10
VLANs einrichten an Switch HP-Procurve 1700-8
Hallo,
ich setz mich nun schon seit mehreren Tagen/Nächten mit dem Thema VLAN auseinander - komm aber nicht wirklich weiter und hoffe daher auf Unterstützung...
Nun zum Problem:
An einem "pfsense"-Router hab ich an einer Netzwerkkarte mehrere VLANS eingerichtet.
Daran angeschlossen ist ein WLAN-AccesPoint (TP-Link), mit mehreren SSIDs (Multi-SSIDs) welche jeweils einem VLAN zugeordnet sind.
Ich kann mich nun von einem Notebook mit einer der Multi-SSIDs verbinden und das Netz wie erwartet nutzen - soweit funktioniert alles (auch die VLANs).
Jetzt habe ich an der Routerschnittstelle aber nicht nur VLANS, sondern auch ne "echte" IP-Adresse, ebenso am Accespoint. An diesem "echten" Subnetz sollen noch andere PCs eingebunden werden, weshalb ich einen Switch dazwischengeschaltet habe.
Sobald aber der Switch mit im Spiel ist, bekomm ich über die Multi-SSIDs keine Verbindung mehr.
Es scheint so, als lässt der Switch die VLANs "nicht durch".
Der Switch (HP 1700-8) ist VLAN-fähig und verfügt über ein Webinterface, jedoch kein CLI.
Den ähnlichen Thread über den 1700-24 hab ich schon gelesen, jedoch hilft mir der auch nicht weiter...
Falls jemand diesen Switch kennt, wäre ich über ein Hilfestellung zur VLAN-Einrichtung sehr dankbar.
ich setz mich nun schon seit mehreren Tagen/Nächten mit dem Thema VLAN auseinander - komm aber nicht wirklich weiter und hoffe daher auf Unterstützung...
Nun zum Problem:
An einem "pfsense"-Router hab ich an einer Netzwerkkarte mehrere VLANS eingerichtet.
Daran angeschlossen ist ein WLAN-AccesPoint (TP-Link), mit mehreren SSIDs (Multi-SSIDs) welche jeweils einem VLAN zugeordnet sind.
Ich kann mich nun von einem Notebook mit einer der Multi-SSIDs verbinden und das Netz wie erwartet nutzen - soweit funktioniert alles (auch die VLANs).
Jetzt habe ich an der Routerschnittstelle aber nicht nur VLANS, sondern auch ne "echte" IP-Adresse, ebenso am Accespoint. An diesem "echten" Subnetz sollen noch andere PCs eingebunden werden, weshalb ich einen Switch dazwischengeschaltet habe.
Sobald aber der Switch mit im Spiel ist, bekomm ich über die Multi-SSIDs keine Verbindung mehr.
Es scheint so, als lässt der Switch die VLANs "nicht durch".
Der Switch (HP 1700-8) ist VLAN-fähig und verfügt über ein Webinterface, jedoch kein CLI.
Den ähnlichen Thread über den 1700-24 hab ich schon gelesen, jedoch hilft mir der auch nicht weiter...
Falls jemand diesen Switch kennt, wäre ich über ein Hilfestellung zur VLAN-Einrichtung sehr dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 142652
Url: https://administrator.de/contentid/142652
Printed on: April 23, 2024 at 15:04 o'clock
10 Comments
Latest comment
Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Sogar mit HP Konfig !!
Wie man VLANs auf dem 1700er konfiguriert erklärt dir das HP Handbuch :
http://cdn.procurve.com/training/Manuals/1700-MgmtCfg-July2009-59916222 ...
ab Kapitel 2-25 ganz genau !!
Bedenke das bei HP das default VLAN 1 in dem alle nicht VLAN zugewiesenen Ports per default sind immer auch mit untagged auf den tagged Ports liegen ! Also der Port 8 überträgt die VLANs 10 und 20 dann dort mit einem VLAN Tag und das VLAN 1 untagged.
Bei der Pfsense ist das auch so !! Das native also physische Interface der Pfsense was du in der Konfig für die VLANs genommen hast, wird am Pfsense Port immer untagged übertragen ! Lediglich die VLAN Ports die du vom physischen Port "clonst" sind dort am selben Port mit einem 802.1q Tag versehen also tagged !
Orientier dich etwas an der im Tutorial geposteten ProCurve CLI Konfig, dann wird das schnell klar !
Wenn du das beachtest rennt auch die Konfig mit dem 1700 im Handumdrehen !!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Sogar mit HP Konfig !!
Wie man VLANs auf dem 1700er konfiguriert erklärt dir das HP Handbuch :
http://cdn.procurve.com/training/Manuals/1700-MgmtCfg-July2009-59916222 ...
ab Kapitel 2-25 ganz genau !!
- Erst VLAN einrichten z.B. VLAN mit der ID 10 und 20
- Dann Zugangsports untagged diesen VLANs zuweisen z.B. Port 1, 2 und 3 = VLAN 10 und Port 4, 5 und 6 = VLAN 20.
- Port der zur Pfsense z.B. Port 8 geht, auf tagged setzen für beide VLANs !
- Fertich !
Bedenke das bei HP das default VLAN 1 in dem alle nicht VLAN zugewiesenen Ports per default sind immer auch mit untagged auf den tagged Ports liegen ! Also der Port 8 überträgt die VLANs 10 und 20 dann dort mit einem VLAN Tag und das VLAN 1 untagged.
Bei der Pfsense ist das auch so !! Das native also physische Interface der Pfsense was du in der Konfig für die VLANs genommen hast, wird am Pfsense Port immer untagged übertragen ! Lediglich die VLAN Ports die du vom physischen Port "clonst" sind dort am selben Port mit einem 802.1q Tag versehen also tagged !
Orientier dich etwas an der im Tutorial geposteten ProCurve CLI Konfig, dann wird das schnell klar !
Wenn du das beachtest rennt auch die Konfig mit dem 1700 im Handumdrehen !!
Diese Links hatte ich auch schon durch, trotzdem Danke...
Ich hab das Problem mittlerweile gefunden (hatte nen Fehler bei der VLAN-Zuweisung in pfsense) und das Netz funktioniert jetzt mal.
Trotzdem hab ich noch viele Fragen
Aber erst mal ein paar mehr Infos zur Umgebung:
pfsense-LAN: 192.168.2.1
1. VLAN (auf LAN-Interface): 192.168.10.1, VLAN-ID 10
2. VLAN (auf LAN-Interface): 192.168.20.1, VLAN-ID 20
auf allen "LANs" DHCP-Server aktiv
AccesPoint:
IP: 192.168.2.50
1. SSID: WLAN-A, VLAN-ID 10
1. SSID: WLAN-B, VLAN-ID 20
1. SSID: WLAN-C, VLAN-ID 1 (default) Zugriff über die "Haupt-IP"
Am Switch hab ich die VLANs 10 u. 20 hinzugefügt, alle Ports zu "membern" gemacht und bei Packet-Type "All" ausgewählt. So funktionieren jetzt sowohl die VLANs über den AccesPoint, als auch das "echte" LAN.
Switch-Port-Belegung:
4: AccesPoint (LAN+VLANs)
6: PC1 (LAN)
7: PC2 (LAN)
8: pfsense (LAN+VLANs)
Frage: Port 4 und Port 8 müssen auf Packet-Type "All" stehen, da hierüber ja das LAN und die VLANs gehen sollen, oder?
Port 6 + 7 könnte ich auf Packet-Type "Tagged only" mit PVID 1 setzen?
Möchte ich z.B. einen weiteren PC nur ins VLAN 10 nehmen, muss ich den entsprechenden Port auf Packet-Type "Tagged only" mit PVID 10 setzen, richtig?
Ich weiss, dass ist jetzt vielleicht etwas viel auf einmal, aber ich glaub wenn ich diese Fragen beantwortet bekomme, hab ich VLANs im groben Verstanden.
Im Voraus schonnmal DANKE
Ich hab das Problem mittlerweile gefunden (hatte nen Fehler bei der VLAN-Zuweisung in pfsense) und das Netz funktioniert jetzt mal.
Trotzdem hab ich noch viele Fragen
Aber erst mal ein paar mehr Infos zur Umgebung:
pfsense-LAN: 192.168.2.1
1. VLAN (auf LAN-Interface): 192.168.10.1, VLAN-ID 10
2. VLAN (auf LAN-Interface): 192.168.20.1, VLAN-ID 20
auf allen "LANs" DHCP-Server aktiv
AccesPoint:
IP: 192.168.2.50
1. SSID: WLAN-A, VLAN-ID 10
1. SSID: WLAN-B, VLAN-ID 20
1. SSID: WLAN-C, VLAN-ID 1 (default) Zugriff über die "Haupt-IP"
Am Switch hab ich die VLANs 10 u. 20 hinzugefügt, alle Ports zu "membern" gemacht und bei Packet-Type "All" ausgewählt. So funktionieren jetzt sowohl die VLANs über den AccesPoint, als auch das "echte" LAN.
Switch-Port-Belegung:
4: AccesPoint (LAN+VLANs)
6: PC1 (LAN)
7: PC2 (LAN)
8: pfsense (LAN+VLANs)
Frage: Port 4 und Port 8 müssen auf Packet-Type "All" stehen, da hierüber ja das LAN und die VLANs gehen sollen, oder?
Port 6 + 7 könnte ich auf Packet-Type "Tagged only" mit PVID 1 setzen?
Möchte ich z.B. einen weiteren PC nur ins VLAN 10 nehmen, muss ich den entsprechenden Port auf Packet-Type "Tagged only" mit PVID 10 setzen, richtig?
Ich weiss, dass ist jetzt vielleicht etwas viel auf einmal, aber ich glaub wenn ich diese Fragen beantwortet bekomme, hab ich VLANs im groben Verstanden.
Im Voraus schonnmal DANKE
Port 6 + 7 könnte ich auf Packet-Type "Tagged only" mit PVID 1 setzen?
Nein, eben nicht.
PCs können ja prinzipiell keine VLANs, darum musst du "All" auswählen.
Die VLAN-Konfiguration bei der 1700er/1800er Serie ist zugegeben einfach nur Müll.
Selbst der HP-Support hat kapituliert als sie den tieferen Sinn von "Ingress Filtering" erklären sollten.
"Tagged Only" ist nur für Geräte die ausschließlich Pakete mit VLAN-IDs versenden, also der AP und pfsense - aber nur, wenn du das Default VLAN nicht benutzt.
Danke für die Hilfe. System läuft mittleweile wie gewollt und die grundsätzliche Funktionsweise von VLANs hab ich glaub auch Verstanden.
Bevor ich den Fred als gelöst markiere, noch eine Frage zu PFSENSE u. VLAN (falls komplett falsch hier, mach ich auch einen neuen Beitrag auf...):
Stimmt es, dass das "captivePortal" nicht auf einem VLAN aktiviert werden kann, dessen "ParentInterface" das LAN-Interface ist? Bei mir funktionierts jedenfalls nicht, und in einem Forum hab ich mal was gelesen dass dies nicht geht...
Problem ist, mein PFSENSE hat nur 2 Netzwerkkarten, eine ist fürs WAN, eine fürs LAN (mit 2 VLANs). Nun hätt ich das CaptivePortal gern auf einem VLAN aktiviert - was ja leider nicht geht.
Bevor ich den Fred als gelöst markiere, noch eine Frage zu PFSENSE u. VLAN (falls komplett falsch hier, mach ich auch einen neuen Beitrag auf...):
Stimmt es, dass das "captivePortal" nicht auf einem VLAN aktiviert werden kann, dessen "ParentInterface" das LAN-Interface ist? Bei mir funktionierts jedenfalls nicht, und in einem Forum hab ich mal was gelesen dass dies nicht geht...
Problem ist, mein PFSENSE hat nur 2 Netzwerkkarten, eine ist fürs WAN, eine fürs LAN (mit 2 VLANs). Nun hätt ich das CaptivePortal gern auf einem VLAN aktiviert - was ja leider nicht geht.
Habs auf einem ALIX Board mal probiert und da rennt es einwandfrei auf einem VLAN am LAN Port
Sowohl mit der Monowall als auch mit PFsense.
Ansonsten kost eine 3te Karte 5 Euro...sollte also nicht das Problem sein...
Sowohl mit der Monowall als auch mit PFsense.
Ansonsten kost eine 3te Karte 5 Euro...sollte also nicht das Problem sein...
Ich hab auf pfsense.org nun auch noch was dazu gefunden:
http://doc.pfsense.org/index.php/Captive_Portal_and_VLANs
Problem ist halt, das der PC den ich einsetzen möchte (ThinClient), nur ein LAN sowie einen PCI-Steckplatz hat und somit keine 3 Netzwerkkarte möglich ist.
Zur Not muss halt ne "Multiport-NIC" rein, aber da reichen dann die 5 Euro nicht...
http://doc.pfsense.org/index.php/Captive_Portal_and_VLANs
Problem ist halt, das der PC den ich einsetzen möchte (ThinClient), nur ein LAN sowie einen PCI-Steckplatz hat und somit keine 3 Netzwerkkarte möglich ist.
Zur Not muss halt ne "Multiport-NIC" rein, aber da reichen dann die 5 Euro nicht...
Hallo aqui,
das ganze hat mir jetzt keine Ruhe gelassen...
hab nun testweise das ganze mit ähnlicher Hardware mit monowall aufgebaut - CP über VLAN ging.
Hab dann diverse Einstellungen vorgenommen (Authentifizierung via "local user") und meine "HTML-PortalPage" hochgeladen - CP ging nicht mehr!
Testweise die Beispiel-HTML-Page ausm Forum genommen - CP ging nicht mehr.
Testweise den in Monowall "hinterlegten" HTML-Code als Page genommen - CP ging wieder.
Muss also was mit der Größe der HTML-Datei zu tun haben. Hab dann mit meiner HTML-Datei etwas herumexperimentiert und festgestellt, dass sie funktioniert wenn max. 1258 Zeichen enthalten sind. Füge ich nur ein Zeichen hinzu, gehts nicht mehr.
Nur mit den Zeichen kanns aber auch nicht zusammenhängen, da ich auch noch eine Datei mit ca. 1000 Zeichen probiert habe, welche auch nicht ging.
Mittleweile hab ich das "Original-Monowall-HTML-Beispiel" etwas erweitert und so funktionierts jetzt.
Kurios ist, dass dieses Verhalten nur bei VLANs auftritt, nicht aber auf dem LAN-Interface.
Das ganze ist (zumindest bei mir) reproduzierbar, hab heut den ganzen Abend getestet...
Hast du ne Idee warum dieses Verhalten auftritt?
das ganze hat mir jetzt keine Ruhe gelassen...
hab nun testweise das ganze mit ähnlicher Hardware mit monowall aufgebaut - CP über VLAN ging.
Hab dann diverse Einstellungen vorgenommen (Authentifizierung via "local user") und meine "HTML-PortalPage" hochgeladen - CP ging nicht mehr!
Testweise die Beispiel-HTML-Page ausm Forum genommen - CP ging nicht mehr.
Testweise den in Monowall "hinterlegten" HTML-Code als Page genommen - CP ging wieder.
Muss also was mit der Größe der HTML-Datei zu tun haben. Hab dann mit meiner HTML-Datei etwas herumexperimentiert und festgestellt, dass sie funktioniert wenn max. 1258 Zeichen enthalten sind. Füge ich nur ein Zeichen hinzu, gehts nicht mehr.
Nur mit den Zeichen kanns aber auch nicht zusammenhängen, da ich auch noch eine Datei mit ca. 1000 Zeichen probiert habe, welche auch nicht ging.
Mittleweile hab ich das "Original-Monowall-HTML-Beispiel" etwas erweitert und so funktionierts jetzt.
Kurios ist, dass dieses Verhalten nur bei VLANs auftritt, nicht aber auf dem LAN-Interface.
Das ganze ist (zumindest bei mir) reproduzierbar, hab heut den ganzen Abend getestet...
Hast du ne Idee warum dieses Verhalten auftritt?
Das kann passieren wenn du einen Windows basierten Editor einsetzt. Windows setzt heimlich diveres ASCII zeichen CR/LF u.a. in die Datei die unter Unix ggf. Probleme bereiten können.
Vermutlich ist am 1258ten Zeichen genau sowas !!
Gerade wenn du zum Editieren der .html Datei Word Pad, Word oder andere Kandidaten verwendest.
Mit dem ganz banalen Editor ist es am gefahrlosesten. Ansonsten eine Unix freundlichen Editor für Windows installieren.... die gibts zuhauf im Internet.
Hab eben nochmal die Demo HTML Seite vom Tutorial zur Sicherheit getestet...funktioniert einwandfrei. Liegt also vermutlich an deinem verwendeten Editor !!
Vermutlich ist am 1258ten Zeichen genau sowas !!
Gerade wenn du zum Editieren der .html Datei Word Pad, Word oder andere Kandidaten verwendest.
Mit dem ganz banalen Editor ist es am gefahrlosesten. Ansonsten eine Unix freundlichen Editor für Windows installieren.... die gibts zuhauf im Internet.
Hab eben nochmal die Demo HTML Seite vom Tutorial zur Sicherheit getestet...funktioniert einwandfrei. Liegt also vermutlich an deinem verwendeten Editor !!
Ich hab schon nen geeigneten Editor verwendet (hab mich vor einiger Zeit recht viel mit HTML beschäftigt...).
Wäre das das Problem, dürfte das CP ja generell nicht funktionieren - aber es funktioniert ja aufm LAN-Interface, nur aufm VLAN gibts die Probleme.
Es scheinen aber noch andere user dasselbe bzw. ein ähnliches Problem zu haben, siehe:
http://forum.pfsense.org/index.php?action=printpage;topic=20134.0
Nun ja, ich hab für mich jetzt die Lösung gefunden, indem ich die Page einfach klein halte. Aber vielleicht hat ja mal wieder jemand das Problem und liest diesen Beitrag...
Wäre das das Problem, dürfte das CP ja generell nicht funktionieren - aber es funktioniert ja aufm LAN-Interface, nur aufm VLAN gibts die Probleme.
Es scheinen aber noch andere user dasselbe bzw. ein ähnliches Problem zu haben, siehe:
http://forum.pfsense.org/index.php?action=printpage;topic=20134.0
Nun ja, ich hab für mich jetzt die Lösung gefunden, indem ich die Page einfach klein halte. Aber vielleicht hat ja mal wieder jemand das Problem und liest diesen Beitrag...
