10
VLAN mit Zyxel gs1900-24 - Management-Interface nicht erreichbar
Moin!
Ich wage erste Schritte im Feld VLAN und komme trotz etlicher Stunden Recherche im Internet nun nicht weiter. Irgendwo scheint es noch am Verständnis der Zusammenhänge zu mangeln, so dass ich einen Input bräuchte.
Ausgangssituation:
Router/Modem Fritzbox 7490 an Telekom VDSL, IP 192.168.0.1
Zyxel gs1900-24 Switch, Auslieferungszustand mit geänderter festen IP auf 192.168.0.2
Fritzbox mit DHCP (20-200) eingeschaltet
1 Kabel Fritzbox <--> Switch
iMac, Drucker, weitere Hardware an Switch per LAN (teils Adr- per DHCP, teils fest im Bereich 3-19)
Mobilgeräte an FritzBox per WLAN
Gewünschter Endzustand:
2 getrennte Netz für privat und Gast,
dazu 1*LAN für Gast, 15*LAN für privat
kein WLAN auf Fritzbox (ungünstiger Standpunkt)
zwei AP für WLAN (UAP AC-PRO irgendwann im Zulauf)
WLAN mit 2 SSID, 1*privat, 1*Gast
strikte Trennung der Netze
Klingt eigentlich nicht so schwer, dachte ich, und hatte folgende Konfiguration im Kopf:
Aktivierung Fritzbox "Gastnetz über LAN" (vergibt Adressen in anderem IP-Bereich)
Einrichtung 2er VLAN im Switch (Default VLAN unangetastet, VLAN10=privat und VLAN20=Gast)
Port 1-16 mit PVID=10 und VLAN10 untagged.
Port 23/24 mit PVID=20 und VLAN20 untagged
Kabel Fritzbox Port 1 <--> Switch Port 1 (liefert DHCP für VLAN10)
Kabel Fritzbox Port 4 <--> Switch Port 23 (liefert DHCP für VLAN20)
WLAN AP noch nicht konfiguriert, das soll später folgen (Port 21/22 mit beiden VLAN tagged).
Ich habe das alles so im Switch konfiguriert und verkabelt. Dann per Laptop einmal in einen Port 2-16 gesteckt -> Fritzbox vergibt Adresse im Bereich 192.168.0.x (x=20 bis 200), dann in Port 24 gesteckt -> Fritzbox vergibt Adresse im Bereich des Gastnetzes (ich glaube es war 192.168.179.x). Soweit schien alles zu klappen.
Dann wollte ich auf den Switch zugreifen und die weitere Konfiguration angehen... keine Verbindung mehr aus meinem VLAN privat auf das Interface unter 192.168.0.2. Erst, nachdem ich dann in einen "unkonfigurierten" Port 17-22 gegangen bin (da gibt es dann keine IP vom DHCP mehr), konnte ich nach manueller Vergabe einer IP für meinen Laptop auf den Switch zugreifen, allerdings elend träge. Ich gehe davon aus (nach etlichen Seiten Lektüre), dass es daran liegt, dass das Interface des Switch nur auf dem default VLAN1 liegt.
Und seither stelle ich mich mehr als blöd an, den Switch so zu konfigurieren, dass ich vom Port 1 (=VLAN 10 untagged, da hängt mein iMac dran) auf den Switch zugreifen kann. Ich habe schon virtuelle VLAN im MacOS angelegt, den Port 1 auf tagged gestellt für 1 und 10, kein Erfolg. Das virtuelle Interface mit ID10 bekommt sofort eine IP aus dem gültigen Bereich, aber ich komme nicht auf den Switch.
Ich bitte um eine kurze Hilfe, denn irgendwie ist das Hirn momentan wohl zu verknotet vor lauter tagged, untagged, PVID, etc. Ich komme mit dem Gedanken hinter default VLAN1 nicht zurecht und hänge gerade...
Wie muss ich den gs1900-24 korrekt konfigurieren, wenn ich am Port 1 mit meinem iMac sowohl Zugriff auf das private VLAN mit ID 10 haben möchte UND Zugriff auf den Switch bekomme? Muss ich ggf. dem Switch eine andere feste IP geben (Kollision)?
Danke
Michael
Ich wage erste Schritte im Feld VLAN und komme trotz etlicher Stunden Recherche im Internet nun nicht weiter. Irgendwo scheint es noch am Verständnis der Zusammenhänge zu mangeln, so dass ich einen Input bräuchte.
Ausgangssituation:
Router/Modem Fritzbox 7490 an Telekom VDSL, IP 192.168.0.1
Zyxel gs1900-24 Switch, Auslieferungszustand mit geänderter festen IP auf 192.168.0.2
Fritzbox mit DHCP (20-200) eingeschaltet
1 Kabel Fritzbox <--> Switch
iMac, Drucker, weitere Hardware an Switch per LAN (teils Adr- per DHCP, teils fest im Bereich 3-19)
Mobilgeräte an FritzBox per WLAN
Gewünschter Endzustand:
2 getrennte Netz für privat und Gast,
dazu 1*LAN für Gast, 15*LAN für privat
kein WLAN auf Fritzbox (ungünstiger Standpunkt)
zwei AP für WLAN (UAP AC-PRO irgendwann im Zulauf)
WLAN mit 2 SSID, 1*privat, 1*Gast
strikte Trennung der Netze
Klingt eigentlich nicht so schwer, dachte ich, und hatte folgende Konfiguration im Kopf:
Aktivierung Fritzbox "Gastnetz über LAN" (vergibt Adressen in anderem IP-Bereich)
Einrichtung 2er VLAN im Switch (Default VLAN unangetastet, VLAN10=privat und VLAN20=Gast)
Port 1-16 mit PVID=10 und VLAN10 untagged.
Port 23/24 mit PVID=20 und VLAN20 untagged
Kabel Fritzbox Port 1 <--> Switch Port 1 (liefert DHCP für VLAN10)
Kabel Fritzbox Port 4 <--> Switch Port 23 (liefert DHCP für VLAN20)
WLAN AP noch nicht konfiguriert, das soll später folgen (Port 21/22 mit beiden VLAN tagged).
Ich habe das alles so im Switch konfiguriert und verkabelt. Dann per Laptop einmal in einen Port 2-16 gesteckt -> Fritzbox vergibt Adresse im Bereich 192.168.0.x (x=20 bis 200), dann in Port 24 gesteckt -> Fritzbox vergibt Adresse im Bereich des Gastnetzes (ich glaube es war 192.168.179.x). Soweit schien alles zu klappen.
Dann wollte ich auf den Switch zugreifen und die weitere Konfiguration angehen... keine Verbindung mehr aus meinem VLAN privat auf das Interface unter 192.168.0.2. Erst, nachdem ich dann in einen "unkonfigurierten" Port 17-22 gegangen bin (da gibt es dann keine IP vom DHCP mehr), konnte ich nach manueller Vergabe einer IP für meinen Laptop auf den Switch zugreifen, allerdings elend träge. Ich gehe davon aus (nach etlichen Seiten Lektüre), dass es daran liegt, dass das Interface des Switch nur auf dem default VLAN1 liegt.
Und seither stelle ich mich mehr als blöd an, den Switch so zu konfigurieren, dass ich vom Port 1 (=VLAN 10 untagged, da hängt mein iMac dran) auf den Switch zugreifen kann. Ich habe schon virtuelle VLAN im MacOS angelegt, den Port 1 auf tagged gestellt für 1 und 10, kein Erfolg. Das virtuelle Interface mit ID10 bekommt sofort eine IP aus dem gültigen Bereich, aber ich komme nicht auf den Switch.
Ich bitte um eine kurze Hilfe, denn irgendwie ist das Hirn momentan wohl zu verknotet vor lauter tagged, untagged, PVID, etc. Ich komme mit dem Gedanken hinter default VLAN1 nicht zurecht und hänge gerade...
Wie muss ich den gs1900-24 korrekt konfigurieren, wenn ich am Port 1 mit meinem iMac sowohl Zugriff auf das private VLAN mit ID 10 haben möchte UND Zugriff auf den Switch bekomme? Muss ich ggf. dem Switch eine andere feste IP geben (Kollision)?
Danke
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 294904
Url: https://administrator.de/contentid/294904
Printed on: April 18, 2024 at 07:04 o'clock
10 Comments
Latest comment
Moin,
eigentlich ganz einfach
Entweder du konfigurierst die IP des Switches in dein VLAN10 oder nutzt einfach das VLAN1 für dein internes Netz.
VG
Val
eigentlich ganz einfach
Entweder du konfigurierst die IP des Switches in dein VLAN10 oder nutzt einfach das VLAN1 für dein internes Netz.VG
Val
Hi Val,
ja - so "einfach" hatte ich mir das auch vorgestellt. Mein VLAN10 entspricht ja im Prinzip der Ausgangskonfiguration, davon abgetrennt habe ich das VLAN20 für Gäste.
Der Router ist an einem VLAN10 untagged Port auf IP 192.168.0.1 fest, der Switch auf IP 192.168.0.2 fest und DHCP vergibt von 20-200 die freien Adressen. Meiner Meinung nach ist der Switch also im IP-Bereich des VLAN10 (außerhalb des DHCP Scopes) und es sollte klappen. Leider erfolgt keine Anzeige, wenn ich die IP des Switch wie zuvor im Browser eingebe.
"Einfach" das VLAN1 benutzen... tja - dies scheint Teil meines Hirnknotens zu sein. Wie "benutze" ich es denn, wenn der Port als VLAN10 untagged quasi der VLAN-ID 10 fest zugeordnet ist?
Gruß
Michael
ja - so "einfach" hatte ich mir das auch vorgestellt. Mein VLAN10 entspricht ja im Prinzip der Ausgangskonfiguration, davon abgetrennt habe ich das VLAN20 für Gäste.
Der Router ist an einem VLAN10 untagged Port auf IP 192.168.0.1 fest, der Switch auf IP 192.168.0.2 fest und DHCP vergibt von 20-200 die freien Adressen. Meiner Meinung nach ist der Switch also im IP-Bereich des VLAN10 (außerhalb des DHCP Scopes) und es sollte klappen. Leider erfolgt keine Anzeige, wenn ich die IP des Switch wie zuvor im Browser eingebe.
"Einfach" das VLAN1 benutzen... tja - dies scheint Teil meines Hirnknotens zu sein. Wie "benutze" ich es denn, wenn der Port als VLAN10 untagged quasi der VLAN-ID 10 fest zugeordnet ist?
Gruß
Michael
ja - so "einfach" hatte ich mir das auch vorgestellt. Mein VLAN10 entspricht ja im Prinzip der Ausgangskonfiguration, davon abgetrennt habe ich das VLAN20 für Gäste.
Was heißt es entspricht der Ausgangskonfiguration? Du hast neben VLAN1 noch VLAN10 sowie VLAN20 angelegt richtig?"Einfach" das VLAN1 benutzen... tja - dies scheint Teil meines Hirnknotens zu sein. Wie "benutze" ich es denn, wenn der Port als VLAN10 untagged quasi der VLAN-ID 10 fest zugeordnet ist?
Den Port auf VLAN1 untagged setzen oder die Management IP in das VLAN10 schieben Auf Seite 93 der Dokumentation sieht man schön unten den Punkt "Management VLAN":
ftp://ftp.zyxel.com/GS1900-24/user_guide/GS1900-24_V1_Ed2.pdf
Zitat von @119944:
Was heißt es entspricht der Ausgangskonfiguration? Du hast neben VLAN1 noch VLAN10 sowie VLAN20 angelegt richtig?
Ja, genau. Wobei VLAN10 alle Komponenten enthält, die ja vorher am "unkonfigurierten" Switch hingen, also VLAN1 (wenn ich das richtig sehe). VLAN20 soll dann zukünftig getrennt vom Rest die Gäste versorgen.Was heißt es entspricht der Ausgangskonfiguration? Du hast neben VLAN1 noch VLAN10 sowie VLAN20 angelegt richtig?
Den Port auf VLAN1 untagged setzen oder die Management IP in das VLAN10 schieben
Auf Seite 93 der Dokumentation sieht man schön unten den Punkt "Management VLAN":
ftp://ftp.zyxel.com/GS1900-24/user_guide/GS1900-24_V1_Ed2.pdf
Wenn also der Switch mit seiner fixen IP im Bereich des VLAN10 liegt und ich Management VLAN dann auf 10 stelle, kann ich (wenn keine Adresskollision vorliegt) von allen Ports, die als VLAN10 untagged konfiguriert sind, wieder auf die Weboberfläche des Switch, richtig?Eine Nachfrage ergibt sich noch... stelle ich den Port 1 auf VLAN1 untagged, dann gehört dieser doch nicht mehr zum VLAN10 und ich würde vom DHCP aus dem VLAN10 keine IP bekommen, oder? Das wäre dann quasi so, als wenn ich den iMac umstecke auf einen der oben beschriebenen "originalen" Ports 17-22.
Stellt man dann "normalerweise" einen extra PC auf, der als Management-Rechner als einziger Zugriff auf VLAN1 hat, um quasi die User vom Management-Teil des Netzes zu trennen?
Gruß
Michael
P.S.: Sehe ich das richtig, dass das "einzige" Problem in meiner Konfig ist, dass ich keinen DHCP im VLAN1 habe? Sonst würde einfaches Umstecken des iMac auf einen VLAN1 untagged Port reichen, um auf das Manegement Zugriff zu bekommen? Wenn dem so ist, dann hätte es für meine Zwecke doch auch gereicht, wenn ich nur ein Gäste VLAN20 neben dem Default eingerichtet hätte. Dann bekämen alle Gäste eine IP aus dem Gastnetz und VLAN1 als Standard eine aus dem privaten Bereich. Dann müssten im AP später das private WLAN als VLAN1 und das Gäste-WLAN als VLAN20 getagged werden? VLAN10 wäre somit überflüssig?
Das hiesige Tutorial zu dem Thema hast du gelsen ??:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Beachte immer das das Management Interface IMMER per Default im VLAN 1 liegt ! Du musst also immer sicherstellen das das VLAN 1 von deinem Client der das management Interface erreichen muss erreichbar bleibt !
Außerdem kannst du die aktuelle IP Adressvergabe auf dem iMac auch immer mit ifconfig im Terminal sehen !
Das Management Interface muss logischerweise pingbar sein damit es erreicht werden kann.
Man kann aber logischerweise das ManagmentInterface des Switches über das Switchsetup auch in ein anderes VLAN verlegen.
Hier mal am Beispiel eine billigen Cisco SG-200 Switches wie man das macht:
Das sollte deine Zyxel Gurke auch allemal können im Setup !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Beachte immer das das Management Interface IMMER per Default im VLAN 1 liegt ! Du musst also immer sicherstellen das das VLAN 1 von deinem Client der das management Interface erreichen muss erreichbar bleibt !
dass ich keinen DHCP im VLAN1 habe? Sonst würde einfaches Umstecken des iMac auf einen VLAN1 untagged Port reichen
Die Frage kannst doch nur du selber beantworten. Wo können wir raten in welchem VLAN IP Segment du einen DHCP Server hast und wo nicht...?!Außerdem kannst du die aktuelle IP Adressvergabe auf dem iMac auch immer mit ifconfig im Terminal sehen !
Das Management Interface muss logischerweise pingbar sein damit es erreicht werden kann.
Man kann aber logischerweise das ManagmentInterface des Switches über das Switchsetup auch in ein anderes VLAN verlegen.
Hier mal am Beispiel eine billigen Cisco SG-200 Switches wie man das macht:
Das sollte deine Zyxel Gurke auch allemal können im Setup !
Hi aqui,
danke für den Link, das hatte ich wahrlich übersehen.
Grundsätzlich konnte ich aber nicht wirklich etwas mit dem Management VLAN anfangen, so dass ich mich mit meiner Konfiguration selbst aus dem Interface des Zyxel ausgesperrt hatte. Ich habe jetzt das Management VLAN auf 10 gelegt (=privates VLAN), so dass ich nun wieder von all meinen Rechnern auf den Switch zugreifen kann. Wie ich vom Hersteller des im Zulauf befindlichen WLAN AP erfahren habe, liegt deren Management VLAN wohl grundsätzlich auf 10, so dass hier keine Startschwierigkeiten durch unerreichbare Interfaces zu erwarten sind.
Momentan "spiele" ich ja nur privat mit VLAN und Netzwerk-Management. Da ich nicht gleich alle Hardware neu anschaffen will, muss meine Fritzbox 7490 als Router her halten. Wie oben beschriebe, stellt diese 2 DHCP-Server bereit, jeweils an einem LAN Port- Ich kann nicht einstellen, über einen Port mit Tags versehene DHCP-Anfragen für verschiedene VLAN bereit zu stellen.
Da ich - sollte Management im VLAN 1 bleiben - dann aber einen DHCP-Server zu wenig habe (1*Management, 1*privat, 1*gast), hat der Zugang zum VLAN1 bei meiner Konfig nicht funktioniert, mangels zugewiesener Adresse. Aber momentan läuft es ja, wenn auch nicht "mustergültig" getrennt von den normalen Nutzern des Netzes.
Alles schonmal danke für die Tips, Hinweise und Links!
P.S: Off Topic noch eine Frage... wieso gibst Du dem Zyxel gs1900-24 das Attribut "Gurke"? Kann der Switch etwas besonders schlecht, was den Einsatz in privater Umgebung verbietet oder die Investition mit 100% Aufschlag in einen CISCO rechtfertigt? Es ist mein erster Switch mit Management-Funktion und Preis/Leistung war nach meiner Recherche hervorragend.
danke für den Link, das hatte ich wahrlich übersehen.
Grundsätzlich konnte ich aber nicht wirklich etwas mit dem Management VLAN anfangen, so dass ich mich mit meiner Konfiguration selbst aus dem Interface des Zyxel ausgesperrt hatte. Ich habe jetzt das Management VLAN auf 10 gelegt (=privates VLAN), so dass ich nun wieder von all meinen Rechnern auf den Switch zugreifen kann. Wie ich vom Hersteller des im Zulauf befindlichen WLAN AP erfahren habe, liegt deren Management VLAN wohl grundsätzlich auf 10, so dass hier keine Startschwierigkeiten durch unerreichbare Interfaces zu erwarten sind.
Momentan "spiele" ich ja nur privat mit VLAN und Netzwerk-Management. Da ich nicht gleich alle Hardware neu anschaffen will, muss meine Fritzbox 7490 als Router her halten. Wie oben beschriebe, stellt diese 2 DHCP-Server bereit, jeweils an einem LAN Port- Ich kann nicht einstellen, über einen Port mit Tags versehene DHCP-Anfragen für verschiedene VLAN bereit zu stellen.
Da ich - sollte Management im VLAN 1 bleiben - dann aber einen DHCP-Server zu wenig habe (1*Management, 1*privat, 1*gast), hat der Zugang zum VLAN1 bei meiner Konfig nicht funktioniert, mangels zugewiesener Adresse. Aber momentan läuft es ja, wenn auch nicht "mustergültig" getrennt von den normalen Nutzern des Netzes.
Alles schonmal danke für die Tips, Hinweise und Links!
P.S: Off Topic noch eine Frage... wieso gibst Du dem Zyxel gs1900-24 das Attribut "Gurke"? Kann der Switch etwas besonders schlecht, was den Einsatz in privater Umgebung verbietet oder die Investition mit 100% Aufschlag in einen CISCO rechtfertigt? Es ist mein erster Switch mit Management-Funktion und Preis/Leistung war nach meiner Recherche hervorragend.
Wie ich vom Hersteller des im Zulauf befindlichen WLAN AP erfahren habe, liegt deren Management VLAN wohl grundsätzlich auf 10, so dass hier keine Startschwierigkeiten durch unerreichbare Interfaces zu erwarten sind.
Mhh komisch, bei meinen Cisco WAP561 APs liegt das Management Interface im untagged VLAN1.P.S: Off Topic noch eine Frage... wieso gibst Du dem Zyxel gs1900-24 das Attribut "Gurke"? Kann der Switch etwas besonders schlecht, was den Einsatz in privater Umgebung verbietet oder die Investition mit 100% Aufschlag in einen CISCO rechtfertigt? Es ist mein erster Switch mit Management-Funktion und Preis/Leistung war nach meiner Recherche hervorragend.
Kann dir jetzt nicht sagen was dort schlecht ist aber wenn er deine Anforderungen erfüllt passt das doch.Aber die SG Reihe von Cisco (vorallem SG300/SG500) ist für kleine Unternehmen wirklich Klasse! Echtes Wirespeed Routing und Stacking findet man zu diesem Preis sonst nirgendwo.
Vorallem im privaten Bereich und bei reiner L2 Nutzung sollte der Switch problemlos ausreichen.
VG
Val
Mhh komisch, bei meinen Cisco WAP561 APs liegt das Management Interface im untagged VLAN1.
Ich bekomme hoffentlich Montag meinen Ubiquiti UAP-AC-Pro. Der Service gab mir diesen Link bzgl. Fragen zum VLAN. Dort ist beschrieben
"...Create WLAN “vlan10_mgmt” (e.g.), wpa-psk security. Do NOT set VLAN ID. This is because the VLAN 10 is already untagged on the AP plugged-in ports so we will let switch take care of that."
Da ich ja jetzt mein als privat geplantes VLAN 10 bereits für den Switch auch als Management-VLAN benutze, sollte eigentlich alles funktionieren.
Ggf. ersetze ich demnächst meine Fritzbox durch einen Draytek 2860, der soll ein gutes VDSL-Modem haben und vor allem DHCP für unterschiedliche VLAN bereits in der Konfiguration anbieten, was die Fritzbox ja nicht kann.
Gruß
Michael
Das VLAN 10 ist untagged eingerichtet also ist es völlig egal an welches untagged VLAN du den AP steckst weil kein VLAN Tag vorhanden ist
befindlichen WLAN AP erfahren habe, liegt deren Management VLAN wohl grundsätzlich auf 10,
Das ist natürlich Blödsinn und zeigt das der Hotline Mitarbeiter der Firma nicht wirklich weis wovon er redet...aber egal.Das Management eines VLAN fähigen Gerätes liegt IMMER im VLAN 1 sprich dem Standard der immer untagged aus dem Gerät kommt.
In welches VLAN du das vorwardest bestimmst nur du allein mit der Switchkonfig bzw. dem Switchport und seiner Konfig in welches VLAN der untagged Pakets forwardet. In der Regel ist das das VLAN 1 aber mit entsprechender Konfig forwardet er das in jeses VLAN was du willst.
Die Aussage des Herstellers ist also technischer Blödsinn...aber egal.
Der Zyxel gehört schon zu den gehobenen Switches aus Feature Sicht. In einer privaten Umgebung machst du also auf keinen Fall etwas falsch mit den "Edelgurken"
