Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Einrichtung VLAN Zyxel Nebula

Mitglied: sturmtide

sturmtide (Level 1) - Jetzt verbinden

14.02.2020 um 07:23 Uhr, 256 Aufrufe, 6 Kommentare

Hallo,

ich habe mich die letzten Tage intensiv mit dem Thema VLAN beschäftigt und glaube es auch soweit verstanden zu haben, jedoch verzweifle ich jetzt doch an einem Punkt und brauche Hilfe. Ich teste meine Einstellungen gerade im kleinen, um dies nachher auf einen Hotelbetrieb zu portieren. Meine Problem ist, dass ich die PVID an dem Port im Switch an dem der Access Point hängt nicht auf ein anderes VLAN setzen kann, ohne den Zugang zu verlieren. Ich tippe auf ein kleines Brett vorm Kopf.

Folgende Voraussetzungen sind gegeben:

Hardware: Zyxel SBG5500 Router, Zyxel GS1920-8HPv2 Switch, Zyxel NWA 1123-ACv2 Access Points
VLAN: 1 System, 10 Privat, 20 Gast
Access Points: 2 SSIDs die VLAN 10 und VLAN 20 ausgeben.
Sonstiges: Diese Komponenten erhalten alle eine Statische IP im VLAN 1 zugeordnet aufgrund der MAC Adresse. Eingestellt im Router.

Folgendes ist bislang eingestellt:

Im Router habe ich die zwei neuen VLANs eingerichtet und den DHCP Server aktiviert (VLAN 10 = 192.168.10.0/24 und VLAN 20 = 192.168.20.0/24). Diese gehen als Trunk über Port 1 zum Switch. Der Port im Switch ist auf PVID = 1 und Erlaubte VLANs = all eingestellt.
Die Ports, wo keine Access Points angeschlossen sind und per LAN ins Netz gehen, sind als Access Ports mit der PVID 10 konfiguriert. Hier erhalte ich auch wie zu erwarten war eine IP im VLAN 10.

Nun kommen wir zu meinem eigentlichen Problem. Die Ports im Switch, an denen die Access Points hängen, sind als Trunk konfiguriert mit der PVID 1 und erlaubte VLANs 10 und 20. Nun kann ich mich auf beiden SSIDs anmelden und erhalte entsprechende IPs aus den VLAN bereichen zugeteilt und kann ins Internet. Der Zugriff zwischen den IP Bereichen ist in der Firewall des Routers eingestellt.

Soweit funktioniert das alles. Nun möchte ich allerdings folgendes erreichen. Sollte ein Gast mal auf die Idee kommen sich an die Netzwerkdose an dem der Access Point im Zimmer hängt anzuschließen, möchte ich das dieser eine IP im VLAN 20 erhält und nicht im VLAN 1. Stelle ich aber am Switch in Nebula ein, dass die PVID nicht 1 sondern 20 ist, bekomme ich keine Verbindung mehr.

Wie bekomme ich den Port im Standard ins VLAN 20 aber habe trotzdem noch Zugriff auf die SSIDs im VLAN 10 und 20?

Danke und Gruß
Mitglied: aqui
14.02.2020, aktualisiert um 10:58 Uhr
dass die PVID nicht 1 sondern 20 ist, bekomme ich keine Verbindung mehr.
Ist jetzt die Frage wie du das genau meinst ??
Raten wir mal das du damit meinst das du die Verbindung auf die Management IP Adresse des Switches verlierst und damit den Zugriff auf dessen Management GUI, richtig ?
Das wäre dann auch völlig normal.
Die Management IP Adresse auf dem Switch ist im Default immer fest auf das VLAN 1 gemappt und damit dann nur über das VLAN 1 erreichbar.
Wenn du nun die PVID des Ports an dem auch dein Management PC hängt auf die PVOD 20 setzt, dann ist das ein memeberport des VLAN 20 und du hast dir quasi den Ast abgesägt auf dem du sitzt, denn aus dem VLAN 20 kannst du natürlich das Management des Switches nicht mehr erreichen.
Das funktioniert also alles wie es soll.
Mal ganz abgesehen davon das du im Management VLAN ja auch völlig andere IP Netze konfiguriert hast als in den VLAN 10 und 20. Allein das würde schon zusätzlich einen Connectivity Verlust bringen, denn sowie der Port ein Memberport im VLAN ist bekommst du dort ja auch per DHCP eine andere IP.
2 Dinge also die dieses völlig normale Verhalten erklären und auf das man mit nur ein wenig Nachdenken auch selber kommt wenn man sich einmal die Vorgehensweisen und Funktion_der_PVID klar macht !
Den Rest erklärt das hiesige VLAN_Tutorial das mit dem Praxisbeispiel exakt so ein Design im Detail beschreibt.

Im Grunde hast du alles genau richtig gemacht, denn die Zimmer RJ-45 LAN Ports sollen ja gerade ins VLAN 20 und keinesfalls will man das Gäste Zugriff auf das Management VLAN 1 bekommen in dem deine APs gemanaged werden und auch der Switch. Sprich die Zimmerports sollen ja isoliert nur im VLAN 20 sein.
Ideal wäre es noch dazu dieses VLAN als sog. Private VLAN oder isolated VLAN auszulegen was eine any zu any Kommunikation der Ports untereinander unterbindet und nur in Richtung Uplink zulässt. Das verhindert dann das andere Gäste dieses Netzwerk ausspionieren können und Angriffe auch andere Gästerechner starten können. Das ist ein Feature was aber dein Switch supporten muss.
Fazit:
Du musst also sicherstellen das der Management PC immer im VLAN 1 liegt oder an einem VLAN 1 Port. So kannst du dann niemals mehr die Verbindung verlieren.
Das bei Port basierten VLANs ein Port gleichzeitig in VLAN 1 und VLAN 20 liegt ist technisch ohne Tagging nicht möglich. Wie sollte das auch gehen ?!
Wenn das VLAN 10 also dein Hotel "Management" Netz ist in dem alle anderen Komponenten liegen, dann legst du im Switch Setup ganz einfach die Management IP in das VLAN 10 statt in das VLAN 1. Hier mal als Beispiel an einem Cisco SG Switch:
mgmt - Klicke auf das Bild, um es zu vergrößern
Die Management IP Adresse kann man damit in der Regel frei in dem entsprechenden VLAN plazieren wo man sie haben möchte.
Hier musst du dann aber allerdings auch auf die Accesspoints achten, denn für die gilt das gleiche !!
Auch deren Management liegt im VLAN 1.
Um diese dann auch weiter aus dem VLAN 10 managen zu können musst du das sog. Native VLAN oder die Port PVID an den tagged Uplink Ports auch auf 10 setzen.
Damit wird dann der Management Traffic der APs auch in das VLAN 10 geforwardet.
Eigentlich eine ganz einfache und banale Logik.
Bitte warten ..
Mitglied: sturmtide
14.02.2020, aktualisiert um 12:30 Uhr
Mein Brett vorm Kopf wird größer

Zitat von aqui:
dass die PVID nicht 1 sondern 20 ist, bekomme ich keine Verbindung mehr.
Ist jetzt die Frage wie du das genau meinst ??
Raten wir mal das du damit meinst das du die Verbindung auf die Management IP Adresse des Switches verlierst und damit den Zugriff auf dessen Management GUI, richtig ?

Ich kann mich gar nicht mehr mit dem WLAN Verbinden, weil mir keine IP mehr zugewiesen wird

Zitat von aqui:
Die Management IP Adresse auf dem Switch ist im Default immer fest auf das VLAN 1 gemappt und damit dann nur über das VLAN 1 erreichbar.
Wenn du nun die PVID des Ports an dem auch dein Management PC hängt auf die PVOD 20 setzt, dann ist das ein memeberport des VLAN 20 und du hast dir quasi den Ast abgesägt auf dem du sitzt, denn aus dem VLAN 20 kannst du natürlich das Management des Switches nicht mehr erreichen.

Die PVID gibt doch an einem Trunkport an, was gesetzt wird, wenn ein Untagged Frame kommt, oder? Also wenn ich mich mit einem LAN Kabel an die Netzwerkdose hänge, müsste ich eine IP aus dem Gast VLAN erhalten wenn ich die PVID auf 20 setze. Jetzt klemme ich hier aber im Standard den Access Point dran. Wenn ich mich mit der Gast SSID verbinde, erzeugt der Access Point einen Frame der einen Tag 20 erhält und wenn ich mich mit der Privat SSID verbinde erhält der Frame den Tag 10. Nachfolgend ein Screenshot wie der Port, an dem der Access Point hängt derzeit konfiguriert ist:

unbenannt - Klicke auf das Bild, um es zu vergrößern

Wenn ich jetzt hier die PVID auf 20 stelle, müsste doch der Port mir eine IP aus dem Gastnetzwerk geben und da ich die VLANs 1, 10 und 20 freigegeben habe, bekomme ich über WLAN auch eine entsprechende IP im 10 und 20 bereich zurück, wenn ich über WLAN mich anmelde. Die 1 habe ich zusätzlich freigegeben, weil der Access Point im VLAN 1 getaggt ist (siehe Screenshot). Aber wenn ich das auf 20 stelle, bekomme ich keine IP Adressen mehr.

unbenannt1 - Klicke auf das Bild, um es zu vergrößern

Zitat von aqui:
Ideal wäre es noch dazu dieses VLAN als sog. Private VLAN oder isolated VLAN auszulegen was eine any zu any Kommunikation der Ports untereinander unterbindet und nur in Richtung Uplink zulässt. Das verhindert dann das andere Gäste dieses Netzwerk ausspionieren können und Angriffe auch andere Gästerechner starten können. Das ist ein Feature was aber dein Switch supporten muss.

Guter Hinweis, werde ich in der Firewall berücksichtigen. Derzeit haben die nur keinen zugriff auf das VLAN 1.

Danke und Gruß
Bitte warten ..
Mitglied: aqui
14.02.2020 um 14:01 Uhr
Mein Brett vorm Kopf wird größer
Warum ?? Eigentlich sollte nach der Erklärung ganz klein geworden sein, quasi nichtexistent
Ich kann mich gar nicht mehr mit dem WLAN Verbinden, weil mir keine IP mehr zugewiesen wird
Lass erstmal das WLAN aus dem Spiel und teste das VLAN Verhalten wasserdicht an Endgeräte Ports (Untagged).
Dazu weist du 3 Ports aus:
  • Einen in VLAN 1
  • Einen in VLAN 10
  • Einen in VLAN 20
Als ersten Test steckst du dann dort einen Test PC auf. Der sollte in allen 3 VLANs einen gültige IP und Gateway bekommen ! Ist das der Fall ?
Wenn ja musst du dir überlegen was du mit dem Default VLAN 1 machst. Nutzt du das aktiv mit Endgeräten oder willst du die alle ausschliesslich in den 2 anderen VLAN 10 und 20 betreiben. Leider hast du dazu keinerlei Angeban gemacht so das man nur raten kann.
Die PVID gibt doch an einem Trunkport an, was gesetzt wird, wenn ein Untagged Frame kommt, oder?
Ja, genau !
Das ist richtig. die PVID beschreibt in welches VLAN bzw. VLAN ID ungetraggte Pakete, also solche ohne jeglichen VLAN Header, geforwardet werden. Auch aus welchem VLAN der Switch ungetaggte Pakete an den Port sendet da das ja immer zweiseitig ist.
Bei vielen der billigen Websmart VLAN Switches muss man aber immer nich zwingend zusätzlich zur PVID auch noch im VLAN Setup angeben das diese Port Tagged oder Untagged im VLAN x ist indem man ihn haben will.
Man muss als zwingend PVID und zusätzlich das VLAN definieren !
Eigentlich Blödsinn aber viele dieser Switches supporten kein Auto PVID und deshalb muss man das doppelt machen ! Das solltest du nie vergessen bzw. checken ob das bei Zyxel auch so ist wovon man mal ausgehen sollte.
müsste ich eine IP aus dem Gast VLAN erhalten wenn ich die PVID auf 20 setze
Aber nur wenn du zusätzlich diesen Port im VLAN Setup auch explizit Untagged ins VLAN 20 gesetzt hast ! Siehe Ausführungen dazu oben !
Wenn ich mich mit der Gast SSID verbinde, erzeugt der Access Point einen Frame der einen Tag 20 erhält
Richtig ! Sofern du die Gast SSID im AP auf das VLAN 20 gemappt hast !
wenn ich mich mit der Privat SSID verbinde erhält der Frame den Tag 10.
Auch richtig ! Und auch sofern du die Privat SSID im AP auf das VLAN 10 gemappt hast !
Nachfolgend ein Screenshot wie der Port, an dem der Access Point hängt derzeit konfiguriert ist:
Alles richtig !
Wenn ich jetzt hier die PVID auf 20 stelle,
Das wäre aber für den AP Poert komplett falsch !!!
Denk doch mal selber etwas nach. Du hast es oben ja schon alles richtig beschrieben.
  • Der AP tagged allen Traffic aus dem Gast WLAN mit der ID 20
  • Der AP tagged allen Traffic aus dem Privat WLAN mit der ID 10
  • Management Traffic des APs kommt (normalerweise) untagged.
Da der AP ja alle Pakete aus 10 und 20 immer Tagged sendet muss logischerweise der Switchport auch Tagged eingestellt werden für diese 2 VLANs andernfalls könnte der Switch oder AP diese Pakete nicht lesen.
Auch klar und hast du richtig beschrieben.
Switch und AP taggen also richtig beidseitig die Frames um zu erkennen wo in welches VLAN oder WLAN diese Pakete gehören.
DHCP Requests unhd Replys werden natürlich auch getagged so das du im eintsprechenden WLAN und auch VLAN immer die richtigen zum VLAN/WLAN korrespondierenden IP Adressen bekommst.
Alles gut also soweit...
Warum willst du jetzt denn auch noch die PVID auf 20 setzen ?? Also das völlig ungetaggter Traffic am AP Port auch in VLAN 20 landet ? Das wäre doch jetzt Quatsch. Zumal am AP Port doch außer Management Traffic vom AP niemals ungetaggter Traffic auftauchen kann. Völlig unverständlich also was das soll... ?!
Aber wenn ich das auf 20 stelle, bekomme ich keine IP Adressen mehr.
Ist doch auch logisch ! Ein Port kann doch niemals Tagged und auch untagged im gleichen VLAN sein. Damit hättest du einen Loop zwischen den beiden Layer 2 VLAN Collision Domains und der Switch kollabiert dann. Normal sollte er solche fehlerhafte Konfig gar nicht akzeptieren vom Kommando Interface !!
Du machst hier also einen ziemlichen Denkfehler bei den VLANs.
Ggf. hilft dir dazu nochmal die "VLAN Schnellschulung" zum besseren Verständnis ?!
https://www.administrator.de/frage/heimnetzwerk-aufbauen-longshine-lcs-g ...
Bitte warten ..
Mitglied: sturmtide
14.02.2020 um 19:14 Uhr
Zitat von aqui:
Warum willst du jetzt denn auch noch die PVID auf 20 setzen ?? Also das völlig ungetaggter Traffic am AP Port auch in VLAN 20 landet ? Das wäre doch jetzt Quatsch. Zumal am AP Port doch außer Management Traffic vom AP niemals ungetaggter Traffic auftauchen kann. Völlig unverständlich also was das soll... ?!

Das aus dem Access Points nichts kommen kann außer Frames die getagged sind ist mir schon bewusst, ich wollte nur vermeiden bzw. erreichen, dass wenn jemand den Access Point von der Netzwerkdose trennt, sein LAN Kabel reinsteckt und dann eine IP aus dem System Traffic erhält. Dann soll er lieber eine aus dem Gastnetzwerk erhalten, welches ich ja per Firewall gesichert habe.

Ich gebe aber jetzt auf, bin nicht der richtige für den Job oder ich muss noch einmal drüber schlafen und mir deine Beiträge noch 10 mal durchlesen.

Ich hatte jetzt noch ein statisches VLAN 90 eingerichtet und die Netzwerkkomponenten alle darauf eingestellt:

Im Router eingestellte VLANS:
bildschirmfoto 2020-02-14 um 18.57.53 - Klicke auf das Bild, um es zu vergrößern
IP Konfig Switch:
bildschirmfoto 2020-02-14 um 18.59.02 - Klicke auf das Bild, um es zu vergrößern
Port 5 Konfig (Hier komme ich per Kabel in den IP Bereich 192.168.10.0)
bildschirmfoto 2020-02-14 um 19.00.13 - Klicke auf das Bild, um es zu vergrößern
Port 6 Konfig (Hier komme ich per Kabel in den IP Bereich 192.168.1.0 und per WLAN in 10 und 20)
bildschirmfoto 2020-02-14 um 19.02.41 - Klicke auf das Bild, um es zu vergrößern
Wenn ich die PVID an Port 6 so einstelle wie in Port 5. Bekommen die WLANs keine IP Adressen mehr.

Komisch ist einfach, dass der Access Point, obwohl Tagged auf VLAN 90 eingestellt trotzdem die VLAN 1 ausgibt laut Protokoll:

bildschirmfoto 2020-02-14 um 19.05.16 - Klicke auf das Bild, um es zu vergrößern

bildschirmfoto 2020-02-14 um 19.06.06 - Klicke auf das Bild, um es zu vergrößern

Ich danke dir trotzdem für deine bestimmt gute Hilfe, die ich aber anscheinend nicht verstehe.

Danke und Gruß
Bitte warten ..
Mitglied: aqui
15.02.2020, aktualisiert um 13:52 Uhr
Das aus dem Access Points nichts kommen kann außer Frames die getagged sind ist mir schon bewusst
Ist aber auch falsch !! Lies bitte mal genau die Ausführungen von oben.
Der Management Traffic kommt immer untagged aus dem AP. Es ist also immer essentiell das man drauf achtet das der untagged Management Traffic der APs auch in das richtige VLAN geforwardet wird. Dafür ist die Native VLAN Einstellung bzw. PVID Setting des AP Ports entscheident ! Vergiss das nicht, sonst sägst du dich bzw. den AP vom Management ab.
den Access Point von der Netzwerkdose trennt, sein LAN Kabel reinsteckt und dann eine IP aus dem System Traffic erhält.
Das ist ein generelles Problem an sich bei WLAN Problemen. Das kannst du so mit den einfachen Mitteln wie du es angehst überhaupt nicht verhindern, denn auch ein Tagging kannst du ganz schnell und einfach auf dem Laptop mit Bordmitteln hinbekommen wie die HIER selber sehen kannst !
Sinnfrei es also mit VLAN Frisckelei lösen zu wollen. Verantwortungsvolle Netzwerk haben immer 2 Optionen das zu sicher lösen:
  • 1.) Den WLAN Traffic zentral über einen Tunnel auf dem WLAN Controller zu senden und dort dann Controllerbasiert in die VLANs zu splitten. Vorteil: Sicher und man hat HW Portsicherheit, denn das Tunnelprotokoll ist niemals reproduzierbar an den AP LAN Ports. Nachteil: Skaliert nicht und ist ein massiver Performance Killer, da ja aller AP Taffic am Controller kumuliert. Desweiteren muss der Controller ein Tunneling supporten was viele Billigprodukte nicht können.
  • 2.) 802.1x Port Security wie sie HIER oder auch HIER anhand von Praxisbeispielen beschrieben ist. Vorteil: Skalierbar UND sicher. Nachteil: Etwas größerer Management Aufwand.
Nur diese Optionen machen Sinn. Das was du machst ist Frickelei und gefährdet eher die Gesamtstabilität des Netzes als das es irgendwie hilft oder in irgendeiner Art und Weise sicherer macht. Das solltest du also generell besser nochmal überdenken...
bin nicht der richtige für den Job oder ich muss noch einmal drüber schlafen
Nein, nicht die Flinte ins Korn werfen, das bringt auch nix. Versuche diese einfachen Zusammenhänge zu verstehen und lasse diese Frickeleien erstmal. Bau das ganze Netz mal mit einer simplen MSSID Konfig auf und sauberem Tagging ohne diese Spinnereien von oben.
Wenn das stabil und fehlerfrei rennt machst du dich ans optimieren.
Behalte dazu immer das VLAN_Tutorial und sein Praxisbeispiel in der Hinterhand und setze es dementsprechend um. Das ganze ist kein Hexenwerk !
Zu deinen Settings:
Im Router eingestellte VLANS:
Ist soweit richtig ! Port 1 ist dann Tagged für alle 3 VLANs 10, 20 und 90 und Untagged Frames werden ins VLAN 1 geforwardet ! Controller und Management müssen sich dann also im VLAN befinden !
IP Konfig Switch:
2 Fehler hier !
  • Das Management VLAN hast du in VLAN 90 gelegt. Das ist falsch, denn so können sich Controller und Switch nicht "sehen". Logisch, denn beide sind in unterscheidlichen VLANs. Ein Fehler den du korrigieren solltest.
  • Als DNS 8.8.8.8 einzustellen ist tödlich. Jeder Dummie weiss mittlerweile das du damit von Google ausspioniert wirst und die dein Profil vermarkten. Hier konfiguriert man als primären DNS immer die IP des eigenen Internet Routers, da der in der Regel DNS Proxy Server ins Internet ist. Als sekundären wählt man immer eine Datensicherheits freundliche Lösung wie z.B. [ Quad9 https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...].
Auch das solltest du korrigieren.
Wie gsagt. Lies nochmal in Ruhe das Tutorial und auch die VLAN Schnellschulung das hilft die eigentlich einfachen VLAN Zusammenhänge zu verstehen !
Bitte warten ..
Mitglied: sturmtide
16.02.2020 um 17:53 Uhr
Zitat von aqui:
Nein, nicht die Flinte ins Korn werfen, das bringt auch nix.

Hab ich auch nicht gemacht. Ich lehn mich jetzt einmal ganz weit aus dem Fenster und behaupte ich habe es verstanden. Davor hatte ich allerdings auch noch die Möglichkeit alles neu aufzusetzen und zu Reseten, weil gar nichts mehr ging. Muss dir allerdings in einem Punkt widersprechen, zumindest scheint es im Zusammenspiel von Zyxel Hardware und Zyxel Nebula Cloud Controller anders zu sein (Änderung der Management VLAN im Switch, letzter Post). Bevor ich das Thema auf erledigt setze noch einmal eine kurze Zusammenfassung, wie man es vielleicht nicht machen sollte, aber es funktioniert.


Einrichtung Router
- VLAN1 untagged auf Port1
- VLAN10 (Privat) Tagged auf Port1 und DHCP einstellen
- VLAN20 (Gast) Tagged auf Port1 und DHCP einstellen
- VLAN90 (System) Tagged auf Port1 und Statisch einstellen

Einrichtung Nebula

- Switsch und Access Points im Cloud Controller registrieren
- SSIDs für Gast und Privat einrichten und diesen den VLANS10 und 20 zuweisen.
- Nach kurzer zeit sollten die Access Points die konfiguration übernommen haben und Ihr kommt in die Netze

Switch (konfiguration über Nebula)
- Im Standard stehen die Ports des Switchs auf PVID1 und Erlaubte VLANs "All".

Diese nun etwas konfigurieren
- Uplink Port auf PVID1 stellen und die erlaubten VLANs auf 1, 10, 20, 90
- Trunk Ports an denen die Access Points hängen auf PVID1 und erlaubte VLANs auf 1, 10, 20, 90
- Access Ports auf das bevorzugte VLAN als PVID einstellen.

Access Points (konfiguration über Nebula)

Im Standard braucht ihr hier jetzt nichts zu machen, aber vielleicht Später


Mein Ziel war es die Netzwerkdosen so einzustellen, dass die Ports an sich in das Gast VLAN senden und zusätzlich noch die VLANs der Access Points überträgt, was allerdings parallel nicht geht. Wurde mir auch weiter oben öfters erklärt, aber ich habe etwas gebraucht um es zu verstehen.
Da ich jetzt Switch und Access Points nicht im Default VLAN1 haben wollte, um den zugriff über die Firewall zu reglementieren.

Dies in 2 Schritten:

Einrichtung Nebula

Wenn Ihr die Zyxel Hardware in ein anderes Managment VLAN, in meinem fall die 90 haben wollt, verwiese ich auf den KB Artikel von Zyxel der dieses erklärt. https://support.zyxel.eu/hc/de/articles/360003293420-Umkonfiguration-des .... Geht genau in der Rheinfolge vor, sonst fliegen euch die Zuordnungen um die Ohren.

Anschliessen noch an den Trunk Ports die Erlaubte VLAN1 deaktivieren. Aber erst warten, bis Nebula die Konfiguration geprüft hat.

Einrichtung Router

Nachdem Switch und Access Points im statischen VLAN90 sind, habe ich den DHCP Server auf dem Default VLAN deaktiviert. Sollte sich also jemand an einem nicht konfigurierten Port anmelden, kommt wenigstens keine automatische IP. Jetzt noch Firewalls im Router zwischen den IP Adressen definieren.

Entsprechend folgendem Zitat:
Zitat von aqui:
Eigentlich eine ganz einfache und banale Logik.

Danke für die Hilfe
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Zyxel VLAN Grundsatzfrage
Frage von KedakaiSwitche und Hubs3 Kommentare

Guten Abend zusammen, vorerst, mit Netzwerk hatte ich bis heute nicht so übermäßig viel zu tun. Mein Problem ist, ...

LAN, WAN, Wireless
VLAN mit Zyxel GS1900-24e
gelöst Frage von pitamericaLAN, WAN, Wireless3 Kommentare

Hallo zusammen, ich muss mit diesem Switch 2 VLAN aufbauen. Eines, in dem die Clients und der Server sind ...

LAN, WAN, Wireless
Zyxel gs1900 Vlan Konfig Problem
Frage von Vetinari666LAN, WAN, Wireless7 Kommentare

Hallo zusammen, Ich habe einen Zyxel gs1900-24Hp in Betrieb und wollte ein Zusätzliches Vlan für den Wlan Gastzugang einrichten. ...

Netzwerkmanagement

Einrichtung VLAN - Verständnisfrage zur Portbelegung

gelöst Frage von Stefan45ProNetzwerkmanagement4 Kommentare

Hallo, Wenn ich z. B. 2 VLANs erstelle und auf dem Switch die Ports 1 bis 24 für VLAN ...

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 1 StundeHumor (lol)2 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 10 StundenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 23 StundenMicrosoft Office8 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 1 TagNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server38 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

PHP
Dynamisches Array erstellen in PHP
Frage von Xaero1982PHP21 Kommentare

Moin Zusammen, ich bräuchte mal einen Geistesblitz. Ich habe ganz viele Daten in einer MongoDb. Ich möchte diese Daten ...

Microsoft Office
Welches MS Office Lizensmodell für 7 Arbeitsplätze in kleinen Unternehmen
Frage von harbyadmMicrosoft Office20 Kommentare

Hallo, Ich frage Euch welches Lizensmodell das günstigste ist.? ich benötige für z.Zeit 7 ARBEITSPLÄTZE , alles Windows 8-10, ...

Windows 8
Die digitale Signatur dieser Datei kann nicht überprüft werden
Frage von LochkartenstanzerWindows 820 Kommentare

Moin, Seit gestern ärgere ich mich mit einem verkorksten Windows 8 herum. Bei vielen EXE-Dateien starten will, kommt die ...