(gelöst) Accesspoint im VLAN nicht erreichbar
Moin Moin,
mein Netzwerk besteht aus den folgenden VLANs (nur die relevanten):
- VLAN100 (Workstations und Server)
- VLAN120 (Gäste-WLAN)
- VLAN140 (Management-VLAN)
Nun habe ich einen TP-Link TL-WA901ND Accesspoint mit OpenWRT im VLAN140 an einem Trunk-Port hängen.
WLAN-Clients können sich an diesem problemlos anmelden und bekommen eine IP vom DHCP-Server (in diesem Fall die Firewall) und werden in das VLAN120 gepackt. Soweit so gut.
Mein Problem ist aber nun das ich den Accesspoint in VLAN140 von VLAN100 aus nicht erreichen kann (alle anderen Geräte wie Switches klappen ohne Probleme).
Ändere ich den Port an dem der Accesspoint hängt von "Tagged" auf "Untagged" kann ich zwar den Accesspoint erreichen aber dann kann die Firewall keine Zuordnung der VLANs mehr machen da es ja nun kein "tagged" Port ist (laut meinem Verständnis wäre das ja auch nicht korrekt).
Meine Vermutung ist nun das der Accesspoint gar nicht weiß in welchem VLAN er sich selbst befindet und irgendwie im "Default-VLAN" rumdümpelt. Leider finde ich auch keine Option in OpenWRT mit der ich dem Accesspoint mitteilen kann welches das Management-VLAN ist (wie z.B. bei den Switches).
Die Frage ist nun: Handelt es sich dabei um einen Denkfehler meinerseits oder ist das ein generelles Problem mit OpenWRT?
Schöne Grüße
tumichnix
mein Netzwerk besteht aus den folgenden VLANs (nur die relevanten):
- VLAN100 (Workstations und Server)
- VLAN120 (Gäste-WLAN)
- VLAN140 (Management-VLAN)
Nun habe ich einen TP-Link TL-WA901ND Accesspoint mit OpenWRT im VLAN140 an einem Trunk-Port hängen.
WLAN-Clients können sich an diesem problemlos anmelden und bekommen eine IP vom DHCP-Server (in diesem Fall die Firewall) und werden in das VLAN120 gepackt. Soweit so gut.
Mein Problem ist aber nun das ich den Accesspoint in VLAN140 von VLAN100 aus nicht erreichen kann (alle anderen Geräte wie Switches klappen ohne Probleme).
Ändere ich den Port an dem der Accesspoint hängt von "Tagged" auf "Untagged" kann ich zwar den Accesspoint erreichen aber dann kann die Firewall keine Zuordnung der VLANs mehr machen da es ja nun kein "tagged" Port ist (laut meinem Verständnis wäre das ja auch nicht korrekt).
Meine Vermutung ist nun das der Accesspoint gar nicht weiß in welchem VLAN er sich selbst befindet und irgendwie im "Default-VLAN" rumdümpelt. Leider finde ich auch keine Option in OpenWRT mit der ich dem Accesspoint mitteilen kann welches das Management-VLAN ist (wie z.B. bei den Switches).
Die Frage ist nun: Handelt es sich dabei um einen Denkfehler meinerseits oder ist das ein generelles Problem mit OpenWRT?
Schöne Grüße
tumichnix
Please also mark the comments that contributed to the solution of the article
Content-ID: 249356
Url: https://administrator.de/contentid/249356
Printed on: December 3, 2024 at 09:12 o'clock
4 Comments
Latest comment
Hallo tumichnix,
Idee meinerseits wäre, dass du dem DHCP-Server sagst, er soll auch das Standardgateway mitteilen. So kennt dann beispielsweise dein WLAN-Router sein zugehöriges Standardgateway und schickt die entsprechende (nicht ans VLAN120 adressierten Pakete) an dieses weiter. Dort musst du dann noch in der Firewall einstellen, dass VLAN120 mit VLAN100 kommunizieren darf.
Wie du das genau einstellst kann ich aufgrund fehlender Infos (Router, Netzinfos, etc.) im Moment nicht sagen.
Wenn du magst PN.
LG
dr-manny
Idee meinerseits wäre, dass du dem DHCP-Server sagst, er soll auch das Standardgateway mitteilen. So kennt dann beispielsweise dein WLAN-Router sein zugehöriges Standardgateway und schickt die entsprechende (nicht ans VLAN120 adressierten Pakete) an dieses weiter. Dort musst du dann noch in der Firewall einstellen, dass VLAN120 mit VLAN100 kommunizieren darf.
Wie du das genau einstellst kann ich aufgrund fehlender Infos (Router, Netzinfos, etc.) im Moment nicht sagen.
Wenn du magst PN.
LG
dr-manny
Bei einem Accesspoint mit MSSID (Multi SSID) liegt das Management Interface immer im Default VLAN. Pakete des default VLAN sendet der Accesspoint in der Regel immer untagged.
Das Default VLAN ist also immer das VLAN was untagged an einem tagged Trunk hängt wo die MSSIDs auf entsprechende VLAN IDs gemappt sind.
In der Regel ist das immer das default VLAN 1 sofern nicht anders eingestellt auf dem Endgerät !
In deinem Beispiel musst du also dafür sorgen das die Management Pakete des APs, die ja untagged kommen aus dem AP, untagged in das VLAN 140 geforwardet werden am Switch.
Hier begehst du vermutlich den Kardinalsfehler auf der Switchkonfig, denn wenn du das auf dem AP Port dort nicht customized, dann landen die Management Pakete ja im Default VLAN 1 logischerweise...und dann vermutlich im Nirwana.
Bei Cisco Switches macht das z.B. dieses Kommando:
interface FastEthernet 1
switchport mode trunk
switchport trunk allow vlan 100, 120, 140
switchport trunk native vlan 140
Bei einem Brocade Switch (Port 10) z.B.
vlan 100
tagged eth 10
vlan 120
tagged eth 10
vlan 140
tagged eth 10
!
interface eth 10
dual-mode 140
Bei anderen Herstellern ist das entsprechend.
Die fett gedruckten Kommandos bewirken das alle untagged Frames an diesem tagged Switch Trunk Port immer in das VLAN 140, also deinem Management VLAN, geforwardet werden !
Leider sagst du uns nicht welchen Switch du betreibst, deshalb musst du das für dich relevante Kommando selber rausfinden
Das war aber nur der erste Schritt, denn das sorgt erstmal nur dafür das die Pakete nun in die richtigen VLANs kommen.
Irgendwo musst du ja nun noch routen zw. deinen VLANs also auch VLAN 100 und VLAN 140. Ob das ein externer Router, Firewall oder ein L3 Switch teilst du uns ja leider auch nicht mit...
Ggf. existieren hier aber IP Accesslisten oder Firewall Regeln die den Zugriff von VLAN 100 auf das Management VLAN 140 regeln die du dann zwingend anpassen musst damit die Kommunikation klappt !
Traceroute und Pathping sind hier wie immer deine Freunde.
All diese Themen und deren Lösung werden im hiesigen VLAN Tutorial angeschnitten. Siehe auch das "Praxisbeispiel" !:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das Default VLAN ist also immer das VLAN was untagged an einem tagged Trunk hängt wo die MSSIDs auf entsprechende VLAN IDs gemappt sind.
In der Regel ist das immer das default VLAN 1 sofern nicht anders eingestellt auf dem Endgerät !
In deinem Beispiel musst du also dafür sorgen das die Management Pakete des APs, die ja untagged kommen aus dem AP, untagged in das VLAN 140 geforwardet werden am Switch.
Hier begehst du vermutlich den Kardinalsfehler auf der Switchkonfig, denn wenn du das auf dem AP Port dort nicht customized, dann landen die Management Pakete ja im Default VLAN 1 logischerweise...und dann vermutlich im Nirwana.
Bei Cisco Switches macht das z.B. dieses Kommando:
interface FastEthernet 1
switchport mode trunk
switchport trunk allow vlan 100, 120, 140
switchport trunk native vlan 140
Bei einem Brocade Switch (Port 10) z.B.
vlan 100
tagged eth 10
vlan 120
tagged eth 10
vlan 140
tagged eth 10
!
interface eth 10
dual-mode 140
Bei anderen Herstellern ist das entsprechend.
Die fett gedruckten Kommandos bewirken das alle untagged Frames an diesem tagged Switch Trunk Port immer in das VLAN 140, also deinem Management VLAN, geforwardet werden !
Leider sagst du uns nicht welchen Switch du betreibst, deshalb musst du das für dich relevante Kommando selber rausfinden
Das war aber nur der erste Schritt, denn das sorgt erstmal nur dafür das die Pakete nun in die richtigen VLANs kommen.
Irgendwo musst du ja nun noch routen zw. deinen VLANs also auch VLAN 100 und VLAN 140. Ob das ein externer Router, Firewall oder ein L3 Switch teilst du uns ja leider auch nicht mit...
Ggf. existieren hier aber IP Accesslisten oder Firewall Regeln die den Zugriff von VLAN 100 auf das Management VLAN 140 regeln die du dann zwingend anpassen musst damit die Kommunikation klappt !
Traceroute und Pathping sind hier wie immer deine Freunde.
All diese Themen und deren Lösung werden im hiesigen VLAN Tutorial angeschnitten. Siehe auch das "Praxisbeispiel" !:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern