5
WLAN Gastnetz mit Netgear WAC720 - WC7520 und POE-Switch GS510 geht nicht
Ziel: WLAN Gastnetz separiert: - Netzwerk-Aufbau:
POE-Switch GS510 = Layer 2+/Layer3 light
Erster Test:
Alle sind in gleichen Netz (192.168.1.x) Alle im VLAN 1 - alles Ok,
Interne WLAN-Clients erhalten eine IP und auth. sich mit dem Radius Server
auch die WLAN-Gäste erhalten eine IP und auth. sich über den AP per WPA ...
Trennung Gast-Wlan:
am AP bekommt das Gast-WLAN die VLAN ID 2,
am Switch VLAN2 erstellt und Ports zugeordnet,
Die Wlan-Clients im Gastnetz bekommen so aber keine IP mehr, da ja die LAN-Verbindung zum DHCP/DNS Server untagged ist.
Das soll auch so bleiben, der Server soll serven und nicht routen.
Im AP-Controller: den DHCP-Server aktiviert.
Erster Fehler: "IP network ist used for management"
Ok - für VLAN 2 neuen DHCP-Bereich im Netz 192.168.2.0 erstellt.
(Default Gateway: 192.168.2.254 , DNS 8.8.8.8)
Im GS510 Switch: Routing VLAN aktiviert:
neues VLAN: ID 2
IP-Adress: 192.168.2.0/24
Nächster Fehler:
"Error: The specific Static Route can't be in the same subnet as the service/network port" ...
Den Switch von 192.168.1.17 in ein neues Netzwerk gelegt: 192.168.0.20/24.
Wiederholung Routing VLAN: ID 2 ...
IP-Adress: 192.168.2.0/24
Und eine DefaultRoute:
0.0.0.0 0.0.0.0 192.168.1.10 (Das Internet-Gateway)
Meldung: the route will not take effect until a routing interface belonging to the same subnet as the next hop is createt and activated.
Neues VLAN für Internet angelegt - Routing VLAN:
VLAN ID: 100
192.168.1.254/24
Port 7 ist der Uplink zum Gatway mit PVID 100.
Alle ports auf diesem Switch sind Member von VLAN 100
Auf dem Internet-Gateway 192.168.1.10:
Eine statische Route zum GS510 Switch angelegt:
192.168.2.0 zu 192.168.0.20
Erster Test mit einem WLAN Client:
Die internen User können sich anmelden haben internet ok.
WLAN Gäste:
Erhalten ip aus dem 192.168.2.x Netz vom AP-Controller DHCP-Server,
aber keine Verbindung ins Internet mgl. !!??
Vom Client aus kann ich sein Gateway: 192.168.2.254 anpingen,
nicht aber das externe Gateway 192.168.1.10, oder irgendwas anderes.
Wo ist der Fehler ich sehe ihn nicht?
Ich bitte Euch um Hilfe.
Erster Test:
Alle sind in gleichen Netz (192.168.1.x) Alle im VLAN 1 - alles Ok,
Interne WLAN-Clients erhalten eine IP und auth. sich mit dem Radius Server
auch die WLAN-Gäste erhalten eine IP und auth. sich über den AP per WPA ...
Trennung Gast-Wlan:
am AP bekommt das Gast-WLAN die VLAN ID 2,
am Switch VLAN2 erstellt und Ports zugeordnet,
Die Wlan-Clients im Gastnetz bekommen so aber keine IP mehr, da ja die LAN-Verbindung zum DHCP/DNS Server untagged ist.
Das soll auch so bleiben, der Server soll serven und nicht routen.
Im AP-Controller: den DHCP-Server aktiviert.
Erster Fehler: "IP network ist used for management"
Ok - für VLAN 2 neuen DHCP-Bereich im Netz 192.168.2.0 erstellt.
(Default Gateway: 192.168.2.254 , DNS 8.8.8.8)
Im GS510 Switch: Routing VLAN aktiviert:
neues VLAN: ID 2
IP-Adress: 192.168.2.0/24
Nächster Fehler:
"Error: The specific Static Route can't be in the same subnet as the service/network port" ...
Den Switch von 192.168.1.17 in ein neues Netzwerk gelegt: 192.168.0.20/24.
Wiederholung Routing VLAN: ID 2 ...
IP-Adress: 192.168.2.0/24
Und eine DefaultRoute:
0.0.0.0 0.0.0.0 192.168.1.10 (Das Internet-Gateway)
Meldung: the route will not take effect until a routing interface belonging to the same subnet as the next hop is createt and activated.
Neues VLAN für Internet angelegt - Routing VLAN:
VLAN ID: 100
192.168.1.254/24
Port 7 ist der Uplink zum Gatway mit PVID 100.
Alle ports auf diesem Switch sind Member von VLAN 100
Auf dem Internet-Gateway 192.168.1.10:
Eine statische Route zum GS510 Switch angelegt:
192.168.2.0 zu 192.168.0.20
Erster Test mit einem WLAN Client:
Die internen User können sich anmelden haben internet ok.
WLAN Gäste:
Erhalten ip aus dem 192.168.2.x Netz vom AP-Controller DHCP-Server,
aber keine Verbindung ins Internet mgl. !!??
Vom Client aus kann ich sein Gateway: 192.168.2.254 anpingen,
nicht aber das externe Gateway 192.168.1.10, oder irgendwas anderes.
Wo ist der Fehler ich sehe ihn nicht?
Ich bitte Euch um Hilfe.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 453686
Url: https://administrator.de/contentid/453686
Ausgedruckt am: 22.11.2024 um 22:11 Uhr
5 Kommentare
Neuester Kommentar
Default Gateway: 192.168.2.254 , DNS 8.8.8.8
Erster Fehler !Kein normaler Admin und intelleigenter Mensch nimmt heute mehr einen Google DNS Server als DNS. Mittlerwiese weiss ja jeder Dummi das Google davon Surfprofile und Verhaltensprofile erstellt und die mit 3ten vermarktet.
Hier muss als DNS logischerwesie entweder dein lokale DNS 192.168.1.20 rein (der hat ja dann eine Weiterleitung auf den Proxy DNS des Draytek !!)
Oder es kommt direkt der Draytek 192.168.1.10 rein aber logischerweise niemals ein Schnüffel DNS von Google !
Restliche Fehler:
Routing falsch.
Generell solltest du immer ein Transfer VLAN einrichten für die Verbindung zum Internet Router (Draytek)
Du brauchst also 3 VLANs, VLAN 1 das Default VLAN ist ja immer vorhanden und dadrin sind derzeit alle deine Komponenten. VLAN 10 das Gast VLAN und VLAN 99 z.B. das Internet Transfer VLAN.
Das sähe dann so aus:
192.168.1.254 /24 = VLAN 1
192.168.10.254 /24 = VLAN 10
192.168.99.254 /24 = VLAN 99
Draytek (äquivalent z. Cisco im Bild) musst du umkonfigurieren auf die 192.168.99.1
Statische Routen:
Switch = 0.0.0.0 /0 Gateway: 192.168.99.1
Draytek = 192.168.0.0 /17 (255.255.128.0) Gateway: 192.168.99.254
Das wäre jetzt erstmal die allgemein Grundkonfig.
Bevor du weitermachst solltest du diese wasserdicht testen !
- Einen Testport im Switch das VLAN 10 zuweisen (untagged, PVID = 10)
- Endgerät in VLAN 1 und VLAN 10 stecken mit entsprechender IP Adressierung
- Ping vom VLAN 1 PC auf Switch IP 192.168.1.254 = OK
- Ping vom VLAN 10 PC auf Switch IP 192.168.10.254 = OK
- Ping von beiden VLAN PCs auf Switch IP 192.168.99.254 und Router IP 192.168.99.1 = OK
Damit du nicht weiter mit statischen IPs arbeiten und testen musst trägst du nun auf deinem DHCP Server ein zweites Scope für das VLAN 10 ein. Pool z.B. von .10.100 bis -10.200, Gateway: 192.168.10.254, DNS: 192.168.1.20 zweiter DNS: 192.168.99.1.
Dann konfigurierst du am VLAN 10 IP Interface des Switches einen DHCP Forwarder (IP Helper Adresse) auf deinen DHCP Server ip-helper address 192.168.1.20.
Jetzt forwardet der Switch alle DHCP Requests aus dem VLAN 10 (Gast) auf deinen zentralen DHCP Server und der verteilt dann die IPs. So kannst du die DHCP Verwaltung zentral an einem DHCP Server machen !
Das testest du dann wiederum auch mit den Endgeräten am Switch in VLAN 1 und VLAN 10.
Jetzt solltest du in beiden VLANs auch die korrekten IP Adressen bekommen !
Nur wenn die NetGear Gurke kein DHCP Forwarding (Helper) kann musst du im VLAN 10 die IP Adressen mit einem anderen Geräte verteilen !
Klappt das auch alles dann machst du dich an die Konfig der MSSID APs.
WLAN SSID Privat mappst du auf das VLAN 1
WLAN SSID Gast mappst du auf das VLAN 10
Alle Switch Ports an denen diese APs hängen müssen tagged für das VLAN 10 eingestellt sein und untagged für das VLAN 1 (PVID = 1)
Dann kannst du die APs anschliessen und solltest dann auch entsprechende IPs in diesen VLANs bzw. WLANs bekommen.
Fertisch !
Die gesamte Doku zu deinem banalen und einfachen design findest du in diesen Threads und Tutorials:
Verständnissproblem Routing mit SG300-28
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. en Detail hier da das genu deinem Netz entspricht (ausgenommen dein L3 Switch)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mit den Infos solltest du das nun in 15 Minuten zum Fliegen bekommen !
Hallo aqui,
vielen Dank für Deine ausführliche Analyse!
Google DNS: Du hast vollkommen recht, das war noch gestern im Testaufbau so.
Routing:
Der Netgear-Support teilte mir heute morgen mit das der Switch kein Inter-VLAN-Routing kann.
(Obwohl es ein Menü dafür gibt und auch ein IP-Netz angelegt wird?!).
Das Teil hat einen DHCP L2 Relay, d.h. man kann keine IP-Adresse mitgeben, Keine IP Helper Adresse ...
(Hab mir die Geräte nicht ausgesucht ...) Der Switch ist ein Layer 2+/Layer 3 Light Gerät.
Ich jetzt heute morgen mit Hilfe des Draytek so gelöst:
Im Draytek ein Gast-VLAN angelegt mit einem DHCP-Server für das Gast-VLAN.
Auf dem Switch ein Gast-VLAN angelegt, getagged auf die AP's, den AP-Controller und auf den Gateway-Port zum Draytek.
Alles andere verbleibt im VLAN1.
Somit erhalten die internen hosts die IP vom Windows-Server, die intenrnen Wireless Clients kommen zum Radius-Server, etc ...
Die WLAN-Gäste kommen getagged bis zum Draytek, erhalten von dort ihr eigenes IP-Netz.
(Optional könnte man auch im AP-Controler einen DHCP-Server einrichten statt im Draytek).
Müsste man bei Deinem Beispiel oben, nicht auch noch ACL konfigurieren,
damit kein Routung zwischen internem VLAN und Gäste-VLAN stattfindet?
Der Knackpunk ist sicherlich dass ich kein Transfer-VLAN angelegt habe,
der Router in ein anderes Netz muss und das DHCP Problem.
Dem obigen Beispiel folgend muss dann im DHCP Server für das interne Netz
das Gateway - anlog wie bei Gäste-Netz - auf 192.168.1.254 vorgegeben werden?
vielen Dank für Deine ausführliche Analyse!
Google DNS: Du hast vollkommen recht, das war noch gestern im Testaufbau so.
Routing:
Der Netgear-Support teilte mir heute morgen mit das der Switch kein Inter-VLAN-Routing kann.
(Obwohl es ein Menü dafür gibt und auch ein IP-Netz angelegt wird?!).
Das Teil hat einen DHCP L2 Relay, d.h. man kann keine IP-Adresse mitgeben, Keine IP Helper Adresse ...
(Hab mir die Geräte nicht ausgesucht ...) Der Switch ist ein Layer 2+/Layer 3 Light Gerät.
Ich jetzt heute morgen mit Hilfe des Draytek so gelöst:
Im Draytek ein Gast-VLAN angelegt mit einem DHCP-Server für das Gast-VLAN.
Auf dem Switch ein Gast-VLAN angelegt, getagged auf die AP's, den AP-Controller und auf den Gateway-Port zum Draytek.
Alles andere verbleibt im VLAN1.
Somit erhalten die internen hosts die IP vom Windows-Server, die intenrnen Wireless Clients kommen zum Radius-Server, etc ...
Die WLAN-Gäste kommen getagged bis zum Draytek, erhalten von dort ihr eigenes IP-Netz.
(Optional könnte man auch im AP-Controler einen DHCP-Server einrichten statt im Draytek).
Müsste man bei Deinem Beispiel oben, nicht auch noch ACL konfigurieren,
damit kein Routung zwischen internem VLAN und Gäste-VLAN stattfindet?
Der Knackpunk ist sicherlich dass ich kein Transfer-VLAN angelegt habe,
der Router in ein anderes Netz muss und das DHCP Problem.
Dem obigen Beispiel folgend muss dann im DHCP Server für das interne Netz
das Gateway - anlog wie bei Gäste-Netz - auf 192.168.1.254 vorgegeben werden?
Der Netgear-Support teilte mir heute morgen mit das der Switch kein Inter-VLAN-Routing kann.
Oha...böses Faul !! Aber war schon verdächtig wenn man das Handbuch liest findet mein auch keinerlei Hinweis zu L3 Switching. Was das unsinnige L2+ dann bedeuten soll weiss wohl nur NetGear.Und richtig DHCP Helper kann er auch nicht.
Fehlkauf ! Andere können das besser wie z.B. Cisco SG-250.
Dann hast du natürlich Pech und benötigst noch einen Router oder du erledigst das mit deinem Draytek, denn der kann ja bekannt VLAN
Hab mir die Geräte nicht ausgesucht ...
Dann gib dem der das verbrochen hat mal ein böses Feedback. Das Teil ist totaler Murks und die völlig falsche Hardware ! Hat vermutlich ein technisch völlig Unkundiger verbrochen ! Wer billig kauft kauft 2mal...aber egal.Ich jetzt heute morgen mit Hilfe des Draytek so gelöst:
Das wäre jetzt auch der richtige Weg.Müsste man bei Deinem Beispiel oben, nicht auch noch ACL konfigurieren,
Ja, wenn es ein richtiger L3 Switch wäre. Alle L3 Switches supporten aber auch IP Access Listen so das das kein Thema ist.Mit dem Draytek musst du das da machen bzw. die Gast VLAN Konfig erledigt das dann.
Der Knackpunk ist sicherlich dass ich kein Transfer-VLAN angelegt habe,
Kannst du mit der falschen Switch Hardware ja auch nicht. Das kann der Switch ja nicht.der Router in ein anderes Netz muss und das DHCP Problem.
Er muss es nicht aber so macht man es sicherer und entkoppelt die Produktivnetze vom Internet Zugang.Sinnvollerweise sollte man auch das WLAN L3 seitig abtrennen, denn WLAN und LAN in einem L2 Netz zu haben ist in einem Firmennetz ein NoGo. Privat ist das aber tolerabel wenn man mit der Security leben kann.
für das interne Netz das Gateway - anlog wie bei Gäste-Netz - auf 192.168.1.254 vorgegeben werden?
Ja, wenn das die IP Adresse des Draytek ist !Hättest du einen richtigen L3 Switch ist die Gateway Adresse natürlich logischerweise immer die VLAN Layer 3 IP Adresse im Switch ! Der Switch ist ja der Router zw. den VLANs.
Fällt mit der falsch eingekauften NetGear Gruselhardware ja nun flach bei dir, leider !
Dann ist das Thema hier erstmal durch,
ich danke Die für Deine Hinweise.
Viele Grüße.
ich danke Die für Deine Hinweise.
Viele Grüße.
Dann ist das Thema hier erstmal durch,
Dann ist es auch an DIR selber den Thread hier zu schliessen !!Wie kann ich einen Beitrag als gelöst markieren?
