Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN an Ubiquiti APC Pro mit zusätzlichem VPN-Tunnel via Sophos RED10 als 2. SSID

Mitglied: tauchfuchs

tauchfuchs (Level 1) - Jetzt verbinden

29.11.2018 um 08:33 Uhr, 446 Aufrufe, 4 Kommentare

Guten Morgen,

leider bin ich im Thema VLAN vollkommen neu und versuche bei mir im heimischen Netzwerk ein VLAN einzurichten, dass aber scheinbar nicht so will, wie ich.

Ausgangssituation:

Fritzbox 4790 als Internetrouter ( DHCP-Server)
Zyxel SG1900-24E Switch
Sophos RED10 als VPN-Tunnel zur Firma (sekundär als DHCP-Server mit eigenem DHCP-Bereich)
2x Ubiquiti APC Pro

Die RED baut, unabhängig vom restlichen Netzwerk über die Fritzbox einen VPN-Tunnel in die Firma auf. Die restlichen Geräte im LAN und WLAN nutzen mein privates Netzwerk unabhängig von der RED.

Die RED nutze ich, um per Heimarbeitsplatz über eine gesicherte Verbindung in die Firma zu kommen. Derzeit gehe ich mit meinem dienstlichen Laptop per Kabel an die RED und kann problemlos arbeiten.

Jetzt würde ich gerne die RED über ein VLAN zusätzlich zu meinem privaten WLAN mit einer eigenen SSID auf die Ubiquitis bringen, um mit dem dienstlichen Laptop per WLAN, unabhängig von der kabelgebundenen Lösung, im Haus arbeiten zu können. Allerdings soll natürlich weiterhin der private Betrieb des WLANs nicht eingeschränkt sein.

Ein AP geht direkt auf den Switch, der andere AP ist über einen einfachen Desktopswitch, an dem weitere "private" Geräte hängen, an den Zyxel angebunden, da in dem Raum leider nicht genügend Netzwerkdosen vorhanden sind, um alles sauber zu trennen.
Wenn dieser AP nicht mit angebunden werden kann, ist es kein Weltuntergang da das Signal des direktangebundenen AP i.d.R. stark genug zum Arbeiten ist. Es wäre aber schön, wenn ich ihn doch mit einbinden könnte, ohne an der Verkabelung etwas zu ändern.
Derzeit ist die SSID über das VLAN nur auf dem direkt angebundenen AP aktiviert, um bei Fehlern nicht das ganze WLAN-Netz lahm zu legen.

Die Ubiquitis sind VLAN fähig und es ist auf den Geräten bereits eine zweite SSID mit dem entsprechenden VLAN (bei mir die 20) eingestellt.
Leider ist es mir nicht gelungen, trotz recht intensiver Recherche im Netz und einiger Videos auf Youtube den Switch so einzurichten, dass mein Vorhaben funktioniert.

Vorgehen war folgendes (soweit ich es aus den Anleitungen filtern konnte):


VLAN1:
- Alle Ports bleiben auf "UNTAGGED".
- Der Port 24, an dem die RED angeschlossen ist, wird auf "EXCLUDED" umgestellt.

VLAN20:
- Alle Ports stehen auf "EXCLUDED".
- Der Port 24 der RED wird auf "UNTAGGED" (TAGGED?) gestellt. Zusätzlich die PVID des Ports auf 20 geändert.
- Der Port 4 zu dem AP steht auf "TAGGED".

Trotzdem bekomme ich keine Verbindung via WLAN. Über Kabel läuft die Verbindung über die RED einwandfrei.

Was mache ich da falsch? Ist da irgendwo noch ein Gedankenfehler?
Ich hoffe, ihr könnt mir helfen.
Mitglied: chrisiweber
29.11.2018 um 09:26 Uhr
Hallo,

hast du auch im Unifi-Controller dem 2ten WLAN (SSID) das VLAN20 zugeordnet?

LG
Bitte warten ..
Mitglied: aqui
29.11.2018 um 09:40 Uhr
leider bin ich im Thema VLAN vollkommen neu
Dann ist für dich vorab die hiesige VLAN Lektüre Pflicht
https://www.administrator.de/frage/heimnetzwerk-aufbauen-longshine-lcs-g ...
und die etwas ausführlichere Version:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Ausgangssituation:
Frage hierzu: Arbeiten FB und Sophos als klassische Router Kaskade mit doppeltem NAT wie hier beschrieben ?:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
oder ist die Sophos "one armed" angeschlossen im lokalen LAN ?
Derzeit gehe ich mit meinem dienstlichen Laptop per Kabel an die RED
An einen speziellen Port ?? Sprich also das Firmen VPN ist NICHT so eingerichtet das du aus deinem lokalen LAN Zugriff auf das Firmennetz hast ??
Wenn dieser AP nicht mit angebunden werden kann,
Ja, den kann man logischerweise NICHT mit anbinden denn um 2 VLANs mit 2 SSIDs auszustrahlen über die Ubiquities brauchst du zwingend einen VLAN fähigen Switch, da du diese VLANs tagged an den AP bringen musst. Siehe Erklärung Tutorial oben (Praxisbeispiel !)
Sinnvoll ist es hier immer 20 Euro zu investieren und deinen derzeitigen dummen Desktop Switch mit einem kleinen, preiswerten VLAN Switch zu ersetzen:
https://www.amazon.de/TP-Link-TL-SG105E-Unmanaged-Metallgehäuse-Lif ...
Das sind gut angelegte 20 Euro, denn so kannst du beide APs identisch mit beiden SSIDs konfigurieren.
Der Rest ist dann ein Kinderspiel:
  • VLANs auf beiden Switches einrichten und Tagged auf den Uplink Port legen
  • Beide VLAN Switches mit einem Tagged Uplink koppeln so das beide VLANs erreichbar sind.
  • Untagged Ports in das "Firmen" VLAN legen und dort den RED Port anschliessen. Damit hast du in diesem VLAN quasi die Firmen VPN Verbindung.
  • MSSIDs auf den APs einrichten und im Setup mit den VLAN IDs verknüpfen (Siehe Tutorial)
  • Anschlussports der APs entsprechend der VLAN ID zu SSID Zuordnung tagged konfigurieren
  • Fertsch !
Etwas musst du noch beachten....
Sofern du eine SSID im Default VLAN des Ubuquity laufen hast arbeitet die im Default VLAN 1. In diesem VLAN ist auch die Management IP der APs.
Das ist die VLAN ID die immer untagged anliegt an einem Tagged Uplink ! Sprich alle ungetaggten Pakete die vom AP kommen gehen in das VLAN 1 (PVID auf 1 am Port).
Das VLAN 1 wird also nicht getagged. Meist ist das auch gar nicht möglich.
Wenn du das beachtest hast du das in 10 Minuten zum Fliegen !
Bitte warten ..
Mitglied: tauchfuchs
29.11.2018 um 13:28 Uhr
Danke für die schnelle Antwort.

Die Sophos RED ist ein Hardware-VPN-Client der hinter meiner FB angeschlossen ist. Er nutzt keinen speziellen Port an der FB. Die Büchse baut einen dauerhaften VPN-Tunnel zu unserer Firmen-UTM auf. So ist ein angeschlossenes Gerät auf meiner Seite der RED automatisch im Firmennetz.

Im Schema unten kann man den Aufbau sehen. Die RED dient als eigenständiges Gerät für den VPN-Tunnel. Die gestrichelten roten Linien sind der gewünschte Weg.

Ob ich den zweiten AP mit einbinde weiß ich noch nicht. Ich denke, ich könnte vermutlich ein wenig umpatchen, um dem AP einen eigenen Port zum Switch frei zu machen.

Ich werde heute Abend noch ein bisschen probieren.
schema - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
29.11.2018 um 16:31 Uhr
Die Sophos RED ist ein Hardware-VPN-Client der hinter meiner FB angeschlossen ist.
Sowas gibt es gar nicht und ist (vermutlich) technischer Unsinn was aber deinen Netzwerk Kenntnissen geschuldet sein mag !
Ein Client ist das nicht sondern nix anderes als eine simple kleine Firewall. Ein Blick ins Datenblatt bestätigt das auch:
https://www.sophos.com/de-de/medialibrary/PDFs/factsheets/sophosreddsna. ...
Damit ist auch klar, das die in einer Kaskaden Konfig mit doppeltem NAT läuft mit deinem bestehenden Netzwerk. Also ganz genau DAS-hier.
Somit ist dann wenigstens das technische Design geklärt !

Deine ToDos verändern sich dabei aber nicht. Du gehst genau so wie oben beschrieben !
Die gestrichelte leitung ist dann nix anderes als ein Patchkabel was von der Sophos Gurke in deinen VLAN Switch geht an einen Swicthport der untagged im "Firma VLAN" hängt.
Dieses VLAN bringst du dann mit MSSID via APs in die Luft zu deinen eigenen privaten WLAN.
Genau so wie die Schritte oben es erklären.
Ist simpel und sollte in 10 Minuten erledigt sein.
Bitte warten ..
Ähnliche Inhalte
Router & Routing

PfSense, Netgear, Ubiquiti, VLAN nicht möglich?

gelöst Frage von mrsunfireRouter & Routing9 Kommentare

Hallo! Ich setze als Router und Firewall auf pfSense, dahinter hängt an einem Port ein Netgear GS116Ev2 managed Switch. ...

Firewall

Sophos UTM DMZ und VLAN

gelöst Frage von DaPeddaFirewall2 Kommentare

Servus, ich habe eine Verständnisfrage: eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins ...

Router & Routing

IPSEC Site2Site VPN zwischen 2 Sophos UTMs

gelöst Frage von Leo-leRouter & Routing11 Kommentare

Hallo zusammen, Testweise habe ich mich daran versucht, 2 Sophos UTMs per IPsec miteinander zu verbinden. Die Hürde dabei ...

Netzwerkgrundlagen

Ubiquiti - Unifi Edge Switch - VLan Problem

Frage von letstryandfindoutNetzwerkgrundlagen4 Kommentare

Hallo liebe Community, ich bin etwas am verzweifeln. Ich habe folgendes Problem. Bei einem Projekt von mir habe ich ...

Neue Wissensbeiträge
Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 2 TagenVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Apple

Apple Special Event vom 10.09.2019: Arcade, TV+, iPad und iPadOS, Watch und iPhone 11

Information von Trontur vor 4 TagenApple2 Kommentare

Hier könnt ihr euch die Keynote von Tim Cook auf dem Apple Special Event vom 10.09.2019 anschauen: September Event ...

LAN, WAN, Wireless

Das RIPE ist quasi endgültig leer was IPv4 angeht

Information von LordGurke vor 11 TagenLAN, WAN, Wireless8 Kommentare

Das RIPE teilt mit, dass sie erwarten, Ende des Jahres keine /22-IPv4-Allocations (1.024 Adressen) mehr vergeben zu können. Dann ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWusste vor 11 TagenVerschlüsselung & Zertifikate

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Heiß diskutierte Inhalte
Hyper-V
Umzug Hyper-V mit VM in anderen Netzwerkabschnitt
gelöst Frage von keine-ahnungHyper-V9 Kommentare

Moin at all, ich habe leider den Freitag verpennt - daher meine obligate Freitagsfrage erst jetzt Ich habe einen ...

Windows 10
Windows 10 ( upgrade per media creator von win7 ) hat keine Systemwiederherstellung
gelöst Frage von knirschkeWindows 108 Kommentare

Hallo ! Habe letztlich mein Win7 auf Win10 aufgepeppt per Media Creator. Ging - obzwar recht spät - ganz ...

Windows Server
Drucker auf dem Terminalserver 2016 via Printserver wird nicht angezeigt
Frage von EchterHansenWindows Server7 Kommentare

Moin Moin, ich habe hier zwei 2016er Terminalserver und einen 2016er Printserver, auf dem ca. 10 RICOH-Drucker Typ 4. ...

Netzwerkgrundlagen
PFSense OPENVPN, kein Zugriff auf WAN
Frage von AK-47.2Netzwerkgrundlagen6 Kommentare

Liebes Forum, ich habe leider weder in diesem Forum noch im Internet eine Lösung zu MEINEM Problem gefunden, oftmals ...