Problem mit mehreren VLANS, mehreren DHCP-Servern und seltsamem Tagging
Hallo,
ich habe ein Problem beim Einrichten zweier WLAN-Netze, die beide über mehrere APs im ganzen Gebäude ausgestrahlt werden sollen. Das Problem ist, dass zwei DHCP-Server im Spiel sind und die IP-Adressen nicht so verteilt werden, wie man (bzw. ich) das erwarten würde. Der grundlegende Aufbau ist folgender:
Das eine Netz ("Schulnetz", VLAN ID 10) kommt aus einem paedML-Server (pädagogische Musterlösung für Schulen in Baden-Württemberg). Die paedML hat gleich mal eine Besonderheit: Damit die APs das Schulnetz ausstrahlen können, müssen sie in die paedML integriert werden (sprich selbst eine IP-Adresse 10.1.0.* haben). Wie groß der IP-Bereich genau ist, der vom zur paedML gehörigen DHCP-Server vergeben wird, weiß ich nicht, aber die Client-Adressen sind auf jeden Fall von der Form 10.1.*.*.
Das andere Netz ("Lehrernetz", VLAN ID 30) kommt aus einer FritzBox und ist dafür gedacht, dass man als Lehrer ohne den paedML-Schnickschnack wie Benutzerauthentifizierung, Inhaltsfilterung etc. ins Internet kommt. Die FritzBox hat als DHCP-Bereich 192.168.1.50 bis 192.168.1.250 eingestellt.
Als Switch verwende ich einen Cisco SG300-52, dort habe ich die beiden VLANs eingerichtet. Der AP-Controller hängt an Port 1, die APs an den Ports 2 bis 9, die FritzBox an Port 10 und die paedML an Port 24. Die Ports habe ich wie folgt konfiguriert:
Ports 1-9 (AP-Controller & APs): VLAN 30 tagged, VLAN 10 untagged
Port 10 (FritzBox): VLAN 30 untagged
Port 24 (paedML): VLAN 10 untagged
(PVID jeweils identisch mit der entsprechenden untagged-ID)
Bei den APs handelt es sich um Edimax Pros, von denen einer als Controller konfiguriert ist. Da sich die APs ja wie oben erwähnt selbst im Schulnetz befinden müssen, haben sie die IPs 10.1.0.30 (Controller) und 10.1.0.31-38 (APs). Management VLAN ID ist 10.
Jetzt zu den Problemen:
Wenn ich versuche, einen Client mit dem Lehrernetz (VLAN 30, sprich FritzBox) zu verbinden, kriegt dieser keine IP-Adresse. Die FritzBox, die eigentlich alle angeschlossenen Clients scheinbar zuverlässig anzeigt, zeigt auch nicht ein einziges Gerät an (also auch kein AP und auch nicht den Controller), das über den verwendeten LAN-Port 4 angeschlossen ist. Das ändert sich nur, wenn ich bei den Ports 1-9 VLAN 30 als "Standard-VLAN" setze (d.h. VLAN 30 untagged, VLAN 10 tagged, PVID 30). Dann werden die Geräte korrekt angezeigt, IP-Adresse krieg ich aber trotzdem nicht. Dafür krieg ich im Schulnetz (VLAN 10, sprich paedML) dann eine IP-Adresse, allerdings absurderweise aus dem Adressbereich, den die FritzBox verwaltet, d.h. 192.168.1.*.
Ich hab das Gefühl, dass ich da irgendwas grundlegend falsch verstanden hab. Macht meine Konfiguration vom Prinzip her Sinn? Oder ist da was grottenfalsch?
Kann es vielleicht sein, dass irgendeines der Geräte die VLAN-Geschichte nicht beherrscht? Ich hab das Gefühl, es funktioniert immer nur das Netz, das ich auf untagged (& PVID) setze. Da aber nur eines auf untagged gesetzt werden kann, wäre dann ja aber mein ganzes Vorhaben gar nicht möglich???
Hab inzwischen viele Stunden damit verbraten und in meiner Ratlosigkeit extra noch nen neuen Cisco-Switch angeschafft, nachdem ich erst den Netgear-Vorgänger als Ursache im Verdacht hatte. Jetzt weiß ich absolut nicht mehr weiter und wäre dankbar für jeden Tipp!
ich habe ein Problem beim Einrichten zweier WLAN-Netze, die beide über mehrere APs im ganzen Gebäude ausgestrahlt werden sollen. Das Problem ist, dass zwei DHCP-Server im Spiel sind und die IP-Adressen nicht so verteilt werden, wie man (bzw. ich) das erwarten würde. Der grundlegende Aufbau ist folgender:
Das eine Netz ("Schulnetz", VLAN ID 10) kommt aus einem paedML-Server (pädagogische Musterlösung für Schulen in Baden-Württemberg). Die paedML hat gleich mal eine Besonderheit: Damit die APs das Schulnetz ausstrahlen können, müssen sie in die paedML integriert werden (sprich selbst eine IP-Adresse 10.1.0.* haben). Wie groß der IP-Bereich genau ist, der vom zur paedML gehörigen DHCP-Server vergeben wird, weiß ich nicht, aber die Client-Adressen sind auf jeden Fall von der Form 10.1.*.*.
Das andere Netz ("Lehrernetz", VLAN ID 30) kommt aus einer FritzBox und ist dafür gedacht, dass man als Lehrer ohne den paedML-Schnickschnack wie Benutzerauthentifizierung, Inhaltsfilterung etc. ins Internet kommt. Die FritzBox hat als DHCP-Bereich 192.168.1.50 bis 192.168.1.250 eingestellt.
Als Switch verwende ich einen Cisco SG300-52, dort habe ich die beiden VLANs eingerichtet. Der AP-Controller hängt an Port 1, die APs an den Ports 2 bis 9, die FritzBox an Port 10 und die paedML an Port 24. Die Ports habe ich wie folgt konfiguriert:
Ports 1-9 (AP-Controller & APs): VLAN 30 tagged, VLAN 10 untagged
Port 10 (FritzBox): VLAN 30 untagged
Port 24 (paedML): VLAN 10 untagged
(PVID jeweils identisch mit der entsprechenden untagged-ID)
Bei den APs handelt es sich um Edimax Pros, von denen einer als Controller konfiguriert ist. Da sich die APs ja wie oben erwähnt selbst im Schulnetz befinden müssen, haben sie die IPs 10.1.0.30 (Controller) und 10.1.0.31-38 (APs). Management VLAN ID ist 10.
Jetzt zu den Problemen:
Wenn ich versuche, einen Client mit dem Lehrernetz (VLAN 30, sprich FritzBox) zu verbinden, kriegt dieser keine IP-Adresse. Die FritzBox, die eigentlich alle angeschlossenen Clients scheinbar zuverlässig anzeigt, zeigt auch nicht ein einziges Gerät an (also auch kein AP und auch nicht den Controller), das über den verwendeten LAN-Port 4 angeschlossen ist. Das ändert sich nur, wenn ich bei den Ports 1-9 VLAN 30 als "Standard-VLAN" setze (d.h. VLAN 30 untagged, VLAN 10 tagged, PVID 30). Dann werden die Geräte korrekt angezeigt, IP-Adresse krieg ich aber trotzdem nicht. Dafür krieg ich im Schulnetz (VLAN 10, sprich paedML) dann eine IP-Adresse, allerdings absurderweise aus dem Adressbereich, den die FritzBox verwaltet, d.h. 192.168.1.*.
Ich hab das Gefühl, dass ich da irgendwas grundlegend falsch verstanden hab. Macht meine Konfiguration vom Prinzip her Sinn? Oder ist da was grottenfalsch?
Kann es vielleicht sein, dass irgendeines der Geräte die VLAN-Geschichte nicht beherrscht? Ich hab das Gefühl, es funktioniert immer nur das Netz, das ich auf untagged (& PVID) setze. Da aber nur eines auf untagged gesetzt werden kann, wäre dann ja aber mein ganzes Vorhaben gar nicht möglich???
Hab inzwischen viele Stunden damit verbraten und in meiner Ratlosigkeit extra noch nen neuen Cisco-Switch angeschafft, nachdem ich erst den Netgear-Vorgänger als Ursache im Verdacht hatte. Jetzt weiß ich absolut nicht mehr weiter und wäre dankbar für jeden Tipp!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 395610
Url: https://administrator.de/contentid/395610
Ausgedruckt am: 19.03.2024 um 08:03 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Warum 2 DHCP Server? Du weist das es nur einen geben kann ausser die sind Broadcastmäßig getrennt.
Ist dein CISCO SG399 denn im L3 Modus ud hast du ACLs usw. angelegt damit auch zwischen deine vLANS geroutet werden kann? Dein LAN4 deiner Fritte kann nur ins Internet der Fritte (WAN Port) und sonst nichts. Es ist der Gastzugang im LAN. Ausserdem kann deine Fritte (egal welche) nichts mit vLANs anfangen.
Gruß,
Peter
Warum 2 DHCP Server? Du weist das es nur einen geben kann ausser die sind Broadcastmäßig getrennt.
Ist dein CISCO SG399 denn im L3 Modus ud hast du ACLs usw. angelegt damit auch zwischen deine vLANS geroutet werden kann? Dein LAN4 deiner Fritte kann nur ins Internet der Fritte (WAN Port) und sonst nichts. Es ist der Gastzugang im LAN. Ausserdem kann deine Fritte (egal welche) nichts mit vLANs anfangen.
Wie groß der IP-Bereich genau ist, der vom zur paedML gehörigen DHCP-Server vergeben wird, weiß ich nicht,
Dann im DHCP nachschauen oder ein einfaches IpCpnfig /all sat es dir auch. Dazu dient unter anderem die SubNetzMaske.10.1.0.31-38 (APs). Management VLAN ID ist 10.
Und deine vLANs haben alle eine andere IP?Ich hab das Gefühl, dass ich da irgendwas grundlegend falsch verstanden hab.
Routing? IP Adressen? Broadcasts? IP Helper? NetzwerkGrundlagen?Kann es vielleicht sein, dass irgendeines der Geräte die VLAN-Geschichte nicht beherrscht?
Ja, deine Fritte kann kein vLAN, aber das betrifft dann nur die Fritte.Hab inzwischen viele Stunden damit verbraten
Hat keiner gesagt das man Netzwerkgrundlagen in 5 Minuten erlernt - da dauert einfach - bis hin zu Jahren und darüber hinaus.Jetzt weiß ich absolut nicht mehr weiter und wäre dankbar für jeden Tipp!
Kauf dir einen Dienstleister ein der Fachwissen dazu hat.Gruß,
Peter
Hallo,
https://www.thomas-krenn.com/en/wiki/VLAN_Basics
https://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen-virtueller ...
Male mal auf eine Blatt Papier auf was du hast, wo was angeklemmt ist und was du zugeordnet bzw. Konfiguriert hast, welche IPs und Subnetzmasken sind und wo welche GW Adressen sind, Vergiß nicht deine DHCP Wünsche einzutragen. Dann sieht man was du gebaut bzw. falsch gebaut hast
https://www.heise.de/ct/artikel/VLAN-Virtuelles-LAN-221621.html
Und bedenke das deine Fritte nichts von vLANs weis, versteht oder kann und das dort ein Netz an LAN Port 1-3 neben den Netz an LAN 4 existieren kann oder nur ein Netz an LAN 1 - 4.
Gruß,
Peter
Zitat von @Nukualofa:
Das ist mir klar. Ich meinte damit, ich weiß es nicht auswendig und für meine Fragestellung ist es nicht wirklich relevant.
Es ist schon relevat weil ob weie gertennte Netze eine/8 oder /16 oder eine /24 Subnetzmaske haben ist schon jeweils was anderes.Das ist mir klar. Ich meinte damit, ich weiß es nicht auswendig und für meine Fragestellung ist es nicht wirklich relevant.
Meinst du ID oder IP?
Ich meinte schon die Netz IP in verbindung mit der Subnetzmaske.Da muss ja schon vorher was nicht stimmen, wenn anscheinend ein Datenpaket mit VLAN-ID 10 über einen 30er-untagged-Port an die FritzBox geht.
Z.B. eine falsche Subnetzmaske oder dein vLAN Konfiguration.https://www.thomas-krenn.com/en/wiki/VLAN_Basics
https://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen-virtueller ...
Tja, das ist das Problem: Dienstleister war da und hat es ebenfalls stundenlang probiert
Dann hat dieser Dienstleister eben nicht gewusst was er tut.jetzt ist das Budget alle und nix funktioniert.
Aber das hat dieser Dienstleister gewusst, oder?Male mal auf eine Blatt Papier auf was du hast, wo was angeklemmt ist und was du zugeordnet bzw. Konfiguriert hast, welche IPs und Subnetzmasken sind und wo welche GW Adressen sind, Vergiß nicht deine DHCP Wünsche einzutragen. Dann sieht man was du gebaut bzw. falsch gebaut hast
https://www.heise.de/ct/artikel/VLAN-Virtuelles-LAN-221621.html
Und bedenke das deine Fritte nichts von vLANs weis, versteht oder kann und das dort ein Netz an LAN Port 1-3 neben den Netz an LAN 4 existieren kann oder nur ein Netz an LAN 1 - 4.
Gruß,
Peter
müssen sie in die paedML integriert werden (sprich selbst eine IP-Adresse 10.1.0.* haben).
Logisch und simpler Standard. Wie sollte es denn auch anders gehen ?!jeden Fall von der Form 10.1.*.*.
Normal gibt man dazu auf einem Winblows Rechner ipconfig -all ein um das wasserdicht zu bestimmen !!!Da weisst du genau welche Subnetzmaklse der DHCP Server in diesem Segment verteilt. Das weiss sogar ein Drittklässler heutzutage.
Vermutlich hast du also ein Subnetz von 10.1.0.0 mit einer Maske 255.255.0.0 also einem klassischen 16 Bit Prefix, richtig ??
Als Switch verwende ich einen Cisco SG300-52
Sehr gut !Frage: Wird der als doofer Layer 2 Switch genutzt oder macht der auch Layer 3 (Routing) ??
Der Cisco SG-300 ist von Haus aus ein L3 Switch. Siehe dazu auch:
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Das ist wichtig zu wissen um dein Design zu verstehen !
Wenn ich versuche, einen Client mit dem Lehrernetz (VLAN 30, sprich FritzBox) zu verbinden, kriegt dieser keine IP-Adresse.
Das ist auch vollkommen klar, denn deine WLAN APs sind MSSID APs können also mehrere WLANs mit einem AP aufspannen.Vermutlich genau das was du willst (Lehrer- und Schulnetz als separate WLANs).
Hier hast du aber einen Kardinalsfehler begangen indem du die AP Ports fälschlicherweise Untagged konfiguriert hast !
Das geht nicht !
Der AP macht als MSSID AP eine Zuordnung der WLAN SSIDs zu VLAN IDs.
Er mappt also z.B. die Lehrer SSID "Lehrer" auf die VLAN ID 10 und sendet das tagged mit der VLAN ID 10 raus. Anslog mit dem Schulnetz. SSID "Schule" wird auch VLAN ID 30 gemappt und tagged mit der 30 rausgesendet.
Deine AP Ports sind aber untagged. Folglich kann der Switch diese WLAN zu VLAN Tags nicht mehr zuordnen und schmeisst diese Pakete weg.
Works as designt also...
Dein Fehler ist ein Denkfehler bei der Installation der MSSID APs bzw. deren Ports !
Du packst das Management VLAN mit in das VLAN 10. Vermutlich bleiben aber die Frames dann Tagged im VLAN 10.
Knackpunkt ist hier wie du den AP eingerichtet hast und wie der AP sich verhält. Hier wäre ein Screenshot des AP LAN und VLAN Setups sehr hilfreich, der leider fehlt.
Die Optionen sind folgende:
Möglichkeit 1 AP:
- im Default VLAN 1 des APs ist kein WLAN gemappt = VLAN ungenutzt
- paedML VLAN ist auf die 10 gemappt
- Management ist auf VLAN 10 gesetzt
- Lehrernetz ist auf die VLAN ID 30 gemappt
- Das VLAN 10 wird Tagged am AP ausgesendet, VLAN 30 ebenfalls !
- Fazit: AP Ports am Switch MÜSSEN Tagged für VLAN 10 und 30 eingerichtet sein ! PVID bleibt 1 !
Möglichkeit 2 AP:
- im Default VLAN 1 des APs ist das paedML WLAN gemappt
- Management ist auf VLAN 1 gesetzt = Default
- Lehrernetz ist auf die VLAN ID 30 gemappt
- Das VLAN 1 wird immer Untagged am AP ausgesendet, VLAN 30 Tagged
- Fazit: AP Ports am Switch MÜSSEN Tagged für VLAN 30 eingerichtet sein ! Die PVID hier (untagged Frames) MUSS aber auf VLAN 10 gesetzt sein damit alle Pakete die am AP Untagged rauskommen (paedML WLAN und Management !) so ins VLAN 10 geforwardet werden !
Wärst du aber mit einem einfachen und stinknormalem Wireshark Sniffer Trace auch schnell von selbst drauf gekommen, denn der hätte dir sofort wasserdicht angezeigt welcher der Pakete denn nun getaggt werden und welche nicht. Entsprechend hättest du dann den Switch Port konfiguriert !
Wichtig für uns hier und eine zielführende Hilfe, ist also die Konfigs der APs zu kennen und das dortige WLAN SSID zu VLAN Mapping !!
Genau das bestimmt wie die Switchport Konfig aussehen muss.
So sollte es aussehen:
Dieses Forentutorial hat die ganzen Grundlagen für dich:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. hier genau mit deinem Praxisbeispiel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Halte dich genau dadran, dann kommt das auch sofort zum Fliegen !
Das ist ein sehr simples Allerweltsdesign was problemlos rennt wenn man es denn richtig macht im Setup
P.S.: Auch mit einem NetGear Switch hätte man das problemlos hinbekommen ! (Siehe o.a. VLAN Tutorial). Zwar ist die VLAN Konfig bei NetGear generell einen gruselige Angelegenheit aber dein Problem ist nicht primär der Switch per se, sondern die fehlerhafte AP VLAN zu SSID Zuordnung bzw. die daraus dann resultierende falsche Switchport Konfig.
Stellt man den LAN-Port auf getaggt, lässt sich die VLAN-ID nicht mehr ändern.
Das ist eigentlich Blödsinn, weil das eine mit dem anderen renin gar nix zu tun hat !!Das Tagging und vor allem WELCHEN Tag du aussendest legst du ja in der SSID Konfig fest !!
Hier sagst du ja explizit mit WELCHEM VLAN Tag (ID) Traffic aus der betreffenden SSID auf den LAN Port gesendet wird.
Siehe hier im SSID Setup eines Edimax Access Points:
Damit dieser Traffic dann überhaupt dort rausgesendet werden kann macht das VLAN Tagging dann eigentlich zwingend erforderlich. Einzig nur über die VLAN ID lässt sich dieser Traffic überhaupt wieder einem VLAN zordnen für den empfangenden Switchport.
Warum Edimax es dann eigentlich überflüssigerweise nochmal explizit erfordert im Setup Tagging zu aktivieren ist deshalb vollkommen unverständlich.
Übrigens muss man bei dem o.a. Edimax AP Modell dieses Tagging NICHT extra am LAN Port setzen. Sobald man das dort in der Zuordnung (Screenshot) gemacht hat ist es automatisch getagged !
Ist dann wohl auch AP Modell spezifisch ?!
Die Feststellung von oben (Zitat) "Und stellt man den Port erst auf untagged, ändert dann die VLAN-ID " ist technsich unsinnig. Ein Untagged Port kann niemals eine VLAN ID haben. Ansonsten wäre es ja logischerweise Tagged ! Pakete MIT einer VLAN ID im Header sind Getaggt.
Ungetaggte Ports können natürlich auch nur ungetaggte Pakete weiterleiten. Getaggte erkennen sie als Fehler und schmeissen sie weg (Dropping).
Ungetaggte Pakete werden dann in das VLAN geforwardet für das der Port mit der PVID eingestellt ist. In der Regel ohne Konfig ist das immer das Default VLAN 1.
Deine Feststellungen sind technisch also zumindest sehr fragwürdig hier dargestellt und es darf bezeifelt werden das es wirklich im Detail so ist.
Aber hey... letztlich ist das doch Latte solange jetzt alles rennt bei dir ! Der Erfolg spricht für sich dann !
Case closed !