sat-fan
Goto Top

Switch vlan Konfiguration default VlanID

Mein Vlan macht noch nicht ganz was es soll.
Die Lernkurve ist mal wieder zu steil für mich face-smile

Es funktioniert bis auf Vlan 200 an den AP clients. Gehe davon aus das es eine switch Einstellung ist und die hex einstellungen stimmen.

Der Hex hängt am Port 1 des switches. Am Port 4 hängt ein Cisco AP

Im Moment geht es irgendwie, wenn ich die Einstellung
Port 1 Vlan-enabled, receive any, Default Id 1 und
Port 4 Vlan-enabled, receive any, Default Id 200

Das ist wohl nicht richtig.
sobald ich die default VlanID am Port4 ändere, bekommt der Cisco keine IP mehr !
Wenn ich Indepedent Vlan Lookup einstelle, was ich wo im manual gelesen habe, sperre ich mich komplett vom switch aus...

mikrotik swos – mozilla firefox 23.10.2023 10_34_04
screenshot 23.10.2023 10_33_53
mikrotik swos – mozilla firefox 23.10.2023 10_33_11
mikrotik swos – mozilla firefox 23.10.2023 10_32_49

Danke für eure Hilfe

Content-Key: 92624746333

Url: https://administrator.de/contentid/92624746333

Printed on: July 20, 2024 at 18:07 o'clock

Member: commodity
commodity Oct 23, 2023 at 15:14:03 (UTC)
Goto Top
Gehe davon aus das es eine switch Einstellung ist und die hex einstellungen stimmen.
Gehe mal besser vom Gegenteil aus.
sobald ich die default VlanID am Port4 ändere, bekommt der Cisco keine IP mehr !
spricht dafür, dass das VLAN-Filtering auf dem hEX nicht korrekt eingerichtet ist oder auf dem VLAN 200 kein DHCP-Server läuft.

Kläre bitte, ob Du auf dem hEX die VLANS nach @aquis Tutorial eingerichtet hast und VLAN-Filtering aktiv ist. Ebenso, ob auch auf VLAN 200 ein DHCP-Server läuft und ob nicht Firewall-Regeln den Traffic verhindern. Wenn Du dem Tutorial gefolgt bist, kann nichts schief gehen.

Viele Grüße, commodity
Member: sat-fan
sat-fan Oct 23, 2023 updated at 18:05:16 (UTC)
Goto Top
@7907292512 hat mir dankenswerter bei der Router config geholfen. klang für mich schlüssig und funktionierte erst auch mal
Vlan Bridge config probleme

DHCP läuft auf dem 200er wie auf jeder anderen vlan adresse. z b bekommt jeder AP eine nette Addr. vom 200er. Daran liegt es nicht. Firewall ist auch noch nicht für vlans gesetzt. und das vlan filtering auf dem router ist an.
Member: commodity
commodity Oct 23, 2023 at 21:43:11 (UTC)
Goto Top
Zitat von @sat-fan:
@7907292512 hat mir dankenswerter ...
+1, Lernen von den Besten face-smile

Da Du Deine Konfiguration nicht erläuterst, kann ich nur raten:
Kann es sein, dass Du am AP MSSID verwendest und die SSIDs bereits dort taggst?
Dann bekäme Traffic vom Client auf SSID "A" bereits am AP (zB) den VLAN Tag 200. Dieser kommt also über den AP am Switch bereits tagged an. Da Du dort die "Default VLAN ID" 200 zugewiesen hast, würde der Switch das Tag an dieser Stelle entfernen und den Traffic als untagged weiter leiten. Dieser würde am hEX also über Port 1 als VLAN1 untagged ankommen. Wenn der hEX diese Pakete beantwortet, kommen sie auf dem Rückweg schließlich untagged auf Port 4 an, erhalten das Tag 200 und gehen somit wieder über die SSID "A" zum Client.
Das passt dann zu ...
Es funktioniert bis auf Vlan 200 an den AP clients.
... wenn Du damit meinst, die die Clients kommunizieren zwar, aber leider nicht im VLAN200, denn tatsächlich kommunizieren sie aus Sicht des hEX im VLAN1.
Wenn Du mit "funktioniert bis auf..." etwas anderes meinst, müsstest Du das schon beschreiben.

Dass der AP in diesem Fall selbst eine IP bekommt, liegt daran, dass sein Management-Interface untagged am Port 4 hängt, d.h. der Port die untagged Pakete des AP mit VLAN ID 200 taggt und so an den hEX weiter leitet. Dessen tagged Pakete aus dem VLAN 200 nimmt der Port später auch wieder entgegen und leitet sie, weil "Default VLAN ID" 200 greift, als untagged an den AP.
Allerdings müsste dieser im Falle einer Änderung der "Default VLAN ID" auf zB 50 dann eine IP aus dem VLAN50 bekommen (DHCP voraus gesetzt), das passt also noch nicht ganz zusammen:
sobald ich die default VlanID am Port4 ändere, bekommt der Cisco keine IP mehr !

Für Dein Problem an den Clients gilt aber jedenfalls: Du darfst die "Default VLAN ID" des Ports nicht auf ein VLAN legen, das für eine SSID bereits tagged verwendet wird und so auch weiter geleitet werden muss.

Viele Grüße, commodity
Member: aqui
Solution aqui Oct 24, 2023, updated at Oct 26, 2023 at 09:51:53 (UTC)
Goto Top
Dein Fehler liegt mit großer Wahrscheinlichkeit in der falschen Default VLAN ID Einstellung des hEX Router Ports und den AP Ports auf deinem SwitchOS Switch!
portvlan
Der hEX steht dort auf VLAN 1 der Cisco AP auf 200. Das geht dann so logischerweise nicht.

Was dann passiert ist Folgendes:
Die UNtagged DHCP Requests der APs (BVI Interface) forwardet dein Switch mit der o.a. Konfig UNtagged ins VLAN 200. Das landet dann auch beim hEX im VLAN 200 und dessen DHCP Server antwortet auch an dem hEX Port aber mit einem Tagged 200 Frame. Der hEX PVID Port (untagged) steht ja auf VLAN 1, folglich wird dort der DHCP Reply der eigentlich für's (untagged) BVI Interface des APs ist nun tagged über die 200er MSSID per WiFi ausgesendet.
Damit kommt der DHCP Reply des hEX also niemals an auf dem Cisco BVI Interface und geht über die 200er MSSID ins Nirwana. Genau deshalb bekommt der AP nie eine IP!
Cisco, Switch und hEX tun also genau das was sie sollen. Der Fehler ist ein typischer PEBKAC Fehler! face-wink

Fazit:
Setze entweder den SwitchOS Port 1 für den hEX Router auf "200" oder alle 3 AP Ports auf "1" bei der Default VLAN ID (PVID VLAN) Einstellung, dann klappt es auch alles wie es soll!
Ersteres exponiert dein Admin/Management VLAN dann aber per WiFi, und zeigt es auch noch allen offen per SSID Beaconing. Sowas ist generell aus Security Sicht keine gute Idee, gelinde gesagt.

Wenn du meinst es unbedingt zu brauchen, dann solltest du wenigstens das SSID Beaconing für diese MSSID in den APs deaktivieren und es als verstecktes WLAN laufen lassen. WiFi Scanner zeigen aber auch das an.
AP(config)#dot11 ssid Cisco-Admin
AP(config-ssid)#no mbssid guest-mode 
Besser ist also immer die 2te Option nur über Kupfer!

Hier ein korrektes Beispieldesign was deinem entspricht.

back-to-topBeispiel Setup

Mikrotik RB Router via ether4 Trunk verbunden auf einen SwitchOS Mikrotik (Port ether1) und dort angeschlossen an sfp1 (1Gig Kupfer SFP) der Cisco AP 2702.

mt-ciap

back-to-topMikrotik SwitchOS Setup

  • ether 1 = VLAN Trunk auf Mikrotik Router
  • sfp1 = Cisco AP
Bei beiden VLAN Trunks ist das PVID VLAN (native VLAN, Management) hier auf 1 gesetzt. Die Management IP des Cisco APs bezieht dieser immer aus dem (untagged) PVID VLAN.
swo1

VLAN Setup und Portzuweisung:
swo2

Systemübersicht:
swo3
Hier ist es sinnvoll nur den VLAN Trunk zum Router als Trusted DHCP Snooping Link zu setzen. Der Switch blockt dann auf allen anderen Ports DHCP Server Traffic.
So kann man in einem Netzwerk immer sicherstellen das kein anderer, unautorisierter DHCP Server in den VLANs Amok läuft und Adresschaos verursacht. DHCP Snooping ist immer ein sehr sinnvolles Security Feature in Netzwerken!
Hier solltest du also in deinem o.a. SwitchOS Setup nur den Switchport zum hEX als Trusted für DHCP setzen.

Auch das "Allow form Ports" bzw. "Allow from VLAN" sollte man auf den hEX Port und "1" setzen zumindestens aber den Port, damit der Switch nicht von wilden DHCP Servern eine IP bekommt und so gekapert wird. Seine DHCP IP kann ja immer nur vom hEX kommen bzw. fällt auf die statische .88.1 zurück wenn kein DHCP Server im Netz "gesehen" wird!

Ebenso IGMP Snooping generell und pro VLAN, was das unnötige und Performance fressende Fluten von Multicast Traffic auf alle Ports verhindert und so wichtige HW Resourcen des Switches schont.

back-to-topMikrotik Router Setup

  • Auszug VLAN Bridge, Tagging Beispiel für VLAN 10 u. 20 sowie und Adressierung AP
  • Das Management VLAN (untagged am AP BVI1 Interface) ist hier das VLAN-1 !
750

back-to-topFazit

Works as designed! 👍 😉
Member: aqui
aqui Oct 28, 2023 at 10:34:56 (UTC)
Goto Top
Wenn es das denn war...
How can I mark a post as solved?