VLAN mit TP-SG108E und Unifi AC-AP-Lite
Hallo Zusammen
ich bin gerade dabei mein Netzwerk neu mittels VLAN aufzuteilen, stehe dabei allerdings vor Problemen, bei denen ich hoffe, dass ihr mir helfen könntet:
Vorhandene Hardware:
Router: FB 6490
Switch: 2x TL-SG108E
AP: Unifi AC-AP-Lite
Ich möchte mein Netzwerk in 3 VLANs aufteilen:
LAN - VLAN 10
Hier sind die Computer, NAS, Drucker
IoT - VLAN 20
Hausautomatisierung
Gast - VLAN 30
Gästenetzwerk mit ausschließlich Internetzugriff
VLAN 10 und 20 sind im selben Subnet (10.10.1.0), sollen sich aber gegenseitig nicht sehen.
VLAN 30 ist über den Gastzugang der FB getrennt.
Die Verkablung und Konfiguration habe ich nach folgender Anleitung durchgeführt, das scheint auch soweit funktioniert zu haben.
Das Problem ist nun allerdings die Anbindung des AP. Wenn ich im Unify Controller ein Drahtlosnetzwerk ohne VLAN konfiguriere und im Switch den Port auf VLAN1,10,20 untagged und PVID=VLAN1 setze, funktioniert es.
Konfiguriere ich hingegen im AP das Wifi LAN mit VLAN10 und im Swich den Port auf VLAN1,10,20 tagged (PVID=1) ist keine Verbindung mehr mit dem AP möglich.
Könnt ihr mir hier bei
Mein geplantes Netzwerk:
Konfiguration Switch A:
Konfiguration Switch B:
Vielen Dank
Sebastian
ich bin gerade dabei mein Netzwerk neu mittels VLAN aufzuteilen, stehe dabei allerdings vor Problemen, bei denen ich hoffe, dass ihr mir helfen könntet:
Vorhandene Hardware:
Router: FB 6490
Switch: 2x TL-SG108E
AP: Unifi AC-AP-Lite
Ich möchte mein Netzwerk in 3 VLANs aufteilen:
LAN - VLAN 10
Hier sind die Computer, NAS, Drucker
IoT - VLAN 20
Hausautomatisierung
Gast - VLAN 30
Gästenetzwerk mit ausschließlich Internetzugriff
VLAN 10 und 20 sind im selben Subnet (10.10.1.0), sollen sich aber gegenseitig nicht sehen.
VLAN 30 ist über den Gastzugang der FB getrennt.
Die Verkablung und Konfiguration habe ich nach folgender Anleitung durchgeführt, das scheint auch soweit funktioniert zu haben.
Das Problem ist nun allerdings die Anbindung des AP. Wenn ich im Unify Controller ein Drahtlosnetzwerk ohne VLAN konfiguriere und im Switch den Port auf VLAN1,10,20 untagged und PVID=VLAN1 setze, funktioniert es.
Konfiguriere ich hingegen im AP das Wifi LAN mit VLAN10 und im Swich den Port auf VLAN1,10,20 tagged (PVID=1) ist keine Verbindung mehr mit dem AP möglich.
Könnt ihr mir hier bei
Mein geplantes Netzwerk:
Konfiguration Switch A:
Konfiguration Switch B:
Vielen Dank
Sebastian
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 566645
Url: https://administrator.de/forum/vlan-mit-tp-sg108e-und-unifi-ac-ap-lite-566645.html
Ausgedruckt am: 24.04.2025 um 20:04 Uhr
7 Kommentare
Neuester Kommentar
Ganz wichtig vorab:
Zuerst schaltet man beim TP-Link global die proprietäre Port based VLAN Funktion ab !!
Das klingt verwirrend, ist aber normal, da die "richtige" Standard konforme VLAN Konfiguration in der Rubrik 802.1q VLAN gemacht wird die dem weltweiten .1q VLAN Standard entspricht.
Leider fehlt dieser Screenshot.
Das solltest du also vorab gemacht haben !!
Wenn du nun das Management in das VLAN 10 verlegst, die PVID am Switch aber nicht auf 10 änderst dann forwardet der Switch die Management weiterhin ins VLAN 1 und damit ins Nirwana.
Die PVID am Port gibt immer an in welches VLAN ungetaggte Pakete an diesem Port geforwardet werden.
Diese billigen VLAN Switches (wie auch der TP-Link) supporten oft kein Auto PVID deshalb muss man immer VLAN und PVID am Port setzen.
Wenn du das beachtest kommt das alles zum Fliegen.
Einen weiteren groben Kardinalsfehler hast du begangen indem du Ports gleich doppelt und dreifach untagged VLANs zugeordent hast. Das geht so nicht. Hier musst du immer zwingend das "Not Member" klicken, das gilt auch für das Default VLAN 1 !!
Sprich auf dem Switch Uplink Port 8 hat man tagged alles VLAN IDs drauf und als PVID 1. So ist sichergestellt das alle VLANs plus das Default VLAN 1 auf dem Switch Uplink übertragen werden.
Untagged kannst du bei Port basierten VLANs einzelnen Endgeräte Ports niemals mehrfach VLANs zu weisen. Das geht immer nur mit einem einzigen VLAN ! Dazu sind dann bei Switches die kein Auto PVID supporten immer 2 Schritte erforderlich:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und dort das Praxisbeispiel was du vermutlich mit einer MSSID Umgebung realisieren willst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Grundlagen zum TP-Link VLAN Setup findest du auch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
bzw. auch für dynamische VLANs mit einem AP:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Noch ein Tip:
Lege niemals eine WLAN MSSID in das Controller AP Management VLAN. Dort will man in der Regel aus guten und nachvollziehbaren Gründen niemals aktive WLAN User haben ! Das ist Management only !
Zuerst schaltet man beim TP-Link global die proprietäre Port based VLAN Funktion ab !!
Das klingt verwirrend, ist aber normal, da die "richtige" Standard konforme VLAN Konfiguration in der Rubrik 802.1q VLAN gemacht wird die dem weltweiten .1q VLAN Standard entspricht.
Leider fehlt dieser Screenshot.
ist keine Verbindung mehr mit dem AP möglich.
Das ist auch kein Wunder, denn der Controller bzw. sein Management sendet die Management Pakete immer Default untagged im VLAN 1 aus. Deshalb klappt es wenn AP und Management im VLAN 1 liegen was untagged (PVID) am Switch geforwardet wird.Wenn du nun das Management in das VLAN 10 verlegst, die PVID am Switch aber nicht auf 10 änderst dann forwardet der Switch die Management weiterhin ins VLAN 1 und damit ins Nirwana.
Die PVID am Port gibt immer an in welches VLAN ungetaggte Pakete an diesem Port geforwardet werden.
Diese billigen VLAN Switches (wie auch der TP-Link) supporten oft kein Auto PVID deshalb muss man immer VLAN und PVID am Port setzen.
Wenn du das beachtest kommt das alles zum Fliegen.
Einen weiteren groben Kardinalsfehler hast du begangen indem du Ports gleich doppelt und dreifach untagged VLANs zugeordent hast. Das geht so nicht. Hier musst du immer zwingend das "Not Member" klicken, das gilt auch für das Default VLAN 1 !!
Sprich auf dem Switch Uplink Port 8 hat man tagged alles VLAN IDs drauf und als PVID 1. So ist sichergestellt das alle VLANs plus das Default VLAN 1 auf dem Switch Uplink übertragen werden.
Untagged kannst du bei Port basierten VLANs einzelnen Endgeräte Ports niemals mehrfach VLANs zu weisen. Das geht immer nur mit einem einzigen VLAN ! Dazu sind dann bei Switches die kein Auto PVID supporten immer 2 Schritte erforderlich:
- Switchport untagged in das VLAN setzen
- Switchport PVID ebenfalls in das VLAN setzen
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und dort das Praxisbeispiel was du vermutlich mit einer MSSID Umgebung realisieren willst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Grundlagen zum TP-Link VLAN Setup findest du auch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
bzw. auch für dynamische VLANs mit einem AP:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Noch ein Tip:
Lege niemals eine WLAN MSSID in das Controller AP Management VLAN. Dort will man in der Regel aus guten und nachvollziehbaren Gründen niemals aktive WLAN User haben ! Das ist Management only !
Hallo Aqiu.
Die PVIDs vom Router (Switch A/P1), piHole(Switch A/P3), Verbindung der Switches (jeweils P8) und AP (Switch B/P4) sind doch auf 1 gesetzt?
Ich hatte auch versucht, wie im von dir verlinkten VLAN-Tutorial den AP-Port im VLAN1 auf untagged zu setzen, das half aber ebenfalls nicht.
Im TP-Link Tutorial wird allerdings die mehrfache Zuweisung eines Ports in mehrere VLANs und setzen auf "untagged" beschrieben.
Die PVIDs vom Router (Switch A/P1), piHole(Switch A/P3), Verbindung der Switches (jeweils P8) und AP (Switch B/P4) sind doch auf 1 gesetzt?
Ich hatte auch versucht, wie im von dir verlinkten VLAN-Tutorial den AP-Port im VLAN1 auf untagged zu setzen, das half aber ebenfalls nicht.
Im TP-Link Tutorial wird allerdings die mehrfache Zuweisung eines Ports in mehrere VLANs und setzen auf "untagged" beschrieben.
wird allerdings die mehrfache Zuweisung eines Ports in mehrere VLANs und setzen auf "untagged" beschrieben.
Das ist schlicht falsch. Wie sollte es denn deiner Meinung nach möglich sein einen untagged Port in 2 völlig getrennten Layer 2 Domains zu betrieben. Das würde ja alles genau konterkarieren was man mit Port based VLANs eben erreichen will.Aber egal...
d.h. die TP-Link Anleitung ist für Switches mit L3 Routing und ich benötige für meine Switches und Anforderung noch einen Router?
Hallo.
Korrekt. Denn das Layer 3 Gerät (egal ob Switch oder Router) muss ja festlegen, wer wohin darf. Aktuell fliegen da Netzwerkpakete mit den entsprechenden VLAN Tags herum, aber niemand weiß, wer wohin eigentlich Berechtigungen hat. Auch das Routing zwischen VLANs muss jemand übernehmen.
Die Fritzbox scheidet hier aus, da kein Layer 3 Gerät.
Gruß
Radiogugu
Zitat von @Sebas85:
d.h. die TP-Link Anleitung ist für Switches mit L3 Routing und ich benötige für meine Switches und Anforderung noch einen Router?
d.h. die TP-Link Anleitung ist für Switches mit L3 Routing und ich benötige für meine Switches und Anforderung noch einen Router?
Korrekt. Denn das Layer 3 Gerät (egal ob Switch oder Router) muss ja festlegen, wer wohin darf. Aktuell fliegen da Netzwerkpakete mit den entsprechenden VLAN Tags herum, aber niemand weiß, wer wohin eigentlich Berechtigungen hat. Auch das Routing zwischen VLANs muss jemand übernehmen.
Die Fritzbox scheidet hier aus, da kein Layer 3 Gerät.
Gruß
Radiogugu
Danke euch
Gerne.
Falls nix mehr ist
Wie kann ich einen Beitrag als gelöst markieren?
sonst bis später
Gruß
Radiogugu
Falls nix mehr ist
Wie kann ich einen Beitrag als gelöst markieren?
sonst bis später
Gruß
Radiogugu
