21
Internetprobleme mit VLAN
Hallo zusammen,
ich sitze leider seit einigen Stunden an einem Problem, was ich nicht so richtig begreifen will.
Folgende Ausgangssituation:
- kleines Firmennetzwerk mit einem Router Lancom 1781EF+
- dazu mehrere WLAN-AP Lancom L-822acn dual Wireless
- außerdem mehrere Switches, relevant aber in diesem Fall nur Lancom GS-2326P+
- WLAN-Netzwerk "Office" mit VLAN-ID "2" und Zuordnung eines DHCP-Netzwerkes 192.168.144.xxx
- sowie WLAN-Netzwerk "Visitor" mit VLAN-ID "5" und Zuordnung eines DHCP-Netzwerkes 192.168.143.xxx
- IP-Netzwerke Gast 143 und Büro 144 sind entsprechend angelegt (gehen beide auf LAN-1 Schnittstelle)
- DHCP-Netzwerke Gast 143 und Büro 144 sind auch entsprechend angelegt mit jeweiligem Gateway 192.168.143.1 bzw. 192.168.144.1
- VLANs sind in VLAN-Tabelle entsprechend mit ihren IDs 2 bzw. 5 eingetragen, VLAN-Modul des Routers, der APs und des Switches sind entsprechend aktiviert
- am Switch sind alle Ports für die entsprechenden VLAN-IDs freigegeben
- am WLAN Office funktioniert der Internetzugriff* problemlos
- am WLAN Visitor (ID 5 und 143er IP Bereich) funktioniert der Internetzugriff* nicht
*Mit Internetzugriff meine ich, dass sich keine Webseiten laden lassen, keine Apps mit Internetzugriff funktionieren, etc. Windows zeigt jedoch an, dass ein Internetzugang vorhanden wäre.
Also kurze Zusammenfassung:
- eigentlich existieren zwei WLAN-Netze, welche sich nur durch eine VLAN-ID unterscheiden und dadurch einem anderen IP-Bereich zugeordnet werden können
- beide IP-Bereiche greifen aber auf die selbe LAN-Schnittstelle des Routers zu
- Konfigurationen sind soweit angelegt und im Grunde identisch
- bei dem einem WLAN funktioniert der Internetzugriff, bei dem anderen jedoch nicht
Was übersehe ich bzw. habe ich falsch verstanden?
Falls noch weitere Infos benötigt werden, gerne fragen.
Vielen Dank!
ich sitze leider seit einigen Stunden an einem Problem, was ich nicht so richtig begreifen will.
Folgende Ausgangssituation:
- kleines Firmennetzwerk mit einem Router Lancom 1781EF+
- dazu mehrere WLAN-AP Lancom L-822acn dual Wireless
- außerdem mehrere Switches, relevant aber in diesem Fall nur Lancom GS-2326P+
- WLAN-Netzwerk "Office" mit VLAN-ID "2" und Zuordnung eines DHCP-Netzwerkes 192.168.144.xxx
- sowie WLAN-Netzwerk "Visitor" mit VLAN-ID "5" und Zuordnung eines DHCP-Netzwerkes 192.168.143.xxx
- IP-Netzwerke Gast 143 und Büro 144 sind entsprechend angelegt (gehen beide auf LAN-1 Schnittstelle)
- DHCP-Netzwerke Gast 143 und Büro 144 sind auch entsprechend angelegt mit jeweiligem Gateway 192.168.143.1 bzw. 192.168.144.1
- VLANs sind in VLAN-Tabelle entsprechend mit ihren IDs 2 bzw. 5 eingetragen, VLAN-Modul des Routers, der APs und des Switches sind entsprechend aktiviert
- am Switch sind alle Ports für die entsprechenden VLAN-IDs freigegeben
- am WLAN Office funktioniert der Internetzugriff* problemlos
- am WLAN Visitor (ID 5 und 143er IP Bereich) funktioniert der Internetzugriff* nicht
*Mit Internetzugriff meine ich, dass sich keine Webseiten laden lassen, keine Apps mit Internetzugriff funktionieren, etc. Windows zeigt jedoch an, dass ein Internetzugang vorhanden wäre.
Also kurze Zusammenfassung:
- eigentlich existieren zwei WLAN-Netze, welche sich nur durch eine VLAN-ID unterscheiden und dadurch einem anderen IP-Bereich zugeordnet werden können
- beide IP-Bereiche greifen aber auf die selbe LAN-Schnittstelle des Routers zu
- Konfigurationen sind soweit angelegt und im Grunde identisch
- bei dem einem WLAN funktioniert der Internetzugriff, bei dem anderen jedoch nicht
Was übersehe ich bzw. habe ich falsch verstanden?
Falls noch weitere Infos benötigt werden, gerne fragen.
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397036
Url: https://administrator.de/contentid/397036
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
21 Kommentare
Neuester Kommentar
Hallo,
frohes neues Jahr erst einmal ;)
Bitte entschuldige die vielleicht blöde frage, aber soweit ich das gelesen haben, hast du "nur" probiert Internetseiten zu öffnen.
Kannst du bei dem WLAN Netzwerk "Ohne Internet" einen externen Server anpingen ? (z.B. 1.1.1.1 ? )
=> Sofern du hier eine Antwort bekommst, dann könnte es sein, dass du ein DNS Problem hast.
Gruß Mario
frohes neues Jahr erst einmal ;)
Bitte entschuldige die vielleicht blöde frage, aber soweit ich das gelesen haben, hast du "nur" probiert Internetseiten zu öffnen.
Kannst du bei dem WLAN Netzwerk "Ohne Internet" einen externen Server anpingen ? (z.B. 1.1.1.1 ? )
=> Sofern du hier eine Antwort bekommst, dann könnte es sein, dass du ein DNS Problem hast.
Gruß Mario
Hi Mario,
danke für die schnelle Rückmeldung.
Ebenfalls ein frohes Neues
Guter Einwand! In der Tat kann ich z.B. 1.1.1.1 anpingen.
Jetzt stehe ich aber auf dem Schlauch. Im Bereich DNS habe ich keinerlei Einstellungen oder Veränderungen des Routers vorgenommen.
Ich dachte eigentlich, dass es ausreichend ist, die verschiedenen Netzwerke einzurichten, den Rest würde der Router selbstständig hinbekommen.
Was müsste ich in diesem Falle jetzt tun?
Möglichkeiten zur Einstellung bei mir wäre Sub-Domäne, Weiterleitung, Stationsnamen, Dienst-Tabellen,...
Lg Patrick
danke für die schnelle Rückmeldung.
Ebenfalls ein frohes Neues
Guter Einwand! In der Tat kann ich z.B. 1.1.1.1 anpingen.
Jetzt stehe ich aber auf dem Schlauch. Im Bereich DNS habe ich keinerlei Einstellungen oder Veränderungen des Routers vorgenommen.
Ich dachte eigentlich, dass es ausreichend ist, die verschiedenen Netzwerke einzurichten, den Rest würde der Router selbstständig hinbekommen.
Was müsste ich in diesem Falle jetzt tun?
Möglichkeiten zur Einstellung bei mir wäre Sub-Domäne, Weiterleitung, Stationsnamen, Dienst-Tabellen,...
Lg Patrick
Moin,
mache als erstes mal von einem CLient aus ein
um zu sehen, wie weit du kommst.
Wenn du am 1781EF+ "hängen" bleibst, wovon ja auszugehen ist, dann prüfe mal die Firewall-Einstellungen am LANCOM-Router. Ich vermute, hier wird alles für das nicht funktionierende VLAN per Default geblockt.
Edit: da ein Ping geht, prüfe folgendes in den DHCP-Server-Einstellungen:
Wenn du sauber durchkommst, prüfe mal, ob deine DNS-Auflösung sauber klappt.
Welche IP hast du im DHCP-Server für die DNS-Server mitgegeben?
Gruß
em-pie
mache als erstes mal von einem CLient aus ein
tracert 8.8.8.8 Wenn du am 1781EF+ "hängen" bleibst, wovon ja auszugehen ist, dann prüfe mal die Firewall-Einstellungen am LANCOM-Router. Ich vermute, hier wird alles für das nicht funktionierende VLAN per Default geblockt.
Edit: da ein Ping geht, prüfe folgendes in den DHCP-Server-Einstellungen:
Wenn du sauber durchkommst, prüfe mal, ob deine DNS-Auflösung sauber klappt.
Welche IP hast du im DHCP-Server für die DNS-Server mitgegeben?
Gruß
em-pie
Hallo em-pie,
tracert 8.8.8.8 ist nach 10 Schritten beim Ziel angelangt.
Richtig, LANmonitor zeigt einige Firewall-Ereignisse für den 143er Bereich an.
Einstellung Firewall:
- Deny-All Strategie mit Beispielskript vom Landom, mit entsprechenden Freigaben für WEB, MAIL, etc. (Deny-All Package)
- keine spezielle Regel für 143er Bereich, sondern immer LOCALNET als Station, also alle Stationen in jedem lokalen Netzwerk, wenn ich das richtig verstanden habe
DNS-Server hatte ich default gelassen bei den Einstellungen der DHCP-Netzwerke.
Router hat die 192.168.144.1, wenn ich den eintrage, funktioniert es allerdings auch nicht.
Lg
tracert 8.8.8.8 ist nach 10 Schritten beim Ziel angelangt.
Richtig, LANmonitor zeigt einige Firewall-Ereignisse für den 143er Bereich an.
Einstellung Firewall:
- Deny-All Strategie mit Beispielskript vom Landom, mit entsprechenden Freigaben für WEB, MAIL, etc. (Deny-All Package)
- keine spezielle Regel für 143er Bereich, sondern immer LOCALNET als Station, also alle Stationen in jedem lokalen Netzwerk, wenn ich das richtig verstanden habe
DNS-Server hatte ich default gelassen bei den Einstellungen der DHCP-Netzwerke.
Router hat die 192.168.144.1, wenn ich den eintrage, funktioniert es allerdings auch nicht.
Lg
Hey,
bin auch noch relativ neu neu in Bezug auf die VLAN Schiene. ;)
Sofern ich das Richtig verstehe, ist der LAN com Router dein DHCP Server, welcher die IPs in allen Netzwerkbereichen vergibt.
Im VLan 144 -> Sollte dieser dann die IP 192.168.144.1 haben
im VLan 143 -> Sollte dieser dann die IP 192.168.143.1 haben.
(Diese IPs müssten -zumindest in kleineren Netzwerken (Hausgebrauch) - dann dein DNS und Standartgateway sein)
Was bekommen diene Clients denn als Standardgateway und DNS zugewiesen ?
bzw. du kannst testweise mal folgendes auf deinem Client probieren.
Start -> Ausführen -> CMD
==> nslookup
HIer solltes du direkt deinen Standart DNS angezeigt bekommen.
gib hier jetzt einfach mal google.de ein und schau was du als Antwort erhälst.
=> Testweise kannst du hier auch einen anderen Server versuchen indem du Server 1.1.1.1 eingibst.
bin auch noch relativ neu neu in Bezug auf die VLAN Schiene. ;)
Sofern ich das Richtig verstehe, ist der LAN com Router dein DHCP Server, welcher die IPs in allen Netzwerkbereichen vergibt.
Im VLan 144 -> Sollte dieser dann die IP 192.168.144.1 haben
im VLan 143 -> Sollte dieser dann die IP 192.168.143.1 haben.
(Diese IPs müssten -zumindest in kleineren Netzwerken (Hausgebrauch) - dann dein DNS und Standartgateway sein)
Was bekommen diene Clients denn als Standardgateway und DNS zugewiesen ?
bzw. du kannst testweise mal folgendes auf deinem Client probieren.
Start -> Ausführen -> CMD
==> nslookup
HIer solltes du direkt deinen Standart DNS angezeigt bekommen.
gib hier jetzt einfach mal google.de ein und schau was du als Antwort erhälst.
=> Testweise kannst du hier auch einen anderen Server versuchen indem du Server 1.1.1.1 eingibst.
eigentlich existieren zwei WLAN-Netze, welche sich nur durch eine VLAN-ID unterscheiden und dadurch einem anderen IP-Bereich zugeordnet werden können
Das ist eine klassische MSSID AP Einrichtung.Wie das richtig zu machen ist kannst du hier nachlesen:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort ist eigentlich alles erklärt was man zu dem Thema wissen muss.
Dein Fehler liegt vermutlich an diesen Punkten:
- Tagged Uplink zum Lancom Router vergessen
- Am Lancom Router den Tagged Port der beide VLANs hält nicht ric htig konfiguriert. Siehe pfSense oder Mikrotik Beispiel im Tutorial oben !
- Firewall Regeln auf dem Router falsch eingerichtet.
Wichtige Check ToDos:
- Bekommen die WLAN Clients entsprechend richtige IP Adressen in beiden WLAN Segmenten ? Check mit ipconfig -all (Winblows)
- Wenn ja, kannst du vom Client dann das lokale Router Interface (Gateway) anpingen ? (ICMP in Firewall ewrlaubt !)
- Wenn ja, kannst du eine nackte Internet IP anpingen ? Z.B. ping 8.8.8.8
- Wenn ja, kannst du einen Hostnamen anpingen ? Z.B. ping www.heise.de
Servus und ein gutes neues Jahr,
ich denke mal, das die WLAN-AP's an deinem Switch hängen und die Switch-Ports in den richtigen VLANs sind?
Dann darfst du auf dem Router das VLAN-Modul NICHT aktivieren.
Der Internetzugriff hört sich nach Firewall-Problem an. Das Stationsobject "LOCALNET" schließt alle lokalen Netze ein,
die auf dem Router angelegt wurden, die der Router also kennt. Hast du nen DNS u. DHCP im Netz oder macht das alles der Lancom?
Gruß NV
ich denke mal, das die WLAN-AP's an deinem Switch hängen und die Switch-Ports in den richtigen VLANs sind?
Dann darfst du auf dem Router das VLAN-Modul NICHT aktivieren.
Der Internetzugriff hört sich nach Firewall-Problem an. Das Stationsobject "LOCALNET" schließt alle lokalen Netze ein,
die auf dem Router angelegt wurden, die der Router also kennt. Hast du nen DNS u. DHCP im Netz oder macht das alles der Lancom?
Gruß NV
@mario89
richtig, der Lancom-Router ist mein DHCP-Server.
Standardgateway, DNS und DHCP-Server sind jeweils 192.168.144.1 bzw. 192.168.143.1 (geprüft via ipconfig -all)
@aqui
ich werde mir die Anleitung einmal anschauen
sowohl das WLAN-Profil, wie auch auf dem Switch für die entsprechenden Ports sind die VLAN-IDs eingetragen
am Router sind in der VLAN-ID Tabelle für beide Tags die entsprechende LAN-Schnittstelle des Routers zugeordnet
alle 4 Checks kann ich mit ja beantworten
@NixVerstehen
richtig, die APs hängen am Switch, der wiederum dann am Router
habe das VLAN-Modul des Routers jetzt mal ausgeschaltet (Warum darf das nicht an sein?)
Firewall habe ich wie oben beschrieben die Deny-All Strategie von Lancom eingerichtet (also einfach das Deny-All Package von denen in den Router geladen) -> wieso sollte das für das eine WLAN funktionieren, für das andere aber nicht? Da ich die Netze ja angelegt habe, sollte das auch mit dem Localnet funktionieren, denke ich.
Nein, macht alles der Lancom-Router
richtig, der Lancom-Router ist mein DHCP-Server.
Standardgateway, DNS und DHCP-Server sind jeweils 192.168.144.1 bzw. 192.168.143.1 (geprüft via ipconfig -all)
@aqui
ich werde mir die Anleitung einmal anschauen
sowohl das WLAN-Profil, wie auch auf dem Switch für die entsprechenden Ports sind die VLAN-IDs eingetragen
am Router sind in der VLAN-ID Tabelle für beide Tags die entsprechende LAN-Schnittstelle des Routers zugeordnet
alle 4 Checks kann ich mit ja beantworten
@NixVerstehen
richtig, die APs hängen am Switch, der wiederum dann am Router
habe das VLAN-Modul des Routers jetzt mal ausgeschaltet (Warum darf das nicht an sein?)
Firewall habe ich wie oben beschrieben die Deny-All Strategie von Lancom eingerichtet (also einfach das Deny-All Package von denen in den Router geladen) -> wieso sollte das für das eine WLAN funktionieren, für das andere aber nicht? Da ich die Netze ja angelegt habe, sollte das auch mit dem Localnet funktionieren, denke ich.
Nein, macht alles der Lancom-Router
Hallo pfinet,
hier mal ein Link zu Lancom zum Thema VLAN-Modul:
Lancom VLAN-Modul
Kannst mal aus dem Firewall-Log Zeilen posten, die etwas mit deinem 143er-Netz zu tun haben?
Gruß NV
hier mal ein Link zu Lancom zum Thema VLAN-Modul:
Lancom VLAN-Modul
Kannst mal aus dem Firewall-Log Zeilen posten, die etwas mit deinem 143er-Netz zu tun haben?
Gruß NV
Hier mal noch einfache Firewall-Regeln, die in jedem Fall funktionieren sollten. Die VLAN-Stationen bitte nicht beachten.
Hau das mal so in Lanconfig rein und versuche es nochmal.
Gruß NV
Hau das mal so in Lanconfig rein und versuche es nochmal.
Gruß NV
@Deepsys
richtig, ping www.heise.de funktioniert
Firewall sind wir ja gerade schon dran
@NixVerstehen
danke für den Link, den kannte ich schon.
hatte das so verstanden, dass es unnütz ist, wenn ich keine untagged Pakete habe, aber nicht, dass es nicht DARF (wieder was gelernt)
Firewall-regeln aktuell:
Bild entfernt
Firewall-Ereignisse (Beispiel und Ausschnitt):
Bild entfernt
Also wenn ich jetzt mal alles zusammen zähle, denke ich auch, dass an der Firewall irgendwas nicht passt.
Wundere mich nur, wieso das denn für das eine WLAN funktioniert (Kabel übrigens auch), nur das andere WLAN nicht...
Weil LOCALNET müsste ja eigentlich das 143er Netz kennen (ist ja angelegt)
richtig, ping www.heise.de funktioniert
Firewall sind wir ja gerade schon dran
@NixVerstehen
danke für den Link, den kannte ich schon.
hatte das so verstanden, dass es unnütz ist, wenn ich keine untagged Pakete habe, aber nicht, dass es nicht DARF (wieder was gelernt)
Firewall-regeln aktuell:
Bild entfernt
Firewall-Ereignisse (Beispiel und Ausschnitt):
Bild entfernt
Also wenn ich jetzt mal alles zusammen zähle, denke ich auch, dass an der Firewall irgendwas nicht passt.
Wundere mich nur, wieso das denn für das eine WLAN funktioniert (Kabel übrigens auch), nur das andere WLAN nicht...
Weil LOCALNET müsste ja eigentlich das 143er Netz kennen (ist ja angelegt)
alle 4 Checks kann ich mit ja beantworten
Mmmhhh, das würde ja dann bedeuten alles rennt wie es soll ?!Wo ist denn dann dein Problem ??
habe das VLAN-Modul des Routers jetzt mal ausgeschaltet (Warum darf das nicht an sein?)
Dieser Rat dürfte auch FALSCH sein ?!Jetzt mal als nicht Lancom User gedacht hängt ja ein Port des Lancom mit Tagging sprich also 802.1q VLAN Tagging am VLAN Switch auch mit entsprechendem VLAN Tagging dort. (Siehe o.a. VLAN Tutorial)
Am Lancom verzweigt dieser Tagged Link dann auf die internen virtuellen VLAN Layer 3 IP Interfaces des Routers.
Grob gesehen sieht das dann so aus wenn man jetzt mal so tut das der "Mikrotik" ein Lancom ist, sich den 2ten Provider wegdenkt und den VLAN AP auch mit einem Tagged Link der MSSIDs denkt !
Diese Funktion dann zu deaktivieren sollte dann vermutlich die gesamte VLAN Struktur funktionslos machen.
Das kann dann (vermutlich) niemals richtig sein. Aber wie gesagt...als Lancom Laie laut geraten...
Wo ist denn dann dein Problem ??
Wie bereits oben geschrieben: wenn ich z.B. im Browser eine Internetseite aufrufen möchte, lädt sie nicht, im anderen WLAN allerdings schonDiese Funktion dann zu deaktivieren sollte dann vermutlich die gesamte VLAN Struktur funktionslos machen.
Das kann dann (vermutlich) niemals richtig sein. Aber wie gesagt...als Lancom Laie laut geraten...
Hätte ich im ersten Moment auch gedacht, deshalb hatte ich es aktiviert gelassen, funktioniert aber auch ohne (aktuell jetzt in Betrieb)Das kann dann (vermutlich) niemals richtig sein. Aber wie gesagt...als Lancom Laie laut geraten...
APs haben das VLAN-Modul aktiviert, am VLAN-fähigen Switch sind die Ports entsprechend freigegeben
@pfinet
Brauchst du wirklich alle diese Dienste, die du in der Firewall nach außen erlaubst? Ich denke dann speziell an
SNMP, TFTP, Elster, RDP, Telnet, SSH, FTP.
Für die Übersichtlichkeit kannst du dann mehrere Dienste in einer Regel zusammenfassen (siehe mein Beispiel).
Jedes Paket muss diese ganze Litanei an Regeln durchlaufen, bis es auf eine zutreffende Regel trifft.
Also erstmal vereinfachen und alles raus, was an Diensten nicht benötigt wird. Dient der Sicherheit.
Hast du für die letzte Zeile in deinen Firewall-Regeln eine Lizenz gebucht? Der Content-Filter ist kostenpflichtig.
Lancom Content-Filter
Ansonsten hau die Regel raus oder setze sie mal auf inaktiv.
Wenn deine Hosts im 143er nicht mit denen im 144er Netz sprechen dürfen, ist das Firewall-Log ok.
Mach mal bitte Screenshots von folgenden Stellen in Lanconfig:
Netze
VLAN Router
DHCP Router
Gruß NV
Brauchst du wirklich alle diese Dienste, die du in der Firewall nach außen erlaubst? Ich denke dann speziell an
SNMP, TFTP, Elster, RDP, Telnet, SSH, FTP.
Für die Übersichtlichkeit kannst du dann mehrere Dienste in einer Regel zusammenfassen (siehe mein Beispiel).
Jedes Paket muss diese ganze Litanei an Regeln durchlaufen, bis es auf eine zutreffende Regel trifft.
Also erstmal vereinfachen und alles raus, was an Diensten nicht benötigt wird. Dient der Sicherheit.
Hast du für die letzte Zeile in deinen Firewall-Regeln eine Lizenz gebucht? Der Content-Filter ist kostenpflichtig.
Lancom Content-Filter
Ansonsten hau die Regel raus oder setze sie mal auf inaktiv.
Wenn deine Hosts im 143er nicht mit denen im 144er Netz sprechen dürfen, ist das Firewall-Log ok.
Mach mal bitte Screenshots von folgenden Stellen in Lanconfig:
Netze
VLAN Router
DHCP Router
Gruß NV
Brauchst du wirklich alle diese Dienste, die du in der Firewall nach außen erlaubst?
Allein SNMP, Telnet sind schon tödlich ! 
wenn ich z.B. im Browser eine Internetseite aufrufen möchte, lädt sie nicht, im anderen WLAN allerdings schon
Dann ist das ja ein reines Browser Problem !Ist da noch sowas wie ein Proxy oder sowas definiert !!
Wenn von beiden WLAN SSIDs der Internet Zugriff via nackter IP und auch Domain Namen Ping funktioniert, dann funktioniert ja generell der Internet Zugriff mit allen Optionen aus diesen beiden WLANs !
Das kann dann nur ein Browser Problem sein.
Oder....die Lancom Firewall hat eine falsche Regel und filtert TCP 80 und 443 Traffic in diesem Segment.
@aqui
Das mit dem VLAN-Modul ist bei Lancom ziemlich blöd und missverständlich gelöst und die Konfig-Dialogfenster sind arg verstreut. Auf den Lancom-Routern legst du die lokalen Netze an, gibst denen die VLAN-ID in dem Dialogfeld, wo die Netze angelegt werden und packst das Netz auf das logische Interface. Damit ist das routerseitig schon erledigt (ohne das VLAN-Modul).
Gruß NV
Das mit dem VLAN-Modul ist bei Lancom ziemlich blöd und missverständlich gelöst und die Konfig-Dialogfenster sind arg verstreut. Auf den Lancom-Routern legst du die lokalen Netze an, gibst denen die VLAN-ID in dem Dialogfeld, wo die Netze angelegt werden und packst das Netz auf das logische Interface. Damit ist das routerseitig schon erledigt (ohne das VLAN-Modul).
Gruß NV
@NixVerstehen
Allerdings wird z.B.RDP, FTP, Elster und so schon gebraucht, schaue aber nochmal drüber (Telnet z.B. kann weg, habt ihr Recht)
(dürfte aber für den Fall hier aktuell uninteressant sein, genauso wie der Content-Filter, welcher aktuell sowieso deaktiviert ist)
Übersichtlichkeit habe ich so eigentlich mehr (ist wohl subjektiv)
Screenshots folgend (bitte nicht wegen INTRANET 2 und 3 fragen, hatte mich mal ausversehen ausgesperrt, deshalb Nummer sicher...
)
Bild entfernt
Bild entfernt
Bild entfernt
sollte eigentlich default sein
Wie bereits gesagt, Einstellungen sind im Grunde gleich, außer VLAN-ID und IP-Bereich..
@aqui
Außerdem lassen sich am Tablet keine Apps (z.B. Twitter) nutzen.
Was ich halt nicht verstehen will, ist:
- wenn ich für das 143er WLAN untagged sage, dann bin ich logischerweise im 144er Bereich, dann funktioniert alles problemlos (auch Tablet-App etc.). Genauso wenn ich mich im 144er WLAN befinde, funktioniert alles prima.
In der Firewall habe ich keine speziellen Sachen eingestellt. Lediglich LOCALNET wird verwendet, und da beide Netze bekannt sind dürfte das eigentlich kein Problem sein... (komme mir irgendwie so vor, als sei ich zu blöd ..)
Brauchst du wirklich alle diese Dienste, die du in der Firewall nach außen erlaubst?
Wie gesagt, hatte das Deny-All Package erstmal genommen.Allerdings wird z.B.RDP, FTP, Elster und so schon gebraucht, schaue aber nochmal drüber (Telnet z.B. kann weg, habt ihr Recht)
(dürfte aber für den Fall hier aktuell uninteressant sein, genauso wie der Content-Filter, welcher aktuell sowieso deaktiviert ist)
Übersichtlichkeit habe ich so eigentlich mehr (ist wohl subjektiv
)Screenshots folgend (bitte nicht wegen INTRANET 2 und 3 fragen, hatte mich mal ausversehen ausgesperrt, deshalb Nummer sicher...
)Bild entfernt
Bild entfernt
Bild entfernt
sollte eigentlich default sein
Wie bereits gesagt, Einstellungen sind im Grunde gleich, außer VLAN-ID und IP-Bereich..
@aqui
Dann ist das ja ein reines Browser Problem !
Nein, da Geräteübergreifend. Weder am Notebook, noch am Tablet lädt z.B. heise security.Außerdem lassen sich am Tablet keine Apps (z.B. Twitter) nutzen.
Was ich halt nicht verstehen will, ist:
- wenn ich für das 143er WLAN untagged sage, dann bin ich logischerweise im 144er Bereich, dann funktioniert alles problemlos (auch Tablet-App etc.). Genauso wenn ich mich im 144er WLAN befinde, funktioniert alles prima.
In der Firewall habe ich keine speziellen Sachen eingestellt. Lediglich LOCALNET wird verwendet, und da beide Netze bekannt sind dürfte das eigentlich kein Problem sein... (komme mir irgendwie so vor, als sei ich zu blöd ..)
Nein, da Geräteübergreifend.
Dann bleibt nur noch die Firewall Regel !!Alles andere scheidet ja dann aus. Netzwerktechnisch gesehen rennt ja alles.
Kannst du auch ja selber mit dem Curl Tool am Client mal testen:
curl www.heise.de
<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>
Autsch...deine Netze auf dem Router sind Quatsch. Das geht so nicht!
Du hast das Netz 192.168.144.0/24 gleich dreimal mit unterschiedlichen VLANs angelegt! Leg dir bitte mal ein Netz
192.168.1.0/24 an mit Routeradresse 192.168.1.1 und VLAN-ID 0, aktiviere auf diesem Netz DHCP mit Bereich z.B. 192.168.1.10 bis 192.168.1.20, als DNS nimmst du 192.168.1.1 und als DHCP-Server auch 192.168.1.1.
@aqui: Bei Lancom gibt es VLAN 0...ist gaga, ich weiß
Das Ganze bindest du an einen freien LAN-Port auf dem Router. Dann hast du mal deine Backdoor, falls du dich aussperren solltest. Einfach Notebook an den Port und du kommst wieder auf den Router.
Dann lösche bitte die Netze "Intranet2" und "Intranet3". Anschließend gibst du dem Netz "Intranet" die VLAN-ID 2.
Das ist ein typischer Denkfehler in der Lanconfig, den ich auch mal gemacht habe. Der Router hat je Netz eine eigene "virtuelle" IP-Adresse.
Wenn du z.B. drei Netze mit 192.168.142.0/24, 192.168.143.0/24 und 192.168.144.0/24 anlegst, dann ist der Router aus dem jeweiligen Netz
unter z.B. 192.168.142.1, 192.168.143.1 und 192.168.144.1 erreichbar.
Die Firewall-Regeln passen soweit ich sehen kann, aber bitte dringend vereinfachen und aus Sicherheitsgründen zusperren, was nicht unbedingt
nötig ist. Ggf. dreh lieber zuviel ab und schau dann, ob etwas nicht funktioniert. Dann schau dir die Firewall-Logs an und mach nur auf was unverzichtbar ist.
Gruß NV
Edit: Mir ist bei deinen DHCP-Einstellungen noch aufgefallen, dass du keine Broadcast-Adresse angegeben hast. Die Lancom's können die zwar selbst ermitteln, aber besser mit angeben. Immer die letzte Adresse im Netz, also im "Intranet" 192.168.144.255 und im "Gast" 192.168.143.255.
Edit2: Irgendwie hab ich heute Tomaten auf den Augen. Erster DNS in den DHCP-Settings fehlt auch. Für "Internet" 192.168.144.1 und für Gast "192.168.143.1". Dann in den DNS-Settings DNS-Server und Weiterleitung aktivieren.
Du hast das Netz 192.168.144.0/24 gleich dreimal mit unterschiedlichen VLANs angelegt! Leg dir bitte mal ein Netz
192.168.1.0/24 an mit Routeradresse 192.168.1.1 und VLAN-ID 0, aktiviere auf diesem Netz DHCP mit Bereich z.B. 192.168.1.10 bis 192.168.1.20, als DNS nimmst du 192.168.1.1 und als DHCP-Server auch 192.168.1.1.
@aqui: Bei Lancom gibt es VLAN 0...ist gaga, ich weiß
Das Ganze bindest du an einen freien LAN-Port auf dem Router. Dann hast du mal deine Backdoor, falls du dich aussperren solltest. Einfach Notebook an den Port und du kommst wieder auf den Router.
Dann lösche bitte die Netze "Intranet2" und "Intranet3". Anschließend gibst du dem Netz "Intranet" die VLAN-ID 2.
Das ist ein typischer Denkfehler in der Lanconfig, den ich auch mal gemacht habe. Der Router hat je Netz eine eigene "virtuelle" IP-Adresse.
Wenn du z.B. drei Netze mit 192.168.142.0/24, 192.168.143.0/24 und 192.168.144.0/24 anlegst, dann ist der Router aus dem jeweiligen Netz
unter z.B. 192.168.142.1, 192.168.143.1 und 192.168.144.1 erreichbar.
Die Firewall-Regeln passen soweit ich sehen kann, aber bitte dringend vereinfachen und aus Sicherheitsgründen zusperren, was nicht unbedingt
nötig ist. Ggf. dreh lieber zuviel ab und schau dann, ob etwas nicht funktioniert. Dann schau dir die Firewall-Logs an und mach nur auf was unverzichtbar ist.
Gruß NV
Edit: Mir ist bei deinen DHCP-Einstellungen noch aufgefallen, dass du keine Broadcast-Adresse angegeben hast. Die Lancom's können die zwar selbst ermitteln, aber besser mit angeben. Immer die letzte Adresse im Netz, also im "Intranet" 192.168.144.255 und im "Gast" 192.168.143.255.
Edit2: Irgendwie hab ich heute Tomaten auf den Augen. Erster DNS in den DHCP-Settings fehlt auch. Für "Internet" 192.168.144.1 und für Gast "192.168.143.1". Dann in den DNS-Settings DNS-Server und Weiterleitung aktivieren.
Moin zusammen,
also, bzgl. der doppelten DHCP-Netzwerke etc.: ja, ist schon richtig, aber zu Testzwecken mache ich das dann halt mal so, zumal die über Kabel angeschlossenen Clients teilweise nicht über den Switch mit dem VLAN laufen, weshalb ich eigentlich auch das VLAN Modul des Routers wieder aktivieren müsste ;)
Broadcast und DNS macht der Lancom eigentlich selbst, da braucht man generell nichts einstellen in meinem Anwendungsfall.
Egal, soweit zu den eher irrelevanten Dingen zu meinem Problem.
Kurze Zusammenfassung der bisherigen Erkenntnisse:
- hier und da "Schönheitsfehler" in den Einstellungen, allerdings nichts relevantes für mein Problem
- Netzkonfiguration und Firewall scheint ja zu passen
- warum also funktionierte es nicht?
Warum Vergangenheit?
- habe gestern Abend zum Feierabend hin mal alles ausgeschaltet, heute morgen dann wieder hochgefahren (also Netzwerkkabel von der Buchse in der Wand gezogen, APs stromlos geschaltet usw.), und siehe da, wieso auch immer läuft es aktuell (?)
Ich vermute, dass hier irgendwelche geänderten Einstellungen erst nach einem vollständigen Neustart richtig liefen, kann mir das anders nicht erklären.
Vielen Dank jedoch an alle für die ausführlichen Antworten, werde mich den beschriebenen anderweitigen Dingen auch noch widmen
also, bzgl. der doppelten DHCP-Netzwerke etc.: ja, ist schon richtig, aber zu Testzwecken mache ich das dann halt mal so, zumal die über Kabel angeschlossenen Clients teilweise nicht über den Switch mit dem VLAN laufen, weshalb ich eigentlich auch das VLAN Modul des Routers wieder aktivieren müsste ;)
Broadcast und DNS macht der Lancom eigentlich selbst, da braucht man generell nichts einstellen in meinem Anwendungsfall.
Egal, soweit zu den eher irrelevanten Dingen zu meinem Problem.
Kurze Zusammenfassung der bisherigen Erkenntnisse:
- hier und da "Schönheitsfehler" in den Einstellungen, allerdings nichts relevantes für mein Problem
- Netzkonfiguration und Firewall scheint ja zu passen
- warum also funktionierte es nicht?
Warum Vergangenheit?
- habe gestern Abend zum Feierabend hin mal alles ausgeschaltet, heute morgen dann wieder hochgefahren (also Netzwerkkabel von der Buchse in der Wand gezogen, APs stromlos geschaltet usw.), und siehe da, wieso auch immer läuft es aktuell (?)
Ich vermute, dass hier irgendwelche geänderten Einstellungen erst nach einem vollständigen Neustart richtig liefen, kann mir das anders nicht erklären.
Vielen Dank jedoch an alle für die ausführlichen Antworten, werde mich den beschriebenen anderweitigen Dingen auch noch widmen
