8
Richtige VLAN Konfiguration für Gastnetzwerk
Hallo Zusammen,
ich habe eine sophos UTM 9.2 bei mir im Netzwerk, welches ein Gast WiFi zur Verfügung stellen soll über einen WLAN Access Point, welcher auch VLAN tagging unterstützt.
Zwischen der sophos UTM und dem AP stehen diverse Switche, und ich bin mir nicht sicher wie ich diese konfigurieren muss.
Ein VLAN ist von Nöte, da das Gast-WiFi ungeschützt sein soll und zur Voucher-URL der Sophos weitergeleitet wird.
Netzwerkaufbau:
sophos UTM9 <--> Switch A (HP1810G-24) <--> Switch B (HP1810G-24) <--> Switch C (Unmanaged Switch 16 Port) <--> Switch D (HP1810G-8) <--> TP Link WLAN AP
Erklärung:
Bisher laufen bei uns im Netzwerk die Switche noch out of the box, sprich nur mit dem Standard VLAN 1.
Ich habe gestern bereits Testweise ein zweites VLAN hinzugefügt an Switch A und D, und wie folgt konfiguriert:
SWITCH A:
VLAN 1: physikalischer Port der sophos UTM auf E (Exclude)
VLAN 2: physikalischer Port der sophos UTM auf T (TAG)
SWITCH D:
VLAN 1: physikalischer Port des WLAN AP auf E (Exclude)
VLAN 2: physikalischer Port des WLAN AP auf T (TAG)
Eigentlich sollte doch nun einem Paket das VLAN2 getagged werden, und die Schnittstelle der sophos UTM aus VLAN 1 nicht mehr erreichbar sein.
Ich habe gestern nebenbei einen ping von einem PC aus VLAN 1 auf die UTM durchgeführt, und der Ping geht trotzdem noch durch, obwohl ich auf Switch A VLAN1 der sophos excluded habe.
Any idea?
ich habe eine sophos UTM 9.2 bei mir im Netzwerk, welches ein Gast WiFi zur Verfügung stellen soll über einen WLAN Access Point, welcher auch VLAN tagging unterstützt.
Zwischen der sophos UTM und dem AP stehen diverse Switche, und ich bin mir nicht sicher wie ich diese konfigurieren muss.
Ein VLAN ist von Nöte, da das Gast-WiFi ungeschützt sein soll und zur Voucher-URL der Sophos weitergeleitet wird.
Netzwerkaufbau:
sophos UTM9 <--> Switch A (HP1810G-24) <--> Switch B (HP1810G-24) <--> Switch C (Unmanaged Switch 16 Port) <--> Switch D (HP1810G-8) <--> TP Link WLAN AP
Erklärung:
Bisher laufen bei uns im Netzwerk die Switche noch out of the box, sprich nur mit dem Standard VLAN 1.
Ich habe gestern bereits Testweise ein zweites VLAN hinzugefügt an Switch A und D, und wie folgt konfiguriert:
SWITCH A:
VLAN 1: physikalischer Port der sophos UTM auf E (Exclude)
VLAN 2: physikalischer Port der sophos UTM auf T (TAG)
SWITCH D:
VLAN 1: physikalischer Port des WLAN AP auf E (Exclude)
VLAN 2: physikalischer Port des WLAN AP auf T (TAG)
Eigentlich sollte doch nun einem Paket das VLAN2 getagged werden, und die Schnittstelle der sophos UTM aus VLAN 1 nicht mehr erreichbar sein.
Ich habe gestern nebenbei einen ping von einem PC aus VLAN 1 auf die UTM durchgeführt, und der Ping geht trotzdem noch durch, obwohl ich auf Switch A VLAN1 der sophos excluded habe.
Any idea?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 243361
Url: https://administrator.de/contentid/243361
Printed on: April 16, 2024 at 05:04 o'clock
8 Comments
Latest comment
Hallo Alex980,
nur so eine Frage: warum nutzt due APs von TP Link anstatt der SOPHOS eigenen APs? Ich habe den AP30 in Verbindung mit der UTM als gute Kombination kennengelernt. Ich vermute, dass die Voucherkonfiguration und vor allem die Absicherung des WLAN zum Produktiv-LAN deutlich besser zu realisieren ist, da die Konfiguration ausschließlich auf der UTM stattfindet.
Gruß
Manfred
nur so eine Frage: warum nutzt due APs von TP Link anstatt der SOPHOS eigenen APs? Ich habe den AP30 in Verbindung mit der UTM als gute Kombination kennengelernt. Ich vermute, dass die Voucherkonfiguration und vor allem die Absicherung des WLAN zum Produktiv-LAN deutlich besser zu realisieren ist, da die Konfiguration ausschließlich auf der UTM stattfindet.
Gruß
Manfred
Hi Alex,
unmanaged Switches haben auf dem Weg zum AP nichts, aber auch gar nichts zu suchen!
Es müssen auf allen Switchen die beiden benötigten VLANs konfiguriert werden.
auf den Uplinks muss das Gast-VLAN in jedem Fall getaggt sein, das ander VLAN kann evtl. ungetaggt bleiben.
Und ausserdem kannst du auf eine uplink kein VLAN aussperren (hier dein VLAN1 mit exlude)
Jetzt bist du mit den Ideen dran.
Und lies dir die vielen Tutorials (Anleitungen) zu VLANs hier auf der Seite durch.
Gruß
Netman
unmanaged Switches haben auf dem Weg zum AP nichts, aber auch gar nichts zu suchen!
Es müssen auf allen Switchen die beiden benötigten VLANs konfiguriert werden.
auf den Uplinks muss das Gast-VLAN in jedem Fall getaggt sein, das ander VLAN kann evtl. ungetaggt bleiben.
Und ausserdem kannst du auf eine uplink kein VLAN aussperren (hier dein VLAN1 mit exlude)
Jetzt bist du mit den Ideen dran.
Und lies dir die vielen Tutorials (Anleitungen) zu VLANs hier auf der Seite durch.
Gruß
Netman
danke für eure Antworten.
@manfred: ich hatte den TP-Link noch übrig und wollte ihn gerne testen. Die ganze Umgebung ist keine produktive Firmenumgebung, sondern eine private Teststellung bei mir Zuhause. Das Ganze ist dann immer eine Kostenfrage ;)
@mr.netman: danke für deine aufschlussreiche Antwort. Dass unmanaged Switche dann das VLAN Tag verschlucken, war mir nicht bewusst.
Ich werde dann Testweise erstmal den WLAN AP direkt an den Switch A hängen um zu testen, ob ich so einen Schritt weiter komme.
Könntest du mir noch mal näher erläutern, was du hier mit genau meinst?
"auf den Uplinks muss das Gast-VLAN in jedem Fall getaggt sein, das ander VLAN kann evtl. ungetaggt bleiben.
Und ausserdem kannst du auf eine uplink kein VLAN aussperren (hier dein VLAN1 mit exlude)"
Ich hab das jetzt so aufgefasst, was auch einleuchtend klingt:
Mit Uplink meinst du die beiden Ports die Switch A und bspw. Switch B verbinden?
@manfred: ich hatte den TP-Link noch übrig und wollte ihn gerne testen. Die ganze Umgebung ist keine produktive Firmenumgebung, sondern eine private Teststellung bei mir Zuhause. Das Ganze ist dann immer eine Kostenfrage ;)
@mr.netman: danke für deine aufschlussreiche Antwort. Dass unmanaged Switche dann das VLAN Tag verschlucken, war mir nicht bewusst.
Ich werde dann Testweise erstmal den WLAN AP direkt an den Switch A hängen um zu testen, ob ich so einen Schritt weiter komme.
Könntest du mir noch mal näher erläutern, was du hier mit genau meinst?
"auf den Uplinks muss das Gast-VLAN in jedem Fall getaggt sein, das ander VLAN kann evtl. ungetaggt bleiben.
Und ausserdem kannst du auf eine uplink kein VLAN aussperren (hier dein VLAN1 mit exlude)"
Ich hab das jetzt so aufgefasst, was auch einleuchtend klingt:
Mit Uplink meinst du die beiden Ports die Switch A und bspw. Switch B verbinden?
Ja, Uplinks sind die Ports, die die Geräte verbinden: Switch zu Switch oder Switch zu WLAN-AP oder Switch zu UTM.
Dies Ports müssen ja die VLANs tragen und auch sauber trennen.
Deshalb müssen am Uplink immer beide VLANs konfiguriert sein. Getaggt heißt, dass die Pakete mit der VLAN-Erweiterung transportiert werden und so einem externen Gerät, einem zweiten Switch so zur verfügung gestellt werden. Der muss natürlich damit umgehen können.
Schau mal bei @aqui vorbei VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das sind neben Bildern auch Konfigurationsbeispiele.
Gruß Netman
Dies Ports müssen ja die VLANs tragen und auch sauber trennen.
Deshalb müssen am Uplink immer beide VLANs konfiguriert sein. Getaggt heißt, dass die Pakete mit der VLAN-Erweiterung transportiert werden und so einem externen Gerät, einem zweiten Switch so zur verfügung gestellt werden. Der muss natürlich damit umgehen können.
Schau mal bei @aqui vorbei VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das sind neben Bildern auch Konfigurationsbeispiele.
Gruß Netman
1
Okay, danke für die Aufklärung.
Ich hab mich etwas eingelesen und wollte nun folgende Konfig testen:
UTM an Port 1 des HP1810
WLAN AP an Port 2 des HP1810
GAST Interface an der UTM auf VLAN ID 2 taggen
GAST SSID am WLAN AP auf VLAN ID 2 taggen
INTERN SSID am WLAN AP auf VLAN ID 1 taggen
Thereotisch (!) sollte es doch reichen, wenn ich beide Ports am Switch wie folgt konguriere:
Port 1 ->
VLAN ID 1: Untagged
VLAN ID 2: Untagged
Port 2 ->
VLAN ID 1: Untagged
VLAN ID 2: Untagged
Das Tagging am Switch muss ich doch nur machen, wenn ich Switch-übergreifend mit VLANs arbeiten möchte, und nicht wenn ich VLANs innerhalb eines Switches benutze, korrekt?
Habe ich sonst etwas übersehen oder falsch aufgefasst?
Ich hab mich etwas eingelesen und wollte nun folgende Konfig testen:
UTM an Port 1 des HP1810
WLAN AP an Port 2 des HP1810
GAST Interface an der UTM auf VLAN ID 2 taggen
GAST SSID am WLAN AP auf VLAN ID 2 taggen
INTERN SSID am WLAN AP auf VLAN ID 1 taggen
Thereotisch (!) sollte es doch reichen, wenn ich beide Ports am Switch wie folgt konguriere:
Port 1 ->
VLAN ID 1: Untagged
VLAN ID 2: Untagged
Port 2 ->
VLAN ID 1: Untagged
VLAN ID 2: Untagged
Das Tagging am Switch muss ich doch nur machen, wenn ich Switch-übergreifend mit VLANs arbeiten möchte, und nicht wenn ich VLANs innerhalb eines Switches benutze, korrekt?
Habe ich sonst etwas übersehen oder falsch aufgefasst?
tagging nur aktivieren wenn es unterstützt und gebraucht wird...
Wenn du also 2 Switches verbindest brauchst du auf den Ports x das vlan 1 und 2, also musst du den vlan tag aktivieren, da sonst zwischen den vlans nicht unterschieden werden kann...
ob du mit/ohne vlan tag zur utm, wlan ap fährst kommt auf das Gerät drauf an...
Mit deinem unmanaged switch wird das allerdings nichts... der versteht keine vlan tags
Wenn du also 2 Switches verbindest brauchst du auf den Ports x das vlan 1 und 2, also musst du den vlan tag aktivieren, da sonst zwischen den vlans nicht unterschieden werden kann...
ob du mit/ohne vlan tag zur utm, wlan ap fährst kommt auf das Gerät drauf an...
Mit deinem unmanaged switch wird das allerdings nichts... der versteht keine vlan tags
Jau, der eine unmanaged wird auch ausgetauscht gegen einen kleinen Managed.
Ich konnte das ganze gestern erfolgreich testen.
Vlan1 untagged auf den entsprechend Ports und vlan2 tagged. Läuft! Danke für die Unterstützung.
Ich konnte das ganze gestern erfolgreich testen.
Vlan1 untagged auf den entsprechend Ports und vlan2 tagged. Läuft! Danke für die Unterstützung.
Port 1 ->
VLAN ID 1: Untagged
VLAN ID 2: Untagged
Port 2 ->
VLAN ID 1: Untagged
VLAN ID 2: Untagged
VLAN ID 1: Untagged
VLAN ID 2: Untagged
Port 2 ->
VLAN ID 1: Untagged
VLAN ID 2: Untagged
Zwei untagged VLANs auf einem Port geht nicht, wenn ein untagged und x beliebige tagged, oder alle tagged, aber nicht mehr als ein untagged.