Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst WLAN Gastnetz mit Netgear WAC720 - WC7520 und POE-Switch GS510 geht nicht

Mitglied: volker01

volker01 (Level 1) - Jetzt verbinden

19.05.2019 um 17:38 Uhr, 300 Aufrufe, 5 Kommentare

Ziel: WLAN Gastnetz separiert: - Netzwerk-Aufbau:
bild 1849 - Klicke auf das Bild, um es zu vergrößern
POE-Switch GS510 = Layer 2+/Layer3 light

Erster Test:
Alle sind in gleichen Netz (192.168.1.x) Alle im VLAN 1 - alles Ok,
Interne WLAN-Clients erhalten eine IP und auth. sich mit dem Radius Server
auch die WLAN-Gäste erhalten eine IP und auth. sich über den AP per WPA ...

Trennung Gast-Wlan:
am AP bekommt das Gast-WLAN die VLAN ID 2,
am Switch VLAN2 erstellt und Ports zugeordnet,
Die Wlan-Clients im Gastnetz bekommen so aber keine IP mehr, da ja die LAN-Verbindung zum DHCP/DNS Server untagged ist.
Das soll auch so bleiben, der Server soll serven und nicht routen.

Im AP-Controller: den DHCP-Server aktiviert.
Erster Fehler: "IP network ist used for management"
Ok - für VLAN 2 neuen DHCP-Bereich im Netz 192.168.2.0 erstellt.
(Default Gateway: 192.168.2.254 , DNS 8.8.8.8)

Im GS510 Switch: Routing VLAN aktiviert:
neues VLAN: ID 2
IP-Adress: 192.168.2.0/24
Nächster Fehler:
"Error: The specific Static Route can't be in the same subnet as the service/network port" ...

Den Switch von 192.168.1.17 in ein neues Netzwerk gelegt: 192.168.0.20/24.
Wiederholung Routing VLAN: ID 2 ...
IP-Adress: 192.168.2.0/24

Und eine DefaultRoute:
0.0.0.0 0.0.0.0 192.168.1.10 (Das Internet-Gateway)
Meldung: the route will not take effect until a routing interface belonging to the same subnet as the next hop is createt and activated.

Neues VLAN für Internet angelegt - Routing VLAN:
VLAN ID: 100
192.168.1.254/24
Port 7 ist der Uplink zum Gatway mit PVID 100.
Alle ports auf diesem Switch sind Member von VLAN 100

Auf dem Internet-Gateway 192.168.1.10:
Eine statische Route zum GS510 Switch angelegt:
192.168.2.0 zu 192.168.0.20

Erster Test mit einem WLAN Client:
Die internen User können sich anmelden haben internet ok.

WLAN Gäste:
Erhalten ip aus dem 192.168.2.x Netz vom AP-Controller DHCP-Server,
aber keine Verbindung ins Internet mgl. !!??
Vom Client aus kann ich sein Gateway: 192.168.2.254 anpingen,
nicht aber das externe Gateway 192.168.1.10, oder irgendwas anderes.

Wo ist der Fehler ich sehe ihn nicht?
bild 1859 - Klicke auf das Bild, um es zu vergrößern

Ich bitte Euch um Hilfe.
Mitglied: aqui
LÖSUNG 20.05.2019 um 16:29 Uhr
Default Gateway: 192.168.2.254 , DNS 8.8.8.8
Erster Fehler !
Kein normaler Admin und intelleigenter Mensch nimmt heute mehr einen Google DNS Server als DNS. Mittlerwiese weiss ja jeder Dummi das Google davon Surfprofile und Verhaltensprofile erstellt und die mit 3ten vermarktet.
Hier muss als DNS logischerwesie entweder dein lokale DNS 192.168.1.20 rein (der hat ja dann eine Weiterleitung auf den Proxy DNS des Draytek !!)
Oder es kommt direkt der Draytek 192.168.1.10 rein aber logischerweise niemals ein Schnüffel DNS von Google !
Restliche Fehler:
Routing falsch.
Generell solltest du immer ein Transfer VLAN einrichten für die Verbindung zum Internet Router (Draytek)
Du brauchst also 3 VLANs, VLAN 1 das Default VLAN ist ja immer vorhanden und dadrin sind derzeit alle deine Komponenten. VLAN 10 das Gast VLAN und VLAN 99 z.B. das Internet Transfer VLAN.
Das sähe dann so aus:
l3vlan - Klicke auf das Bild, um es zu vergrößern
Wichtig ist das der L3 Switch in allen VLANs eine IP Adresse hat.
192.168.1.254 /24 = VLAN 1
192.168.10.254 /24 = VLAN 10
192.168.99.254 /24 = VLAN 99
Draytek (äquivalent z. Cisco im Bild) musst du umkonfigurieren auf die 192.168.99.1
Statische Routen:
Switch = 0.0.0.0 /0 Gateway: 192.168.99.1
Draytek = 192.168.0.0 /17 (255.255.128.0) Gateway: 192.168.99.254
Das wäre jetzt erstmal die allgemein Grundkonfig.
Bevor du weitermachst solltest du diese wasserdicht testen !
  • Einen Testport im Switch das VLAN 10 zuweisen (untagged, PVID = 10)
  • Endgerät in VLAN 1 und VLAN 10 stecken mit entsprechender IP Adressierung
  • Ping vom VLAN 1 PC auf Switch IP 192.168.1.254 = OK
  • Ping vom VLAN 10 PC auf Switch IP 192.168.10.254 = OK
  • Ping von beiden VLAN PCs auf Switch IP 192.168.99.254 und Router IP 192.168.99.1 = OK
Grundkonfig OK

Damit du nicht weiter mit statischen IPs arbeiten und testen musst trägst du nun auf deinem DHCP Server ein zweites Scope für das VLAN 10 ein. Pool z.B. von .10.100 bis -10.200, Gateway: 192.168.10.254, DNS: 192.168.1.20 zweiter DNS: 192.168.99.1.
Dann konfigurierst du am VLAN 10 IP Interface des Switches einen DHCP Forwarder (IP Helper Adresse) auf deinen DHCP Server ip-helper address 192.168.1.20.
Jetzt forwardet der Switch alle DHCP Requests aus dem VLAN 10 (Gast) auf deinen zentralen DHCP Server und der verteilt dann die IPs. So kannst du die DHCP Verwaltung zentral an einem DHCP Server machen !
Das testest du dann wiederum auch mit den Endgeräten am Switch in VLAN 1 und VLAN 10.
Jetzt solltest du in beiden VLANs auch die korrekten IP Adressen bekommen !
Nur wenn die NetGear Gurke kein DHCP Forwarding (Helper) kann musst du im VLAN 10 die IP Adressen mit einem anderen Geräte verteilen !

Klappt das auch alles dann machst du dich an die Konfig der MSSID APs.
WLAN SSID Privat mappst du auf das VLAN 1
WLAN SSID Gast mappst du auf das VLAN 10
Alle Switch Ports an denen diese APs hängen müssen tagged für das VLAN 10 eingestellt sein und untagged für das VLAN 1 (PVID = 1)
Dann kannst du die APs anschliessen und solltest dann auch entsprechende IPs in diesen VLANs bzw. WLANs bekommen.
Fertisch !

Die gesamte Doku zu deinem banalen und einfachen design findest du in diesen Threads und Tutorials:
https://administrator.de/forum/verständnissproblem-routing-sg300-28 ...
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Bzw. en Detail hier da das genu deinem Netz entspricht (ausgenommen dein L3 Switch)
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Mit den Infos solltest du das nun in 15 Minuten zum Fliegen bekommen !
Bitte warten ..
Mitglied: volker01
20.05.2019 um 17:46 Uhr
Hallo aqui,
vielen Dank für Deine ausführliche Analyse!

Google DNS: Du hast vollkommen recht, das war noch gestern im Testaufbau so.

Routing:
Der Netgear-Support teilte mir heute morgen mit das der Switch kein Inter-VLAN-Routing kann.
(Obwohl es ein Menü dafür gibt und auch ein IP-Netz angelegt wird?!).
Das Teil hat einen DHCP L2 Relay, d.h. man kann keine IP-Adresse mitgeben, Keine IP Helper Adresse ...
(Hab mir die Geräte nicht ausgesucht ...) Der Switch ist ein Layer 2+/Layer 3 Light Gerät.

Ich jetzt heute morgen mit Hilfe des Draytek so gelöst:
Im Draytek ein Gast-VLAN angelegt mit einem DHCP-Server für das Gast-VLAN.
Auf dem Switch ein Gast-VLAN angelegt, getagged auf die AP's, den AP-Controller und auf den Gateway-Port zum Draytek.
Alles andere verbleibt im VLAN1.
Somit erhalten die internen hosts die IP vom Windows-Server, die intenrnen Wireless Clients kommen zum Radius-Server, etc ...
Die WLAN-Gäste kommen getagged bis zum Draytek, erhalten von dort ihr eigenes IP-Netz.
(Optional könnte man auch im AP-Controler einen DHCP-Server einrichten statt im Draytek).

Müsste man bei Deinem Beispiel oben, nicht auch noch ACL konfigurieren,
damit kein Routung zwischen internem VLAN und Gäste-VLAN stattfindet?

Der Knackpunk ist sicherlich dass ich kein Transfer-VLAN angelegt habe,
der Router in ein anderes Netz muss und das DHCP Problem.

Dem obigen Beispiel folgend muss dann im DHCP Server für das interne Netz
das Gateway - anlog wie bei Gäste-Netz - auf 192.168.1.254 vorgegeben werden?
Bitte warten ..
Mitglied: aqui
20.05.2019, aktualisiert 21.05.2019
Der Netgear-Support teilte mir heute morgen mit das der Switch kein Inter-VLAN-Routing kann.
Oha...böses Faul !! Aber war schon verdächtig wenn man das Handbuch liest findet mein auch keinerlei Hinweis zu L3 Switching. Was das unsinnige L2+ dann bedeuten soll weiss wohl nur NetGear.
Und richtig DHCP Helper kann er auch nicht.
Fehlkauf ! Andere können das besser wie z.B. Cisco SG-250.
Dann hast du natürlich Pech und benötigst noch einen Router oder du erledigst das mit deinem Draytek, denn der kann ja bekannt VLAN
Hab mir die Geräte nicht ausgesucht ...
Dann gib dem der das verbrochen hat mal ein böses Feedback. Das Teil ist totaler Murks und die völlig falsche Hardware ! Hat vermutlich ein technisch völlig Unkundiger verbrochen ! Wer billig kauft kauft 2mal...aber egal.
Ich jetzt heute morgen mit Hilfe des Draytek so gelöst:
Das wäre jetzt auch der richtige Weg.
Müsste man bei Deinem Beispiel oben, nicht auch noch ACL konfigurieren,
Ja, wenn es ein richtiger L3 Switch wäre. Alle L3 Switches supporten aber auch IP Access Listen so das das kein Thema ist.
Mit dem Draytek musst du das da machen bzw. die Gast VLAN Konfig erledigt das dann.
Der Knackpunk ist sicherlich dass ich kein Transfer-VLAN angelegt habe,
Kannst du mit der falschen Switch Hardware ja auch nicht. Das kann der Switch ja nicht.
der Router in ein anderes Netz muss und das DHCP Problem.
Er muss es nicht aber so macht man es sicherer und entkoppelt die Produktivnetze vom Internet Zugang.
Sinnvollerweise sollte man auch das WLAN L3 seitig abtrennen, denn WLAN und LAN in einem L2 Netz zu haben ist in einem Firmennetz ein NoGo. Privat ist das aber tolerabel wenn man mit der Security leben kann.
für das interne Netz das Gateway - anlog wie bei Gäste-Netz - auf 192.168.1.254 vorgegeben werden?
Ja, wenn das die IP Adresse des Draytek ist !
Hättest du einen richtigen L3 Switch ist die Gateway Adresse natürlich logischerweise immer die VLAN Layer 3 IP Adresse im Switch ! Der Switch ist ja der Router zw. den VLANs.
Fällt mit der falsch eingekauften NetGear Gruselhardware ja nun flach bei dir, leider !
Bitte warten ..
Mitglied: volker01
20.05.2019 um 21:30 Uhr
Dann ist das Thema hier erstmal durch,
ich danke Die für Deine Hinweise.
Viele Grüße.
Bitte warten ..
Mitglied: aqui
21.05.2019 um 09:45 Uhr
Dann ist das Thema hier erstmal durch,
Dann ist es auch an DIR selber den Thread hier zu schliessen !!
https://administrator.de/faq/32
Bitte warten ..
Ähnliche Inhalte
Switche und Hubs
Wlan Switch
Frage von MarcysSwitche und Hubs7 Kommentare

Hallo, ich bin auf der Suche nach einem WLAN Switch mit min. 4 LAN Ports. Hintergrund ist der, dass ...

Switche und Hubs
Netgear Switch JGS524E reset
gelöst Frage von ruseiSwitche und Hubs7 Kommentare

Hallo Profis, habe das passwort für meinen JGS524E vergessen und muss die config ändern. Beim Drücken auf den reset ...

LAN, WAN, Wireless

Netgear WNCE2001 WifiBridge an Netgear 5Port Gigabit Switch

gelöst Frage von torvo81LAN, WAN, Wireless4 Kommentare

Moin moin. Ich habe folgende Problematik bei der Nutzung der o.g. Geräte festgestellt: Ich nutze im Wohnzimmer mehrere netzwerkfähige ...

Netzwerkmanagement

Fritzbox 7490+Netgear Switch GS108Ev3+Fritz WLAN Repeater 300E Bandbreite limitieren

gelöst Frage von subsiroNetzwerkmanagement5 Kommentare

Hallo zusammen, ich habe eine Fritzbox 7490 nutze IPTV und habe eine VDSL 50 Leitung. An der FB hängt ...

Neue Wissensbeiträge
Microsoft
PowerShell script für LAPS
Information von kgborn vor 1 TagMicrosoft5 Kommentare

Kurzer Hinweis für Admins im AD-Umfeld. Ich bin die Tage auf das PowerShell Script der Woche “Local Administrator Password ...

Windows 10
Windows 10 bis Version 1803 und das Zwangs-Upgrade
Information von kgborn vor 1 TagWindows 10

Ich denke, die meisten Admins hier werden Systeme mit Windows 10 Enterprise einsetzen und Updates per WSUS/SCCM oder ähnlichem ...

Microsoft Office
BSI-Empfehlungen für die Office-Konfiguration
Information von kgborn vor 1 TagMicrosoft Office

Kurze Information für Admins, die Office verwalten. Das BSI hat einige Regeln für die Absicherung von Office-Konfigurationen veröffentlicht. Ich ...

Windows 10

Sandy-Bridge plus Nvidia plus Win10 1903 braucht Hotfix

Information von DerWoWusste vor 5 TagenWindows 101 Kommentar

Es gibt ein Problem in der seltenen Konstellation Nvidia-Grafikkarte/Sandy-Bridge-CPU/Win10v1903: die von Nvidia vorgeschlagenen Treiber lassen sich nicht installieren. verlinkt ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 Logonskript greift nicht
Frage von xbast1xWindows 1019 Kommentare

Hallo zusammen, da sich die per GPO gemappten Laufwerke bei allen Usern schließen und das Problem sich nicht lösen ...

SAN, NAS, DAS
SFP+ 10GB Module kompatibel?
Frage von get--4SAN, NAS, DAS18 Kommentare

Grüße euch alle, ich bin in mehreren Schulen für die EDV verantwortlich. In einer Schule haben wir eine SAN ...

Entwicklung
Welche Programmiersprache ist das?
Frage von DschingisEntwicklung17 Kommentare

Hallo zusammen, unser ERP-System ermöglicht es, eigene Ansichten zu bearbeiten. Ich würde mich hier gerne weiterbilden. Kann mir jamand ...

Batch & Shell
Powershell Skript für Reg Datei ändern
gelöst Frage von SoccerdeluxBatch & Shell16 Kommentare

Hallo zusammen, ich muss auf einem Windows 10 Pc ein Skript ausführen lassen was sich alle 5 Minuten wiederholt. ...