Gast WLAN einrichten

Hallo Alex,

also einen DHCP Server gibt es für das Gast-WLAN. Für war es rein Informative wichtig, ob es so wie ich es gedacht habe passen kann das die Netwerke getrennt werden. Am Router/Firewall werde ich dann also die Eintragungen machen das z.B. das Netzwerk 192.168.200.0/24 den VLAN Tag bekommt und dort in dem Netzwerk werde ich dann auch den DHCP Server platzieren so das Clients IP Adressen bekommen um über das Gast-WLAN eine IP und das passende Gateway zu bekommen.

Beste Grüße

Hallo,

also ich bin nun schon etwas vorangekommen. Habe nun irgendwie nur noch untagged und tagged
vor den Augen. Und brächte nun etwas Hilfe . Also ich habe einen Beitrag aus dem Jahre 2010
gefunden wo auch schon mit Netgear Switchen gearbeitet wurde im VLAN Bereich. Doch irgendwie
schein Netgear es etwas anders zu machen

Also ich kenne bisher nur Cisco Switch/Router und dort wird das VLAN auf ein Interface gelegt. An
diesem Interface kommt dann nur Traffic an der für das VLAN bestimmt ist. Will man an diesem
Interface mehr als 1 VLAN erreichen oder kommt von einem Gerät aus Traffic von mehr als 1 VLAN
dann muss man dieses Interface zu einem Trunk-Interface machen.

Nun möchte ich ja wie im Bild zu sehen an 2 Access-Points 2 unterschiedliche WLAN laufen lassen.
Das eine WLAN soll im VLAN 1 (default) laufen und das andere in einem anderen VLAN für Gäste.
Wie funktioniert das dann an einem Netgear Switch? Muß ich dann den z.B. Port 5 wo ein AP angeschlossen
ist beide PVID eintragen damit der Traffic weitergeleitet wird? und muß dann der Port Tagged sein? Dazu
kommt an dem Uplink Port muß ich dort dann auch beide PVID eintragen und auch diesen Port Tagged
setzen?

Also z.B so:

AP1 (VLAN 1 und 10) WLAN intern VLAN1 und WLAN Gast VLAN10

Switch 2:
- Port 5 (AP1) - Tagged - PVID 1 und 10
- Port 20 (SW1) - Tagged - PVID 1 und 10
- all anderen Ports - untagged - PVID 1

Switch 1:
- Port 20 (SW2) - Tagged - PVID 1 und 10
- Port 1 (FW) - Tagged - PVID 1 und 10
- alle anderen Ports - untagged - PVID 1

Firewall:
- Port 1 (SW1) - Tagged - PVID 1 und 10

An der Firewall dann Regeln erstellen das kein Routing zwischen dem Netzwerk VLAN 1 und VLAN 10
stattfindet.

Ist das so richtig gedacht oder mache ich da einen Denkfehler?

Beste Grüße

Hajo

Hallo Alex,

Danke für deine Antwort. Bin derzeit noch am Planen, denn erst wenn ich das fertig hab kann ich es im Netzwerk dann auch realisieren. Denn man will ja nicht das plötzlich Fehler auftauchen und Systeme plötzlich nicht mehr an ihre Server bzw ins Internet kommen.

Was mich nur wundert ist das ich bisher noch nirgendwo lesen konnte ob es möglich ist mehrer PVID auf einen Switchport zu legen. Denn dort wo ja die AP angeschlossen werden, sind es ja zwei VLAN`s die dort ankommen. Oder reicht es den Switchport auf Tagged zu setzen und das Endgerät (in dem Fall der AP) weiß dann in welches WLAN welches Paket zurück gesendet werden muss.

Beste Grüße

Hallo aqui,

danke für deine Antwort und Tips und jetzt muß ich nur noch eine Sache geklärt bekommen. Doch
das wird wohl erst am in der kommenden Woche passieren. Denn auf dem Weg vom AP bis zur FW
ist noch ein Lancom Gerät und in den Einstellungen hab ich schon was mit VLAN`s gelesen. Doch
ich hab eine Mail von denen bekommen das dieser Router kein Trunking kann . Doch was ich in
den Einstellungen gesehen hab ist der er alle VLANs durchleiten würde. Das sollte doch Trunking
sein oder??

Naja zur Not müßte man mal schauen ob man nicht einen anderen Weg aufbauen könnte so das
die Pakete des Gast-WLAN getrennt vom Internen LAN durch kommen können.

Hallo aqui,

erstmal einen schönen 1.Mai wünsch ich dir.

Ja ich meine einen Tagged Uplink. Denn ich muß von einem Netgear Switch aus mit einer Leitung über
den Lancom (ETH-1 Eingang) den Datenverkehr weiterleiten (ETH-2 Ausgang) zur Firewall. So das das
Interne Netzwerk incl. WLAN und das Gast-WLAN dann ins Internet können.

Muß mich noch dran gewöhnen das Cisco es Trunking nennt und bei anderen LAG (Tagged Uplink)

Danke dir aqui,

jetzt muss ich nur noch alles zusammen bringen und dann bis ende der Woche in Betrieb
nehmen. Hoffe mal das das Netzwerk dann nicht zusammen bricht . Vielleicht könntest
Du mir da noch einen Tip geben, der LANCOM hat ja 3 Modi:

- Access (Niemals)
- Trunk (Immer)
- Hybrid (Gemischt)

Welchen Modus sollte ich da wählen wenn es nur das Default VLAN und das VLAN für das Gäste-WLAN
gibt? also ich denke das Hybrid dort am besten passen würde oder?? Denn wenn ich dort Trunk wähle,
dann müssen eingehende Pakete über einen VLAN Tag verfügen um nicht verworfen zu werden. Und
wenn ich das richtig verstanden hab dann hat das Default VLAN ja keinen Tag und würde somit verworfen
werden oder?

Danke Dir, dann waren meine Gedanken schon richtig

Hallo,

also ich bin nun beim Lancom angekommen und hätte da mal eine Frage. Auf der Homepage von
Lancom wird folgendes gesagt:

< Da in den Default-Einstellungen das lokale Netzwerk "Intranet" die VLAN-ID 0 hat und alle logischen
< Interfaces alle Pakete mit der VLAN-ID 1 taggen, können die getaggten Pakete keinem Netzwerk
< zugeordnet werden.


Würde es im normalen Betrieb stören wenn ich hier die VLAN-ID für Intranet und DMZ verändern würde?
denn ich möchte auf dem Lancom VLAN aktivieren, da dort Pakete von den AP über die Switches zur
Firewall gelangen und über den Weg sollen die Gäste dann auch eine IP bekommen um nur im Internet
surfen zu können.

Danke dir aqui,

langsam wird es was mit dem Aufbau des Gäste-WLAN`s

Hallo aqui,

ich bin es nochmal. Vielleicht kannst du mir ja helfen. Habe mich gestern aus dem Lancom
ausgeschlossen als ich die VLAN-ID von 0 auf 1 geändert hatte .

Aber ich konnte heute schon sehen das Clients die im GästeWLAN sind bis zum Netgear kommen.
Doch nun bin ich etwas unschlüssig wie ich das beim Lancom und dann vielleicht auch noch beim
Bintec R3000 einstellen muß.

Also das funktioniert schon:

- Gäste-Notebook via AP im GästeWLAN connected
- MAC Adresse tauch auf beiden Netgear Switchen auf
- Port zum Lancom ist für das Gäste VLAN getagged

Hier hänge ich nun und möchte nicht wie gestern mich aussperren vom Lancom .
Also ich habe eine Anleitung bei Lancom gefunden, doch welches ist der beste Weg um das
erfolgreich umzusetzen. Wenn ich das in der Web-Oberfläsche mache denke ich mal das ich
mich wie gestern aussperren werde. Denn in der Anleitung steht das wenn man das VLAN Modul
enabled kann es dazu führen das man sich aussperrt. Deswegen sollte man vorab die VLAN-ID
für das INTRANET (IP aus dem lokalen Netzwerk) von derzeit 0 auf 1 setzen. Also hab ich das
gestern getan und prompt konnte ich den Lancom nicht mehr erreichen via IP / http-Weboberfläche.

Kennt sich vielleicht jemand mit dem Tool LANconfig von LANCOM aus? Kann man dort alles vorab
richtig einstellen und erst dann auf OK klicken so das der Router dann erst die Konfiguration übernimmt.

Würde mich da über Hilfe freuen.

Beste Grüße

Hajo

Hallo aqui,

mal eine kleine zwischenfrage . Ich habe da ich derzeit daas Problem habe vom DHCP eine Adresse
bekommen einfach meinem WLAN Adapter eine IP gegeben. Nun konnte ich das Gateway welches für
das GästeWLAN zuständig ist erfolgreich anpingen. Bedeutet das das die Strecke im VLAN 5 funktioniert?

Beste Grüße

Hallo aqui,

ja das meinte ich. Denn ich hab versucht vom DHCP-Server für das VLAN eine IP zu bekommen. Doch das klappte leider nicht. Somit hatte ich mich entschlossen meinem WLAN Adapter eine Feste IP mit Gateway zu vergeben. Damit konnte ich dann zwar auch noch nicht ins Internet doch ich denke das ich da mal schauen muss ob es schon eine Regel auf der Firewall gibt das das Netzwerk ins Internet darf. Zusätzlich muß ich dann auch mal schauen warum der eingerichtete DHCP-Server mit passenden Pool fürs VLAN keine IP an WLAN Clients vergibt.

Weißt du vielleicht wer sich hier mit Lancom und Bintec sehr gut auskennt? So das ich den mal anschreiben kann. Denn trotz das ich ja 2 getrennte VLAN Netze hab, kann ich beide Gateways anpingen. Also das aus dem default und dem für die Gäste.

Beste Grüße

Hajo