10
VLAN über 2 Router
Hallo Leute
Ich habe ein kleines Problem.
Und zwar versuche ich verzweifelt mein Netzwerk zu erweitern. Dies will mir aber bis jetzt einfach nicht gelingen und ich kann mir noch nicht genau erklären warum.
Vorhandene Hardware:
Juniper SSG SSG5
Juniper SSG SSG5 mit WLAN
Zyxel Zywall USG20
Cisco SG300
Zyxel GS1510
Ubiquiti Unifi
Um mein Problem so gut wie möglich zu schildern habe ich noch eine Zeichnung erstellt damit Ihr euch das bildlich vorstellen könnt.
Das Ziel ist es, dass ich mit einem Mobilen Gerät mich an einem Accesspoint anmelden kann und je nachdem welches Netzt ich anwähle auch in diesem VLAN lande und mich auch in diesem Netz bewege.
Die Schwierigkeit liegt wahrscheinlich dass es so viele verschiedene Geräte und Hersteller sind. Kennt sich jemand mit diesen Geräten aus? Kann mir jemand sagen wie ich diese konfigurieren muss damit das alles funktioniert.
Ich bedanke mich schon im Voraus für jeden Tipp!
Ich habe ein kleines Problem.
Und zwar versuche ich verzweifelt mein Netzwerk zu erweitern. Dies will mir aber bis jetzt einfach nicht gelingen und ich kann mir noch nicht genau erklären warum.
Vorhandene Hardware:
Juniper SSG SSG5
Juniper SSG SSG5 mit WLAN
Zyxel Zywall USG20
Cisco SG300
Zyxel GS1510
Ubiquiti Unifi
Um mein Problem so gut wie möglich zu schildern habe ich noch eine Zeichnung erstellt damit Ihr euch das bildlich vorstellen könnt.
Das Ziel ist es, dass ich mit einem Mobilen Gerät mich an einem Accesspoint anmelden kann und je nachdem welches Netzt ich anwähle auch in diesem VLAN lande und mich auch in diesem Netz bewege.
Die Schwierigkeit liegt wahrscheinlich dass es so viele verschiedene Geräte und Hersteller sind. Kennt sich jemand mit diesen Geräten aus? Kann mir jemand sagen wie ich diese konfigurieren muss damit das alles funktioniert.
Ich bedanke mich schon im Voraus für jeden Tipp!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 207864
Url: https://administrator.de/contentid/207864
Printed on: April 24, 2024 at 22:04 o'clock
10 Comments
Latest comment
Na, dann komm mal raus mit den Details!
Nach deiner Ansage müsste das was du möchtest, je nach Anmeldung am WLAN in einem spezifischen Netz zu landen, sehr einfach sein und ohne weiteres Zutun funktionieren.
Gruß
Netman
#Edit Die Zeichnung hat gefehlt
Nach deiner Ansage müsste das was du möchtest, je nach Anmeldung am WLAN in einem spezifischen Netz zu landen, sehr einfach sein und ohne weiteres Zutun funktionieren.
Gruß
Netman
#Edit Die Zeichnung hat gefehlt
Hallo MrNetman
Welche Details brauchst du genau? In der Zeichnung ist eigentlich vieles schon aufs Detail beschrieben? Danke
Welche Details brauchst du genau? In der Zeichnung ist eigentlich vieles schon aufs Detail beschrieben? Danke
Moin,
Evtl. solltest Du die Zeichnung auch noch verlinken bzw. in den Beitrag einbauen...
/EDIT: Ah, jetzt . schon besser .)
lg,
Slainte
Evtl. solltest Du die Zeichnung auch noch verlinken bzw. in den Beitrag einbauen...
/EDIT: Ah, jetzt . schon besser .)
lg,
Slainte
Sorry hatte die Zeichnung nicht richtig eingefügt... Aber jetzt solltet Ihr es sehen.
Also die Geräte im Einzelnen kenne ich jetzt nicht aber vom Prinzip her muss due KOnfig i.E. so aussehen:
AP(s):
Verschiedenen ESSIDs die verschiedenen VLANs zugeordnet sind
ESSID 1 -> VLAN 1 Tagged
ESSID 2 -> VLAN 2 Tagged
Der Switchport an dem der AP und der Router hängen müssen die beiden VLANs als Tagged konfiguriert haben (oder gleich als Trunkport konfiguriert sein)
Der Router muss alle VLANs tagged an seinen LAN Port konfiguriert haben und braucht pro VLAN eine 1 IP in diesem Netz und ggfs. routing / Firewalleinstellungen die den Verkehr zwischen den VLANs regeln.
Hinweis am Schluss: VLAN ist eine Layer2 Technik, d.h. die kann nicht über z.B. VPN transportiert werden.
AP(s):
Verschiedenen ESSIDs die verschiedenen VLANs zugeordnet sind
ESSID 1 -> VLAN 1 Tagged
ESSID 2 -> VLAN 2 Tagged
Der Switchport an dem der AP und der Router hängen müssen die beiden VLANs als Tagged konfiguriert haben (oder gleich als Trunkport konfiguriert sein)
Der Router muss alle VLANs tagged an seinen LAN Port konfiguriert haben und braucht pro VLAN eine 1 IP in diesem Netz und ggfs. routing / Firewalleinstellungen die den Verkehr zwischen den VLANs regeln.
Hinweis am Schluss: VLAN ist eine Layer2 Technik, d.h. die kann nicht über z.B. VPN transportiert werden.
Hallo SlainteMhath
Danke für deine Antwort.
Ich brauch es aber leider ein klein wenig genauer. Im Allgemeinen ist es mir schon klar wie es funktionieren sollte. Habe auch schon sehr vieles ausprobiert aber ohne Erfolg. Schön wäre es wenn einer die Geräte wirklich kennt und mir in den spezifischen Configs helfen kann.
Danke für deine Antwort.
Ich brauch es aber leider ein klein wenig genauer. Im Allgemeinen ist es mir schon klar wie es funktionieren sollte. Habe auch schon sehr vieles ausprobiert aber ohne Erfolg. Schön wäre es wenn einer die Geräte wirklich kennt und mir in den spezifischen Configs helfen kann.
Hi Memli,
Deine Frage ist zu unspezifisch.
Wenn du dich an einem AP einwählst, was der Auswahl eines Netzes entspricht, dann bist du da drin. Das würde deiner Beschreibung entsprechen.
Was bedeutet nun das Netz auswählen und sich dann im VLAN bewegen?
Im Allgemeinen, und deshalb auch die Antwort von @SlainteMhath , bist du in dem Netz wo du drin bist und kommst nur über den Layer3, also saubere Routen wo anders hin.
Oder meinst du die Verbindung zwischen den beiden Firewalls im roten Feld?
Wenn ich drauf gucke, braucht es da nur ein Transportnetz, was es ja ist und keine VLANs oder eben nur ein einziges VLAN um es von den zwei andern Netzen im roten Bereich zu trennen.
Das VPN ist ja auch ein Transportnetz.
Soll der Layer 2 von gelben Feld bis ins rote Feld ausgedehnt werden, dann wird es spannend. Da wäre es denkbar, dass du dir private QoS Kriterien zimmerst mit denen du den Tunnel beaufschlagst. Anonsten wird das Netz geteilt.
Gruß
Netman
Deine Frage ist zu unspezifisch.
Wenn du dich an einem AP einwählst, was der Auswahl eines Netzes entspricht, dann bist du da drin. Das würde deiner Beschreibung entsprechen.
Was bedeutet nun das Netz auswählen und sich dann im VLAN bewegen?
Im Allgemeinen, und deshalb auch die Antwort von @SlainteMhath , bist du in dem Netz wo du drin bist und kommst nur über den Layer3, also saubere Routen wo anders hin.
Oder meinst du die Verbindung zwischen den beiden Firewalls im roten Feld?
Wenn ich drauf gucke, braucht es da nur ein Transportnetz, was es ja ist und keine VLANs oder eben nur ein einziges VLAN um es von den zwei andern Netzen im roten Bereich zu trennen.
Das VPN ist ja auch ein Transportnetz.
Soll der Layer 2 von gelben Feld bis ins rote Feld ausgedehnt werden, dann wird es spannend. Da wäre es denkbar, dass du dir private QoS Kriterien zimmerst mit denen du den Tunnel beaufschlagst. Anonsten wird das Netz geteilt.
Gruß
Netman
Hallo MrNetman
Ich kann bei meinen Accesspoints mehrere SSID's erstellen und die einem VLAN zuordnen. Wenn ich z.B. SSID B auswähle sollte ich dann eine 192.168.153.x IP-Adresse bekommen und somit im Netz der Firewall B sein (ist auch DHCP Server für LAN B).
2 von 3 Accesspoints befinden sich beim Switch A und einer beim Switch B. Der Kontroller für die Accesspoints befindet sich auch im Netz A.
Das Routing funktioniert auch soweit. Das eigentliche Problem zeigt sich, wenn das Tablet mit dem Server X kommuniziert. Dann funktioniert nicht alles (Ist ein Server für die komplette Steuerung des Gebäudes über ein mobiles Gerät).
Das Netz im Gelben Bereich ist nicht wichtig da genügt ein normales Routing.
Ich kann bei meinen Accesspoints mehrere SSID's erstellen und die einem VLAN zuordnen. Wenn ich z.B. SSID B auswähle sollte ich dann eine 192.168.153.x IP-Adresse bekommen und somit im Netz der Firewall B sein (ist auch DHCP Server für LAN B).
2 von 3 Accesspoints befinden sich beim Switch A und einer beim Switch B. Der Kontroller für die Accesspoints befindet sich auch im Netz A.
Das Routing funktioniert auch soweit. Das eigentliche Problem zeigt sich, wenn das Tablet mit dem Server X kommuniziert. Dann funktioniert nicht alles (Ist ein Server für die komplette Steuerung des Gebäudes über ein mobiles Gerät).
Das Netz im Gelben Bereich ist nicht wichtig da genügt ein normales Routing.
Wenn ich z.B. SSID B auswähle sollte ich dann eine 192.168.153.x IP-Adresse bekommen und somit im Netz
der Firewall B sein (ist auch DHCP Server für LAN B).
Nein, eben nicht. Zumindest nicht wenn deine Zeichnung stimmt. Weder DHCP noch VLANs werden geroutet da beides auf Layer 2 abläuftder Firewall B sein (ist auch DHCP Server für LAN B).
/EDIT: es sei denn auf der Juniper ist in dem VLAN B ein DHCP Relay konfiguriet
Das eigentliche Problem zeigt sich, wenn das Tablet mit dem Server X kommuniziert. Dann funktioniert nicht
alles
Was bedeutet denn das genau? Was geht und was geht nicht?alles
1. Genau, ich will es ja eigentlich auch so lösen. Naja wenn es dann Geräteabhängig ist und ich gezwungen bin die Zywall ausem Netz zu nehmen wäre das jetzt kein Weltuntergang.
2. Das Problem ist: Wenn ich über 192.168.150.x auf dem Server 192.168.153.x über WLAN zugreife, kann ich wohl alles bedienen. Aber wenn ich z.B. die Webcam sehen will, oder die Klingel betätigt wird, sehe ich kein Bild. Wenn ich allerdings den Accesspoint ins 153-Netz nehme dann kommt auch ein Bild. Wenn ich aber mit dem Iphone oder sonst was direkt auf die IP-Cam zugreife (über das 150er-Netz), kann ich das Bild sehen. Es spielt auch keine Rolle ob die Firewall aus oder eingeschaltet ist.
Das nächste was nicht mehr geht ist, eine anonyme Mail verschicken über den Server. Obwohl ich diese Adresse im Exchange-Server eingetragen habe (dieses Problem stört mich nicht extrem und kann auch eventuell noch eine Einstellung fehlen)
Alles andere geht soweit ich das jetzt gesehen habe.
Irgendwie habe ich das Gefühl, dass es auch am Discovery liegen kann. Der Server sieht die mobilen Geräte nicht im eigenen Subnetz.
Edit:
Hier noch eine Zeichnung, wie es auch aussehen könnte falls das von Oben nicht geht.
2. Das Problem ist: Wenn ich über 192.168.150.x auf dem Server 192.168.153.x über WLAN zugreife, kann ich wohl alles bedienen. Aber wenn ich z.B. die Webcam sehen will, oder die Klingel betätigt wird, sehe ich kein Bild. Wenn ich allerdings den Accesspoint ins 153-Netz nehme dann kommt auch ein Bild. Wenn ich aber mit dem Iphone oder sonst was direkt auf die IP-Cam zugreife (über das 150er-Netz), kann ich das Bild sehen. Es spielt auch keine Rolle ob die Firewall aus oder eingeschaltet ist.
Das nächste was nicht mehr geht ist, eine anonyme Mail verschicken über den Server. Obwohl ich diese Adresse im Exchange-Server eingetragen habe (dieses Problem stört mich nicht extrem und kann auch eventuell noch eine Einstellung fehlen)
Alles andere geht soweit ich das jetzt gesehen habe.
Irgendwie habe ich das Gefühl, dass es auch am Discovery liegen kann. Der Server sieht die mobilen Geräte nicht im eigenen Subnetz.
Edit:
Hier noch eine Zeichnung, wie es auch aussehen könnte falls das von Oben nicht geht.
