nukualofa
Goto Top

Problem mit mehreren VLANS, mehreren DHCP-Servern und seltsamem Tagging

Hallo,

ich habe ein Problem beim Einrichten zweier WLAN-Netze, die beide über mehrere APs im ganzen Gebäude ausgestrahlt werden sollen. Das Problem ist, dass zwei DHCP-Server im Spiel sind und die IP-Adressen nicht so verteilt werden, wie man (bzw. ich) das erwarten würde. Der grundlegende Aufbau ist folgender:

Das eine Netz ("Schulnetz", VLAN ID 10) kommt aus einem paedML-Server (pädagogische Musterlösung für Schulen in Baden-Württemberg). Die paedML hat gleich mal eine Besonderheit: Damit die APs das Schulnetz ausstrahlen können, müssen sie in die paedML integriert werden (sprich selbst eine IP-Adresse 10.1.0.* haben). Wie groß der IP-Bereich genau ist, der vom zur paedML gehörigen DHCP-Server vergeben wird, weiß ich nicht, aber die Client-Adressen sind auf jeden Fall von der Form 10.1.*.*.

Das andere Netz ("Lehrernetz", VLAN ID 30) kommt aus einer FritzBox und ist dafür gedacht, dass man als Lehrer ohne den paedML-Schnickschnack wie Benutzerauthentifizierung, Inhaltsfilterung etc. ins Internet kommt. Die FritzBox hat als DHCP-Bereich 192.168.1.50 bis 192.168.1.250 eingestellt.

Als Switch verwende ich einen Cisco SG300-52, dort habe ich die beiden VLANs eingerichtet. Der AP-Controller hängt an Port 1, die APs an den Ports 2 bis 9, die FritzBox an Port 10 und die paedML an Port 24. Die Ports habe ich wie folgt konfiguriert:

Ports 1-9 (AP-Controller & APs): VLAN 30 tagged, VLAN 10 untagged
Port 10 (FritzBox): VLAN 30 untagged
Port 24 (paedML): VLAN 10 untagged

(PVID jeweils identisch mit der entsprechenden untagged-ID)

Bei den APs handelt es sich um Edimax Pros, von denen einer als Controller konfiguriert ist. Da sich die APs ja wie oben erwähnt selbst im Schulnetz befinden müssen, haben sie die IPs 10.1.0.30 (Controller) und 10.1.0.31-38 (APs). Management VLAN ID ist 10.

Jetzt zu den Problemen:
Wenn ich versuche, einen Client mit dem Lehrernetz (VLAN 30, sprich FritzBox) zu verbinden, kriegt dieser keine IP-Adresse. Die FritzBox, die eigentlich alle angeschlossenen Clients scheinbar zuverlässig anzeigt, zeigt auch nicht ein einziges Gerät an (also auch kein AP und auch nicht den Controller), das über den verwendeten LAN-Port 4 angeschlossen ist. Das ändert sich nur, wenn ich bei den Ports 1-9 VLAN 30 als "Standard-VLAN" setze (d.h. VLAN 30 untagged, VLAN 10 tagged, PVID 30). Dann werden die Geräte korrekt angezeigt, IP-Adresse krieg ich aber trotzdem nicht. Dafür krieg ich im Schulnetz (VLAN 10, sprich paedML) dann eine IP-Adresse, allerdings absurderweise aus dem Adressbereich, den die FritzBox verwaltet, d.h. 192.168.1.*.

Ich hab das Gefühl, dass ich da irgendwas grundlegend falsch verstanden hab. Macht meine Konfiguration vom Prinzip her Sinn? Oder ist da was grottenfalsch?

Kann es vielleicht sein, dass irgendeines der Geräte die VLAN-Geschichte nicht beherrscht? Ich hab das Gefühl, es funktioniert immer nur das Netz, das ich auf untagged (& PVID) setze. Da aber nur eines auf untagged gesetzt werden kann, wäre dann ja aber mein ganzes Vorhaben gar nicht möglich???

Hab inzwischen viele Stunden damit verbraten und in meiner Ratlosigkeit extra noch nen neuen Cisco-Switch angeschafft, nachdem ich erst den Netgear-Vorgänger als Ursache im Verdacht hatte. Jetzt weiß ich absolut nicht mehr weiter und wäre dankbar für jeden Tipp!

Content-Key: 395610

Url: https://administrator.de/contentid/395610

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: Pjordorf
Pjordorf 13.12.2018 aktualisiert um 22:58:56 Uhr
Goto Top
Hallo,

Zitat von @Nukualofa:
ich habe ein Problem
Warum 2 DHCP Server? Du weist das es nur einen geben kann ausser die sind Broadcastmäßig getrennt.
Ist dein CISCO SG399 denn im L3 Modus ud hast du ACLs usw. angelegt damit auch zwischen deine vLANS geroutet werden kann? Dein LAN4 deiner Fritte kann nur ins Internet der Fritte (WAN Port) und sonst nichts. Es ist der Gastzugang im LAN. Ausserdem kann deine Fritte (egal welche) nichts mit vLANs anfangen.

Wie groß der IP-Bereich genau ist, der vom zur paedML gehörigen DHCP-Server vergeben wird, weiß ich nicht,
Dann im DHCP nachschauen oder ein einfaches IpCpnfig /all sat es dir auch. Dazu dient unter anderem die SubNetzMaske.

10.1.0.31-38 (APs). Management VLAN ID ist 10.
Und deine vLANs haben alle eine andere IP?

Ich hab das Gefühl, dass ich da irgendwas grundlegend falsch verstanden hab.
Routing? IP Adressen? Broadcasts? IP Helper? NetzwerkGrundlagen?

Kann es vielleicht sein, dass irgendeines der Geräte die VLAN-Geschichte nicht beherrscht?
Ja, deine Fritte kann kein vLAN, aber das betrifft dann nur die Fritte.

Hab inzwischen viele Stunden damit verbraten
Hat keiner gesagt das man Netzwerkgrundlagen in 5 Minuten erlernt - da dauert einfach - bis hin zu Jahren und darüber hinaus.

Jetzt weiß ich absolut nicht mehr weiter und wäre dankbar für jeden Tipp!
Kauf dir einen Dienstleister ein der Fachwissen dazu hat.

Gruß,
Peter
Mitglied: Nukualofa
Nukualofa 13.12.2018 um 17:14:32 Uhr
Goto Top
Hey Peter,

vielen Dank für deine Antwort!


Zitat von @Pjordorf:
Warum 2 DHCP Server?
Weil es sich um zwei physikalisch unterschiedliche Netze handelt, die zwar beide über einen Switch laufen, sonst aber nix miteinander zu tun haben.

Ist dein CISCO SG399 denn im L3 Modus ud hast du ACLs usw. angelegt damit auch zwischen deine vLANS geroutet werden kann?
L3-Modus muss ich nachschauen. Ich hab nichts angelegt außer den VLANs. Ich war der Auffassung, dass die VLAN-ID dafür da ist, dass die Pakete an der richtigen Stelle landen, sprich: Wenn ich das Lehrernetz wähle, kriegen alle Datenpakete die ID 30 verpasst, und da nur die FritzBox via ID 30 erreichbar ist, wird der DHCP-Server der FritzBox verwendet. Entsprechend mit der paedML und der ID 10. Die Netze sollen untereinander nicht kommunizieren können.

Wie groß der IP-Bereich genau ist, der vom zur paedML gehörigen DHCP-Server vergeben wird, weiß ich nicht,
Dann im DHCP nachschauen oder ein einfaches IpCpnfig /all sat es dir auch. Dazu dient unter anderem die SubNetzMaske.
Das ist mir klar. Ich meinte damit, ich weiß es nicht auswendig und für meine Fragestellung ist es nicht wirklich relevant.

10.1.0.31-38 (APs). Management VLAN ID ist 10.
Und deine vLANs haben alle eine andere IP?
Meinst du ID oder IP? Die IDs sind alle unterschiedlich, und die zugehörigen IP-Adressbereiche ebenfalls. Wobei ich mit zugehörig den Bereich meine, der für die Netze jeweils gedacht ist. Funktionieren tut es ja offenbar anders.

Kann es vielleicht sein, dass irgendeines der Geräte die VLAN-Geschichte nicht beherrscht?
Ja, deine Fritte kann jein vLAN, aber das betrifft dann nur die Fritte.
Aha, gut zu wissen! Das kann ja aber nicht das Problem sein, oder? Da muss ja schon vorher was nicht stimmen, wenn anscheinend ein Datenpaket mit VLAN-ID 10 über einen 30er-untagged-Port an die FritzBox geht.

Jetzt weiß ich absolut nicht mehr weiter und wäre dankbar für jeden Tipp!
Kauf dir einen Dienstleister ein der Fachwissen dazu hat.
Tja, das ist das Problem: Dienstleister war da und hat es ebenfalls stundenlang probiert, jetzt ist das Budget alle und nix funktioniert. Und so schnell will ich mich nicht geschlagen geben - den Status quo kann ich (mit einigem Aufwand) auch noch wiederherstellen, wenn hier auch niemand mehr ne Idee hat...
Mitglied: Pjordorf
Pjordorf 13.12.2018 um 23:30:59 Uhr
Goto Top
Hallo,

Zitat von @Nukualofa:
Das ist mir klar. Ich meinte damit, ich weiß es nicht auswendig und für meine Fragestellung ist es nicht wirklich relevant.
Es ist schon relevat weil ob weie gertennte Netze eine/8 oder /16 oder eine /24 Subnetzmaske haben ist schon jeweils was anderes.

Meinst du ID oder IP?
Ich meinte schon die Netz IP in verbindung mit der Subnetzmaske.

Da muss ja schon vorher was nicht stimmen, wenn anscheinend ein Datenpaket mit VLAN-ID 10 über einen 30er-untagged-Port an die FritzBox geht.
Z.B. eine falsche Subnetzmaske oder dein vLAN Konfiguration.
https://www.thomas-krenn.com/en/wiki/VLAN_Basics
https://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen-virtueller ...

Tja, das ist das Problem: Dienstleister war da und hat es ebenfalls stundenlang probiert
Dann hat dieser Dienstleister eben nicht gewusst was er tut.

jetzt ist das Budget alle und nix funktioniert.
Aber das hat dieser Dienstleister gewusst, oder?face-sad

Male mal auf eine Blatt Papier auf was du hast, wo was angeklemmt ist und was du zugeordnet bzw. Konfiguriert hast, welche IPs und Subnetzmasken sind und wo welche GW Adressen sind, Vergiß nicht deine DHCP Wünsche einzutragen. Dann sieht man was du gebaut bzw. falsch gebaut hast

https://www.heise.de/ct/artikel/VLAN-Virtuelles-LAN-221621.html
Und bedenke das deine Fritte nichts von vLANs weis, versteht oder kann und das dort ein Netz an LAN Port 1-3 neben den Netz an LAN 4 existieren kann oder nur ein Netz an LAN 1 - 4.

Gruß,
Peter
Mitglied: aqui
Lösung aqui 15.12.2018 aktualisiert um 13:50:42 Uhr
Goto Top
müssen sie in die paedML integriert werden (sprich selbst eine IP-Adresse 10.1.0.* haben).
Logisch und simpler Standard. Wie sollte es denn auch anders gehen ?!
jeden Fall von der Form 10.1.*.*.
Normal gibt man dazu auf einem Winblows Rechner ipconfig -all ein um das wasserdicht zu bestimmen !!!
Da weisst du genau welche Subnetzmaklse der DHCP Server in diesem Segment verteilt. Das weiss sogar ein Drittklässler heutzutage.
Vermutlich hast du also ein Subnetz von 10.1.0.0 mit einer Maske 255.255.0.0 also einem klassischen 16 Bit Prefix, richtig ??
Als Switch verwende ich einen Cisco SG300-52
Sehr gut !
Frage: Wird der als doofer Layer 2 Switch genutzt oder macht der auch Layer 3 (Routing) ??
Der Cisco SG-300 ist von Haus aus ein L3 Switch. Siehe dazu auch:
http://www.schulnetz.info/layer-3-fahigkeit-auf-einem-cisco-small-busin ...
Das ist wichtig zu wissen um dein Design zu verstehen !
Wenn ich versuche, einen Client mit dem Lehrernetz (VLAN 30, sprich FritzBox) zu verbinden, kriegt dieser keine IP-Adresse.
Das ist auch vollkommen klar, denn deine WLAN APs sind MSSID APs können also mehrere WLANs mit einem AP aufspannen.
Vermutlich genau das was du willst (Lehrer- und Schulnetz als separate WLANs).
Hier hast du aber einen Kardinalsfehler begangen indem du die AP Ports fälschlicherweise Untagged konfiguriert hast !
Das geht nicht !
Der AP macht als MSSID AP eine Zuordnung der WLAN SSIDs zu VLAN IDs.
Er mappt also z.B. die Lehrer SSID "Lehrer" auf die VLAN ID 10 und sendet das tagged mit der VLAN ID 10 raus. Anslog mit dem Schulnetz. SSID "Schule" wird auch VLAN ID 30 gemappt und tagged mit der 30 rausgesendet.
Deine AP Ports sind aber untagged. Folglich kann der Switch diese WLAN zu VLAN Tags nicht mehr zuordnen und schmeisst diese Pakete weg.
Works as designt also...
Dein Fehler ist ein Denkfehler bei der Installation der MSSID APs bzw. deren Ports !
Du packst das Management VLAN mit in das VLAN 10. Vermutlich bleiben aber die Frames dann Tagged im VLAN 10.
Knackpunkt ist hier wie du den AP eingerichtet hast und wie der AP sich verhält. Hier wäre ein Screenshot des AP LAN und VLAN Setups sehr hilfreich, der leider fehlt.
Die Optionen sind folgende:
Möglichkeit 1 AP:
  • im Default VLAN 1 des APs ist kein WLAN gemappt = VLAN ungenutzt
  • paedML VLAN ist auf die 10 gemappt
  • Management ist auf VLAN 10 gesetzt
  • Lehrernetz ist auf die VLAN ID 30 gemappt
  • Das VLAN 10 wird Tagged am AP ausgesendet, VLAN 30 ebenfalls !
  • Fazit: AP Ports am Switch MÜSSEN Tagged für VLAN 10 und 30 eingerichtet sein ! PVID bleibt 1 !

Möglichkeit 2 AP:
  • im Default VLAN 1 des APs ist das paedML WLAN gemappt
  • Management ist auf VLAN 1 gesetzt = Default
  • Lehrernetz ist auf die VLAN ID 30 gemappt
  • Das VLAN 1 wird immer Untagged am AP ausgesendet, VLAN 30 Tagged
  • Fazit: AP Ports am Switch MÜSSEN Tagged für VLAN 30 eingerichtet sein ! Die PVID hier (untagged Frames) MUSS aber auf VLAN 10 gesetzt sein damit alle Pakete die am AP Untagged rauskommen (paedML WLAN und Management !) so ins VLAN 10 geforwardet werden !
Genau das hast du falsch gemacht !
Wärst du aber mit einem einfachen und stinknormalem Wireshark Sniffer Trace auch schnell von selbst drauf gekommen, denn der hätte dir sofort wasserdicht angezeigt welcher der Pakete denn nun getaggt werden und welche nicht. Entsprechend hättest du dann den Switch Port konfiguriert !
Wichtig für uns hier und eine zielführende Hilfe, ist also die Konfigs der APs zu kennen und das dortige WLAN SSID zu VLAN Mapping !!
Genau das bestimmt wie die Switchport Konfig aussehen muss.
So sollte es aussehen:

schulnetz2

Dieses Forentutorial hat die ganzen Grundlagen für dich:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. hier genau mit deinem Praxisbeispiel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Halte dich genau dadran, dann kommt das auch sofort zum Fliegen !
Das ist ein sehr simples Allerweltsdesign was problemlos rennt wenn man es denn richtig macht im Setup face-wink

P.S.: Auch mit einem NetGear Switch hätte man das problemlos hinbekommen ! (Siehe o.a. VLAN Tutorial). Zwar ist die VLAN Konfig bei NetGear generell einen gruselige Angelegenheit aber dein Problem ist nicht primär der Switch per se, sondern die fehlerhafte AP VLAN zu SSID Zuordnung bzw. die daraus dann resultierende falsche Switchport Konfig. face-wink
Mitglied: Nukualofa
Nukualofa 17.12.2018 um 08:19:02 Uhr
Goto Top
Ganz herzlichen Dank für eure Hilfe, ich habe das Problem inzwischen gelöst und will hier kurz berichten, was der Knackpunkt war, falls mal wieder jemand ein ähnliches Problem hat und sich ähnlich ungeschickt anstellt:

Ich hatte eine entscheidende Einstellung an den APs und dem Controller übersehen: Dort kann man wählen, ob es sich bei dem im Gerät integrierten LAN-Port um einen tagged Port oder um einen untagged Port handeln soll. Hier war untagged eingestellt, und konsequenterweise haben die Geräte deshalb alle Datenpakete aus dem "anderen" Netz verworfen. Die MSSID-Fähigkeit der Geräte wird durch diese Einstellung also de facto außer Kraft gesetzt.

Übrigens gibt es bei den Edimax Pros noch eine Besonderheit, die einem das Leben schwer macht: Stellt man den LAN-Port auf getaggt, lässt sich die VLAN-ID nicht mehr ändern. Und stellt man den Port erst auf untagged, ändert dann die VLAN-ID und stellt dann wieder zurück auf tagged, setzt sich die VLAN-ID automatisch wieder auf den vorherigen Wert zurück. Es hat erst geklappt, als ich bei besagter Vorgehensweise nach jedem Schritt einmal auf Apply geklickt habe - und da muss man dann immer einige Zeit warten. Vielleicht gibt es ja nen technischen Grund dafür, dass das so ist, aber für den Anwender ist es einfach nur nervig, vor allem wenn er wie ich beim ersten Mal nicht bemerkt, dass sich die VLAN-ID wieder zurückgesetzt hat.

aqui, wie von dir empfohlen habe ich auf den Ports 1-9 beide Netze (10 und 30) auf tagged gesetzt und das Default-Netz 1 auf untagged + PVID. Damit hat es auf jeden Fall funktioniert, ich hatte dann nicht mehr die Motivation, zu überprüfen, ob es mit einem untagged- und einem tagged-Netz auch funktioniert hätte.
Mitglied: aqui
aqui 17.12.2018 aktualisiert um 13:06:03 Uhr
Goto Top
Stellt man den LAN-Port auf getaggt, lässt sich die VLAN-ID nicht mehr ändern.
Das ist eigentlich Blödsinn, weil das eine mit dem anderen renin gar nix zu tun hat !!
Das Tagging und vor allem WELCHEN Tag du aussendest legst du ja in der SSID Konfig fest !!
Hier sagst du ja explizit mit WELCHEM VLAN Tag (ID) Traffic aus der betreffenden SSID auf den LAN Port gesendet wird.
Siehe hier im SSID Setup eines Edimax Access Points:
edimax
Damit dieser Traffic dann überhaupt dort rausgesendet werden kann macht das VLAN Tagging dann eigentlich zwingend erforderlich. Einzig nur über die VLAN ID lässt sich dieser Traffic überhaupt wieder einem VLAN zordnen für den empfangenden Switchport.
Warum Edimax es dann eigentlich überflüssigerweise nochmal explizit erfordert im Setup Tagging zu aktivieren ist deshalb vollkommen unverständlich.
Übrigens muss man bei dem o.a. Edimax AP Modell dieses Tagging NICHT extra am LAN Port setzen. Sobald man das dort in der Zuordnung (Screenshot) gemacht hat ist es automatisch getagged !
Ist dann wohl auch AP Modell spezifisch ?!

Die Feststellung von oben (Zitat) "Und stellt man den Port erst auf untagged, ändert dann die VLAN-ID " ist technsich unsinnig. Ein Untagged Port kann niemals eine VLAN ID haben. Ansonsten wäre es ja logischerweise Tagged ! Pakete MIT einer VLAN ID im Header sind Getaggt.
Ungetaggte Ports können natürlich auch nur ungetaggte Pakete weiterleiten. Getaggte erkennen sie als Fehler und schmeissen sie weg (Dropping).
Ungetaggte Pakete werden dann in das VLAN geforwardet für das der Port mit der PVID eingestellt ist. In der Regel ohne Konfig ist das immer das Default VLAN 1.

Deine Feststellungen sind technisch also zumindest sehr fragwürdig hier dargestellt und es darf bezeifelt werden das es wirklich im Detail so ist.
Aber hey... letztlich ist das doch Latte solange jetzt alles rennt bei dir ! Der Erfolg spricht für sich dann !
Case closed !