5
Kleines Netzwerk inkl. Gastnetzwerk neu aufziehen. Folgende Geräte sind bereits vorhanden
Es soll ein Privatnetzwerk inkl. einem Gastnetzwerk aufgebaut werden.
Vorhanden sind folgende Geräte:
4 x Cisco WAP371 Accesspoints
1 x Zyxel GS1900-8HP Switch
1 x Fortigate E50 Firewall
Fritzbox 7590 DSL Modem-Router
Das Netzwerk ist bereits vorhanden. Jedoch wird bevorzugt das Netzwerk ohne Fortigate Firewall zu betreiben.
Wenn ich jetzt die Fortigate E50 aus dem Netzwerk entferne und nach dem Switch direkt die Fritzbox 7590 anhänge, klappt zwar der Private WLAN Zugang, jedoch findet das Netzwerk im Gastzugang das Internet nicht.
1. Frage:
ist mein Plan der Umsetzung auf diese Weise überhaupt möglich?
In der Fritzbox besteht die Möglichkeit an LAN Port 4 ein Gastnetzwerk anzuschließen. Die IP Adresse wird von Fritzbox fest vergeben und kann nicht eingestellt werden. Diese findet sich im Bereich 192.168.179.1.
2. In der Cisco Accesspoints ist das Privatnetzwerk mit VLAN ID1 sowie das Gastnetzwerk mit VLAN ID3 bereits eingestellt. Wie wären die korrekten Einstellungen im Zyxel Switch GS1900? Verwirrend für mich sind die Einstellungen im Switch unter VLAN "VLAN Trunk", "Tagged und Untagged". Vermutlich muss im Switch auch die "Guest VLAN ID" sowie der WLAN Port am Ausgang des Switch aktiviert und benannt werden.
3. Es gibt noch Voice VLAN Einstellungen im Switch. Werden diese für mein Vorhaben grundsätzlich benötigt?
4. Zuletzt wäre noch gut zu wissen welche IP Adressen Einstellungen ich wo vornehmen müsste?
Ich hoffe, dass mit diesen Informationen weitergeholfen werden kann.
Vielen Dank schonmal vorweg für Anworten.
Vorhanden sind folgende Geräte:
4 x Cisco WAP371 Accesspoints
1 x Zyxel GS1900-8HP Switch
1 x Fortigate E50 Firewall
Fritzbox 7590 DSL Modem-Router
Das Netzwerk ist bereits vorhanden. Jedoch wird bevorzugt das Netzwerk ohne Fortigate Firewall zu betreiben.
Wenn ich jetzt die Fortigate E50 aus dem Netzwerk entferne und nach dem Switch direkt die Fritzbox 7590 anhänge, klappt zwar der Private WLAN Zugang, jedoch findet das Netzwerk im Gastzugang das Internet nicht.
1. Frage:
ist mein Plan der Umsetzung auf diese Weise überhaupt möglich?
In der Fritzbox besteht die Möglichkeit an LAN Port 4 ein Gastnetzwerk anzuschließen. Die IP Adresse wird von Fritzbox fest vergeben und kann nicht eingestellt werden. Diese findet sich im Bereich 192.168.179.1.
2. In der Cisco Accesspoints ist das Privatnetzwerk mit VLAN ID1 sowie das Gastnetzwerk mit VLAN ID3 bereits eingestellt. Wie wären die korrekten Einstellungen im Zyxel Switch GS1900? Verwirrend für mich sind die Einstellungen im Switch unter VLAN "VLAN Trunk", "Tagged und Untagged". Vermutlich muss im Switch auch die "Guest VLAN ID" sowie der WLAN Port am Ausgang des Switch aktiviert und benannt werden.
3. Es gibt noch Voice VLAN Einstellungen im Switch. Werden diese für mein Vorhaben grundsätzlich benötigt?
4. Zuletzt wäre noch gut zu wissen welche IP Adressen Einstellungen ich wo vornehmen müsste?
Ich hoffe, dass mit diesen Informationen weitergeholfen werden kann.
Vielen Dank schonmal vorweg für Anworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 349283
Url: https://administrator.de/contentid/349283
Printed on: April 25, 2024 at 23:04 o'clock
5 Comments
Latest comment
Hi,
Grundsätzlich sollte das alles mit den gegeben Geräten lösbar sein; wenn auch nicht der "best practice" Weg (bzgl. des Gastzugangs der FB), aber egal.
Fangen wir zunächst mal am Switch an:
Der ist ja VLAN fähig.
Der Unterschied zwischen tagged und untagged ist im Grund ziemlich simpel:
Am Switch musst du also für die obigen Geräte zunächst mal 2 Ports für die Fritzbox vorsehen und einen davon konfigurieren:
Dann musst du ja noch die 4 Cisco-APs anschließen und den Switch passend einrichten:
Mehr ist das nicht.
Du kannst dir dazu auich noch die folgende Anleitung anschauen:
https://www.smallnetbuilder.com/lanwan/lanwan-howto/32507-how-to-segment ...
*Am Besten auch mit dem Switch bei der config anfangen und dann den Rest nachziehen, somit verhinderst du, dass du irgendwelche NetzwerkLoops einbaust
*Das Voice-VLAN wäre nur relevant, wenn du auch VoIP-Clients über das Netzwerk anbindest. Dann priorisiert der Switch diese Pakete. Das macht aber nur sinn, wenn du ein dediziertes VLAN für die Telefonie betreibst, wo dann die FFB aber schon nicht mehr mitspielt.
*Zu den IP-Eintellungen: Nun, alles was von dir administriert wird, sollte im VLAN 1 bleiben. IP ist dann immer 192.168.178.x, 255.255.255.0 und als Gateway die 192.168.178.1. Hierzu zählt das Management-Interface für die Cisco-APs sowie die IP für den Zyxel-Switch. Der Rest wird dann über DHCP abgefakelt und muss nicht gesondert parametrisiert werden.
Mehr zum Thema VLAN kannst du dir hier im Forum durchlesen, wobei die verwendete Hardware zwar eine andere ist, das Prinzip sich dadurch aber nicht verändert: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Edit2:
Beim Einrichten der SSIDs darauf achten, dass
a) du an allen APs die identischen SSIDs, Kennwörter und Authentifizierungstypen wählst, da du dann quasi ein Roaming ermöglichst.
b) alle deine APs auf unterschiedlichen Kanälen funken (können innerhalb eines APs für jede SSID identisch sein), mit einem Abstand von 4 zum nächsten AP
c) du auch WLANs der Nachbarn im Auge behälst, da auch hier für einen störungsfreien/ -armen Betrieb ein Kanalabstand von 4 gewählt werden sollte
Und wenn alles läuft und das für dich relevant ist, kannst du ja noch mit dem in den APs integrierten Captiveortal herumspielen. Dann hast du eine Art freies WLAN, deine Gäste müssen sich aber über ein Portal entsprechend am Wifi anmelden/ registrieren (Ähnlich wie bei Hotels, div. Fastfood-Ketten, Flughäfen, etc.)
Gruß
em-pie
€dit: Typo und ergänzende Infos (*)
Grundsätzlich sollte das alles mit den gegeben Geräten lösbar sein; wenn auch nicht der "best practice" Weg (bzgl. des Gastzugangs der FB), aber egal.
Fangen wir zunächst mal am Switch an:
Der ist ja VLAN fähig.
Der Unterschied zwischen tagged und untagged ist im Grund ziemlich simpel:
- Tagged-Ports sind immer dann sinnvoll, wenn du mehr als nur ein VLAN über ein physisches Medium transportieren willst. In diesem Fall fügen die am Switch angeschlossenen (End-) Geräte selbst die VLAN-ID in das IP-Paket ein. In deinem Fall also die 4 Cisco-APs.
- Untagged-Ports werden immer verwendet, wenn man nur ein VLAN über das Medium transportieren will/ kann. In dem Fall fügt der Switch ebi eintreffen des Paketes die dem Port zugewiesene VLAN-ID in das IP-Paket ein und entfernt es (sofern erforderlich) wenn das Paket wieder auf einen untagged Port den Switch verlässt. In deinem Fall betrifft das 2x die Fritzbox: 1x das Interface 1 (oder 2 bzw. 3) für das Private-LAN und einmal für das Interface 4 für das Guest-LAN.
Am Switch musst du also für die obigen Geräte zunächst mal 2 Ports für die Fritzbox vorsehen und einen davon konfigurieren:
- Port 1 des Switches bleibt untagged im VLAN 1, hier schließt du das Private Netz der Fritzbox an (Interface 1, 2 oder 3)
- Port 2 wird als untagged VLAN 3 gesetzt, hier kommt das Interface 4 der Fritzbox dran.
- *Dann (bevor du das Kabel des Interface 4 am Zyxel anschließt) das Gästenetz an der Fritzbox noch einrichten/ aktivieren)
Dann musst du ja noch die 4 Cisco-APs anschließen und den Switch passend einrichten:
- je für die Ports 5-8 stellst du diese auf untagged VLAN 1 (ist ja schon gesetzt) und auf tagged VLAN 3
- in den APs ordnest du dem VLAN 1 die SSID für die private Nutzung zu und das VLAN 3 für die SSID der Gäste.
Mehr ist das nicht.
Du kannst dir dazu auich noch die folgende Anleitung anschauen:
https://www.smallnetbuilder.com/lanwan/lanwan-howto/32507-how-to-segment ...
*Am Besten auch mit dem Switch bei der config anfangen und dann den Rest nachziehen, somit verhinderst du, dass du irgendwelche NetzwerkLoops einbaust
*Das Voice-VLAN wäre nur relevant, wenn du auch VoIP-Clients über das Netzwerk anbindest. Dann priorisiert der Switch diese Pakete. Das macht aber nur sinn, wenn du ein dediziertes VLAN für die Telefonie betreibst, wo dann die FFB aber schon nicht mehr mitspielt.
*Zu den IP-Eintellungen: Nun, alles was von dir administriert wird, sollte im VLAN 1 bleiben. IP ist dann immer 192.168.178.x, 255.255.255.0 und als Gateway die 192.168.178.1. Hierzu zählt das Management-Interface für die Cisco-APs sowie die IP für den Zyxel-Switch. Der Rest wird dann über DHCP abgefakelt und muss nicht gesondert parametrisiert werden.
Mehr zum Thema VLAN kannst du dir hier im Forum durchlesen, wobei die verwendete Hardware zwar eine andere ist, das Prinzip sich dadurch aber nicht verändert: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Edit2:
Beim Einrichten der SSIDs darauf achten, dass
a) du an allen APs die identischen SSIDs, Kennwörter und Authentifizierungstypen wählst, da du dann quasi ein Roaming ermöglichst.
b) alle deine APs auf unterschiedlichen Kanälen funken (können innerhalb eines APs für jede SSID identisch sein), mit einem Abstand von 4 zum nächsten AP
c) du auch WLANs der Nachbarn im Auge behälst, da auch hier für einen störungsfreien/ -armen Betrieb ein Kanalabstand von 4 gewählt werden sollte
Und wenn alles läuft und das für dich relevant ist, kannst du ja noch mit dem in den APs integrierten Captiveortal herumspielen. Dann hast du eine Art freies WLAN, deine Gäste müssen sich aber über ein Portal entsprechend am Wifi anmelden/ registrieren (Ähnlich wie bei Hotels, div. Fastfood-Ketten, Flughäfen, etc.)
Gruß
em-pie
€dit: Typo und ergänzende Infos (*)
Da die Fritzbox nicht VLAN-fähig ist, benötigst du für diese zwei getrennte Ports, die untagged sind, ein Ports für das interne Netz, ein Port für das Gästenetz. Bei den APs reicht ein Port, internes Netz untagged, Gästenetz tagged. IPs brauchst du nur auf der Fritzbox einstellen, soweit es möglich ist und für die Mananagement-Schnittstellen von Switches und Access Points. Letzteres ist aber nicht zwingend notwendig für den Betrieb, macht es aber ungemein einfacher. Solange die Management-Schnittstellen im internen Netz bleiben, können die die Adresse auch per DHCP beziehen.
Und das Fritz Gastnetz lässt sich in Sekunden überwinden wenn man etwas pfiffig ist. Da dann auf die sichere stateful Firewall zu verzichten und die durch einen billigen Consumer Router zu ersetzen ist schon etwas fahrlässig.
Aber muss ja jeder selber wissen wie wichtig ihm das ist.
Die Fortigate hätte auch .1q VLAN Tagging supportet. Wie man das dann umsetzt erklärt dir dieses Foren Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie gesagt, die FB kann kein Tagging. Da musst du dann wie in der Netzwerk Steinzeit 2 Strippen ziehen auf die beiden VLAN Segmente Privat und Gast.
Aber muss ja jeder selber wissen wie wichtig ihm das ist.
Die Fortigate hätte auch .1q VLAN Tagging supportet. Wie man das dann umsetzt erklärt dir dieses Foren Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wie gesagt, die FB kann kein Tagging. Da musst du dann wie in der Netzwerk Steinzeit 2 Strippen ziehen auf die beiden VLAN Segmente Privat und Gast.
Vielen Dank. Der Beitrag hat mir sehr weitergeholfen. Alles klappt jetzt bestens. War nicht leicht bei solch vielen Einstellungen. Am Ende jedoch hat es wunderbar geklappt. Auch wenn ich mich jetzt noch näher mit "tagged, untagged, forbidden" etc. beschäftigen muss. Viele Grüße!
Vielen Dank für die Info. Evtl. werde ich die Fortigate noch installieren. Für den Anfang war mir wichtig dass ich das Netzwerk möglichst einfach halte und mit Geräten die ich kenne. Fortigate ist sehr umfangreich. Da habe ich leider keine Kontrolle drüber wer sich über das Gerät an meinen Daten so alles bedient. Werde mich aber damit beschäftigen und evtl. nachträglich mit einbauen in das kleine Netzwerk. Viele Grüße!
