VLAN Konfiguration auf Switch ausreichend oder muss VLAN mit entsprechender ID auch auf WLAN-Bridges eingerichtet werden?
Internetanbindung zweier Standorte (zwei Kabelmodem: 1x direkt (1. WLAN-Bridge), 1x indirekt (Geht ebenfalls über die erste WLAN-Bridge und dann 2. WLAN-Bridge, VLAN) & pro Standort je 1x POE-Switch) über zwei unterschiedliche Ubiquiti Wifi-Bridges verbunden und mit VLAN getrennte LANs
Grundsätzliche Frage zu VLAN-Konfigurationen: Reicht es im oben beschriebenen Szenario aus, die VLAN ID ausschliesslich auf den betroffenen Switches einzurichten oder muss die VLAN ID auch über die WLAN-Bridges konfiguriert werden? Weil die WLAN-Bridges auch tatsächlich im Bridge-Modus konfiguriert sind, sollte es nach meinem Verständnis genügen, die VLAN ID auf den Switches richtig zu setzen, stimmt das?
Grundsätzliche Frage zu VLAN-Konfigurationen: Reicht es im oben beschriebenen Szenario aus, die VLAN ID ausschliesslich auf den betroffenen Switches einzurichten oder muss die VLAN ID auch über die WLAN-Bridges konfiguriert werden? Weil die WLAN-Bridges auch tatsächlich im Bridge-Modus konfiguriert sind, sollte es nach meinem Verständnis genügen, die VLAN ID auf den Switches richtig zu setzen, stimmt das?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 474706
Url: https://administrator.de/forum/vlan-konfiguration-auf-switch-ausreichend-oder-muss-vlan-mit-entsprechender-id-auch-auf-wlan-bridges-474706.html
Ausgedruckt am: 10.05.2025 um 13:05 Uhr
5 Kommentare
Neuester Kommentar
Moin,
wenn du nur ein Netz über die bridge schiebst, kann dies ruhig untagged sein.
Ansonsten tagged, wenn die bridge mit dem tagg umgehen kann.
Eigentlich ist die Denkweise trivial.
Gruß
Spirit
wenn du nur ein Netz über die bridge schiebst, kann dies ruhig untagged sein.
Ansonsten tagged, wenn die bridge mit dem tagg umgehen kann.
Eigentlich ist die Denkweise trivial.
Gruß
Spirit
Moin, besten Dank für deine rasche Antwort. Ich bin mir bewusst, dass meine Denkweise an der Stelle eher trivial ist. Es geht mir halt auch ums grundsätzliche Verständnis.
Zur Verdeutlichung werde ich die Situation hier etwas ausführen: Bei meiner Projekt handelt es sich um eine Modernisierung eines bestehenden Netzwerk, bei welchem ich leider ausschliesslich Zugriff auf die Konfiguration des ersten POE-Switch (an welchem die beiden Kabelmodem und die erste WLAN-Bridge angeschlossen ist).
Ausgangssituation der bestehenden Geräte:
Standort 1
2x Kabelmodem (Bridges)
1x Ubiquiti EdgeSwitch 5XP (StO1, siehe Portkonfiguration weiter unten)
1x Ubiquiti NanoStation M5 (Station)
Standort 2
1x Ubiquiti NanoStation M5 (AccessPoint)
1x Ubiquiti EdgeSwitch 5XP (StO2)
1x Netgear Router (wird direkt [ohne VLAN] über WLAN-Bridge mit öffentlicher IP ab Kabelmodem versorgt)
1x Ubiquiti NanoStation M5 loco (AccessPoint)
Standort 3 (Ziel des VLAN)
1x Ubiquiti NanoStation M5 loco (Station)
1x Ubiquiti EdgeSwitch 5XP (StO3)
Ausgangslage der bestehenden (einsehbaren) Netzwerkkonfigurationen:
Standort 1
EdgeSwitch 5XP (StO1)
Port 1: Ubiquiti NanoStation M5 (Station) [POE=on, VLAN ID 1(MGMT)=Untag, VLAN ID 16(StO3)=Tag]
Port 2: Kabelmodem 1 [POE=off, VLAN ID 1(MGMT)=Exclude, VLAN ID 16(StO3)=Untag]
Port 3: Kabelmodem 2 [POE=off, VLAN ID 1(MGMT)=Untag, VLAN ID 16(StO3)=Exclude]
Port 4: nicht belegt
Port 5: nicht belegt
Es sind in dieser Konfiguration also mind. zwei VLAN-Netze, welche über die beiden Bridges geschoben werden und dies funktioniert mit den aktuellen Geräten auch einwandfrei.
NanoStation M5 (AccessPoint)
Die Konfiguration ist nicht einsehbar.
Standort 2
Die Konfiguration ist auf sämtlichen Geräten nicht einsehbar.
Standort 3
Die Konfiguration ist auf sämtlichen Geräten nicht einsehbar.
Ziel:
Standort 1
2x Kabelmodem (Bridges)
1x Ubiquiti EdgeSwitch 5XP (StO1, Portkonfiguration bleibt gleich)
1x Ubiquiti AirFiber 5XHD (Station)
Standort 2
1x Ubiquiti AirFiber 5XHD (AccessPoint)
1x Ubiquiti EdgeSwitch 5XP (StO2)
1x Netgear Router (soll weiterhin direkt [ohne VLAN] über WLAN-Bridge mit öffentlicher IP ab Kabelmodem versorgt werden)
1x Ubiquiti PowerBeam 5AC-Gen2 (AccessPoint)
Standort 3 (Ziel des VLAN)
1x Ubiquiti PowerBeam 5AC-Gen2 (Station)
1x Ubiquiti EdgeSwitch 5XP (StO3)
1x Netgear Router (soll weiterhin indirekt [mit VLAN 16] über beide WLAN-Bridges mit öffentlicher IP ab Kabelmodem versorgt werden)
Soweit ich weiss, sind die beiden WLAN-Bridges fähig mit tagged VLANs umzugehen. Beim ersten Installationsversuch konnte ich zwar direkt nach der ersten (neuen/"AF5XHD") WLAN-Bridge (am LAN-Port des POE-Adapter) richtigerweise eine öffentliche IP vom Kabelmodem beziehen und auch eine Internetverbindung herstellen. Als ich dann das Kabel so umgesteckt habe, dass die neue WLAN-Bridge wieder auf dem bisherigen Port, mit dem auch die erste (alte/"NanoStationM5") WLAN-Bridge verbunden war, angeschlossen habe, konnte ich an keinem der weiterleitenden Ports eine öffentlich IP-Adresse beziehen. Dies würde zwar aus meiner Sicht eher dafür sprechen, dass die neue WLAN-Bridge Probleme mit dem tagged VLAN hat. Oder nicht? Ich habe nun gleiche Switches bestellt, damit ich das Netzwerk im Labor nachbauen und testen kann.
Falls jemand bereit Erfahrungen mit ähnlichen Netzwerkonfigurationen gemacht hat, würde ich mich sehr über Infos, Tipps, usw. freuen.
Zur Verdeutlichung werde ich die Situation hier etwas ausführen: Bei meiner Projekt handelt es sich um eine Modernisierung eines bestehenden Netzwerk, bei welchem ich leider ausschliesslich Zugriff auf die Konfiguration des ersten POE-Switch (an welchem die beiden Kabelmodem und die erste WLAN-Bridge angeschlossen ist).
Ausgangssituation der bestehenden Geräte:
Standort 1
2x Kabelmodem (Bridges)
1x Ubiquiti EdgeSwitch 5XP (StO1, siehe Portkonfiguration weiter unten)
1x Ubiquiti NanoStation M5 (Station)
Standort 2
1x Ubiquiti NanoStation M5 (AccessPoint)
1x Ubiquiti EdgeSwitch 5XP (StO2)
1x Netgear Router (wird direkt [ohne VLAN] über WLAN-Bridge mit öffentlicher IP ab Kabelmodem versorgt)
1x Ubiquiti NanoStation M5 loco (AccessPoint)
Standort 3 (Ziel des VLAN)
1x Ubiquiti NanoStation M5 loco (Station)
1x Ubiquiti EdgeSwitch 5XP (StO3)
Ausgangslage der bestehenden (einsehbaren) Netzwerkkonfigurationen:
Standort 1
EdgeSwitch 5XP (StO1)
Port 1: Ubiquiti NanoStation M5 (Station) [POE=on, VLAN ID 1(MGMT)=Untag, VLAN ID 16(StO3)=Tag]
Port 2: Kabelmodem 1 [POE=off, VLAN ID 1(MGMT)=Exclude, VLAN ID 16(StO3)=Untag]
Port 3: Kabelmodem 2 [POE=off, VLAN ID 1(MGMT)=Untag, VLAN ID 16(StO3)=Exclude]
Port 4: nicht belegt
Port 5: nicht belegt
Es sind in dieser Konfiguration also mind. zwei VLAN-Netze, welche über die beiden Bridges geschoben werden und dies funktioniert mit den aktuellen Geräten auch einwandfrei.
NanoStation M5 (AccessPoint)
Die Konfiguration ist nicht einsehbar.
Standort 2
Die Konfiguration ist auf sämtlichen Geräten nicht einsehbar.
Standort 3
Die Konfiguration ist auf sämtlichen Geräten nicht einsehbar.
Ziel:
Standort 1
2x Kabelmodem (Bridges)
1x Ubiquiti EdgeSwitch 5XP (StO1, Portkonfiguration bleibt gleich)
1x Ubiquiti AirFiber 5XHD (Station)
Standort 2
1x Ubiquiti AirFiber 5XHD (AccessPoint)
1x Ubiquiti EdgeSwitch 5XP (StO2)
1x Netgear Router (soll weiterhin direkt [ohne VLAN] über WLAN-Bridge mit öffentlicher IP ab Kabelmodem versorgt werden)
1x Ubiquiti PowerBeam 5AC-Gen2 (AccessPoint)
Standort 3 (Ziel des VLAN)
1x Ubiquiti PowerBeam 5AC-Gen2 (Station)
1x Ubiquiti EdgeSwitch 5XP (StO3)
1x Netgear Router (soll weiterhin indirekt [mit VLAN 16] über beide WLAN-Bridges mit öffentlicher IP ab Kabelmodem versorgt werden)
Soweit ich weiss, sind die beiden WLAN-Bridges fähig mit tagged VLANs umzugehen. Beim ersten Installationsversuch konnte ich zwar direkt nach der ersten (neuen/"AF5XHD") WLAN-Bridge (am LAN-Port des POE-Adapter) richtigerweise eine öffentliche IP vom Kabelmodem beziehen und auch eine Internetverbindung herstellen. Als ich dann das Kabel so umgesteckt habe, dass die neue WLAN-Bridge wieder auf dem bisherigen Port, mit dem auch die erste (alte/"NanoStationM5") WLAN-Bridge verbunden war, angeschlossen habe, konnte ich an keinem der weiterleitenden Ports eine öffentlich IP-Adresse beziehen. Dies würde zwar aus meiner Sicht eher dafür sprechen, dass die neue WLAN-Bridge Probleme mit dem tagged VLAN hat. Oder nicht? Ich habe nun gleiche Switches bestellt, damit ich das Netzwerk im Labor nachbauen und testen kann.
Falls jemand bereit Erfahrungen mit ähnlichen Netzwerkonfigurationen gemacht hat, würde ich mich sehr über Infos, Tipps, usw. freuen.
Die Gefahr hier ist wie immer die unpräzise Beschreibung was genau mit einem „Kabelmodem“ denn nun wirklich gemeint ist ?!
In 80% der Fälle hier im Forum meinen die TOs damit einem NAT Router. Das ist aber in der Tat kein Modem.
Ein reines Modem ist nur ein simpler Medienwandler der keinerlei IP Forwarding macht bzw. daran beteiligt ist.
Ein Router macht aktiv IP Forwarding. Zwei völlig verschiedene Geräte also.
Dann werden aber auch wieder die ToDos sehr simpel und einfach:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
In der Regel supporten reine Modems die im Bridge Mode arbeiten keinerlei VLAN Tagging, was auch verständlich ist, da das Provider Netzwerk dahinter keinerlei VLAN Tagging supportet.
Was dann 2 „Modems“ an einem Standort für einen Sinn haben sollen ist etwas wirr und unverständlich. So oder so scheitert das Design schon an der Tatsache das es keinerlei Schutz zw. lokalen LANs und Provider Netz gibt. Niemals adaptiert man ein öffentliches Netz ohne Firewall Schutz via L2 Switch an ein LAN. Es sei denn man hat eine dedizierte Standleitung, MPLS oder ein Dark Fiber was hier ja nicht der Fall ist.
Damit ist es also technisch unmöglich das obige Konzept umzusetzen. Kein Standard Internet Provider supportet die Weitergabe von VLAN Tags.
Das geht nur über Layer 2 Virtualisierungstechniken wie MPLS mit VPLS oder VxLAN usw. und erfordert dann einen entsprechenden Business Anschluss bzw. Tunneling Router.
In 80% der Fälle hier im Forum meinen die TOs damit einem NAT Router. Das ist aber in der Tat kein Modem.
Ein reines Modem ist nur ein simpler Medienwandler der keinerlei IP Forwarding macht bzw. daran beteiligt ist.
Ein Router macht aktiv IP Forwarding. Zwei völlig verschiedene Geräte also.
Dann werden aber auch wieder die ToDos sehr simpel und einfach:
- Modem = rein nur Layer 2. 802.1q VLAN Tagging möglich wenn die Hardware diese Tags Supporten, sonst natürlich nicht
- In einem geroutetem Umfeld wird kein transparentes Tagging Supporten, bzw. Einzig nur auf den Interfaces und auch nur dann wenn der Router 802.1q als Feature Supporten.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
In der Regel supporten reine Modems die im Bridge Mode arbeiten keinerlei VLAN Tagging, was auch verständlich ist, da das Provider Netzwerk dahinter keinerlei VLAN Tagging supportet.
Was dann 2 „Modems“ an einem Standort für einen Sinn haben sollen ist etwas wirr und unverständlich. So oder so scheitert das Design schon an der Tatsache das es keinerlei Schutz zw. lokalen LANs und Provider Netz gibt. Niemals adaptiert man ein öffentliches Netz ohne Firewall Schutz via L2 Switch an ein LAN. Es sei denn man hat eine dedizierte Standleitung, MPLS oder ein Dark Fiber was hier ja nicht der Fall ist.
Damit ist es also technisch unmöglich das obige Konzept umzusetzen. Kein Standard Internet Provider supportet die Weitergabe von VLAN Tags.
Das geht nur über Layer 2 Virtualisierungstechniken wie MPLS mit VPLS oder VxLAN usw. und erfordert dann einen entsprechenden Business Anschluss bzw. Tunneling Router.
1
Besten Dank für deinen ausführlichen Kommentar aqui. Diese Informationen sind sehr hilfreich für meine Lösungsfindung.
Es handelt sich bei den beiden Kabelmodem tatsächlich um Thomson THG571. Am LAN-Port wird jeweils eine öffentliche IP-Adresse bezogen. Ich weiss ehrlich gesagt nicht, ob es sich dabei nun um einen NAT Router oder ein Modem handelt. Falls mir das jemand von euch anhand des Modelltyps klarstellen könnte, wäre ich bestimmt auch sehr dankbar.
Für die Übersicht über das Netzwerk möchte ich hierzu noch ein Prinzipschema anfügen.
Ich versuche an der Stelle mein Vorhaben etwas vereinfacht darzustellen:
Das Ziel ist es zwei Standorte (Camping 1 & Camping 2, etwa 300m auseinander) mit je einem Kabelmodem von einem zentralen Standort (Headend, StO1) ans Internet anzubinden und die beiden Netzwerke (Camping 1 & Camping 2 mit VLAN getrennt [von den beiden Netzwerk ist aktuell Camping 2 mit VLAN getrent, aber Camping wird normal darüber geschoben] vom Headend via erstem POE-Switch (StO1) und erster WLAN-Bridge (AirFiber 5XHD, StO1-2) an Camping 1 weiterzuleiten und am zweiten POE-Switch (StO2)
1.) der Netgear Router an Camping 1 ohne VLAN mit einer öffentlichen IP-Adresse (von Kabelmodem 1) versorgt und
2.) ebenfalls über den gleichen POE-Switch (StO2) via zweiter WLAN-Bridge (PowerBeam 5AC-Gen2, StO2-3) schliesslich der Netgear Router an Camping 2 (StO3) mit der öffentlichen IP-Adresse (von Kabelmodem 2, per VLAN getrennt) versorgt wird.
Wie gesagt, dieses bereits bestehende Netzwerk läuft derzeit einwandfrei und ausschliesslich die WLAN-Bridges werden modernisiert. Da ich jedoch keinen Zugriff auf die Konfiguration der bestehenden Switches (ausser dem Switch in Headend, StO1) & WLAN-Bridges habe, möchte ich hier in Erfahrung bringen, wie ich am einfachsten die beiden Switche an StO2 & StO3 konfigurieren muss, damit diese beiden Netzwerke per VLAN getrennt von einander laufen.
Freundliche Grüsse
Schnittlistricher
Es handelt sich bei den beiden Kabelmodem tatsächlich um Thomson THG571. Am LAN-Port wird jeweils eine öffentliche IP-Adresse bezogen. Ich weiss ehrlich gesagt nicht, ob es sich dabei nun um einen NAT Router oder ein Modem handelt. Falls mir das jemand von euch anhand des Modelltyps klarstellen könnte, wäre ich bestimmt auch sehr dankbar.
Für die Übersicht über das Netzwerk möchte ich hierzu noch ein Prinzipschema anfügen.
Ich versuche an der Stelle mein Vorhaben etwas vereinfacht darzustellen:
Das Ziel ist es zwei Standorte (Camping 1 & Camping 2, etwa 300m auseinander) mit je einem Kabelmodem von einem zentralen Standort (Headend, StO1) ans Internet anzubinden und die beiden Netzwerke (Camping 1 & Camping 2 mit VLAN getrennt [von den beiden Netzwerk ist aktuell Camping 2 mit VLAN getrent, aber Camping wird normal darüber geschoben] vom Headend via erstem POE-Switch (StO1) und erster WLAN-Bridge (AirFiber 5XHD, StO1-2) an Camping 1 weiterzuleiten und am zweiten POE-Switch (StO2)
1.) der Netgear Router an Camping 1 ohne VLAN mit einer öffentlichen IP-Adresse (von Kabelmodem 1) versorgt und
2.) ebenfalls über den gleichen POE-Switch (StO2) via zweiter WLAN-Bridge (PowerBeam 5AC-Gen2, StO2-3) schliesslich der Netgear Router an Camping 2 (StO3) mit der öffentlichen IP-Adresse (von Kabelmodem 2, per VLAN getrennt) versorgt wird.
Wie gesagt, dieses bereits bestehende Netzwerk läuft derzeit einwandfrei und ausschliesslich die WLAN-Bridges werden modernisiert. Da ich jedoch keinen Zugriff auf die Konfiguration der bestehenden Switches (ausser dem Switch in Headend, StO1) & WLAN-Bridges habe, möchte ich hier in Erfahrung bringen, wie ich am einfachsten die beiden Switche an StO2 & StO3 konfigurieren muss, damit diese beiden Netzwerke per VLAN getrennt von einander laufen.
Freundliche Grüsse
Schnittlistricher
Du solltest diese beiden Netze niemals mit einer WLAN Bridge verbinden, Camping klingt erstmal nach großen Netzen also welche mit einer großen Anzahl pro User. Max. Sollte man in einem Layer 2 Segemnt niemals mehr als 100 bis 150 User haben.
Auch wenn du da noch drunterliegend solltest wird die Verbindung dann eine extrem große L2 Broadcast Domain kreieren. Der daraus resultierende Broad- und Multicast Traffic wird Dir dann deinen WLAN Bridge Link zum Erliegen bringen. Vergiss das besser gleich...
Wen;du verbindest, dann solltest du immer Routen zwischen den Netzen mit einem IP Netz als Transfernetz auf der drahtlosen Strecke. MikroTik SXT Komponenten im 5 GHz Bereich z.B. Grundlagen dazu findest du hier:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Damit hat sich ja eigentlich auch das VLAN Konzept erledigt. Es sei denn du muss zwingend beide Netze im Zugriff haben.
Strukturell würde das dann so aussehen:
(Internet)===(NAT-Router)—-Camping1IP—-(WLAN)==FunkIP==(WLAN)—-Camping2IP
Das wäre das Design mit einer Routing Anbindung. Auf keinen Fall sollte man hier bridgen.
Das Thompson Teil ist übrigens in der Tat ein reines Modem. Also nur ein Medienwandler zw. DOCSIS und Ethernet. Angeschlossene Endgeräte erhalten am Ethernet Port eine öffentliche IP des Kabelproviders per DHCP.
Wenn du ein VLAN Konzept fahren willst benötigst du am Thompson in jedem Falle einen VLAN fähigen Router. Siehe VLAN Tutorial.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Aber wie gesagt, das musst du nicht wenn du die beiden Camping Netze Router wie oben beschrieben routest.
Alternativ zu einer WLAN Kopplung beider Netze böte sich noch eine VDSL Kopplung über VDSL/Ethernet Modems.
https://www.reichelt.de/vdsl2-100-mbit-s-mini-modem-master-slave-allnet- ...
Dazu muss aber zwischen den beiden Camping Netzen irgendwas an Draht liegen. Minimal 300 Meter Klingeldraht. Draht ist immer etwas stabiler von der Bandbreite als Funk.
Auch wenn du da noch drunterliegend solltest wird die Verbindung dann eine extrem große L2 Broadcast Domain kreieren. Der daraus resultierende Broad- und Multicast Traffic wird Dir dann deinen WLAN Bridge Link zum Erliegen bringen. Vergiss das besser gleich...
Wen;du verbindest, dann solltest du immer Routen zwischen den Netzen mit einem IP Netz als Transfernetz auf der drahtlosen Strecke. MikroTik SXT Komponenten im 5 GHz Bereich z.B. Grundlagen dazu findest du hier:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Damit hat sich ja eigentlich auch das VLAN Konzept erledigt. Es sei denn du muss zwingend beide Netze im Zugriff haben.
Strukturell würde das dann so aussehen:
(Internet)===(NAT-Router)—-Camping1IP—-(WLAN)==FunkIP==(WLAN)—-Camping2IP
Das wäre das Design mit einer Routing Anbindung. Auf keinen Fall sollte man hier bridgen.
Das Thompson Teil ist übrigens in der Tat ein reines Modem. Also nur ein Medienwandler zw. DOCSIS und Ethernet. Angeschlossene Endgeräte erhalten am Ethernet Port eine öffentliche IP des Kabelproviders per DHCP.
Wenn du ein VLAN Konzept fahren willst benötigst du am Thompson in jedem Falle einen VLAN fähigen Router. Siehe VLAN Tutorial.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Aber wie gesagt, das musst du nicht wenn du die beiden Camping Netze Router wie oben beschrieben routest.
Alternativ zu einer WLAN Kopplung beider Netze böte sich noch eine VDSL Kopplung über VDSL/Ethernet Modems.
https://www.reichelt.de/vdsl2-100-mbit-s-mini-modem-master-slave-allnet- ...
Dazu muss aber zwischen den beiden Camping Netzen irgendwas an Draht liegen. Minimal 300 Meter Klingeldraht. Draht ist immer etwas stabiler von der Bandbreite als Funk.
1
