2 WLANs mit 2 Lancom APs ohne WLC
Nach einigen quälenden Stunden voller Fehlversuche bin ich derart verunsichert, dass ich die folgende Frage hier stellen muss.
Hallo zusammen,
ich hoffe ihr könnt mir weiterhelfen.
Folgendes, ich habe hier 2 L-322agn (Im folgenden AP01 und AP02 genannt) mit LCOS 8.80.
Ziel ist es zwei W-LAN-Netze mit diesen APs aufzubauen (Intern + Gast).
Probleme habe ich bei der Kopplung der beiden APs, ich finde zwar einige Anleitungen von Lancom aber so wirklich weiterhelfen tun sie mir nicht. Im Moment hängen beide APs in einem Netz (LAN) und die WLANs sind über den Isolierten Modus (Routing Modus) getrennt.
Das Hauptproblem welches ich habe, ich bekomme es einfach nicht hin, dass sich die beiden APs im gleichen Netz befinden und sehen. Da ist nämlich das Routing-Problem. Denn AP01 bedient auch nach allen Bemühungen nur seine eigenen Netze und AP02 seine eigenen Netze. Die Lancom KB hilft mir da kein Stück weiter.
Ich habs bereits mit einer P2P-Verbindung probiert, diese wird auch Hergestellt und es werden Daten ausgetauscht jedoch ohne Effekt.
Ich stehe da irgendwie ziemlich auf dem Schlauch.
Vielleicht gehts ja ganz einfach....
deswegen nochmal mein simples Ziel:
AP01 und AP02 sollen Zusammen die Netze Intern und Gast austrahlen.
Ich danke euch schonmal im Voraus
Hallo zusammen,
ich hoffe ihr könnt mir weiterhelfen.
Folgendes, ich habe hier 2 L-322agn (Im folgenden AP01 und AP02 genannt) mit LCOS 8.80.
Ziel ist es zwei W-LAN-Netze mit diesen APs aufzubauen (Intern + Gast).
Probleme habe ich bei der Kopplung der beiden APs, ich finde zwar einige Anleitungen von Lancom aber so wirklich weiterhelfen tun sie mir nicht. Im Moment hängen beide APs in einem Netz (LAN) und die WLANs sind über den Isolierten Modus (Routing Modus) getrennt.
Das Hauptproblem welches ich habe, ich bekomme es einfach nicht hin, dass sich die beiden APs im gleichen Netz befinden und sehen. Da ist nämlich das Routing-Problem. Denn AP01 bedient auch nach allen Bemühungen nur seine eigenen Netze und AP02 seine eigenen Netze. Die Lancom KB hilft mir da kein Stück weiter.
Ich habs bereits mit einer P2P-Verbindung probiert, diese wird auch Hergestellt und es werden Daten ausgetauscht jedoch ohne Effekt.
Ich stehe da irgendwie ziemlich auf dem Schlauch.
Vielleicht gehts ja ganz einfach....
deswegen nochmal mein simples Ziel:
AP01 und AP02 sollen Zusammen die Netze Intern und Gast austrahlen.
Ich danke euch schonmal im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 203027
Url: https://administrator.de/contentid/203027
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
13 Kommentare
Neuester Kommentar
Hi Heiliger,
nur zum Verständis:
Du isolierst deine beiden APs mit dem passenden Modus und wunderst dich später, dass sie nicht zusammenarbeiten.
Die beiden APs gehören in ein flaches Netz mit VLANs und müssen jeweils am Trunk hängen um die beiden SSIDs sauber weiter zu verteilen und zu routen.
Über den Router bestimmts du, dass das interne Netz mit der internen SSID kombiniert ud das Gast-Netz (Gast-SSID) nur ins Internet kommt.
Gruß
Netman
nur zum Verständis:
Du isolierst deine beiden APs mit dem passenden Modus und wunderst dich später, dass sie nicht zusammenarbeiten.
Die beiden APs gehören in ein flaches Netz mit VLANs und müssen jeweils am Trunk hängen um die beiden SSIDs sauber weiter zu verteilen und zu routen.
Über den Router bestimmts du, dass das interne Netz mit der internen SSID kombiniert ud das Gast-Netz (Gast-SSID) nur ins Internet kommt.
Gruß
Netman
Die Sophos UTM könnte theoretisch auch solche Aufgaben erfüllen. Leider sagst du ja nichts zu Version und Hardware aus.
Aber die beiden APS müssen im Layer2 miteinander kommunizieren können, sonst sind sie quasi isoliert und können keine Handover. Das gilt auch fürs Gast-WLAN, wobei das Handover dort nicht als kritisch anzusehen ist. Es gilt aber in jedem Falle eine konstante Trennung der internen und Gastnetze vorzunehmen. Dazu sind VLANs nötig. Und für den Internetzugang ist ein Router oder ein routing Device mit einem anderen IP-Netz (Bereich) nötig.
Aber du sagst nicht, dass du am Router ein komplettes öffentliches Netz betriebst (Aus dem Router kommt nur ein Netz raus - die DMZ)
Und bridging wird am AP gemacht. Dein Job für die Konfiguration ist Routing und das Verfolgen von Sicherheitsmechanismen.
Netman
Aber die beiden APS müssen im Layer2 miteinander kommunizieren können, sonst sind sie quasi isoliert und können keine Handover. Das gilt auch fürs Gast-WLAN, wobei das Handover dort nicht als kritisch anzusehen ist. Es gilt aber in jedem Falle eine konstante Trennung der internen und Gastnetze vorzunehmen. Dazu sind VLANs nötig. Und für den Internetzugang ist ein Router oder ein routing Device mit einem anderen IP-Netz (Bereich) nötig.
Aber du sagst nicht, dass du am Router ein komplettes öffentliches Netz betriebst (Aus dem Router kommt nur ein Netz raus - die DMZ)
Und bridging wird am AP gemacht. Dein Job für die Konfiguration ist Routing und das Verfolgen von Sicherheitsmechanismen.
Netman
Das ist das gängige Multi SSID Thema bei APs !
Wie bereits gesagt sind VLANs auf dem Switch dafür zwingend. Ein billiger Dummieswitch reicht dafür nicht !
Hier an diesem Tutorial kannst du die genaue Funktionsweise ersehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> Kapitel "Praxisbeispiel" !
Wie bereits gesagt sind VLANs auf dem Switch dafür zwingend. Ein billiger Dummieswitch reicht dafür nicht !
Hier an diesem Tutorial kannst du die genaue Funktionsweise ersehen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> Kapitel "Praxisbeispiel" !
Als TO kannst du Bilder einfügen.
Du hast aber vergessen dein GAST-WLAN einzuzeichen. Spätestens am Internetzugang bist du auf einer Leitung und von da kommt der Gast dann auch ins interne Netz. Also schön sauber mit VLANS arbeiten. Auch dein AP verlangt dies zwingend. Oder warum glaubst du, dass du damit nirgendwo hin kommst?
Und du hast fürs Routing genügend UTM-Ports. Und sie bietet sogar ein vordefiniertes Szenario für den Hotspot. Muss nur sinnvoll angeschlossen werden. VErmutlich kannst du sie sogar mit getaggten VLAN-Ports anfahren. Dann brauchst du weiter nichts mehr als LEsen und konfigurieren.
Du hast aber vergessen dein GAST-WLAN einzuzeichen. Spätestens am Internetzugang bist du auf einer Leitung und von da kommt der Gast dann auch ins interne Netz. Also schön sauber mit VLANS arbeiten. Auch dein AP verlangt dies zwingend. Oder warum glaubst du, dass du damit nirgendwo hin kommst?
Und du hast fürs Routing genügend UTM-Ports. Und sie bietet sogar ein vordefiniertes Szenario für den Hotspot. Muss nur sinnvoll angeschlossen werden. VErmutlich kannst du sie sogar mit getaggten VLAN-Ports anfahren. Dann brauchst du weiter nichts mehr als LEsen und konfigurieren.
Ich sehe drei genutzte Ports:
Router
DMZ
intern (getaggt)
Intern wird jetzt getaggt und mit dem VLAN intern und Gäste(WLAN) versehen. Dann wird dort bestimmt, dass die Pakete vom Gäste WLAN direkt zum Router gehen. Das WLAN intern kann, muss aber nicht mit einem eigenen IP-Range versehen werden und wird auf dem selben Port wieder raus ins interne Netz oder eben auch ins Internt geroutet.
Wenn du nur die WLANs ins VLAN sperren willst, dann kannst du auch einen zweiten internen Port fürs WLAN nutzen und nur den getaggt konfigurieren. Die UTM ist hier immer der Router und der Router wird praktisch nur mehr als eine art besseres Modem verwendet. Über Funktionen der UTM kannst du dann noch DHCP-Helper konfigurieren, die es den Clients erlauben zentral IPs vom DHCP Server zu bekommen.
Die APs werden nicht geroutet. Jede der SSIDs ist in einem eigenen VLAN (Layer2-Netz) und kann somit die Clients übergeben. Die APs werden also auch getaggt angebunden.
lg Netman
Router
DMZ
intern (getaggt)
Intern wird jetzt getaggt und mit dem VLAN intern und Gäste(WLAN) versehen. Dann wird dort bestimmt, dass die Pakete vom Gäste WLAN direkt zum Router gehen. Das WLAN intern kann, muss aber nicht mit einem eigenen IP-Range versehen werden und wird auf dem selben Port wieder raus ins interne Netz oder eben auch ins Internt geroutet.
Wenn du nur die WLANs ins VLAN sperren willst, dann kannst du auch einen zweiten internen Port fürs WLAN nutzen und nur den getaggt konfigurieren. Die UTM ist hier immer der Router und der Router wird praktisch nur mehr als eine art besseres Modem verwendet. Über Funktionen der UTM kannst du dann noch DHCP-Helper konfigurieren, die es den Clients erlauben zentral IPs vom DHCP Server zu bekommen.
Die APs werden nicht geroutet. Jede der SSIDs ist in einem eigenen VLAN (Layer2-Netz) und kann somit die Clients übergeben. Die APs werden also auch getaggt angebunden.
lg Netman
Zitat von @holyone:
Ich hab den ETH-LAN so konfiguriert, dass ihm die VID wurst ist und die Pakete einfach ohne Aktion durchlässt.
Die Beiden APs hängen physisch an einem Switch. Welchem die VIDs auch egal sind und die getaggten Pakete so weiterleitet wie sie sind.
Wenn ich die beiden Sätze recht verstehe, klappt es nicht.Ich hab den ETH-LAN so konfiguriert, dass ihm die VID wurst ist und die Pakete einfach ohne Aktion durchlässt.
Die Beiden APs hängen physisch an einem Switch. Welchem die VIDs auch egal sind und die getaggten Pakete so weiterleitet wie sie sind.
Am AP müssen die VLANS (korrespndierend mit den SSIDs) konfiguriert sein und getaggt an den Ethernet Port übergeben werden. Der Switchport muss diese beiden VLANs auch genau so konfiguriert haben und die Pakete getaggt entgegen nehmen. Sonst klappt das nicht.
Die UTM wird dann auch mit einem uplink angefahren, der getaggt ist oder teilweise getaggt ist.
Alles andere funktioniert entweder gar nicht oder die gedachte trennung wird so aufgehoben, dass alle Sicherheitsmechanismen ausgehebelt sind.
Und das VLAN-Konzept lebt davon, dass es unterschiedliche Netze hat. Also unterschiedliche IPs pro VLAN. Die UTM routet dann und hat die Kontrolle der Verbindungen.
GRuß
Netman
VLAN1 kann je nach Gerät und Hersteller eine Sonderfunktion haben.
Erkenntlich oft daran, dass man es nicht deaktivieren kann.
das default VLAn ist dafür gedacht unkonfigurierte Geräte in das VLAN auf zunehmen. Danach kann man das entsprechende Gerät korrekt konfigurieren.
Also schau mal drauf. Usprünglich hast ja mal VLAN2 und 3 erwähnt. Du solltest dir das aufschreiben und nicht ständig wechseln.
Außerdem soll ein Router ja Verbindungen schaffen. Der Ping vom einen VLAN in das andere ist ja Sinn und Zweck der Sache. Hier kommt die Stärke der UTM. Sie ist eine Firewall und kann das auch verhindern oder eben nach Regeln verhindern. Was gehen soll oder nicht hast du nun in selbst der Hand.
Gruß
Netman
Erkenntlich oft daran, dass man es nicht deaktivieren kann.
das default VLAn ist dafür gedacht unkonfigurierte Geräte in das VLAN auf zunehmen. Danach kann man das entsprechende Gerät korrekt konfigurieren.
Also schau mal drauf. Usprünglich hast ja mal VLAN2 und 3 erwähnt. Du solltest dir das aufschreiben und nicht ständig wechseln.
Außerdem soll ein Router ja Verbindungen schaffen. Der Ping vom einen VLAN in das andere ist ja Sinn und Zweck der Sache. Hier kommt die Stärke der UTM. Sie ist eine Firewall und kann das auch verhindern oder eben nach Regeln verhindern. Was gehen soll oder nicht hast du nun in selbst der Hand.
Gruß
Netman