26
Empfehlung für Router+Accesspoint, mit VLAN, Jugendschutzfilter, log und möglichst einfaches GUI
Hallo, ich kümmere mich ehrenamtlich (neben der Rente) um ein Netzwerk in einem Soziokulturellen Zentrum. Ich sehe mich selber nicht als Administrator, dazu ist mein Wissen zu gering.
Es ist hier recht weitläufig und die Netzwerkstruktur ist Stück für Stück gewachsen. So gibt es hier 9x W-LAN mit billigen W-LAN-Routern realisiert. Also ein Internet-Kabelanschluss mit Fritzbox, W-LAN und Gast-W-LAN, 100m weiter ein einzelner Router mit W-LAN für Mitarbeiter und einen Raum weiter ein zweiter Router für Gast-W-LAN usw. am nächsten Standort. Also jede Menge billigen W-LAN-Router, unterschiedliche SSID und W-LAN die sich stören können.
Nun soll das Gast-W-LAN für hunderte Jugendliche geöffnet werden.
Ich würde gern einen Router kaufen der mir ein W-LAN für Mitarbeiter und 2 Gast-W-LAN an V-LAN bindet und dann statt der je 2 Billigrouter an den verschiedenen Standorten nur ein Accesspoint, der nur ein physisches W-LAN mit 3 SSID (eine pro V-LAN) aufspannt. Im Grunde also ein W-LAN für Mitarbeiter und 2 Gast W-LAN, die überall auf dem Gelände gleich sind.
Die Anforderungen an Router/Accesspoint wären:
• Möglichst einfache Konfiguration über GUI (ganz wichtig)
• Gute Filtermöglichkeit (Kinder/Jugendschutz)
• Loggen von Gerätenamen und MAC
• Zentrale Konfiguration der Accesspoints
• Genug Leistung für 40 gleichzeitig angemeldete Clients.
• Accesspoints sollten höchstens 250,-€ kosten.
Welchen Router/Accesspoint könnt ihr empfehlen?
Einen ähnlichen Router habe ich mit Hilfe des Tutorials von Simon Pedrett https://pedrett.org/dd-wrt-gaestenetzwerk/ mit einem WRT54GL realisiert. Der funktioniert, es fehlt das zweite Gast-LAN, der Jugendschutzfilter und die log-Funktion und die zentrale Konfiguration weiterer Accesspoints. Der ist aber bei nötigen Anpassungen zu kompliziert, insbesondere für meinen Nachfolger.
Die Fritzbox hat imho die log-Funktion nicht (zumindest nicht dauerhaft und bei den neueren FB ist der Paketmitschnitt nicht mehr verfügbar). Der Paketmitschnitt wäre ohnehin overkill und rechtlich problematisch.
Es ist hier recht weitläufig und die Netzwerkstruktur ist Stück für Stück gewachsen. So gibt es hier 9x W-LAN mit billigen W-LAN-Routern realisiert. Also ein Internet-Kabelanschluss mit Fritzbox, W-LAN und Gast-W-LAN, 100m weiter ein einzelner Router mit W-LAN für Mitarbeiter und einen Raum weiter ein zweiter Router für Gast-W-LAN usw. am nächsten Standort. Also jede Menge billigen W-LAN-Router, unterschiedliche SSID und W-LAN die sich stören können.
Nun soll das Gast-W-LAN für hunderte Jugendliche geöffnet werden.
Ich würde gern einen Router kaufen der mir ein W-LAN für Mitarbeiter und 2 Gast-W-LAN an V-LAN bindet und dann statt der je 2 Billigrouter an den verschiedenen Standorten nur ein Accesspoint, der nur ein physisches W-LAN mit 3 SSID (eine pro V-LAN) aufspannt. Im Grunde also ein W-LAN für Mitarbeiter und 2 Gast W-LAN, die überall auf dem Gelände gleich sind.
Die Anforderungen an Router/Accesspoint wären:
• Möglichst einfache Konfiguration über GUI (ganz wichtig)
• Gute Filtermöglichkeit (Kinder/Jugendschutz)
• Loggen von Gerätenamen und MAC
• Zentrale Konfiguration der Accesspoints
• Genug Leistung für 40 gleichzeitig angemeldete Clients.
• Accesspoints sollten höchstens 250,-€ kosten.
Welchen Router/Accesspoint könnt ihr empfehlen?
Einen ähnlichen Router habe ich mit Hilfe des Tutorials von Simon Pedrett https://pedrett.org/dd-wrt-gaestenetzwerk/ mit einem WRT54GL realisiert. Der funktioniert, es fehlt das zweite Gast-LAN, der Jugendschutzfilter und die log-Funktion und die zentrale Konfiguration weiterer Accesspoints. Der ist aber bei nötigen Anpassungen zu kompliziert, insbesondere für meinen Nachfolger.
Die Fritzbox hat imho die log-Funktion nicht (zumindest nicht dauerhaft und bei den neueren FB ist der Paketmitschnitt nicht mehr verfügbar). Der Paketmitschnitt wäre ohnehin overkill und rechtlich problematisch.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 394535
Url: https://administrator.de/contentid/394535
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
26 Kommentare
Neuester Kommentar
Hi,
schau Dir mal die Produkte von Unifi an.
Da findest Du mit der USG ein VLAN fähiges Gateway und entsprechende Accesspoints. Alles über eine Gui zu verwalten.
Hast Du denn schon einen Lager 2 Switch?
Ohne denn wird das Vorhaben nämlich nichts.
Gruß Looser
schau Dir mal die Produkte von Unifi an.
Da findest Du mit der USG ein VLAN fähiges Gateway und entsprechende Accesspoints. Alles über eine Gui zu verwalten.
Hast Du denn schon einen Lager 2 Switch?
Ohne denn wird das Vorhaben nämlich nichts.
Gruß Looser
Danke für die Antwort.
Unifi habe ich noch nie gehört, muss ich mir mal ansehen.
VLAN-fähige Switches habe ich noch nicht, würde aber mindestens 4 brauchen, ob unmanaget reicht weiß ich auch noch nicht. Auch wollte ich ausprobieren ob unsere TP-Link Switch TL-SG1008D und Allnet ALL8445 V2 die VLAN-Pakete durchlassen.
Unifi habe ich noch nie gehört, muss ich mir mal ansehen.
VLAN-fähige Switches habe ich noch nicht, würde aber mindestens 4 brauchen, ob unmanaget reicht weiß ich auch noch nicht. Auch wollte ich ausprobieren ob unsere TP-Link Switch TL-SG1008D und Allnet ALL8445 V2 die VLAN-Pakete durchlassen.
Wenn Du eh alles neu brauchst, dann würde ich Dir vorschlagen durchgängig Unifi einzusetzen. Da hast Du von der Firewall über Switche und Accesspoints alles über eine GUI zu verwalten. Heißt also nur in ein System einarbeiten und nicht in mehrere.
Das Zeug kann man u.a. hier kaufen.
Gruß
Looser
Das Zeug kann man u.a. hier kaufen.
Gruß
Looser
Wenn die Accesspoints V-LAN fähig sind brauche ich sicher keine managed Switches. Die müssen einfach nur die V-LAN Pakete durchlassen, ob das mit dem TL-SG1008D funktionieren wird? Wenn ich das richtig verstanden habe werden im V-LAN normalen Datenpaketen die V-LAN Tags nach der Destination- und Source MAC eingefügt. Daraus würde ich schlussfolgern das auch nicht V-LAN fähige Switches die V-LAN durchlassen, nur nicht aufteilen können.
Die Aufteilung soll dann bei uns im Accesspoint erfolgen, nämlich in Produktiv- und Gastnetzwerk (W-LAN). Wenn ich dann noch Geräte am LAN-Kabel anschließen will brauche ich einen managed Switch, oder entsprechende RJ45 Buchsen am Accesspoint.
Die Aufteilung soll dann bei uns im Accesspoint erfolgen, nämlich in Produktiv- und Gastnetzwerk (W-LAN). Wenn ich dann noch Geräte am LAN-Kabel anschließen will brauche ich einen managed Switch, oder entsprechende RJ45 Buchsen am Accesspoint.
Das wird so nicht funktionieren. Du möchtest mit mehreren Accesspoints mehrere WLAN-SSIDs bereitstellen. Jede SSID kommt in ein eigenes VLAN. Der AP trennt die auf und somit muss der Switch die verschiedenen Pakete auch addressieren könnten, ergo min. Layer 2.
Ob die von Dir genannten Switche VLAN unterstützen kannst Du in den Anleitungen nachlesen.
Ansonsten würde ich einmal neu machen und dafür richtig.
Ob die von Dir genannten Switche VLAN unterstützen kannst Du in den Anleitungen nachlesen.
Ansonsten würde ich einmal neu machen und dafür richtig.
Hab dazu gerade Leiten "dumme" Switches VLAN-Tags mit durch? gelesen. Also besser keine dumme Switches einsetzen.
Ich bin mir nicht sicher ob die UNIFI USG leistungsmäßig reicht.
ich würde schon mit 20-40 gleichzeitig eingebuchten Geräten in LAN und W-LAN rechnen. Dazu ein Jugendschutzfilter wie dansguardian und evtl. noch ein ein Proxy wie squid auf der USG.
Reicht die Performance der USG?
ich würde schon mit 20-40 gleichzeitig eingebuchten Geräten in LAN und W-LAN rechnen. Dazu ein Jugendschutzfilter wie dansguardian und evtl. noch ein ein Proxy wie squid auf der USG.
Reicht die Performance der USG?
Es gibt die USG in 2 Leistungsstufen. Schau Dir mal die Große an (USG Pro4).
Ja, mir fällt es nur schwer die Leistung der kleinen USG einzuschätzen.
Wenn ich über den RAM-Bedarf nachdenke könnte die USG gerade so reichen.
lt. https://wiki.opnsense.org/manual/hardware.html ist die USG die Minimalkonfiguration
Was https://www.thomas-krenn.com/de/wiki/Hardwareanforderungen_OPNsense schreibt finde ich nicht sehr erhellend.
Dansguardian und Squid brauchen aber auch nicht viel RAM zusätzlich.
Wenn genug Geld da wäre würde ich gleich die USG-PRO-4 kaufen.
Ich könnte erst die USG installieren und wenn dann Klagen über die Performance kommen mit der USG Pro 4 aufrüsten, falls dann noch Mittel bewilligt werden.
lt. https://wiki.opnsense.org/manual/hardware.html ist die USG die Minimalkonfiguration
Was https://www.thomas-krenn.com/de/wiki/Hardwareanforderungen_OPNsense schreibt finde ich nicht sehr erhellend.
Dansguardian und Squid brauchen aber auch nicht viel RAM zusätzlich.
Wenn genug Geld da wäre würde ich gleich die USG-PRO-4 kaufen.
Ich könnte erst die USG installieren und wenn dann Klagen über die Performance kommen mit der USG Pro 4 aufrüsten, falls dann noch Mittel bewilligt werden.
Habe nun einen Unifi USG und einen Unifi AP Pro testweise.aufgebaut.
Das USG hängt mit WAN1 und fixer IP im Vereinsnetzwerk und ist nun Client im Sinne einer Routerkaskade.
Der Controller läuft aufeinem PC am LAN1 in einem Subnetz mit DHCP was der USG aufbaut. der AP hängt auch in dem Subnetz.
Provisionierung hat geklappt, W-LAN und Internet funktionieren.
Instabil wird es wenn die Geräte ausgeschaltet werden, danach hat der USG den DNS-Eintrag vergessen (Eingabefeld leer) und auf seiner LAN1 Seite istder DHCP aus. AlsoSubnetz ohne Internet und IP's.
Ist das normal?
Das USG hängt mit WAN1 und fixer IP im Vereinsnetzwerk und ist nun Client im Sinne einer Routerkaskade.
Der Controller läuft aufeinem PC am LAN1 in einem Subnetz mit DHCP was der USG aufbaut. der AP hängt auch in dem Subnetz.
Provisionierung hat geklappt, W-LAN und Internet funktionieren.
Instabil wird es wenn die Geräte ausgeschaltet werden, danach hat der USG den DNS-Eintrag vergessen (Eingabefeld leer) und auf seiner LAN1 Seite istder DHCP aus. AlsoSubnetz ohne Internet und IP's.
Ist das normal?
Hinter dem USG hängt natürlich noch ein einfacher Switch als Verteiler zu AP und PC. V-LAN' sind nicht eingerichtet.
Instabil wird es wenn die Geräte ausgeschaltet werden, danach hat der USG den DNS-Eintrag vergessen (Eingabefeld leer) und auf seiner LAN1 Seite istder DHCP aus.
In einer Routerkaskade bekommt der 2. Router eine feste IP inkl. DNS, der auf den ersten Router zeigt.
In dem muss dann der Provider-DNS eingetragen sein, sonst gehen die DNS Anfragen ins Leere.
Vielleicht hast Du beim Eintragen einmal "Speichern" drücken vergessen?
Aber warum willst Du die Geräte ausschalten? Die Teile sind für 24/7 Betrieb ausgelegt.....
Gruß
Looser
In einer Routerkaskade bekommt der 2. Router eine feste IP inkl. DNS, der auf den ersten Router zeigt.
So ist es.
In dem muss dann der Provider-DNS eingetragen sein, sonst gehen die DNS Anfragen ins Leere.
Genau. Vielleicht hast Du beim Eintragen einmal "Speichern" drücken vergessen? Nein
Es funktioniert ja auch alles, bis der Strom mal weg.
Aber warum willst Du die Geräte ausschalten? Die Teile sind für 24/7 Betrieb ausgelegt.....
Ich will die nicht ausschalten, aber es ist schon Stromausfall vorgekommen und dann ist es lästig wenn der Router die wichtigsten Einstellungen vergisst. Was übrigens keinen unserer Router stört.
So ist es.
In dem muss dann der Provider-DNS eingetragen sein, sonst gehen die DNS Anfragen ins Leere.
Genau. Vielleicht hast Du beim Eintragen einmal "Speichern" drücken vergessen? Nein
Es funktioniert ja auch alles, bis der Strom mal weg.
Aber warum willst Du die Geräte ausschalten? Die Teile sind für 24/7 Betrieb ausgelegt.....
Ich will die nicht ausschalten, aber es ist schon Stromausfall vorgekommen und dann ist es lästig wenn der Router die wichtigsten Einstellungen vergisst. Was übrigens keinen unserer Router stört.
Danke erstmal für dieschnelle Antwort vorhin. Ich muss mal sehen ob sich der Fehler reproduzieren lässt.
Im Moment experimentiere ich mit VLAN's und dem AP.
Dazu habe ich 3 VLAN's angelegt und an LAN2 gebunden.
Die entsprechenden W-LAN's angelegt.
Dann den AP der bisher an LAN1 war an LAN2 angeschlossen, erst mal ohne Switch dazwischen.
Die W-LAN's sind allerdings nicht on Air.
Muss da noch die Firewall angepasst werden?
Im Moment experimentiere ich mit VLAN's und dem AP.
Dazu habe ich 3 VLAN's angelegt und an LAN2 gebunden.
Die W-LAN's sind allerdings nicht on Air.
Muss da noch die Firewall angepasst werden?
Ich sehe gerade im Controller unter Geräte das der AP getrennt ist.
Geht das umstecken von LAN1 auf LAN2 schief, oder muss LAN2 irgendwo eingerichtet werden?
Geht das umstecken von LAN1 auf LAN2 schief, oder muss LAN2 irgendwo eingerichtet werden?
Nach umstecken des AP auf LAN1 sehe ich alle W-LAN on Air, auch die die an LAN2 gebunden sind, siehe Bilder oben.
Einbuchen kann ich mich allerdings nur in das W-LAN was an LAN1 gebunden ist.
Wenn ich nun die ursprünglich an LAN2 gebundenen Netzwerke an LAN1 binde kann ich mich auch dort einloggen.
Netzwerke an LAN1 binden geht also komplett.
Was ist an LAN2 das Problem?
Einbuchen kann ich mich allerdings nur in das W-LAN was an LAN1 gebunden ist.
Wenn ich nun die ursprünglich an LAN2 gebundenen Netzwerke an LAN1 binde kann ich mich auch dort einloggen.
Netzwerke an LAN1 binden geht also komplett.
Was ist an LAN2 das Problem?
Für mich sieht das so aus als ob LAN1 und LAN2 nur 2 Ports des selben Switches sind.
Ich habe jetzt mal alle Netzwerke die an LAN2 gebunden waren gelöscht und ein einfaches LAN (ohne V-LAN) angelegt (natürlich mit eigenem DHCP-Bereich und an LAN2 gebunden) und dann an LAN2 einen PC angeschlossen. Der bekommt nun eine IP aus dem Netzwerk wasan LAN1 gebunden ist.
Da ich zuvor https://community.ubnt.com/t5/UniFi-Routing-Switching/Lan-2-As-another-r ... las bin ich nun etwas konfus.
Kann den nun grundsätzlich LAN2 ein eigenes Subnetz bekommen? Wenn ja wie bekomme ich das hin?
Ich habe jetzt mal alle Netzwerke die an LAN2 gebunden waren gelöscht und ein einfaches LAN (ohne V-LAN) angelegt (natürlich mit eigenem DHCP-Bereich und an LAN2 gebunden) und dann an LAN2 einen PC angeschlossen. Der bekommt nun eine IP aus dem Netzwerk wasan LAN1 gebunden ist.
Da ich zuvor https://community.ubnt.com/t5/UniFi-Routing-Switching/Lan-2-As-another-r ... las bin ich nun etwas konfus.
Kann den nun grundsätzlich LAN2 ein eigenes Subnetz bekommen? Wenn ja wie bekomme ich das hin?
Die beiden Ports sind getrennt. Du musst einen VLAN fähigen Switch da dran hängen, damit das funktioniert. Dann reicht ein LAN Port für alles.
Ja, mit dem Switch ist klar, alle Netzwerke mit V-LAN ID taggen und dann über eine Leitung zum Switch und mit dem aufteilen.
Das Verhalten des LAN2 verstehe ich noch nicht. Wenn der von LAN1 getrennt ist und mann ein Netzwerk mit DHCP anlegt, was nur an LAN2 gebunden ist, dann sollte ein PC der dort angeschlossen wird doch eine IP aus dem LAN2 erhalten? Tatsächlich hat bei diesem Versuch der PC eine IP bekommen die an LAN1 gebunden ist.
Kann man eigentlich getaggte V-LAN's gemeinsam mit einem untagged LAN (also kein V-LAN) über einen Port des USG führen?
Das Verhalten des LAN2 verstehe ich noch nicht. Wenn der von LAN1 getrennt ist und mann ein Netzwerk mit DHCP anlegt, was nur an LAN2 gebunden ist, dann sollte ein PC der dort angeschlossen wird doch eine IP aus dem LAN2 erhalten? Tatsächlich hat bei diesem Versuch der PC eine IP bekommen die an LAN1 gebunden ist.
Kann man eigentlich getaggte V-LAN's gemeinsam mit einem untagged LAN (also kein V-LAN) über einen Port des USG führen?
Tatsächlich hat bei diesem Versuch der PC eine IP bekommen die an LAN1 gebunden ist.
Dann hast du auf dem Switch keine Trennung in VLANs gemacht also eine falsche Konfig dort !!Das entsprechende Tutorial dazu und die "VLAN Schnellschulung hast du gelesen und verstanden ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Das dortige Praxisbeispiel entspricht deinem Design.
Kann man eigentlich getaggte V-LAN's gemeinsam mit einem untagged LAN (also kein V-LAN)
Ja, das ist mehr oder minder Standard auf Tagged Uplinks.Dort wird immer ein VLAN, das sog. Default oder native VLAN untagged mit übertragen. In der Regel ist das, sofern nicht anders konfiguriert, immer das VLAN 1.
Das wird mit der sog. PVID gesetzt. Siehe o.a. Tutorial oder hier.
Da das überall Standard ist, wird es sehr wahrscheinlich sein das es bei der USG zu 98% auch der Fall ist.
Siehe auch hier an einer mehr oder minder identischen Firewall:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Danke für die Antwort. Die, wirklich guten, Tutorials hatte ich schon gelesen, kann aber nach mehrfachem durchlesen nicht behaupten alles verstanden zu haben, aber die Grunglagen sind mir schon klar.
Was mir mehr Probleme macht sind die Eigenheiten der USG/AP/Controller.
Das die Webseite der USG (nicht Controller) manche Einstellungen vergisst scheint am Netzwechsel zu liegen. Da ich im Verein nicht durchgängig arbeiten kann, muss ich zu Hause weiter arbeiten, dort wird der USG an einem bis auf den DNS gleich konfiguriertem Netzwerk angeschlossen.
Nein, da AP direkt an dem USG angeschlossen. Es war aber mein Fehler dem AP im Controller nicht mitzuteilen das sich sein Management-LAN (von LAN1 auf LAN2) geändert hat.
Ich werde das vereinfachen und erstmal alles an LAN1 anschließen.
Liege ich richtig, wenn ich die USG (LAN1 oder LAN2) direkt (ohne Switch, nur Kabel) mit dem AP verbinde um mehrere V-LAN's zu übertragen? Dabei ist der AP V-LAN/Multi-SSID fähig. Das da typischerweise ein Switch dazwischen ist, ist schon klar.
Sollen dann weiter V-LAN/Multi-SSID fähige AP's hinzu, müssen Switches die Verteilung zu den AP's übernehmen. Diese müssen IEEE802.1q unterstützen.
Würde beispielsweise ein Netgear GS108E (lt. Datenblatt VLAN fähig) ausreichen?
Wird dabei noch ein ungetagged LAN (PVID) übertragen, können dann Clients die nicht VLAN fähig sind an diesen Switch?
Was mir mehr Probleme macht sind die Eigenheiten der USG/AP/Controller.
Das die Webseite der USG (nicht Controller) manche Einstellungen vergisst scheint am Netzwechsel zu liegen. Da ich im Verein nicht durchgängig arbeiten kann, muss ich zu Hause weiter arbeiten, dort wird der USG an einem bis auf den DNS gleich konfiguriertem Netzwerk angeschlossen.
Tatsächlich hat bei diesem Versuch der PC eine IP bekommen die an LAN1 gebunden ist.
Dann hast du auf dem Switch keine Trennung in VLANs gemacht also eine falsche Konfig dort !!Ich werde das vereinfachen und erstmal alles an LAN1 anschließen.
Liege ich richtig, wenn ich die USG (LAN1 oder LAN2) direkt (ohne Switch, nur Kabel) mit dem AP verbinde um mehrere V-LAN's zu übertragen? Dabei ist der AP V-LAN/Multi-SSID fähig. Das da typischerweise ein Switch dazwischen ist, ist schon klar.
Sollen dann weiter V-LAN/Multi-SSID fähige AP's hinzu, müssen Switches die Verteilung zu den AP's übernehmen. Diese müssen IEEE802.1q unterstützen.
Würde beispielsweise ein Netgear GS108E (lt. Datenblatt VLAN fähig) ausreichen?
Wird dabei noch ein ungetagged LAN (PVID) übertragen, können dann Clients die nicht VLAN fähig sind an diesen Switch?
Liege ich richtig, wenn ich die USG (LAN1 oder LAN2) direkt (ohne Switch, nur Kabel) mit dem AP verbinde um mehrere V-LAN's zu übertragen?
Das sollte funktionieren.
Sollen dann weiter V-LAN/Multi-SSID fähige AP's hinzu, müssen Switches die Verteilung zu den AP's übernehmen.
Richtig.
Würde beispielsweise ein Netgear GS108E (lt. Datenblatt VLAN fähig) ausreichen?
Geht. An Deiner Stelle würde ich aber einen Switch nehmen, der PoE unterstützt, damit Du die PoE-Injektoren weg lassen kannst.
Wird dabei noch ein ungetagged LAN (PVID) übertragen, können dann Clients die nicht VLAN fähig sind an diesen Switch?
Du kannst die VLANs einzelnen Ports zuweisen. Somit kann an Port 1 ein AP mit 3 VLANs und an Port 2 ein Endgerät ohne VLAN. Default wird meist VLAN 1 übertragen.
Du kannst die VLANs einzelnen Ports zuweisen. Somit kann an Port 1 ein AP mit 3 VLANs und an Port 2 ein Endgerät ohne VLAN. Default wird meist VLAN 1 übertragen.
Danke, dein letzter Satz war entscheident. Ich muss schauen ob das beim Netgear GS108E auch so ist.
Liege ich richtig, wenn ich die USG (LAN1 oder LAN2) direkt (ohne Switch, nur Kabel) mit dem AP verbinde
Ja, die Management IPs liegen immer per Default im VLAN 1 was immer untagged übertragen wird. Auch auf einem Trunk. In sofern passt das also.Würde beispielsweise ein Netgear GS108E (lt. Datenblatt VLAN fähig) ausreichen?
Ja, oder TP-Link TL SG108E oder oder oder... Jeder beliebige VLAN Switch am Markt kann das. VLANs (IEEE 802.1q) ist ein weltweit genormter Standard. Oder fragst du auch ob du mit deinem Auto statt Jet auch Aral tanken kannst ??Wird dabei noch ein ungetagged LAN (PVID) übertragen, können dann Clients die nicht VLAN fähig sind an diesen Switch?
Das ist Blödsinn und zeigt das du das Prinzip VLANs immer noch nicht ganz durchdrungen hast, leider.Die Clients merken nicht in welchem VLAN sie sind. Müssen sie auch nicht, denn die Netzwerk Infrastruktur weist den Ports an denen diese angeschlossen sind ja immer fest einem VLAN zu !!
Bei einem Switch machst du das über die Swiotchkonfig indem du dem Port an dem der PC untagged angeschlossen ist fest z.B. in das VLAN 10 legst. Folglich ist der Rechner dann im VLAN 10.
Kann man auch dynamisch machen über die Mac Adresse oder 802.1x User Login.
Bei einem WLAN Access Point bestimmst du bei MSSID auch fest in welches VLAN welche SSID geforwardet wird am AP.
Der Client der sich ins WLAN mit der SSID X einloggt langet dann in VLAN 10 weil du im AP die feste Zuweisung SSID X = VLAN 10 Tag gemacht hast.
Also mal die VLAN_Schnellschulung nochmals lesen und verstehen bitte !!!
Endgeräte sind NICHT tagged !
Wird dabei noch ein ungetagged LAN (PVID) übertragen
Ja. Bitte den "Aufklärungs Thread" zu Thema PVID dazu nochmal lesen und verstehen !Warum gibt es PVID bei VLANs?
Dieses Bild sollte eigentlich Klarheit schaffen...:
Den kleinen unteren Switch kannst du dir analog als MSSID AP vorstellen. SSIDs an die Endgeräte untagged mit fester Zuweisung SSID zu VLAN ID. Am Kupferport zum Switch dann tagged.
Auch der NetGear kann das wenn man seine gruselige PVID Konfig durchschaut hat. Hier steht genau wie:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Eigentlich doch kinderleicht und ganz logisch...
Ansonsten fragen...
In den letzten 15 Monaten habe ich die Aufgabenstellung aus dem ersten Post realisiert und möchte nun eine Einschätzung, als Hobbyadmin der ich bin, abgeben.
Angeschafft und eingerichtet wurden USG, 5 Unifi SW, 5 Unifi AP, Controller auf Raspi und Pihole auf Raspi, dazu mehrere IP-Telefone. Weiterhin mussten Drucker, Anzeigetafeln, smarte Steckdosen und LED-Steuerungen eingebunden werden.
die Anforderungen ware:
Am Anfang muss das Netzwerk geplant und möglichst genau abgesprochen werden. Sonderwünsche wie bei mir der Fall (Fritz!Box bleibt erstes Gerät, im Sinne einer Routerkaskade) ziehen weitere Probleme nach sich. Standorte von USG, Switches und AP, der Kabelverlauf müssen klar sein. Dann kann man auch die Kosten besser abschätzen.
Schon bei der Planung merkt der HobbyAdmin wo seine Defizite liegen. Dann heißt es lernen oder den Auftrag ablehnen.
Alle wichtigen Geräte sollten in einen Netzwerkschrank (Sterntopologie) und da sollte soviel wie möglich rein, damit nicht im nächsten Raum wieder Netzwerktechnik auf dem Schreibtisch steht.
Auch der Aufwand Gräben schachten, Wände bohren, abdichten, Kabel zu ziehen, Keystonemodule auflegen sollte vorher besprochen werden.
Wer gebeten wird etwas Ähnliches zu realisieren, mit seiner Fritz!Box o.ä. gut zurecht kommt, aber mehr auch nicht, muss sich zig Stunden mit der GUI des Controllers befassen. Alles was hinzukommt wie VLAN, PoE, Pihole erfordert weiteren Lernaufwand.
Meiner Meinung nach sollte man das zu zweit realisieren, damit man sich helfen kann und damit bei Umzug oder Krankheit noch jemand da ist der sich auskennt. Der schnell geholte Hobbyadmin wird Fehler nicht beheben können. Es ist auch kein Netzwerk was man installiert und dann vergisst, zu oft müssen updates für Controller und Firmware eingespielt werden.
Wenn es dann läuft kommt schnell der Wunsch nach besserer WLAN-Ausleuchtung.
Angeschafft und eingerichtet wurden USG, 5 Unifi SW, 5 Unifi AP, Controller auf Raspi und Pihole auf Raspi, dazu mehrere IP-Telefone. Weiterhin mussten Drucker, Anzeigetafeln, smarte Steckdosen und LED-Steuerungen eingebunden werden.
die Anforderungen ware:
- Möglichst einfache Konfiguration über GUI (ganz wichtig)
- Gute Filtermöglichkeit (Kinder/Jugendschutz)
- Loggen von Gerätenamen und MAC
- Zentrale Konfiguration der Accesspoints
- Genug Leistung für 40 gleichzeitig angemeldete Clients.
- Accesspoints sollten höchstens 250,-€ kosten.
Am Anfang muss das Netzwerk geplant und möglichst genau abgesprochen werden. Sonderwünsche wie bei mir der Fall (Fritz!Box bleibt erstes Gerät, im Sinne einer Routerkaskade) ziehen weitere Probleme nach sich. Standorte von USG, Switches und AP, der Kabelverlauf müssen klar sein. Dann kann man auch die Kosten besser abschätzen.
Schon bei der Planung merkt der HobbyAdmin wo seine Defizite liegen. Dann heißt es lernen oder den Auftrag ablehnen.
Alle wichtigen Geräte sollten in einen Netzwerkschrank (Sterntopologie) und da sollte soviel wie möglich rein, damit nicht im nächsten Raum wieder Netzwerktechnik auf dem Schreibtisch steht.
Auch der Aufwand Gräben schachten, Wände bohren, abdichten, Kabel zu ziehen, Keystonemodule auflegen sollte vorher besprochen werden.
Wer gebeten wird etwas Ähnliches zu realisieren, mit seiner Fritz!Box o.ä. gut zurecht kommt, aber mehr auch nicht, muss sich zig Stunden mit der GUI des Controllers befassen. Alles was hinzukommt wie VLAN, PoE, Pihole erfordert weiteren Lernaufwand.
Meiner Meinung nach sollte man das zu zweit realisieren, damit man sich helfen kann und damit bei Umzug oder Krankheit noch jemand da ist der sich auskennt. Der schnell geholte Hobbyadmin wird Fehler nicht beheben können. Es ist auch kein Netzwerk was man installiert und dann vergisst, zu oft müssen updates für Controller und Firmware eingespielt werden.
Wenn es dann läuft kommt schnell der Wunsch nach besserer WLAN-Ausleuchtung.
