Firmen-VLAN und Gast-VLAN per WLAN
Ich versuche es kurz zu machen und hoffe das ich mich klar ausdrücke. Bei Fragen einfach fragen. Kurz das Thema, ein Firmen-VLAN per WLAN und Gast-VLAN per WLAN über einen AP mit Multi-SSID in eine bestehende IT-Infrastruktur einbinden. ARF (Advanced Routing and Forwarding) soll nicht benutzt werden.
Folgende Gerätekonfiguration:
AP mit Multi-SSID - Primary-SSID ist Firma und SSID-1 ist Gast
- VLAN10(Firma) und VLAN20(Gast), default VLAN unverändert, VLAN10 und 20 sind LAN-seitig tagged
Switch 1 - am Port 7 ist der AP angeschlossen, Port 7 ist tagged
- Port 1/2 LACP Trunk zu Switch 2, Port 1 ist tagged
- Port 7 und Port 1 gehören zu den VLANs
- alle anderen Ports 'Not Member'
Switch 2 - am Port 10 ist der Router 1781EW angeschlossen, Port 10 ist tagged
- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged
- Port 10 und 21 gehören zu den VLANs
- alle anderen Ports 'Not Member'
Router - ETH1 - Firmen-LAN
- ETH2 - VLAN
- ETH3 - GastLAN1
- ETH4 - GastLAN2
1.) Ist es überhaupt möglich auf der ETH2-Schnittstelle beide VLANs zu definieren? Das Firmen-LAN soll nicht verändert werden.
Das Gast-VLAN soll keinen Zugriff aufs Firmen-LAN haben...(logisch)
Router-Konfiguration:
Ich konfiguriere ETH2 so -> ETH2 ist LAN-2, neues Netz -> 192.168.20.20/24
- Netzwerktyp: Intranet
- VLAN-ID: 20
- Schnittstellen-Zuordnung: LAN-2
- Adressprüfung: streng
- Schnittstellen-Tag: 0
- Kommentar: VLAN
2.)Da das Firmen-LAN schon an ETH1 gebunden ist, er gibt es für mich keinen Sinn das Firmen-LAN nochmal an ETH2 zu binden, oder irre ich mich?
Es ist für mich nicht logisch nachzuvollziehen wie das überhaupt gehen soll zweimal das Firmen-LAN zu haben einmal im VLAN -tagged- und einmal ohne VLAN. Das Firmen-VLAN soll die IP-Adressen vom firmeninternen DHCP Server beziehen.
Wenn ich im Router das Firmen-VLAN erstelle komme ich nicht mehr auf den Router.
Für das Gast-VLAN richte ich noch im Router den DHCP ein.
3.)Da alle Pakete -tagged- zum Router gehen muss ich das VLAN-Modul NICHT anschalten, richtig...???
Ich habe an diesen VLAN-Konfigurationsversuchen schon zu viel Zeit verbracht und ich habe keine Lust den Router Kaputt-Zu-Reseten.
4.) Kann mir jemand sagen wo der Fehler ist?
Folgende Gerätekonfiguration:
AP mit Multi-SSID - Primary-SSID ist Firma und SSID-1 ist Gast
- VLAN10(Firma) und VLAN20(Gast), default VLAN unverändert, VLAN10 und 20 sind LAN-seitig tagged
Switch 1 - am Port 7 ist der AP angeschlossen, Port 7 ist tagged
- Port 1/2 LACP Trunk zu Switch 2, Port 1 ist tagged
- Port 7 und Port 1 gehören zu den VLANs
- alle anderen Ports 'Not Member'
Switch 2 - am Port 10 ist der Router 1781EW angeschlossen, Port 10 ist tagged
- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged
- Port 10 und 21 gehören zu den VLANs
- alle anderen Ports 'Not Member'
Router - ETH1 - Firmen-LAN
- ETH2 - VLAN
- ETH3 - GastLAN1
- ETH4 - GastLAN2
1.) Ist es überhaupt möglich auf der ETH2-Schnittstelle beide VLANs zu definieren? Das Firmen-LAN soll nicht verändert werden.
Das Gast-VLAN soll keinen Zugriff aufs Firmen-LAN haben...(logisch)
Router-Konfiguration:
Ich konfiguriere ETH2 so -> ETH2 ist LAN-2, neues Netz -> 192.168.20.20/24
- Netzwerktyp: Intranet
- VLAN-ID: 20
- Schnittstellen-Zuordnung: LAN-2
- Adressprüfung: streng
- Schnittstellen-Tag: 0
- Kommentar: VLAN
2.)Da das Firmen-LAN schon an ETH1 gebunden ist, er gibt es für mich keinen Sinn das Firmen-LAN nochmal an ETH2 zu binden, oder irre ich mich?
Es ist für mich nicht logisch nachzuvollziehen wie das überhaupt gehen soll zweimal das Firmen-LAN zu haben einmal im VLAN -tagged- und einmal ohne VLAN. Das Firmen-VLAN soll die IP-Adressen vom firmeninternen DHCP Server beziehen.
Wenn ich im Router das Firmen-VLAN erstelle komme ich nicht mehr auf den Router.
Für das Gast-VLAN richte ich noch im Router den DHCP ein.
3.)Da alle Pakete -tagged- zum Router gehen muss ich das VLAN-Modul NICHT anschalten, richtig...???
Ich habe an diesen VLAN-Konfigurationsversuchen schon zu viel Zeit verbracht und ich habe keine Lust den Router Kaputt-Zu-Reseten.
4.) Kann mir jemand sagen wo der Fehler ist?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 249897
Url: https://administrator.de/contentid/249897
Ausgedruckt am: 19.11.2024 um 10:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
für meine Begriffe ist alles bis auf die Verbindungskonfiguration Router -> Switch korrekt!
Ich würde sagen, du hast zwei Möglichkeiten:
1) Du konfigurierst auf dem Router eine Schnittstelle als Tagged und "legst" dort die beiden VLAN's 10 und 20 "drauf" - passend dazu musst du natürlich auch am Switch den Port mit VLAN 10 und 20 taggen.
2) Zu ziehst für jedes VLAN eine eigene Strippe zum Router. D.h. an dem Switch konfigurierst du für jedes VLAN ein untagged/Access-Port. Am Router lässt du ETH1 für das Firmen-LAN auf untagged/Access-Port und ebenso konfigurierst du ETH2 für das Gast-LAN. Jetzt verbindest du den Router mit jeweils einem Kabel pro VLAN...
Hoffe ich konnte dir helfen...
für meine Begriffe ist alles bis auf die Verbindungskonfiguration Router -> Switch korrekt!
Ich würde sagen, du hast zwei Möglichkeiten:
1) Du konfigurierst auf dem Router eine Schnittstelle als Tagged und "legst" dort die beiden VLAN's 10 und 20 "drauf" - passend dazu musst du natürlich auch am Switch den Port mit VLAN 10 und 20 taggen.
2) Zu ziehst für jedes VLAN eine eigene Strippe zum Router. D.h. an dem Switch konfigurierst du für jedes VLAN ein untagged/Access-Port. Am Router lässt du ETH1 für das Firmen-LAN auf untagged/Access-Port und ebenso konfigurierst du ETH2 für das Gast-LAN. Jetzt verbindest du den Router mit jeweils einem Kabel pro VLAN...
Hoffe ich konnte dir helfen...
Das zum Thema gehörende Forums Tutorial hier hast du gelesen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell das Kapitel "Praxisbeispiel" ?
Dort werden eigentlich alle Fragen abgehandelt.
Nich ein paar Anmerkungen zum Rest:
Wenn, dann muss bei einem LACP Trunk beide Ports immer identisch sein. Folglich müssen die beiden Trunk Member Port 1 und 2 tagged sein !
Analog hast du auch den gleichen Fehler auf der anderen Seite an Switch 2 gemacht: ("- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged"). Hier muss natürlich 21 und 22 getagged sein damit die Member wieder identisch sind !
Zu deinen Fragen:
Hier brauchen wir eine detailiertere Info !
WAS bitte genau meist du mit "VLAN-Modul" ??? Sowas gibt es als Netzwerk Terminus nicht. Was soll das also sein ? Das du einen Trunk Port am Router generierst ?!
Auch hier genaue Erklärung oder Blick ins obige Tutorial !
Dein Fehler liegt vermutlich an 2 Stellen:
1.) LACP Trunk falsch konfiguriert
2.) Trunk auf den Router falsch konfiguriert !
Wenn du da suchst wirst du das schnell fixen. Das o.a. Tutorial beschreibt im Praxisbeispiel ganz genau dieses Szenario mit allen Settings so das das ein Kinderspiel sein sollte das zuzm Fliegen zu bringen !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell das Kapitel "Praxisbeispiel" ?
Dort werden eigentlich alle Fragen abgehandelt.
Nich ein paar Anmerkungen zum Rest:
- Port 1/2 LACP Trunk zu Switch 2, Port 1 ist tagged
Das ist so technisch nicht möglich !Wenn, dann muss bei einem LACP Trunk beide Ports immer identisch sein. Folglich müssen die beiden Trunk Member Port 1 und 2 tagged sein !
Analog hast du auch den gleichen Fehler auf der anderen Seite an Switch 2 gemacht: ("- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged"). Hier muss natürlich 21 und 22 getagged sein damit die Member wieder identisch sind !
Zu deinen Fragen:
1.) Ist es überhaupt möglich auf der ETH2-Schnittstelle beide VLANs zu definieren?
Ja, natürlich ! Du verwendest dann am Router auch einen Tagged Link. Das o.a. Tutorial erklärt es dir unter anderem auch im Praxisbeispiel !2.)Da das Firmen-LAN schon an ETH1 gebunden ist, er gibt es für mich keinen Sinn das Firmen-LAN nochmal an ETH2 zu binden, oder irre ich mich?
Nein, du irsst dich nicht ! Das wäre Blödsinn und auch technsich falsch. Mal ganz abgesehen davon das du auch damit einen Routing Loop erzeugtst...also ein absolutes NoGo !Wenn ich im Router das Firmen-VLAN erstelle komme ich nicht mehr auf den Router.
Kein Wunder, denn die Management IP Adresse des Routers bleibt ja weiterhin im Default VLAN 1 sofern du am Router einen tagged Port benutzt und keine dedizierten Einzelports pro VLAN. Das erklärst du aber leider nicht eindeutig, so das deine Router Konfig hier ziemlich unklar und verwirrend ist Hier brauchen wir eine detailiertere Info !
3.)Da alle Pakete -tagged- zum Router gehen muss ich das VLAN-Modul NICHT anschalten, richtig...???
Falsch ! Das Default VLAN 1 wird auf einem Trunk parallel immer untagged übertragen. Du hast auf einem Trunk also immer in der Regel beide Frame Formate !WAS bitte genau meist du mit "VLAN-Modul" ??? Sowas gibt es als Netzwerk Terminus nicht. Was soll das also sein ? Das du einen Trunk Port am Router generierst ?!
Auch hier genaue Erklärung oder Blick ins obige Tutorial !
4.) Kann mir jemand sagen wo der Fehler ist?
Generell ist dein Konzept absolut richtig !Dein Fehler liegt vermutlich an 2 Stellen:
1.) LACP Trunk falsch konfiguriert
2.) Trunk auf den Router falsch konfiguriert !
Wenn du da suchst wirst du das schnell fixen. Das o.a. Tutorial beschreibt im Praxisbeispiel ganz genau dieses Szenario mit allen Settings so das das ein Kinderspiel sein sollte das zuzm Fliegen zu bringen !
Das mit den pro VLAN ein Kabel ist eben genau das was ich/wir nicht machen wollen...weil es einfach wäre
Richtig ! Das wäre eine dilettantische Bastellösung. Mit deinem Trunk auf den Router bist du auf dem richtigen Weg !Das Problem mit dem ich "lege" VLANs 10 und 20 "drauf" ist, dass ich keine Ahnung habe wie ich es im Router (Lancom 1781EW) konfigurieren soll/muss...
DAS ist genau der Knackpunkt !Hier solltest du mal ins Handbuch sehen oder einer unser Lancom Spezls wie Kollege @Arch-Stanton hier muss mal ran und erklären wie man das macht.
Lancom hat dazu was in seiner Knowledgebase:
https://www2.lancom.de/kb.nsf/1275/52781272AD84ED9CC12574AB00432192?Open ...
...wo es ja mit einem 1711 beschrieben ist das es geht !
Lancom nennt das irgendwie "ARF". Klingt wieder ganz anders wie es der Rest der Welt nennt aber damit geht es ja scheinbar ?!
Hört sich aber in der Doku dazu an als ob man da dann sowas wie ein "VLAN Modul" benötigt, was auch immer das ist..?
Ansonsten schaltest du eine kleine_Firewall davor mit einem Captive Portal für die Gäste und dann klappt das im Handumdrehen ohne "Module" und Frickelei...
Jetzt hat mein Chef gesagt wir....
Das passiert dann wenn mit einmal wieder Kaufleute (oder was auch immer der Chef ist..?) über sinvolle IT Lösungen entscheiden....no comment.Eigentlich bist du ja der Fachangestellte der den Chef bei der IT beraten sollte und bestimmt was gemacht wird, denn du musst ja damit umgehen...komische Hierarchie bei euch, aber egal.
Aber OK auch die Bastelvariante nach dem Motto Warum einfach machen wenns umständlich auch geht.. wird so klaglos funktionieren.
Hat auch noch den kleinen Vorteil das beide VLANs nicht einen Link sharen müssen aber den Nachteil der Fehleranfälligkeit durch die aufwendigere Kabelage.
Na ja... Hauptsache es klappt alles zum Schluss und der Cheffe ist zufrieden.