itse.com
Sep 23, 2014, updated at 08:20:46 (UTC)
view5560
view6
0
Goto Top

Firmen-VLAN und Gast-VLAN per WLAN

GermansolvedQuestionLAN, WAN, WirelessNetworks
Ich versuche es kurz zu machen und hoffe das ich mich klar ausdrücke. Bei Fragen einfach fragen. Kurz das Thema, ein Firmen-VLAN per WLAN und Gast-VLAN per WLAN über einen AP mit Multi-SSID in eine bestehende IT-Infrastruktur einbinden. ARF (Advanced Routing and Forwarding) soll nicht benutzt werden.

Folgende Gerätekonfiguration:
AP mit Multi-SSID - Primary-SSID ist Firma und SSID-1 ist Gast
- VLAN10(Firma) und VLAN20(Gast), default VLAN unverändert, VLAN10 und 20 sind LAN-seitig tagged

Switch 1 - am Port 7 ist der AP angeschlossen, Port 7 ist tagged
- Port 1/2 LACP Trunk zu Switch 2, Port 1 ist tagged
- Port 7 und Port 1 gehören zu den VLANs
- alle anderen Ports 'Not Member'

Switch 2 - am Port 10 ist der Router 1781EW angeschlossen, Port 10 ist tagged
- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged
- Port 10 und 21 gehören zu den VLANs
- alle anderen Ports 'Not Member'

Router - ETH1 - Firmen-LAN
- ETH2 - VLAN
- ETH3 - GastLAN1
- ETH4 - GastLAN2

1.) Ist es überhaupt möglich auf der ETH2-Schnittstelle beide VLANs zu definieren? Das Firmen-LAN soll nicht verändert werden.
Das Gast-VLAN soll keinen Zugriff aufs Firmen-LAN haben...(logisch)

Router-Konfiguration:
Ich konfiguriere ETH2 so -> ETH2 ist LAN-2, neues Netz -> 192.168.20.20/24
- Netzwerktyp: Intranet
- VLAN-ID: 20
- Schnittstellen-Zuordnung: LAN-2
- Adressprüfung: streng
- Schnittstellen-Tag: 0
- Kommentar: VLAN

2.)Da das Firmen-LAN schon an ETH1 gebunden ist, er gibt es für mich keinen Sinn das Firmen-LAN nochmal an ETH2 zu binden, oder irre ich mich?
Es ist für mich nicht logisch nachzuvollziehen wie das überhaupt gehen soll zweimal das Firmen-LAN zu haben einmal im VLAN -tagged- und einmal ohne VLAN. Das Firmen-VLAN soll die IP-Adressen vom firmeninternen DHCP Server beziehen.
Wenn ich im Router das Firmen-VLAN erstelle komme ich nicht mehr auf den Router.
Für das Gast-VLAN richte ich noch im Router den DHCP ein.

3.)Da alle Pakete -tagged- zum Router gehen muss ich das VLAN-Modul NICHT anschalten, richtig...???

Ich habe an diesen VLAN-Konfigurationsversuchen schon zu viel Zeit verbracht und ich habe keine Lust den Router Kaputt-Zu-Reseten.

4.) Kann mir jemand sagen wo der Fehler ist?

abde48f9b4ab4de8a458cc05bcee8da0
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 249897

Url: https://administrator.de/contentid/249897

Printed on: April 18, 2024 at 04:04 o'clock

6 Comments
Latest comment
Goto Top
Member: Philipp711
Philipp711 Sep 23, 2014 updated at 07:47:16 (UTC)
Goto Top
Hallo,

für meine Begriffe ist alles bis auf die Verbindungskonfiguration Router -> Switch korrekt!

Ich würde sagen, du hast zwei Möglichkeiten:

1) Du konfigurierst auf dem Router eine Schnittstelle als Tagged und "legst" dort die beiden VLAN's 10 und 20 "drauf" - passend dazu musst du natürlich auch am Switch den Port mit VLAN 10 und 20 taggen.

2) Zu ziehst für jedes VLAN eine eigene Strippe zum Router. D.h. an dem Switch konfigurierst du für jedes VLAN ein untagged/Access-Port. Am Router lässt du ETH1 für das Firmen-LAN auf untagged/Access-Port und ebenso konfigurierst du ETH2 für das Gast-LAN. Jetzt verbindest du den Router mit jeweils einem Kabel pro VLAN...

Hoffe ich konnte dir helfen...
Member: aqui
aqui Sep 23, 2014 updated at 09:19:45 (UTC)
Goto Top
Das zum Thema gehörende Forums Tutorial hier hast du gelesen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell das Kapitel "Praxisbeispiel" ?
Dort werden eigentlich alle Fragen abgehandelt.

Nich ein paar Anmerkungen zum Rest:
- Port 1/2 LACP Trunk zu Switch 2, Port 1 ist tagged
Das ist so technisch nicht möglich !
Wenn, dann muss bei einem LACP Trunk beide Ports immer identisch sein. Folglich müssen die beiden Trunk Member Port 1 und 2 tagged sein !
Analog hast du auch den gleichen Fehler auf der anderen Seite an Switch 2 gemacht: ("- Port 21/22 LACP Trunk zu Switch 1, Port 21 tagged"). Hier muss natürlich 21 und 22 getagged sein damit die Member wieder identisch sind !

Zu deinen Fragen:
1.) Ist es überhaupt möglich auf der ETH2-Schnittstelle beide VLANs zu definieren?
Ja, natürlich ! Du verwendest dann am Router auch einen Tagged Link. Das o.a. Tutorial erklärt es dir unter anderem auch im Praxisbeispiel !
2.)Da das Firmen-LAN schon an ETH1 gebunden ist, er gibt es für mich keinen Sinn das Firmen-LAN nochmal an ETH2 zu binden, oder irre ich mich?
Nein, du irsst dich nicht ! Das wäre Blödsinn und auch technsich falsch. Mal ganz abgesehen davon das du auch damit einen Routing Loop erzeugtst...also ein absolutes NoGo !
Wenn ich im Router das Firmen-VLAN erstelle komme ich nicht mehr auf den Router.
Kein Wunder, denn die Management IP Adresse des Routers bleibt ja weiterhin im Default VLAN 1 sofern du am Router einen tagged Port benutzt und keine dedizierten Einzelports pro VLAN. Das erklärst du aber leider nicht eindeutig, so das deine Router Konfig hier ziemlich unklar und verwirrend ist face-sad
Hier brauchen wir eine detailiertere Info !
3.)Da alle Pakete -tagged- zum Router gehen muss ich das VLAN-Modul NICHT anschalten, richtig...???
Falsch ! Das Default VLAN 1 wird auf einem Trunk parallel immer untagged übertragen. Du hast auf einem Trunk also immer in der Regel beide Frame Formate !
WAS bitte genau meist du mit "VLAN-Modul" ??? Sowas gibt es als Netzwerk Terminus nicht. Was soll das also sein ? Das du einen Trunk Port am Router generierst ?!
Auch hier genaue Erklärung oder Blick ins obige Tutorial !
4.) Kann mir jemand sagen wo der Fehler ist?
Generell ist dein Konzept absolut richtig !
Dein Fehler liegt vermutlich an 2 Stellen:
1.) LACP Trunk falsch konfiguriert
2.) Trunk auf den Router falsch konfiguriert !
Wenn du da suchst wirst du das schnell fixen. Das o.a. Tutorial beschreibt im Praxisbeispiel ganz genau dieses Szenario mit allen Settings so das das ein Kinderspiel sein sollte das zuzm Fliegen zu bringen !
Member: itse.com
itse.com Sep 23, 2014 at 07:57:09 (UTC)
Goto Top
Hallo Phillipp711,

Danke für deine Antwort...

Das mit den pro VLAN ein Kabel ist eben genau das was ich/wir nicht machen wollen...weil es einfach wäre face-wink

Das Problem mit dem ich "lege" VLANs 10 und 20 "drauf" ist, dass ich keine Ahnung habe wie ich es im Router (Lancom 1781EW) konfigurieren soll/muss...
Der Support von Lancom will das gleich mit der Fernwartung machen für xx€... face-sad
Das Handbuch hilft mir/uns leider nicht weiter... face-sad

Dennoch Vielen Dank für deine Mühe...!!!
Member: aqui
Solution aqui Sep 23, 2014 updated at 08:20:46 (UTC)
Goto Top
Das mit den pro VLAN ein Kabel ist eben genau das was ich/wir nicht machen wollen...weil es einfach wäre
Richtig ! Das wäre eine dilettantische Bastellösung. Mit deinem Trunk auf den Router bist du auf dem richtigen Weg !
Das Problem mit dem ich "lege" VLANs 10 und 20 "drauf" ist, dass ich keine Ahnung habe wie ich es im Router (Lancom 1781EW) konfigurieren soll/muss...
DAS ist genau der Knackpunkt !
Hier solltest du mal ins Handbuch sehen oder einer unser Lancom Spezls wie Kollege @Arch-Stanton hier muss mal ran und erklären wie man das macht. face-wink
Lancom hat dazu was in seiner Knowledgebase:
https://www2.lancom.de/kb.nsf/1275/52781272AD84ED9CC12574AB00432192?Open ...
...wo es ja mit einem 1711 beschrieben ist das es geht !
Lancom nennt das irgendwie "ARF". Klingt wieder ganz anders wie es der Rest der Welt nennt aber damit geht es ja scheinbar ?!
Hört sich aber in der Doku dazu an als ob man da dann sowas wie ein "VLAN Modul" benötigt, was auch immer das ist..?
Ansonsten schaltest du eine kleine_Firewall davor mit einem Captive Portal für die Gäste und dann klappt das im Handumdrehen ohne "Module" und Frickelei... face-wink
Member: itse.com
itse.com Sep 23, 2014 at 08:29:17 (UTC)
Goto Top
Danke für deine Antworten @aqui...


Erst hieß es das wir nicht ARF nehmen weil das die Lösung mit den pro VLAN ein Kabel wäre...!!!
Jetzt hat mein Chef gesagt wir Konfigurieren ARF am Router und legen pro VLAN ein Kabel -untagged- am konfigurieren Switch...!!!

Ja, ich wäre auch lieber dran geblieben und hätte gern mit eurer Hilfe nach einer Lösung gesucht... face-sad
Jetzt heißt es die Switche neu zu patchen damit wir zwei frei Ports erhalten die zum Router gehen... und dann neu konfigurieren...!!! . face-sad

Ich Danke Allen die sich bereits schon was überlegt haben bzw. denen die mir schon geholfen haben... face-smile

@aqui...das mit dem LACP-Trunk war eine große Hilfe und ich habe wieder etwas dazu gelernt...Danke...!!! ...weiter so...!!! face-smile
Member: aqui
aqui Sep 23, 2014 updated at 09:18:05 (UTC)
Goto Top
Jetzt hat mein Chef gesagt wir....
Das passiert dann wenn mit einmal wieder Kaufleute (oder was auch immer der Chef ist..?) über sinvolle IT Lösungen entscheiden....no comment.
Eigentlich bist du ja der Fachangestellte der den Chef bei der IT beraten sollte und bestimmt was gemacht wird, denn du musst ja damit umgehen...komische Hierarchie bei euch, aber egal.
Aber OK auch die Bastelvariante nach dem Motto Warum einfach machen wenns umständlich auch geht.. wird so klaglos funktionieren.
Hat auch noch den kleinen Vorteil das beide VLANs nicht einen Link sharen müssen aber den Nachteil der Fehleranfälligkeit durch die aufwendigere Kabelage.
Na ja... Hauptsache es klappt alles zum Schluss und der Cheffe ist zufrieden. face-smile
GermansolvedQuestionLAN, WAN, WirelessNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment