gelöst Management VLAN und IP-Adresse (LAN-seitig) auf dem CoreRouter und nachgeschaltetem Switch und AP?

Mitglied: kartoffelesser

kartoffelesser (Level 1) - Jetzt verbinden

05.09.2020, aktualisiert 11:17 Uhr, 515 Aufrufe, 4 Kommentare

Liebe Experten,
die Frage wird Euch wahrscheinlich provozieren und ich werde sofort geteert und gefedert.

In meinem TestNetz habe ich einen Mikrotik Router (RB750-G2) - V6.45.9 longterm. Ether1 ist mit der einer Fritzbox verbunden und der Zugang zum ins Internet funktioniert. Auf dem Mikrotik kann ich ins Internet pingen und Adressen werden aufgelöst. Auch vom AP können die Clients ins Netz.

Ich möchte jetzt über einen Switch (Zyxel GS19008HP) einen Mikrotik AP (wAP ac) mit zwei WLANs inkl. Management VLAN betreiben.

Dank der SUPER Anleitung von aqui (1000 DANK dafür!!) habe ich auf dem Router 4 VLANs, DHCP-Server und die Adressen an die VLANs gebunden.

Über Ether5 geht eine "TrunkLine" zum Switch (Port1). Dieser reicht den Trunk brav weiter zum Port 8. An diesem hängt der AP.

Über den AP kommen die Client ins Internet.

Ein Management VLAN habe ich nicht erstellt aber diese IPs aus dem 172.16.99.0 Netz vergeben:

Mikrotik LAN seitig: *.254
Switch: *.253
AP: *.252


Fragen:
1. Wie kann ich jetzt ein Management VLAN erstellen und darf die IP-Range im 172.16.99.0 Bereich sein?
2. Ist es ein "normales" VLAN mit DHCP?
3. Der Router hat die LAN IP 172.16.99.254 bekommen. Binde ich die Adresse an Ether5 oder an das Management VLAN oder..?
4. Welche VLAN-ID darf ich benutzen? Ich wollte sie auf jeden Fall gleich wie die IP-haben. Also z.B VLAN 99 -> 172.16.99.254/24) Geht überhaupt 172.16.99.254/24 wenn die LAN Adresse des Routers auch schon 172.6.99.254 ist?
5. stimmen die o.g. IP Adressen vom Switch und AP


Freue mich über jede Antwort
Danke und Gruß
Mitglied: aqui
05.09.2020, aktualisiert um 11:43 Uhr
und ich werde sofort geteert und gefedert.
Nöö, nur ein gaaanz kleines bisschen...
einen Mikrotik AP (wAP ac) mit zwei WLANs inkl. Management VLAN betreiben.
Grundlagen dazu findest du, wie immer, hier:
https://administrator.de/tutorial/mikrotik-vlan-konfiguration-routeros-v ...
Und auch hier wenn du mit dem zentralen Capsman Manager arbeiten willst:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Letztere Konfig hat aber auch eine Variante ohne CapsMan:
https://administrator.de/content/detail.php?id=396803&token=716#comm ...
Ist der Klassiker mit Gastnetz und Captive Portal....
Über Ether5 geht eine "TrunkLine" zum Switch (Port1). Dieser reicht den Trunk brav weiter zum Port 8. An diesem hängt der AP.
Alles richtig gemacht !! 👍
Ein Management VLAN habe ich nicht erstellt aber diese IPs aus dem 172.16.99.0 Netz vergeben:
Müsste man nicht zwingend, aber wenn du das nicht machst hast du in einem deiner VLANs auch alle Management IP Adressen deiner Komponenten. Sowas ist immer ein potentielles Sicherheitsrisiko wenn man WLANs betreibt und schlimmer noch eine aktive SSID auch Zugang zu den Management Adressen hat.
Das management sollte man bei einer MSSID Installation niemals auf SSIDs mappen sondern es sollte immer rein nur Kupfer basierend sein. Sprich das management VLAN sollte nirgendwo auf eine VLAN ID gebunden sein.
Zu den Fragen:
  • 1.) Normal kann man das Default VLAN 1 dafür nehmen. Alle Management IP Adresse sind in der regel immer in diesem Default VLAN egal ob Switch, Router oder AP. Welche IP Range du dafür nimmst ist vollkommen Wumpe solange es ein RFC1918 IP Netz ist (Privat)
  • 2.) Ja aber in der Regel kein DHCP, denn Management IP Adressen sollten logischerweise immer statisch sein. Wäre nicht besonders clever wenn die sich immer dynamisch ändern wie du dir denken kannst. Ausnahme ist natürlich du machst im DHCP Server ein Mapping der Hardware Mac Adressen der Komponenten auf feste IP Adressen. Das wäre dann natürlich ein gangbarer Workaround da das natürlich auch quasi feste IP Adressen garantiert. Dann kann man auch DHCP nutzen.
  • 3.) du bindest das logischerweise immer an das Interface bzw. VLAN was auch das Layer 3 IP Routing macht ! Logisch denn das management VLAN ist per se nichts anderes als ein normales VLAN. Es wird nur durch entsprechende Firewall oder Accessregeln abgeschottet so das man nur von bestimmten Endgeräten oder Netzen darauf zugreifen kann.
  • 4.) Alles zwischen 1 und 4096 natürlich !!
  • 5.) Auf dem Papier ja ! Was sollte daran deiner Meinung denn falsch sein ?? Solange du keine Adressen doppelt vergibst ist doch alles Bella in puncto IP Adressierung in dem Segment ?! Die Frage ist irgendwie unverständlich ?!?
Bitte warten ..
Mitglied: kartoffelesser
05.09.2020, aktualisiert um 14:07 Uhr
Hallo aqui,
danke für die schnelle Antwort und die unzähligen Infos und Anleitungen!

Darf ich nochmal nachfragen?

- Auf dem Router 3 VLANs erstellen mit z.B. ID 1, 10, 20 und jeweils an die Bridge binden

- IP Adressen: 172.16.1.254/24 an VLAN1 für Management, 172.16.10.254/24 an VLAN 10, 172.16.20.254/24 an VLAN 20 und

- 172.16.99.254/24 an Ether5-TrunkLine??

- das VLAN 1 kommt auch in die TrunkLine oder?

- DHCP-Server nur für VLAN10 und 20 erstellen

- via Switch (172.16.99.253) an AP WAP-AC (172.16.99.252 - hat nur einen EtherPort)

- auf dem AP das VLAN10 an das WLAN 1 und das VLAN20 an WLAN2 binden

- Frage: muss ich auf dem AP jetzt auch das VLAN 1 erstellen? Dieses binde ich dann an die IP 172.16.99.252/24 ?
ODER muss ich die 172.16.99.254/24 an den EtherPort des AP binden? Wenn ja, warum dann überhaupt VLAN1?
ODER kann man die IP NUR an ein VLAN binden und gar nicht an den Ether1 Port des AP Dann würde VLAN1 natürlich Sinn machen?

Gruß

PS - ich würde dir gerne ein kleines "Dankeschön" für deine vielen Anleitungen überweisen. Sie haben mir schon SEHR viel Zeit gespart! Kannst du mir bitte, wenn du möchtest, eine Überweisungsoption nennen. Gerne auch per PN
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.09.2020 um 14:14 Uhr
- Auf dem Router 3 VLANs erstellen mit z.B. ID 1, 10, 20 und jeweils an die Bridge binden
Richtig
- IP Adressen: 172.16.1.254/24 an....
Kann man so machen... 3tes Byte ist dann immer die VLAN ID und erleichtert das Management bei /24er Prefixes
- kommt das VLAN 1 eigentlich auch in die TrunkLine?
Ja, generell ist das Default VLAN immer UNtagged auf einem Trunk. (PVID=1 bzw. Native VLAN) Das ist bei deinem Zyxel und so gut wie allen Switches weltweit Standard sofern man es nicht willentlich im Setup ändert.
- DHCP-Server nur für VLAN10 und 20 erstellen
Wenn du es so machen willst...?!
Es macht aber Sinn auch im VLAN 1 einen laufen zu lassen, denn viele Komponenten stehen im Default im DHCP Client Mode um sich IP Adressen in einem DHCP Umfeld zu "ziehen". Da auch Ports per Default im VLAN 1 sind macht es Sinn ggf. eine Handvoll IP Adressen auch dynmaisch zu verteilen. Solange statische IPs und der DHCP Pool sich nicht überschneiden ist alles OK. Und...wie bereits gesagt kannst du über ein Mac Adress Mapping im DHCP Server auch "feste" IPs dynamisch verteilen. Its your choice...
- via Switch (172.16.99.253) an AP WAP-AC (172.16.99.252 - hat nur einen EtherPort)
Richtig
- auf dem AP das VLAN10 an das WLAN 1 und das VLAN20 an WLAN2 binden
Richtig
- Frage: muss ich auf dem AP jetzt auch das VLAN 1 erstellen?
Ja, wenn das VLAN 1 dann dein Management ist. IP Interface dann ausschliesslich nur fürs VLAN 1. 10 und 20 werden dann nur AP üblich gebridged.
Wenn ja, warum dann überhaupt VLAN1?
Das musst du nur wenn du mit einer MSSID Konfig arbeitest, sprich also mehrere WLANs auf einem AP aufspannst.
VLAN1 ist kein Zwang. Du kannst das Management in jede beliebige VLAN ID deiner Wahl zw. 1 und 4096 hängen.
kann man die IP NUR an ein VLAN binden und gar nicht an den Ether1 Port des AP
Du kannst es auch direkt an den ether1 Port hängen aber dann musst du zwangsweise routen auf dem AP !
ether1 ist dann ein dedizierter Routing Port und Bridging ist dann nicht mehr möglich.
Normal arbeiten APs aber immer im Bridging Mode, sprich die WLANs und VLANs arbeiten rein nur im Layer 2.
So wie es sich oben anhört willst du ja eh eine MSSID Konfig auf dem AP umsetzen, dann musst du ja immer zwangsweise mit einer VLAN Bridge arbeiten.
Bitte warten ..
Mitglied: aqui
05.09.2020 um 21:00 Uhr
Du solltest auf deinen Doppelpost zu diesem Thema verweisen !
https://administrator.de/forum/richtige-etherport-vlan-zuweisungen-aqui- ...
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Kaufberatung (10G) Switche für Unternehmensnetzwerk
ipzipzapFrageSwitche und Hubs27 Kommentare

Moin, unsere Firma zieht um und am neu renovierten Standort muss/soll alles neu. Auf drei Etagen stehen Racks, in ...

Drucker und Scanner
Vorlage Endlospapier Nadeldrucker
Hanspeter82FrageDrucker und Scanner17 Kommentare

Hallo, hab die Aufagbe bekommen, eine Vorlage zuerstellen bzgl. Druck auf Endlos Papier über einen Nadeldrucker. Habe allerdings kein ...

Exchange Server
Primäre Mailadresse auf Kleinbuchstaben anpassen
JoergDdorfFrageExchange Server16 Kommentare

Hallo Alle, wir betreiben ein Exchange Hybrid (2016/365). Ich stehe vor dem Problem, dass ich die bestehenden primären Mailadresse ...

LAN, WAN, Wireless
2 Lan Dosen (Unterputz) miteinander Verbinden
gelöst RickHHFrageLAN, WAN, Wireless12 Kommentare

Moin zusammen, ich würde mir gerne auf dem Dachboden 2 Landosen in einen Raum Bauen. Ein Netzwerkkabel geht hoch, ...

Windows Userverwaltung
Active Directory Gruppen auslesen
gelöst MMaiwaldFrageWindows Userverwaltung12 Kommentare

Guten Abend, ich habe mir das Codeschnipsel geschnappt und möchte dieses noch erweitern. Dazu möchte ich noch die Beschreibung ...

Windows Netzwerk
Tool zum prüfen ob Gerät noch online ist
Ringi1970FrageWindows Netzwerk10 Kommentare

Hallo zusammen, ich suche nach einer Freeware, die mir bestimmte Geräte / Workstations (Windows Geräte, feste IP Adressen) prüft ...

Ähnliche Inhalte
LAN, WAN, Wireless

VLAN Konfiguration (Lancom AP und Netgear-Switch)

gelöst shindukeFrageLAN, WAN, Wireless3 Kommentare

Hallo zusammen, ich stehe vor einem kleinen Verständnis-/Konfigurationsproblem was die VLAN Konfiguration angeht. Folgende Sachlage Wir benötigen für unsere ...

TK-Netze & Geräte

IP-Phone VLAN durchschleifen von LAN

gelöst shobunkinFrageTK-Netze & Geräte11 Kommentare

Hallo, wir stellen in kürze auf IP-Telefonie um. Unsere Telefone haben 2 Netzwerkbuchsen. Eigentlich haben wir eine physikalische Trennung ...

Netzwerkmanagement

3com baseline 2948-SFP plus - VLAN Management IP

Crusher79FrageNetzwerkmanagement7 Kommentare

Hallo, ich weiss, das Gerät ist schon älter. Haben 3x davon hier. Wollte nun LAG + VLAN mit einem ...

Netzwerkmanagement

Zentrales Switch-Management

joergFrageNetzwerkmanagement11 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem Management für Switche. Wir haben eine heterogene Struktur und jede ...

Router & Routing

IP-Adresse eines Mikrotiks als VLAN-Switch

Dragan123FrageRouter & Routing1 Kommentar

Hey Leute, ich habe auf Eure Empfehlung hin einen Mikrotik Router gekauft und ihn mit Eurer Hilfe zum Laufen ...

LAN, WAN, Wireless

Router, Switch, Multi-SSID-AP, VLan - komplett neu für Privathaus

gelöst JensanoFrageLAN, WAN, Wireless20 Kommentare

Hallo, nach dem ich mich nun länger durch die Thematik gelesen habe, traue ich mich mal in der Hoffnung ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT