kartoffelesser
Goto Top

Management VLAN und IP-Adresse (LAN-seitig) auf dem CoreRouter und nachgeschaltetem Switch und AP?

Liebe Experten,
die Frage wird Euch wahrscheinlich provozieren und ich werde sofort geteert und gefedert.

In meinem TestNetz habe ich einen Mikrotik Router (RB750-G2) - V6.45.9 longterm. Ether1 ist mit der einer Fritzbox verbunden und der Zugang zum ins Internet funktioniert. Auf dem Mikrotik kann ich ins Internet pingen und Adressen werden aufgelöst. Auch vom AP können die Clients ins Netz.

Ich möchte jetzt über einen Switch (Zyxel GS19008HP) einen Mikrotik AP (wAP ac) mit zwei WLANs inkl. Management VLAN betreiben.

Dank der SUPER Anleitung von aqui (1000 DANK dafür!!) habe ich auf dem Router 4 VLANs, DHCP-Server und die Adressen an die VLANs gebunden.

Über Ether5 geht eine "TrunkLine" zum Switch (Port1). Dieser reicht den Trunk brav weiter zum Port 8. An diesem hängt der AP.

Über den AP kommen die Client ins Internet.

Ein Management VLAN habe ich nicht erstellt aber diese IPs aus dem 172.16.99.0 Netz vergeben:

Mikrotik LAN seitig: *.254
Switch: *.253
AP: *.252


Fragen:
1. Wie kann ich jetzt ein Management VLAN erstellen und darf die IP-Range im 172.16.99.0 Bereich sein?
2. Ist es ein "normales" VLAN mit DHCP?
3. Der Router hat die LAN IP 172.16.99.254 bekommen. Binde ich die Adresse an Ether5 oder an das Management VLAN oder..?
4. Welche VLAN-ID darf ich benutzen? Ich wollte sie auf jeden Fall gleich wie die IP-haben. Also z.B VLAN 99 -> 172.16.99.254/24) Geht überhaupt 172.16.99.254/24 wenn die LAN Adresse des Routers auch schon 172.6.99.254 ist?
5. stimmen die o.g. IP Adressen vom Switch und AP


Freue mich über jede Antwort
Danke und Gruß

Content-ID: 602282

Url: https://administrator.de/contentid/602282

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

aqui
aqui 05.09.2020 aktualisiert um 11:43:01 Uhr
Goto Top
und ich werde sofort geteert und gefedert.
Nöö, nur ein gaaanz kleines bisschen... face-big-smile
einen Mikrotik AP (wAP ac) mit zwei WLANs inkl. Management VLAN betreiben.
Grundlagen dazu findest du, wie immer, hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Und auch hier wenn du mit dem zentralen Capsman Manager arbeiten willst:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Letztere Konfig hat aber auch eine Variante ohne CapsMan:
WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN
Ist der Klassiker mit Gastnetz und Captive Portal....
Über Ether5 geht eine "TrunkLine" zum Switch (Port1). Dieser reicht den Trunk brav weiter zum Port 8. An diesem hängt der AP.
Alles richtig gemacht !! 👍
Ein Management VLAN habe ich nicht erstellt aber diese IPs aus dem 172.16.99.0 Netz vergeben:
Müsste man nicht zwingend, aber wenn du das nicht machst hast du in einem deiner VLANs auch alle Management IP Adressen deiner Komponenten. Sowas ist immer ein potentielles Sicherheitsrisiko wenn man WLANs betreibt und schlimmer noch eine aktive SSID auch Zugang zu den Management Adressen hat.
Das management sollte man bei einer MSSID Installation niemals auf SSIDs mappen sondern es sollte immer rein nur Kupfer basierend sein. Sprich das management VLAN sollte nirgendwo auf eine VLAN ID gebunden sein.
Zu den Fragen:
  • 1.) Normal kann man das Default VLAN 1 dafür nehmen. Alle Management IP Adresse sind in der regel immer in diesem Default VLAN egal ob Switch, Router oder AP. Welche IP Range du dafür nimmst ist vollkommen Wumpe solange es ein RFC1918 IP Netz ist (Privat)
  • 2.) Ja aber in der Regel kein DHCP, denn Management IP Adressen sollten logischerweise immer statisch sein. Wäre nicht besonders clever wenn die sich immer dynamisch ändern wie du dir denken kannst. Ausnahme ist natürlich du machst im DHCP Server ein Mapping der Hardware Mac Adressen der Komponenten auf feste IP Adressen. Das wäre dann natürlich ein gangbarer Workaround da das natürlich auch quasi feste IP Adressen garantiert. Dann kann man auch DHCP nutzen.
  • 3.) du bindest das logischerweise immer an das Interface bzw. VLAN was auch das Layer 3 IP Routing macht ! Logisch denn das management VLAN ist per se nichts anderes als ein normales VLAN. Es wird nur durch entsprechende Firewall oder Accessregeln abgeschottet so das man nur von bestimmten Endgeräten oder Netzen darauf zugreifen kann.
  • 4.) Alles zwischen 1 und 4096 natürlich !!
  • 5.) Auf dem Papier ja ! Was sollte daran deiner Meinung denn falsch sein ?? Solange du keine Adressen doppelt vergibst ist doch alles Bella in puncto IP Adressierung in dem Segment ?! Die Frage ist irgendwie unverständlich ?!?
kartoffelesser
kartoffelesser 05.09.2020 aktualisiert um 14:07:24 Uhr
Goto Top
Hallo aqui,
danke für die schnelle Antwort und die unzähligen Infos und Anleitungen!

Darf ich nochmal nachfragen?

- Auf dem Router 3 VLANs erstellen mit z.B. ID 1, 10, 20 und jeweils an die Bridge binden

- IP Adressen: 172.16.1.254/24 an VLAN1 für Management, 172.16.10.254/24 an VLAN 10, 172.16.20.254/24 an VLAN 20 und

- 172.16.99.254/24 an Ether5-TrunkLine??

- das VLAN 1 kommt auch in die TrunkLine oder?

- DHCP-Server nur für VLAN10 und 20 erstellen

- via Switch (172.16.99.253) an AP WAP-AC (172.16.99.252 - hat nur einen EtherPort)

- auf dem AP das VLAN10 an das WLAN 1 und das VLAN20 an WLAN2 binden

- Frage: muss ich auf dem AP jetzt auch das VLAN 1 erstellen? Dieses binde ich dann an die IP 172.16.99.252/24 ?
ODER muss ich die 172.16.99.254/24 an den EtherPort des AP binden? Wenn ja, warum dann überhaupt VLAN1?
ODER kann man die IP NUR an ein VLAN binden und gar nicht an den Ether1 Port des AP Dann würde VLAN1 natürlich Sinn machen?

Gruß

PS - ich würde dir gerne ein kleines "Dankeschön" für deine vielen Anleitungen überweisen. Sie haben mir schon SEHR viel Zeit gespart! Kannst du mir bitte, wenn du möchtest, eine Überweisungsoption nennen. Gerne auch per PN
aqui
Lösung aqui 05.09.2020 um 14:14:41 Uhr
Goto Top
- Auf dem Router 3 VLANs erstellen mit z.B. ID 1, 10, 20 und jeweils an die Bridge binden
Richtig
- IP Adressen: 172.16.1.254/24 an....
Kann man so machen... 3tes Byte ist dann immer die VLAN ID und erleichtert das Management bei /24er Prefixes face-wink
- kommt das VLAN 1 eigentlich auch in die TrunkLine?
Ja, generell ist das Default VLAN immer UNtagged auf einem Trunk. (PVID=1 bzw. Native VLAN) Das ist bei deinem Zyxel und so gut wie allen Switches weltweit Standard sofern man es nicht willentlich im Setup ändert.
- DHCP-Server nur für VLAN10 und 20 erstellen
Wenn du es so machen willst...?!
Es macht aber Sinn auch im VLAN 1 einen laufen zu lassen, denn viele Komponenten stehen im Default im DHCP Client Mode um sich IP Adressen in einem DHCP Umfeld zu "ziehen". Da auch Ports per Default im VLAN 1 sind macht es Sinn ggf. eine Handvoll IP Adressen auch dynmaisch zu verteilen. Solange statische IPs und der DHCP Pool sich nicht überschneiden ist alles OK. Und...wie bereits gesagt kannst du über ein Mac Adress Mapping im DHCP Server auch "feste" IPs dynamisch verteilen. Its your choice...
- via Switch (172.16.99.253) an AP WAP-AC (172.16.99.252 - hat nur einen EtherPort)
Richtig
- auf dem AP das VLAN10 an das WLAN 1 und das VLAN20 an WLAN2 binden
Richtig
- Frage: muss ich auf dem AP jetzt auch das VLAN 1 erstellen?
Ja, wenn das VLAN 1 dann dein Management ist. IP Interface dann ausschliesslich nur fürs VLAN 1. 10 und 20 werden dann nur AP üblich gebridged.
Wenn ja, warum dann überhaupt VLAN1?
Das musst du nur wenn du mit einer MSSID Konfig arbeitest, sprich also mehrere WLANs auf einem AP aufspannst.
VLAN1 ist kein Zwang. Du kannst das Management in jede beliebige VLAN ID deiner Wahl zw. 1 und 4096 hängen. face-wink
kann man die IP NUR an ein VLAN binden und gar nicht an den Ether1 Port des AP
Du kannst es auch direkt an den ether1 Port hängen aber dann musst du zwangsweise routen auf dem AP !
ether1 ist dann ein dedizierter Routing Port und Bridging ist dann nicht mehr möglich.
Normal arbeiten APs aber immer im Bridging Mode, sprich die WLANs und VLANs arbeiten rein nur im Layer 2.
So wie es sich oben anhört willst du ja eh eine MSSID Konfig auf dem AP umsetzen, dann musst du ja immer zwangsweise mit einer VLAN Bridge arbeiten.
aqui
aqui 05.09.2020 um 21:00:27 Uhr
Goto Top
Du solltest auf deinen Doppelpost zu diesem Thema verweisen !
Richtige EtherPort und VLAN Zuweisungen für aqui Anleitung