist das dann eben so...

deshalb wohnte

Wohnte?

ich es erstmal mit Port 1723 machen, wie vorher)

VPN Server ist dann dein SBS? Und du nutzt dann PPTP als VPN? Dann hast du das GRE Protokoll (nein, nicht TCP/IP Port) vergessen. PPTP benötigt zwingend Port 1723 und das GRE Protokoll. Bei ~~Fritte und~~ manch ein anderer Router wird eben durch Portweiterleitung von TCPIP 1723 dann das GRE automatisch hinzugefügt. Deinen OpenWRT wirst du es wohl noch sagen müssen das GRE weitergereicht werden soll ....

Gruß,
Peter

> Getrennte IP Bereiche. Jedes Gerät kann die anderen Geräte (egal welcher IP Bereich) pingen.
Sollte dein Gast Netz eben nicht auf dein Produktiv Netz zugreifen dürfen?

Das ist richtig, das kann ich aber dann im nachhinein noch alles einrichten. Wenn erst mal alle auf alles zugreifen können dann ist das OK. Somit schließe ich sicherlich erst mal die meisten Fehler aus.

> Leider komme ich mit dem Gastnetz nicht ins Internet

Darf dort denn http bzw. https gemacht werden? Bedenke, Firewall ist erst mal alles verboten was du nicht explicit erlaubst....

Wo müsste ich da was noch einstellen? Ich habe erst mal nur die Einstellung gemacht, die @aqui oben gepostet hat. Wie erlaube ich http/https?
Ich hatte die Firewall auf dem OpenWRT ja auch komplett ausgeschalten (/etc/init.d/firewall stop bzw disable), aber auch das half nichts.

> die Fritte gingen kann, aber kein Internet bekomme.
Ping macht ICMP, Surfen ist aber TCPIP mit Port 80 bzw. 443. Nur weil ICMP geht, bedeutet diese nicht das auch http oder https
geht - Firewall.

Auch hier die Frage, wo muss ich da was einstellen?
Ich habe erst mal in der Firewall (wie Bild oben) alles auf accept gestellt.

> Nun muss ich von der Fritte den Port zum OpenWRT leiten und vom OpenWRT zum Server.
Nun, du hast ja jetzt auch eine Routerkaskade, da ist das dann eben so...

Ja das ist nicht so schlimm, ich muss es nur verstehen. Aber dann habe ich ja richtig gedacht

> ich es erstmal mit Port 1723 machen, wie vorher)
VPN Server ist dann dein SBS? Und du nutzt dann PPTP als VPN? Dann hast du das GRE Protokoll (nein, nicht TCP/IP Port) vergessen.
PPTP benötigt zwingend Port 1723 und das GRE Protokoll. Bei Fritten und mach anderer Router wird eben durch Portweiterleitung
von TCPIP 1723 dann das GRE automatisch hinzugefügt. Deinen OpenWRT wirst du es wohl noch sagen müssen das GRE
weitergereicht werden soll ....

OK danke für die Info, das muss ich am Montag dann mal kontrollieren. Irgendwie muss dann bei der Portweiterleitung ja auch GRE sein.

Statische Routen am OpenWRT habe ich nicht, da ich NAT aktiv habe am WAN interface.

Das ist schlicht FALSCH und oben schon mehrfach besprochen worden !
Du benötigst zwingend eine statische Default Router auf dem Open WRT zur FB, egal ob NAT oder nicht !

Komisch ist eben, dass ich die Fritte gingen kann, aber kein Internet bekomme.

Also wenn du von beiden VLANs die Fritte pingen kannst, dann wäre es sehr wichtig zu wissen WIE bzw. mit welchen IP Absenderadressen diese Ping Pakete an der Fritzbox ankommen.
Es wäre also essentiell wichtig und sehr hilfreiche wenn du das mit dem Wireshark mal checken könntest.
Klink den also in das Transfernetz vom OpenWRT zur Fritte ein und sniffer das mit.
Das sagt dann nämlich ganz genau mit welchen IP Adressen du dort auftauchst bzw. ob der OpenWRT wirklich NAT macht und auch die Pakete der beiden VLANs auch wirklich routet zur Fritte.

Hier bleibt still und einfach der Verdacht das die VLAN Trennung nicht wirklich da ist und das Pakete aus dem normalen netzeinfach direkt auf die Fritte gehen und gar nicht mit dem OpenWRT geroutet werden ?!

Nun muss ich von der Fritte den Port zum OpenWRT leiten und vom OpenWRT zum Server. Aufjedenfall funktioniert das schon mal.

Das ist richtig und auch gut das das funktioniert. Zeigt das alles richtig konfiguriert ist.
Aber auch hier ist Kontrolle besser !!! Schliess wieder den Wireshark an und checke ob diese Pakete auch wirklich mit den richtigen IPs geworwardet werden ans Ziel !

Das gleiche habe ich mit dem VPN Port gemacht, aber da bekomme ich keine VPN Verbindung zustande.

Die Aussage ist mal wieder laienhaft und oberflächlich, sorry ! WELCHES VPN Protokoll nutzt du denn ???
PPTP z.B. ist TCP 1723 und GRE Protokoll mit der IP Nummer 47
IPsec ist UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50
OpenVPN ist UDP 1194
usw. usw. Etwas mehr Details würden uns hier sehr helfen zielgerichtet zu Troubleshooten !

Oben pack ich euch dazu noch mal ein paar Bilder rein zu meiner Konfig.

Wieso "oben" ???
Du kannst den beim Bilder hochladen per Rechtsklick copy and pasted Bilder URL auch hier in eine Antwort bringen (wie in JEDEN Text hier) um das Bild anzuzeigen !!!
Das erspart uns bei dem Monsterthread hier das lästige Scrollen !! Bitte mache das ums nicht noch unübersichtlicher zu gestalten hier !
P.S.: Das kann man übrigens auch immer noch nachträglich machen !!

> Statische Routen am OpenWRT habe ich nicht, da ich NAT aktiv habe am WAN interface.
Das ist schlicht FALSCH und oben schon mehrfach besprochen worden !
Du benötigst zwingend eine statische Default Router auf dem Open WRT zur FB, egal ob NAT oder nicht !

OK d.h. eine statische Route vom WAN Interface, mit Target 192.168.1.0/24 zum Gateway 192.168.1.1 (Fritte) richtig?

> Komisch ist eben, dass ich die Fritte gingen kann, aber kein Internet bekomme.
Also wenn du von beiden VLANs die Fritte pingen kannst, dann wäre es sehr wichtig zu wissen WIE bzw. mit welchen IP
Absenderadressen diese Ping Pakete an der Fritzbox ankommen.
Es wäre also essentiell wichtig und sehr hilfreiche wenn du das mit dem Wireshark mal checken könntest.
Klink den also in das Transfernetz vom OpenWRT zur Fritte ein und sniffer das mit.
Das sagt dann nämlich ganz genau mit welchen IP Adressen du dort auftauchst bzw. ob der OpenWRT wirklich NAT macht und auch
die Pakete der beiden VLANs auch wirklich routet zur Fritte.

OK, ich werde das mit dem Wireshark am Montag früh mal testen. Also ich kann dazu ja einfach mein Laptop in das jeweilige WLAN des OPENWRT einloggen und dann mit dem Programm Wireshark pingen, richtig?

Hier bleibt still und einfach der Verdacht das die VLAN Trennung nicht wirklich da ist und das Pakete aus dem normalen netzeinfach
direkt auf die Fritte gehen und gar nicht mit dem OpenWRT geroutet werden ?!

OK, was wäre dann der Fehler, wenn dem so wäre? Ich habe mich ja 1:1 (außer die statische Route am OpenWRT, mach ich noch) nach der Grafik oben gehalten und bei den Screenshots seh ich jetzt auch keinen Fehler.

> Nun muss ich von der Fritte den Port zum OpenWRT leiten und vom OpenWRT zum Server. Aufjedenfall funktioniert das schon mal.
Das ist richtig und auch gut das das funktioniert. Zeigt das alles richtig konfiguriert ist.
Aber auch hier ist Kontrolle besser !!! Schliess wieder den Wireshark an und checke ob diese Pakete auch wirklich mit den
richtigen IPs geworwardet werden ans Ziel !

Um das zu kontrollieren schließe ich den Laptop also an die Fritte an und pinge den OpenWRT? Oder pinge den Server?

> Das gleiche habe ich mit dem VPN Port gemacht, aber da bekomme ich keine VPN Verbindung zustande.
Die Aussage ist mal wieder laienhaft und oberflächlich, sorry ! WELCHES VPN Protokoll nutzt du denn ???
PPTP z.B. ist TCP 1723 und GRE Protokoll mit der IP Nummer 47
IPsec ist UDP 500, UDP 4500 und das ESP Protokoll mit der IP Nummer 50
OpenVPN ist UDP 1194
usw. usw. Etwas mehr Details würden uns hier sehr helfen zielgerichtet zu Troubleshooten !

Derzeit wird PPTP benutzt, den TCP Port 1723 habe ich weitergeleitet, geht nicht. Ich schaue am Montag, dass ich das GRE Protokoll auch weitergeleitet bekomme. Da schaue ich, ob es die Option gibt.

> Oben pack ich euch dazu noch mal ein paar Bilder rein zu meiner Konfig.
Wieso "oben" ???
Du kannst den beim Bilder hochladen per Rechtsklick copy and pasted Bilder URL auch hier in eine Antwort bringen (wie in JEDEN
Text hier) um das Bild anzuzeigen !!!
Das erspart uns bei dem Monsterthread hier das lästige Scrollen !! Bitte mache das ums nicht noch unübersichtlicher zu
gestalten hier !
P.S.: Das kann man übrigens auch immer noch nachträglich machen !!

OK wusste ich nicht, da man nur oben uploaden kann.

DHCP Config

Firewall Config

Network Config

OpenWRT Routen

Interfaces

Switch Config

Firewall Config

Statische Routen der Fritzbox

WLAN des OPENWRT einloggen und dann mit dem Programm Wireshark pingen, richtig?

Ja !
Alternative einen Mirrorport auf dem Switch und dann sniffern.

und bei den Screenshots seh ich jetzt auch keinen Fehler.

Vertrauen ist gut...(Wireshark) Kontrolle ist besser

Um das zu kontrollieren schließe ich den Laptop also an die Fritte an und pinge den OpenWRT? Oder pinge den Server?

Nein du brauchst eine Probe oder ein Bridge Device oder einen simplen Hub den du zwischen FB Port und LAN klemmst und wo der Wireshark dran ist.
Am allereinfachsten ist ein alter Netzwerk Hub oder ein Switch der Mirrorports supportet. Dann mirrorst (spiegelst) du den FB Port einfach an den Port wo dein Wireshark hängt.
So kannst du alles mitlesen was der Router bekommt !
Hier:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
http://www.heise.de/netze/artikel/Fehler-erschnueffeln-221587.html
findest du alle Details.

Derzeit wird PPTP benutzt, den TCP Port 1723 habe ich weitergeleitet, geht nicht.

Ist ja auch logisch das das nicht geht, denn PPTP besteht wie jeder weiss aus TCP 1723 UND dem GRE Protokoll 47
Siehe auch hier:
VPNs einrichten mit PPTP

OK wusste ich nicht

FAQs lesen

Ein möglicher Fehler ist noch in der Switchport Konfig des Routers. Normal ist das Switches auf tagged Uplinks das Default VLAN immer untagged zu den tagged Paketen der anderen VLANs übertragen. 99% aller Hersteller machen das so.
Checke ob das an deinem Switch auch der Fall ist !
Wenn du den Uplink Port vom OpenWRT dann beidesmal tagged einstellst, also das Def. VLAN dort taggest, der Switch es aber untagged am Port erwartet bekommst du ein Problem.
Aber du sagtest ja du kannst die OpenWRT IP im Default VLAN pingen, oder ?
Wenn das der Fall ist ist nur die Anzeige auf dem OpenWRT im GUI falsch !

> WLAN des OPENWRT einloggen und dann mit dem Programm Wireshark pingen, richtig?
Ja !
Alternative einen Mirrorport auf dem Switch und dann sniffern.

OK teste ich Montag.

> und bei den Screenshots seh ich jetzt auch keinen Fehler.
Vertrauen ist gut...(Wireshark) Kontrolle ist besser

Ja :D

> Um das zu kontrollieren schließe ich den Laptop also an die Fritte an und pinge den OpenWRT? Oder pinge den Server?
Nein du brauchst eine Probe oder ein Bridge Device oder einen simplen Hub den du zwischen FB Port und LAN klemmst und wo der
Wireshark dran ist.
Am allereinfachsten ist ein alter Netzwerk Hub oder ein Switch der Mirrorports supportet. Dann mirrorst (spiegelst) du den FB Port
einfach an den Port wo dein Wireshark hängt.
So kannst du alles mitlesen was der Router bekommt !

OK also kann ich das vergessen, ich habe keinen alten Switch/Hub etc.

Dann teste ich wenigstens den ping vom OpenWRT Richtung Fritzbox.

> Derzeit wird PPTP benutzt, den TCP Port 1723 habe ich weitergeleitet, geht nicht.
Ist ja auch logisch das das nicht geht, denn PPTP besteht wie jeder weiss aus TCP 1723 UND dem GRE Protokoll 47
Siehe auch hier:
VPNs einrichten mit PPTP

Ein möglicher Fehler ist noch in der Switchport Konfig des Routers. Normal ist das Switches auf tagged Uplinks das Default
VLAN immer untagged zu den tagged Paketen der anderen VLANs übertragen. 99% aller Hersteller machen das so.
Checke ob das an deinem Switch auch der Fall ist !
Wenn du den Uplink Port vom OpenWRT dann beidesmal tagged einstellst, also das Def. VLAN dort taggest, der Switch es aber untagged
am Port erwartet bekommst du ein Problem.

ehm OK ich hoffe ich habe das richtig verstanden.
Ich habe ja einen Screenshot vom Webinterface gepostet, wo der Switch konfiguriert wird.
CPU bleibt also bei beiden VLAN tagged.
Und Port 1 müsste dann beide VLAN untagged? Das geht nicht. Oder nur eine VLAN tagged und die andere untagged?

Aber du sagtest ja du kannst die OpenWRT IP im Default VLAN pingen, oder ?
Wenn das der Fall ist ist nur die Anzeige auf dem OpenWRT im GUI falsch !

Ich kann im Default WLAN den OpenWRT pingen und zwar auf der OpenWRT IP im Defaulten und auch die OpenWRT vom Gastnetz.
Also die 192.168.2.1 und die 192.168.3.1.
Die Anzeige im Gui entspricht der in der Configdatei, die ich mit gepostet habe.
Außer eben die Portzuordnung.

Also ich habe mir gerade mal Wireshark angeschaut und das ist ja ein komplettes durcheinander.
Wenn ich den Netzwerkverkehr überwache dann laufen ja sekündlich Informationen ein, wie soll ich da die richtigen Zeilen finden, wenn ich die Fritzbox anpinge?

//Edit: ah OK "Echo (ping)" in rosa sind die pingversuche. Wunderbar ich werde das morgen früh testen.
Ich schließe dafür den Laptop direkt an den OpenWRT an, einmal an einem LAN Port im VLAN 1 und dann im VLAN 10.

Hallo,

Zitat von @113726:
das ist ja ein komplettes durcheinander.

sekündlich

eher in 0,00001 Sekunden. Je mehr Pakete je mehr hat dein Netz zu tun

//Edit: ah OK "Echo (ping)" in rosa sind die pingversuche.

Filter diese schon beim Erfassen mittels eines Capture Filters, dann wird's erst mal verständlicher. Wichtig, auf jede Anforderung sollte auch eine Antwort kommen. Schau dir auch die MAC des Senders als auch des Empfängers genau an (L2 arbeitet halt so)

Ich schließe dafür den Laptop direkt an den OpenWRT an

und machst ein Mirror Port der alle Pakete von einen deiner Ports (VLAN 1 oder VLAN 10) an diesen (Laptop Port) spiegelt, sonst siehst du nur das was für dein Laptop bestimmt ist (aufgrund der MAC, L2 = MAC)

Gruß,
Peter

> //Edit: ah OK "Echo (ping)" in rosa sind die pingversuche.
Filter diese schon beim Erfassen mittels eines Capture Filters, dann wird's erst mal verständlicher. Wichtig, auf jede
Anforderung sollte auch eine Antwort kommen. Schau dir auch die MAC des Senders als auch des Empfängers genau an (L2 arbeitet
halt so)

OK perfekt danke

> Ich schließe dafür den Laptop direkt an den OpenWRT an
und machst ein Mirror Port der alle Pakete von einen deiner Ports (VLAN 1 oder VLAN 10) an diesen (Laptop Port) spiegelt, sonst
siehst du nur das was für dein Laptop bestimmt ist (aufgrund der MAC, L2 = MAC)

Ich habe keine Ahnung, was ein Mirror Port ist bzw. wie ich einen mache.

Habe mir nur gerade eben die Beschreibung durchgelesen.
Wie mache ich das mit OpenWRT?
Ich kann auch einfach mit dem Laptop mich in das WLAN des OPENWRTs einwählen. Doert habe ich ja 2 SSIDs für je eine VLAN und erhalte so auch verschiedene IPs.
So werd ich es auch machen, da brauch ich keine LAN Kabel anschließen und wähle mich einfach in das passende WLAN ein.

Guten Morgen,

so, ich habe gerade eben mich in beide WLANs des OpenWRT hintereinander angemeldet und mit Whireshark die Fritzbox gepingt.

Jedes mal kam der Ping aus dem eigenen Netz (also je das Netz, wo ich mit WLAN angemeldet war).

Also einmal von der 192.168.2.x und einmal mit der 192.168.3.x.
Die Antwort von der Fritzbox (192.168.1.1) kam jedesmal an die AbsenderIP zurück.

Also müsste das ja passen oder?

Das mit dem VPN und GRE Protokoll klappt.
Ich habe aber jetzt jeden Port es GRE Protokolls geöffnet. Also es steht bei GRE "any" drinnen. ICh habe dort testweiße 47 eingetragen, aber dann ging es nicht mehr. Habe ich da irgendwas nicht beachtet oder muss ich das komplette GRE Protokoll öffnen?
Source Port, External Port und Internal Port -> alle auf "any"

Ich habe ein weiteres Problem.
Der DHCP unseres SBS beendet sich automatisch, da er warscheinlich am OPENWRT einen erkennt.
Ich habe das ganze derzeit mit einem Registrierungseintrag verhindert, was natürlich keine Dauerlösung ist.
Es gibt im OpenWRT eine Option "Authoritative: This is the only DHCP in the local network", wo ich den Hacken jetzt mal entfernt habe. Aber der DHCP des SBS hat sich imemr noch automatisch beendet.

Die statische Route am OpenWRT habe ich eingetragen.
Interface ist "WAN", Host-IP or Network ist "192.168.1.0/24" und Gateway ist "192.168.1.1" (fritzbox).

Gästewlan kann trotzdem nicht ins Internet.

Wenn ich den Netzwerkverkehr überwache dann laufen ja sekündlich Informationen ein, wie soll ich da die richtigen Zeilen finden, wenn ich die Fritzbox anpinge?

Indem du einen Capture Filter einrichtest und nur das mitsnifferst was dich interessiert.
Alternativ kannst du es auch nachher aus dem gesifferten Daten rausfiltern.

Ich habe keine Ahnung, was ein Mirror Port ist bzw. wie ich einen mache.

Uhhh "machen" kannst du auch keinen sondern nru konfigurieren !
Jeder managebare Switch hat einen sog. Port Mirroring Funktion, wo du dich quasi auf einem Port raufschalten kannst ! Ein Switch separiert den Traffic ja nach Mac Adressen, folglich würdes du auf einem Switch OHNE Mirrorport nur immer den Traffic sehen der zum Sniffer geht aber nichts anderes !
Du willst ja aber den Routerport überwachen. Mit Port Mirroring "spiegelst" du, wie der Name schon selber sagt, den Router Port z.B. auf deinen Port wo dein Sinffer angeschlossen ist.... Nun verstanden ???
Suche im Manual des Switches also nach Port Mirroring. Häufig ist das im Menü "Diagnostic" zu finden.

Wie mache ich das mit OpenWRT?

OpenWRT ist ein Router und der interne Switch Chipset supportet sowas nicht. Wenn musst du das also an deinem LAN Switch machen !

Die Antwort von der Fritzbox (192.168.1.1) kam jedesmal an die AbsenderIP zurück.

Das ist uns allen klar, und sollte auch so sein !
Die Kardinalsfrage hast du aber wieder mal nicht beantwortet: WIE bzw. mit welcher Absender IP kommen diese Pakete an der Fritzbox an ??
Ist die Absender IP beider Pings die OpenWRT IP im Transfernetz (das bedeutet dann dein OWRT Router macht NAT zur Fritte !) oder...
ist die Absender IP jeweils die Ursprungs IP der Endgeräte die Pingen ?? (Bedeutet das der OWRT dann kein NAT macht und transparent routet !)
Messen musst du also mit dem Kabelhai, wenn dann, schon am Fritten Port direkt !

Ich habe aber jetzt jeden Port es GRE Protokolls geöffnet.

Das ist technischer Blödsinn, denn das GRE Protokoll ist ein eigenes IP Protokoll und hat keinerlei Ports oder sowas wie TCP oder UDP !! "Komplett" gibts da nicht !
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol

Der DHCP unseres SBS beendet sich automatisch, da er warscheinlich am OPENWRT einen erkennt.

Ja, das wird der Fall sein ! Das macht MS aus Sicherheit so damit es zu keinem Adress Chaos kommt.
Schalte einfach den OWRT DHCP Server komplett ab indem du das Setting für das Segment in der /etc/config/dhcp komplett entfernst.
Dann ist der MS wieder der Adress "Herrscher".

Interface ist "WAN", Host-IP or Network ist "192.168.1.0/24" und Gateway ist "192.168.1.1" (fritzbox).

Ist natürlich auch wieder Schwachsinn, sorry denn was so eine Route in ddas Netzwerk 192.168.1.0 /24 mit der .1 im GLEICHEN Netzwerk als Next Hop. Diese Router zeigt auf sich selber und ist damit natürlich Blödsinn.
Das .1.0er netz ist ja am OWRT direkt dran, folglich kennt er es also und einen Route dahin ist überflüssiger Unsinn !
Wenn dann brauchst du eine Default Route:
Network: 0.0.0.0 /0 Gateway: 192.168.1.1

Gästewlan kann trotzdem nicht ins Internet.

Von da mal einen Traceroute oder Pathping gemacht und gesehen wo der hängenbleibt ??
Kommt der bis zur FB ?? (Sniffertrace)
Wird am OWRT NAT gemacht oder nicht wie oben beschrieben für das Gastnetz ?
Alles weiter offene Fragen..

> Ich habe keine Ahnung, was ein Mirror Port ist bzw. wie ich einen mache.
Uhhh "machen" kannst du auch keinen sondern nru konfigurieren !
Jeder managebare Switch hat einen sog. Port Mirroring Funktion, wo du dich quasi auf einem Port raufschalten kannst ! Ein
Switch separiert den Traffic ja nach Mac Adressen, folglich würdes du auf einem Switch OHNE Mirrorport nur immer den Traffic
sehen der zum Sniffer geht aber nichts anderes !
Du willst ja aber den Routerport überwachen. Mit Port Mirroring "spiegelst" du, wie der Name schon selber sagt, den
Router Port z.B. auf deinen Port wo dein Sinffer angeschlossen ist.... Nun verstanden ???

Ja Ok verstanden.

Suche im Manual des Switches also nach Port Mirroring. Häufig ist das im Menü "Diagnostic" zu finden.

OK ich versuche erstmal die anderen Überprüfungen ehe ich mich da ran wage.

> Wie mache ich das mit OpenWRT?
OpenWRT ist ein Router und der interne Switch Chipset supportet sowas nicht. Wenn musst du das also an deinem LAN Switch machen !

> Die Antwort von der Fritzbox (192.168.1.1) kam jedesmal an die AbsenderIP zurück.
Das ist uns allen klar, und sollte auch so sein !
Die Kardinalsfrage hast du aber wieder mal nicht beantwortet: WIE bzw. mit welcher Absender IP kommen diese Pakete an der
Fritzbox an ??

Also Source ist die "eigene" Client IP und Destination ist die Fritzbox. Also z.B. 192.168.2.28 auf 192.168.1.1

Ist die Absender IP beider Pings die OpenWRT IP im Transfernetz (das bedeutet dann dein OWRT Router macht NAT zur Fritte !)
oder...

Nein ist nicht die OpenWRT IP. Ich hatte aktuell NAT deaktiviert (ich habe beide Optionen versucht) und er sendet immer mit der eigenen ClientIP.

ist die Absender IP jeweils die Ursprungs IP der Endgeräte die Pingen ?? (Bedeutet das der OWRT dann kein NAT macht und
transparent routet !)

Genau so ist es, üpbrigens auch mit aktiviertem NAT auf dem OPENWRT am WAN Port.

Messen musst du also mit dem Kabelhai, wenn dann, schon am Fritten Port direkt !

> Ich habe aber jetzt jeden Port es GRE Protokolls geöffnet.
Das ist technischer Blödsinn, denn das GRE Protokoll ist ein eigenes IP Protokoll und hat keinerlei Ports oder sowas wie
TCP oder UDP !! "Komplett" gibts da nicht !
http://de.wikipedia.org/wiki/Generic_Routing_Encapsulation_Protocol

Ja OK dann ist das vom OpenWRT so vorgegeben. Ich mache dies ja auch unter "Port Forwards" und schreibe als Protokoll einfach GRE rein. Dann steht aber bei den Ports überall "any" drinn.

> Der DHCP unseres SBS beendet sich automatisch, da er warscheinlich am OPENWRT einen erkennt.
Ja, das wird der Fall sein ! Das macht MS aus Sicherheit so damit es zu keinem Adress Chaos kommt.
Schalte einfach den OWRT DHCP Server komplett ab indem du das Setting für das Segment in der /etc/config/dhcp komplett
entfernst.
Dann ist der MS wieder der Adress "Herrscher".

Kann ich ja nicht einfach

Der SBS macht ja nur DHCP für den Produktivbereich 192.168.2.x. Irgendwo müssen die Gäste ja auch eine IP her bekommen in Form von 192.168.3.x.
Ich kann zwar den 192.168.3.0 Bereich mit über den Server machen, aber stören die sich dann nicht gegenseitig? Geht das so einfach?
(EDIT: Gerade eben einen weiteren IP Adressbereich am SBS hinterlegt mit Router 192.168.3.1", aber ich bekomme keine IP mehr im GästeWLAN)

> Interface ist "WAN", Host-IP or Network ist "192.168.1.0/24" und Gateway ist "192.168.1.1"
(fritzbox).
Ist natürlich auch wieder Schwachsinn, sorry denn was so eine Route in ddas Netzwerk 192.168.1.0 /24 mit der .1 im
GLEICHEN Netzwerk als Next Hop. Diese Router zeigt auf sich selber und ist damit natürlich Blödsinn.
Das .1.0er netz ist ja am OWRT direkt dran, folglich kennt er es also und einen Route dahin ist überflüssiger Unsinn
!
Wenn dann brauchst du eine Default Route:
Network: 0.0.0.0 /0 Gateway: 192.168.1.1

Ok oben klang es noch so, als müsste ich da eine Route anlegen, nun wieder nicht. Die Fefault Route ist ja schon im Hintergrund angelegt worden.

> Gästewlan kann trotzdem nicht ins Internet.
Von da mal einen Traceroute oder Pathping gemacht und gesehen wo der hängenbleibt ??
Kommt der bis zur FB ?? (Sniffertrace)

Ich habe mit Whireshark auch da gepinged (Laptop war mit WLAN des OpenWRT verbunden) und auch da das gleiche spiel. Ich pinge die Fritzbox mi der ClientIP an

Wird am OWRT NAT gemacht oder nicht wie oben beschrieben für das Gastnetz ?

Derzeit haben LAN und LAN2 NAT ausgeschalten und die WAN Schnittstelle hat NAT und MSS clamping aktiv.

Also Source ist die "eigene" Client IP und Destination ist die Fritzbox. Also z.B. 192.168.2.28 auf 192.168.1.1

Sicher ???
Hast du das direkt am Routerport der Fritte !! gesniffert ???
Du darfst es logischerweise NICHT am Client sniffern, denn dann kann man NICHT sehen oder der OWRT dazwischen NAT macht !!
Relevant ist hier WIE diese Pakete an der Fritte ankommen, nicht wie sie abgesendet werden !
Wenn dann musst du dir mit dem Kabelhai das ZIEL ansehen !!

Kann ich ja nicht einfach

Warum nicht ??
Du musst nur den DHCP für das Produktivsegment entfernen (löschen). Fertig. Dann schweigt der OWRT.
Davon ist das Gastnetz ja nicht betroffen. Das ist ein separates IP Netz am Router und wird auch durch einen sepoaraten DHCP Server bedient.
Wo ist dein Problem ?? Das ist ein gängiges Design.
Klar könnte man DHCP zentralisiert auf dem Server machen. Das wäre das sinnigste aber dafür müsste der Router ein DHCP Relay (IP Helper Adressen) supporten was er nicht kann. (Der Mikrotik kann das übrigens

)
So musst du dann mit den Segment bezogenen DHCPs leben wenn du am OWRT festhälst....?!

Ok oben klang es noch so, als müsste ich da eine Route anlegen, nun wieder nicht.

Sorry aber bitte tu uns den Gefallen und denke mal ein klein wenig nach und benutze den normalen IT Verstand. Ein Route auf ein lokal angeschlossenes IP Segment ist doch Blödsinn...das weiss auch ein Laie.
Das ist so als wenn du in Köln einen Wegweise aufstellst wo drauf steht "Nach Köln 0 km" Macht auch kein normaler Mensch...

Ich pinge die Fritzbox mi der ClientIP an

Und ??? Was passiert ??
Kommt ein ICMP echo mit den richtigen IP Adressen raus aus dem Client ??
Kommt es am OWRT Router an ?? (tcpdump Outpust)
Kommt es an der FB an ??
Wieder keinen Antwort auf die wichtigste Frage überhaupt

Derzeit haben LAN und LAN2 NAT ausgeschalten

Das sagst du !!! Wir glauben aber nur dem Wireshark !!

Hallo,

Zitat von @113726:
?

An deiner Fritzbox kannst du auch den Paketmitschnitt selbst nutzen und die Pakete dort "Schnüffeln"
http://fritz.box/html/capture.html oder http://fritz.box/capture.lua

Gruß,
Peter

Stimmt ! Danke Peter, hatte ich gar nicht mehr auf dem Radar !!

> Also Source ist die "eigene" Client IP und Destination ist die Fritzbox. Also z.B. 192.168.2.28 auf 192.168.1.1
Sicher ???
Hast du das direkt am Routerport der Fritte !! gesniffert ???

Nein wie gesagt, ich habe mit meinem Laptop mich in das WLAN des OpenWRT eingeloggt. Einmal in das WLAN desProduktivnetzes und einmal in das WLAN des Gastnetzes.

Du darfst es logischerweise NICHT am Client sniffern, denn dann kann man NICHT sehen oder der OWRT dazwischen NAT macht !!

Wie gesagt, verbunden war ich per WLAN mit dem OpenWRT. Dann mit Whireshark.

Relevant ist hier WIE diese Pakete an der Fritte ankommen, nicht wie sie abgesendet werden !

Das sehe ich wo?

Wenn dann musst du dir mit dem Kabelhai das ZIEL ansehen !!

Kabelhai?

> Kann ich ja nicht einfach
Warum nicht ??
Du musst nur den DHCP für das Produktivsegment entfernen (löschen). Fertig. Dann schweigt der OWRT.
Davon ist das Gastnetz ja nicht betroffen. Das ist ein separates IP Netz am Router und wird auch durch einen sepoaraten DHCP
Server bedient.
Wo ist dein Problem ?? Das ist ein gängiges Design.
Klar könnte man DHCP zentralisiert auf dem Server machen. Das wäre das sinnigste aber dafür müsste der Router
ein DHCP Relay (IP Helper Adressen) supporten was er nicht kann. (Der Mikrotik kann das übrigens

)
So musst du dann mit den Segment bezogenen DHCPs leben wenn du am OWRT festhälst....?!

Aber so habe ich es ja. DHCP für das Produktivnetz läuft am SBS und DHCP für den Gastnetzwerkbereich läuft am OPENWRT. Trotzdem beendet sich der DHCP-Server des SBS immer.

> Ok oben klang es noch so, als müsste ich da eine Route anlegen, nun wieder nicht.
Sorry aber bitte tu uns den Gefallen und denke mal ein klein wenig nach und benutze den normalen IT Verstand. Ein Route auf ein
lokal angeschlossenes IP Segment ist doch Blödsinn...das weiss auch ein Laie.
Das ist so als wenn du in Köln einen Wegweise aufstellst wo drauf steht "Nach Köln 0 km" Macht auch kein
normaler Mensch...

OK verstanden.

> Ich pinge die Fritzbox mi der ClientIP an
Und ??? Was passiert ??
Kommt ein ICMP echo mit den richtigen IP Adressen raus aus dem Client ??

Ich bekomme ein ICMP von meiner Client IP und der Fritzbox IP und bekomem eine Rückantwort von der Fritzbox zu meiner ClientIP.

Kommt es am OWRT Router an ?? (tcpdump Outpust)
Kommt es an der FB an ??

Ja ich glaube, siehe Screenshot

Wieder keinen Antwort auf die wichtigste Frage überhaupt

Sorry aber ich habe vorher noch nie irgendwelchen Traffic beobachtet geschweige denn Whireshark benutzt.

> Derzeit haben LAN und LAN2 NAT ausgeschalten
Das sagst du !!! Wir glauben aber nur dem Wireshark !!

OK ich poste euch hier mal ein paar Shots von Whireshark.

Jetzt habe ich mit der Fritzbox noch mal mitgeschnitten und danach gefiltert. Ich habe den LAN Port gesniffert.

Hier ein Screenshot:
Gepingt habe ich mit einem Client aus dem produktivnetz. 192.168.2.102

Hallo,

Zitat von @113726:
Kabelhai?

Wireshark...

Aber so habe ich es ja.

Nein, sonst würde der DHCP auf dein SBS nicht herunterfahren. Das ist ein 100% sicheres Zeichen das ein anderer DHCP Server sich im gleichen Broadcastnetz befindet. Dein SBS DHCP ist ausschließlich für dein Produktivnetz und du musst zwingend verhindern das andere DHCP Server auf dieses Netz zugreifen können. deshalb hast du doch unter anderem deine Netze trennen wollen, hier mit VLAN.

Gruß,
Peter

Ja aber ich habe definitiv keinen anderen DHCP. Der von der Fritzbox ist deaktiviert und beim WRT im LAN interface (Produktivnetz) habe ich auch den Hacken bei DHCP heraus genommen.
DHCP ist nur am Interface LAN2 angeschalten auf dem WRT.

Muss ich noch in der Shell irgendetwas machen?

Ja aber ich habe definitiv keinen anderen DHCP.

Sicher...?? Hast du den Kabelhai mal in das Netz gehängt und gesehen WER auf einen DHCP Broadcast Request antwortet ?
Hast du da 2 DHCP Server am laufen (und das ist ganz sicher der Fall, da der SBS sich wegschaltet !) siehst du auch 2 Antworten (DHCP Replys) je einen von jedem Server !! Kannst du am Client mitsniffern.
Anhand der Mac Adressen kannst du ganz einfach rausbekommen WER das ist.
Es ist vermutlich wirklich so das der OWRT auf dem 1.0er Segment parallel noch DHCP ist !
Den Eintrag config dhcp 'lan' und die eingerückten Subparameter dazu musst du vollständig in der /etc/config/dhcp entfernen !
Dann gibt der OpenWRT auch Ruhe auf dem LAN Segment.

Hacken

???
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
oder doch
http://de.wikipedia.org/wiki/Ferse

> Ja aber ich habe definitiv keinen anderen DHCP.
Sicher...?? Hast du den Kabelhai mal in das Netz gehängt und gesehen WER auf einen DHCP Broadcast Request antwortet ?

In welches Netz? Wie gesagt ich habe ihn ins WLAN des WRT gehangen, somit war er richtig im Netz mMn.

Hast du da 2 DHCP Server am laufen (und das ist ganz sicher der Fall, da der SBS sich wegschaltet !) siehst du auch 2 Antworten
(DHCP Replys) je einen von jedem Server !! Kannst du am Client mitsniffern.

Screenshots vom Ping habe ich ja gepostet, was wird noch gebraucht?

Anhand der Mac Adressen kannst du ganz einfach rausbekommen WER das ist.
Es ist vermutlich wirklich so das der OWRT auf dem 1.0er Segment parallel noch DHCP ist !
Den Eintrag config dhcp 'lan' und die eingerückten Subparameter dazu musst du vollständig in der
/etc/config/dhcp entfernen !
Dann gibt der OpenWRT auch Ruhe auf dem LAN Segment.

OK das werde ich morgen früh direkt probieren. Ich werde mir die dhcp Datei näher anschauen.

Den Eintrag config dhcp 'lan' und die eingerückten Subparameter dazu musst du vollständig in der
/etc/config/dhcp entfernen !

Damit geht das jetzt schon mal

So ich habe gerade noch mal gepingt.

Also über dem Link von @Pjordorf habe ich das LAN Interface der Fritzbox aufgezeichnet.
Dann habe ich von einem Client (Laptop, der per WLAN mit einem AP verbunden ist (VLAN1) die Fritzbox angepingt.

Gefiltert habe ich dann nach "icmp" und ich bekomme jedes mal die Einträge Source = ClientIP und Destination = FritzboxIP. und jedes mal anderherum eine Rückantwort.

Ist das jetzt richtig oder liegt irgendwo ein Fehler vor? Wenn ja wo könnte er sein?

Das mit dem DHCP Server klappt jetzt wunderbar.

Nein, das ist richtig ! Wenn du siehst wie die Fritte auf einen ICMP echo request (Ping) mit einem echo reply antowrtet ist alles gut.
Wenn die Absender IP auch die direkte Client IP aus dem VLAN 1 machst du auch kein NAT und alles ist gut, dann routet der OWRT sauber und korrekt und alles kommt richtig zur FB.
Wenn du am Frittenport weiter snifferst schick mal ein Ping an 8.8.8.8 und der Kabelhai sollte dir dann auch den durchgehenden reply vom Google DNS Server zeigen, was dann zeigt das mit der Internet Verbindung alles sauber ist !

Genau das solltest du jetzt auch nochmal mit deinem Gast VLAN wiederholen....
Einmal die Fritte pingen
Einmal 8.8.8.8 pingen
Auch wieder mit dem Wireshark am Fritten LAN Port. Dann hier auch wieder die Absender IP cjecken ist die original ist das NAT sicher aus und alles gut. Auch hier solltest du dann einen Reply sehen von der Fritte (Source IP) an den Gast VLAN Client (Destination IP)
Aber wie gesagt immer mit einem Mirrorport am LAN Port der FB sniffern, denn wir wollen sehen was HIER passiert und nicht am Client.
Spannend ist dann der Ping aus dem Gastnetz an die 8.8.8.8 !
Der sollte am FB Port ankommen und eigentlich solltest du dort dann auch den Reply sehen !

Ich habe das ganze jetzt noch mal getestet und mti Whireshark gemessen und habe hier ein paar Shots für euch.
IP-VLAN1 = 192.168.2.28
Ip-VLAN-Gast= 192.168.3.106
Ich kann nicht zu viel drauß nehmen, aber zumindest sehe ich, bekommt der Client im VLAN eine Rückantwort von (vermutlich) DNS Servern.
Im VLAN-Gast geht der OPing zur Fritte auch einwandfrei, ich bekomme aber keine Antwort von irgendwelchen Google Server.

VLAN1 -> Ping 8.8.8.8

VLAN-Gast -> Ping zur Fritte

VLAN-Gast -> Ping zu 8.8.8.8

Wunderbar !!! Alles richtig !
Dann funktioniert ja nun endlich mal alles ! Jedenfalls am Router Port der Fritte !!

Letztlich bedeutet das das der OWRT Router das eingehende ICMP Reply Paket (Im Sniffer Trace Nr. 69) von der Fritte mit der Source IP 8.8.8.8 und der Destination IP 102.168.3.106 NICHT auf den Client wiederleitet !
Der Buhmann ist also hier der OWRT Router !!

Klick mal auf diese Paket Nr. 69 und sieh dir mal die Destination Mac Adresse an im Mittelfenster des Wireshark an (Paketinhalt) ! Das müsste die Mac Adresse des OWRT WAN Ports sein (ifconfig) ?! Richtig ?
Source Mac müsste die Mac Adresse der Fritte sein.
Wenn die Destination Mac die des OWRT ist dann ist alles richtig und dann können wir davon ausgehen das das Paket Nr.69 auch am OWRT ankommt am WAN Port.
Der OWRT es dann aber nicht weiterroutet ins Gast Segment an den Client .3.106.
Der Grund dürfte vermutlich sein das der OWRT irgendwie noch iptables (Firewall) aktiv hat auf dem WAN Port und dort dieses Paket blockiert.

Das ist jetzt noch deine allerletzte Hürde vor einem funktionierenden Router !!!

Letztlich bedeutet das das der OWRT Router das eingehende ICMP Reply Paket (Im Sniffer Trace Nr. 69) von der Fritte mit der
Source IP 8.8.8.8 und der Destination IP 102.168.3.106 NICHT auf den Client wiederleitet !
Der Buhmann ist also hier der OWRT Router !!

Klick mal auf diese Paket Nr. 69 und sieh dir mal die Destination Mac Adresse an im Mittelfenster des Wireshark an (Paketinhalt) !
Das müsste die Mac Adresse des OWRT WAN Ports sein (ifconfig) ?! Richtig ?

Richtig

Source Mac müsste die Mac Adresse der Fritte sein.

Richtig

Wenn die Destination Mac die des OWRT ist dann ist alles richtig und dann können wir davon ausgehen das das Paket Nr.69 auch
am OWRT ankommt am WAN Port.
Der OWRT es dann aber nicht weiterroutet ins Gast Segment an den Client .3.106.

Der Grund dürfte vermutlich sein das der OWRT irgendwie noch iptables (Firewall) aktiv hat auf dem WAN Port und dort dieses
Paket blockiert.

Ok verständlich. Problem ist nur, dass ich den Firewall auch schon komplett deaktiviert habe und selbst da geht es nicht.
Also mit "/etc/init.d/firewa´ll stop" bzw. "disable".
Die Firewallconfig habe ich weiter oben ja als Screenshot drin. Alles auf accept und NAT überall deaktiviert.
Und beim LAN2 Interface habe ich das WAN Interface mit rein genommen.

Das ist jetzt noch deine allerletzte Hürde vor einem funktionierenden Router !!!

Klingt gut

Problem ist nur, dass ich den Firewall auch schon komplett deaktiviert habe und selbst da geht es nicht.

Mmmhhh...entweder scheinbar nicht oder was anderes hintert den OWRT dieses Paket richtig forzuwarden.
Rennt auf dem OWRT ein tcpdump ?? Wenn nicht kannst du das als Pacjake installieren.
Du kannst dann mal mit tcpdump -i >wan_int> sehen ob das Paket reinkommt und was damit geschieht.
Der Router hat irgendwein Problem das auf das 3er netz forzuwarden was auch immer... Meist ist das ne Firewall.

Oh man, das ist ja ein echter Akt und schwere Geburt. Ich hätt längst 30 Euro investiert und einen Mikrotik gekauft. Dann würde das Ganze seit 2 Wochen fehlerfrei rennen

Zitat von @aqui:

Oh man, das ist ja ein echter Akt und schwere Geburt. Ich hätt längst 30 Euro investiert und einen Mikrotik gekauft.
Dann würde das Ganze seit 2 Wochen fehlerfrei rennen

Ich bewundere Deine Geduld.

lks

Recht hast du aber na ja... bei OWRT ist ja ein gewisser Forscher- und Entdeckerdrang immer dabei

Hier ists aber jetzt auch 5 vor Knopf...

Die OpenWRT Konfig ist speziell auf der TP-Link Hardware wirklich eine Strafe auch für einen Vollblut Netzwerker und nix für Klicki Bunti GUI Weicheier soviel ist sicher.
Ich habs jetzt auf meiner 841N Gurke hier am laufen...die Kiste routet wie sie soll mit dem Design des TO.
Ich würde aber trotzdem immer einen Mikrotik nehmen weil man sich das was Verlässlichkeit der Funktion anbetrifft einfach viel sicherer fühlt.
Vor allen Dingen wenns mal ne Änderung gibt, neues VLAN oder so geht das Drama auf dem OWRT ja wieder los. Und wenn der TO mal nicht da ist wird wohl keiner Ahnung von ner Linux Shell haben.
Beim Mikrotik ist das ein Mausklick und gut iss....

Das Problem ist, dass ich mit 30€ nicht hin komme weil ich gern wlan mit drinnen hätte und jetzt hab ich schon einen ganz guten Überblick im Openwrt bekommen

Also, ein wlan mikrotik kaufen mich wieder einarbeiten oder mit dem wrt weiter probieren?

Zitat von @113726:
Das Problem ist, dass ich mit 30€ nicht hin komme weil ich gern wlan mit drinnen hätte

Zuverlässigkeit kaufen oder sich später Jahrelang mit deinem Mist rumschlagen müssen , was ist da wohl besser und im Endeffekt vor allem billiger

hmm. Vor allem wenn das Teil mal verreckt oder du ein Security-Update machen musst... dann ist die Kacke mit OpenWRT aber richtig am Dampfen .... Vor allem wenn die Zeit drängt ...
Sorry aber wer keinen Fuffy für vernünftige Hardware ausgeben will ist selber schuld.

Nen Fuffy hab ich hier in zwei Sekunden mit meinem CFD-Robot wieder reingeholt, und Montag geht's mal wieder in Urlaub das hat nur 10 Minuten gedauert ...

Meine Güte ist das hier eine Kleinkrämerkacke ...

Also, ein wlan mikrotik kaufen mich wieder einarbeiten oder mit dem wrt weiter probieren?

Mikrotik kaufen. Punkt. Ende. Aus.

Ahhhhhhhhhhhhhh hoffentlich hat ers jetzt endlich geschnallt ....

OK dann nehme ich den RB951G bzw. RB951Ui (wo ist der Unterschied, welchen sollte ich nehmen?), er dürfte ja als OpenWRT / TPLink Ersatz gut ausgestattet sein und das WLAN dürfte ja auch ganz gut sein, zumindest besser als die alte Fritzbox.
Oder sollte ich unbedingt einen RB2011 kaufen? Ich weiß nicht so recht die Vorteile, außer größer und mehr LAN Anschlüsse (so viel brauche ich nicht) und externe Antennen. Solange die kleinen Modelle aber immer noch besser als die Fritte sind, reicht mir das.

Dann muss ich mich dort natürlich auch einarbeiten.
Das Grundkonzept des Netzwerkes bleibt aber oder?
Also Fritzbox hat eigenen IP-Bereich, und wird dann mit dem WAN Port des Mikrotik verbunden?
Ich muss also wieder den WAN Port und den LAN Port des Mikrotiks separat konfigurieren.

Das Problem ist, dass ich mit 30€ nicht hin komme weil ich gern wlan mit drinnen hätte

Na ja dann sinds halt eben popelige 42 Euronen !
http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/Mikrotik- ...

Dann muss ich mich dort natürlich auch einarbeiten.

Dafür brauchts 15 Minuten. Das GUI ist intuitiv außerdem hast du hier abtippfertige Konfigs.
Grundkonzept bleibt, du tauschst nur den OWRT aus.

Ok, dann Bestell ich den Morgen und fertig ist der Lack

Haben es mit dem OWR versucht, aber hat nicht geklappt

Hier hats geklappt ! Meine 841N Testkiste macht was sie soll, trotzdem ists aber ein Drama und mit der Mikrotik Lösung fährst du auf lange Sicht erheblich besser und verlässlicher !

Wenn du dazu aber wieder Fragen hast mache bitte einen neuen Thread auf nicht das dieser hier noch monströser wird !
Zeit hier für Wie kann ich einen Beitrag als gelöst markieren?

gelöst Frage Netzwerke Netzwerkmanagement

Heiß diskutiert