humbeldi
Goto Top

Access Point (VLAN, Multi-SSID) legt Netzwerk lahm

Einen wunderschönen guten Tag zusammen!

Da unser kleines Unternehmen zunehmend Besuch von Gästen empfängt, die gerne auch mal mit Ihren Geräten eine schnelle Internetverbindung nutzen möchten, habe ich mich in den letzten Tagen mit dem Thema VLAN beschäftigt. Bisher hatte ich noch keine Berührung mit VLANs, da nicht notwendig (kleines Netzwerk mit insgesamt 30 Rechnern plus zwei Netzwerkdrucker und ein NAS).

Ziel ist es, zwei WLANs über einen Multi-SSID-fähigen Access Point (TP-Link AC1900 AP500) zu betreiben. Wir haben einen Cisco SG500X-48 als L3-Switch (192.168.1.2), daran angeschlossen einen Draytek-Router (192.168.1.1) für die Internet-Geschichte und einen Cisco SG300-28 (192.168.1.3) im L2-Mode für die Rechner im 1. OG. In den Switches habe ich dazu das zusätzliche VLAN 20 für die Gäste eingerichtet, dem L3-Switch eine zweite IP-Adresse (192.168.20.2) gegeben, einen zusätzlichen DHCP-Pool im L3-Switch angelegt und eine statische Rute im Draytek eingerichtet.

Der Uplink zwischen L2- und L3-Switch ist folgendermaßen konfiguriert: Trunk - 1UP, 20T. Lege ich nun irgendeinen Port, egal auf welchem Switch, als Access-Port für VLAN 20 an und schließe dort einen Rechner an, bekommt er eine IP-Adresse aus dem richtigen Pool, das Routing funktioniert korrekt und über Access Listen kann ich die Zugriffe steuern - alles wunderbar also.

Nun zu meinem persönlichen Mysterium: dem Access Point habe ich die IP-Adresse 192.168.1.254 gegeben und er läuft im Multi-SSID-Modus (SSID "Intern" im VLAN 1, SSID "Gaeste" im VLAN 20). Um die WLAN-Ausleuchtung zu testen, habe ich den AP zunächst im 1. OG aufgestellt, also am L2-Switch. Dazu habe ich einen Port als Trunk (1UP, 20T) konfiguriert, den AP dort angeschlossen und es funktioniert - wunderbar! Aber.... Versuche ich das gleiche Spiel am L3-Switch, wird das gesamte Netzwerk lahmgelegt, sobald ich den AP einschalte. Die Windows-Clients erhalten die berühmte Meldung "Kein Internetzugriff" und niemand kann irgendwen anpingen.

Hat jemand eine Erklärung für dieses Phänomen? Ich bin mit meinem (zugegebenermaßen sehr begrenztem) Latein leider am Ende und Tante Google konnte mir auch nicht weiterhelfen. Eine Lösung wäre natürlich, den AP einfach an den L2-Switch im 1. OG anzuschließen. Dann wäre die WLAN-Ausleuchtung im EG allerdings ungenügend und dort halten sich die Gäste erfahrungsgemäß die meiste Zeit auf... Und außerdem möchte ich gerne wissen, wie man es richtig macht. face-smile

Vielen lieben Dank schon mal im Voraus!

Edit:
Die Log-Datei des L3-Switches gibt nur folgendes her:

%LINK-I-Up: gi32
%STP-W-PORTSTATUS: gi32: STP status Forwarding
%LINK-W-Down: gi32

Content-Key: 326542

Url: https://administrator.de/contentid/326542

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: ashnod
ashnod 16.01.2017 um 15:05:50 Uhr
Goto Top
Zitat von @humbeldi:
Hat jemand eine Erklärung für dieses Phänomen? Ich bin mit meinem (zugegebenermaßen sehr begrenztem) Latein leider am Ende und Tante

Moin ...

Versuchen wir es mal mit der wahrscheinlichsten Variante ohne alles gelesen zu haben ... face-wink

der TP-Link AC1900 ist ja kein reiner AP sondern ein Router ... ist dieser alsAP eingerichtet und vor allem wichtig!!!! bist du sicher das kein DHCP-Server darauf läuft!?

VG
Ashnod
Mitglied: humbeldi
humbeldi 16.01.2017 um 15:09:26 Uhr
Goto Top
Hallo,

doch, es ist ein reiner AP. Mir ist aber gerade aufgefallen, dass es anscheinend mehrere Varianten unter der Bezeichnung AC1900 gibt... Es ist ein TP-Link AC1900 AP500. face-smile

DHCP ist deaktiviert.
Mitglied: brammer
brammer 16.01.2017 um 15:33:50 Uhr
Goto Top
Hallo,

Durch das STP wird vermutlich der TP_Link als Root Bridge eingetragen und es kommt zu einem Toplogychange in deinem Netz....

Konfiguriere den Port am Cisco einfach als

switchport mode access
 spanning-tree portfast

dann sollte das STP keine Rolle mehr spielen.
Der Switch nimmt dann am diesem Port keine Toplogie Notifications mehr an.

brammer
Mitglied: aqui
aqui 16.01.2017 um 15:34:51 Uhr
Goto Top
Bisher hatte ich noch keine Berührung mit VLANs,
Das hiesige VLAN Tutorial hast du aber gelesen um dich mit den minimalen Basics vertraut zu machen ??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das dortige Praxisbeispiel entspricht exakt dem was du umsetzen willst und sollte alle deine Fragen beantworten.
Access-Port für VLAN 20 an und schließe dort einen Rechner an, bekommt er eine IP-Adresse aus dem richtigen Pool, das Routing funktioniert korrekt und über Access Listen kann ich die Zugriffe steuern - alles wunderbar also.
Das hört sich in der Tat schon mal gut an !
Hast du dann auch gleichzeitig mal getestet ob du aus dem Gast VLAN 20 dann auch eine Internet IP wie z.B. 8.8.8.8 pingen kannst und...ob du DNS Namen auflösen kannst z.B. mit ping www.heise.de ?
Klappt das auch ??
Erst dann kannst du sagen wunderbar...das Routing funktioniert !!
dem Access Point habe ich die IP-Adresse 192.168.1.254 gegeben
Ist auch normal, das ist seine Management IP im VLAN 1 das immer untagged an seinem LAN Port liegt.
wird das gesamte Netzwerk lahmgelegt, sobald ich den AP einschalte.
Mmmhhh... Da stimmt irgendwas mit der Portkonfig an dem Switch nicht. Die Status Message:
%LINK-W-Down: gi32

Sagt ja das der Switch den Port wieder in shhutdown nimmt. Das kann Spanning Tree Ursachen haben sofern du STP laufen lässt auf dem Port ?!
Ober schlicht und einfach das du den Port nicht als Tagged Uplink Port definiert hast. Er sollte als Trunk Port definiert sein und das native VLAN auf dem Default stehen (VLAN 1)
trunk
und eine statische Rute im Draytek eingerichtet.
Ruten hat doch aber eigentlich nur der Nikolaus oder ein Hund ?! face-wink Dein Draytek hat Routen.
Mitglied: humbeldi
humbeldi 16.01.2017 um 15:51:36 Uhr
Goto Top
Zitat von @brammer:

Hallo,

Durch das STP wird vermutlich der TP_Link als Root Bridge eingetragen und es kommt zu einem Toplogychange in deinem Netz....

Konfiguriere den Port am Cisco einfach als

> switchport mode access
>  spanning-tree portfast
> 

dann sollte das STP keine Rolle mehr spielen.
Der Switch nimmt dann am diesem Port keine Toplogie Notifications mehr an.

brammer

Ein Access-Port ist doch untagged für Endgeräte, oder nicht? Dann kann ich doch kein Multi-SSID-Multi-VLAN-Szenario betreiben. Oder habe ich das jetzt falsch interpretiert?
Mitglied: humbeldi
humbeldi 16.01.2017 aktualisiert um 16:03:10 Uhr
Goto Top
Zitat von @aqui:

Das dortige Praxisbeispiel entspricht exakt dem was du umsetzen willst und sollte alle deine Fragen beantworten.
Habe ich mir (mehrmals) durchgelesen und auch so umgesetzt. Vielen Dank an dieser Stelle für das tolle Tutorial!
Erst dann kannst du sagen wunderbar...das Routing funktioniert !!
Wunderbar, das Routing funktioniert! face-wink
Sagt ja das der Switch den Port wieder in shhutdown nimmt. Das kann Spanning Tree Ursachen haben sofern du STP laufen lässt auf dem Port ?!
Ober schlicht und einfach das du den Port nicht als Tagged Uplink Port definiert hast. Er sollte als Trunk Port definiert sein und das native VLAN auf dem Default stehen (VLAN 1)
STP hatte ich testweise auf dem Port deaktiviert, leider ohne Erfolg. Der Port ist als Trunk definiert, mit VLAN 1 untagged und VLAN 20 tagged (in der Web-GUI mit 1UP, 20T bezeichnet).
Mitglied: humbeldi
humbeldi 19.01.2017 um 12:13:42 Uhr
Goto Top
Statusbericht:

Nach viel Herumkonfigurieren, FW-Updates und etlichen Netzwerkunterbrechungen habe ich mir nun einen zweiten AP besorgt, der für das Gäste-WLAN zuständig ist. Unschön, aber es funktioniert... face-smile
Mitglied: aqui
aqui 19.01.2017 aktualisiert um 18:37:51 Uhr
Goto Top
Sehr unschön und umständlich und auch fehlerträchtig und man kann Nachahmern nur dringest abraten solche Lösung zu suchen !
Besser den Fehler finden !
Mit einem billigen 20 Euro Edimax AP wäre das nicht passiert.... Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Nebenbei fällt es sehr schwer zu glauben das ein semiprofessioneller 160 Euro Accesspoint solch eine banale Standard Grundfunktion nicht supportet.
Der Fehler liegt hier ganz klar in der fehlerhaften oder falschen Konfig !