Netzwerk + Gast

Keine besonders gute und auch sinnvolle Idee! Zu mindestens nicht für Ports an denen einfache ungetaggte Endgeräte wie PCs, Drucker usw. angeschlossen sind. Für die wäre ein Trunk sinnfrei und auch kontraproduktiv. Damit hängt bei Endgeräten an solchen Ports alles an der PVID Einstellung. Außerdem belasstet der gesamte Broad- un d Multicast Traffic aller anderen VLANs an solchen Trunk Ports unnötigerweise diese Endgeräte und schmälert deren Performance. Ob du sowas dann belässt musst du selber entscheiden.
So sollte es sein! 👏
Ein typischer Fehler der bei solchen VLAN Setups mit oder ohne MSSID gemacht wird.
Grundsätzlich können sich VLANs die an einem Port getaggt und am gegenüberliegenden Port NICHT getaggt werden nicht "sehen" und eine Kommunikation scheitert. Siehe dazu auch die VLAN Schnellschulung!
So ein Setup scheitert also grundsätzlich, was auch verständlich ist weil ein UNtagged Access Port Frames mit Taggs (Trunk Port) nicht lesen kann. Genau wie ein Endgerät wie PC, Drucker etc. keine Frames mit Tags versteht und sie als Errors verwirft.

Dazu kommt das das VLAN 1 auf einem AP immer besonders ist. Grundsätzlich werden Frames von diesem VLAN immer UNtagged gesendet. Logisch, denn solche APs hängen meist als DHCP Clients an Accessports. Hersteller wollen Admins nie zwingen eine detailierte Switchport Konfig VORHER anzulegen nur damit ein AP fehlerlos funktioniert.
Der will also einen einfachen UNtagged Port um sich eine IP zu ziehen.
Das besagt dann auch das dieses VLAN immer das Management VLAN des APs ist um per IP zum Administrieren und Managen datauf zuzugreifen.
Gute und verantwortungsvolle Admins mappen dort also niemals eine WLAN SSID drauf weil man so das gesamte Management Netz in einem WLAN exponiert.
In einem Heimnetz sicher noch tolerabel wenn man es sich verkneift dem Nachbarn in Weinlaune das Passwort zu verraten und auch die Kinder diesbezüglich im Griff hat.
In einem Firmennetz oder einem Netz mit guter Sicherheit vermeidet man sowas. Dort legt man die WLAN (M)SSIDs immer auf dedizierte VLAN IDs und routet sie dann mit einem Layer 3 Switch, Firewall oder Router je nack lokalem Design.
To make a long story short:
Wenn du deine Managemen IP des APs nicht pingen kannst scheitert das Routing deiner VLANs oder Netze. Das kann mehrere Ursachen haben.

• Falsche VLAN Port Konfig in Bezug auf Tagging usw.
• Fehlerhaftes Routing oder ACL auf dem L3 Device was die IP Segmente routet

Hier kann man leider nur raten ohne eine genaue L2 Planung (VLANs) usw. zu kennen.

Tja...wie oben schon gesagt ein Riesenfehler und auch völlig Unsinnig, denn die Fritte ist bekanntlich NICHT VLANfähig! Sie könnte hier niemals Frames mit einem Tagging senden. Folglich ist die Portkonfig des Switches für den LAN 4 Anschluss dort völlig falsch und müsste auf Access Mode und UNtagged im Gäste VLAN gesetzt sein!
Es wird immer gruseliger... 😡
WOZU sollte das bitte gut sein?? Nun kommen an dem Port zusätzlch noch mit der ID 200 getaggte Frames an. WER soll die denn bitte lesen und forwarden können?? Der LAN 4 Port der Fritte kann es nicht, denn Fritte und VLAN hatten wir ja schon...geht nicht!
Kein Wunder also das das in die Hose geht und die Gäste keine IP bekommen! ☹️

Also nochmals in aller Ruhe hier deine ToDos damit das sauber klappt:

• Privat LAN = VLAN 1
• Gast VLAN = VLAN 200
• Frittendesign wie HIER dargestellt. Daraus folgt:
• Switchport an dem der LAN Port (Privatnetz) angeschlossen wird = Access Port, UNtagged, PVID 1
• Switchport an dem der LAN 4 Port (Gastnetz) angeschlossen wird = Access Port, UNtagged, PVID 200, "U200"

• Kannst du ganz einfach testen indem du einen weiteren Access Port, UNtagged, PVID 200, "U200" erstellst und dort einen PC einsteckst. Der sollte sofort eine Gastnetz IP bekommen. Steckst du ihn um auf ein Privatnetz Port sollte er sofort einen Privatnetz IP bekommen. Ist das der Fall zeigt das schonmal das die VLAN Funktion für Privat und Gast sauber am Switch funktioniert!

• WLAN AP bekommt einen Port im Trunk Mode. PVID ist dann hier 1 und das VLAN 200 wird dort Tagged angelegt. Im Switch steht dann in "Ports to VLAN memebership" = 1U, 200T (1 UNtagged, 200 Tagged)
• Am AP liegt dann üblicherweise deine AP IP im VLAN 1 sei es statisch oder per DHCP. Diese IP kannst du dann problemlos pingen und so aus dem Privatnetz auf den AP zugreifen. Privat WLAN MSSID kannst du dann auf VLAN 1 mappen.
• Die Gast MSSID wird dann aufs VLAN 200 gemappt. Spruch also aller Gast WLAN Traffic wird vom AP mit einem VLAN 200 Tag versehen bevor er am AP rausgesendet wird. Der gegenüberliegende Trunk Port des Switches erkennt als Trunk Port Tags, damit auch die 200 und forwardet so den Traffic ins 200er Gastenetz.
• Et voila....alles rennt wie es soll.

Sieh dir dazu nochmal in aller Ruhe das Praxisbeispiel vom hiesigen Tutorial an was das in allen Facetten beschreibt.

Eigentlich doch alles kein Hexenwerk und auch von einem Laien im Handumdrehen zu bewerkstelligen.