Aug 31, 2012

9937

HP Access Point mit Gast WLAN einrichten

Hallo zusammen,

wir haben bei uns mehrere Access Points im Einsatz (HP E-MSM460). Das normale Firmen-WLAN funktioniert auch einwandfrei.
Nun möchte ich für unsere Besucher ein Gast-WLAN zur Verfügung stellen. Wie ich gelesen habe muss ich dafür ein VSC zur erstellen, so dass der Zugriff auf unser LAN nicht gestattet ist, nur Internet.
Jemand eine Idee wie ich das genau mache? Die HP-Anleitung hilft da nicht weiter.

Noch als Info: Wir haben keinen Access Point Controller im Einsatz.

Please also mark the comments that contributed to the solution of the article

Content-Key: 190517

Url: https://administrator.de/contentid/190517

Printed on: April 24, 2024 at 01:04 o'clock

23 Comments

Latest comment

Vielleicht hilft dir das etwas was die grundlegenden Schritte für so eine Einrichtung anbetrifft:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
bzw. hier für ESSID fähige APs:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> Parxisbeispiel.
Ist leider nicht HP Produkt bezogen aber die Konfig Schritte dürften absolut identisch sein, da das bei allen Herstellern so ist !

Dank dir, das wird mir bestimmt weiterhelfen, aber erst werde ich mich mal tiefer in die Materie einlesen müssen.

Damit beschäftige ich mich gerade auch, verwende ebenfalls den HP E-MSM460 und noch ohne Controller (kommt später, da es im Moment schnell gehen muss...). Daher haben bisher Gäste auch noch keinen Zugriff, aber verschiedene WLAN-Netzwerke/SSIDs habe ich schon eingerichtet. Wegen der VLAN-Einrichtung habe ich hier auch noch eine Frage "am laufen" (VLAN-Einrichtung auf HP-Procurve Switch zur Anbindung eines WLAN Access Points mit mehreren SSIDs u. VLANs), mitlerweile klappt die Verbindung auch schon.
Wenn Du noch Fragen hast, kannst du dich ja noch mal melden, u. a. bei der Einrichtung der VLANs für die verschiedenen SSIDs hatte ich auch erst ein paar Probleme, da ich das nicht ganz so intuitiv fand, wenn man weiß wie, gehts aber.

mittlerweile kann ich mich per VLAN schon mit meinem Rechner verbinden. Nun muss ich aber das VLAN durch meinen HP PoE Switch bekommen und dann auf meine Firewall, die dafür DHCP machen soll. Momentan hänge ich noch am PoE Switch, aber wie gesagt, der AP läuft mit dem VLAN quasi schon.

Ist doch ganz einfach:
Port an denen der AP hängt hat alle relevanten VLANs tagged und ebenso analog der Port der zur Firewall geht mit den gleichen Tags.
Achte darauf das das Firewall Interface auch tagged für alle VLANs ist sofern du es wie im o.a. Tutorial beschrieben über ein Interface bedienst.

Als kleine Ergänzung: Das Default-VLAN des Access Points steht standardmäßig auf untagged, darauf muss natürlich bei der Konfiguration des Switches geachtet werden. Also entweder beide Geräte (Switch und AP)für das Default-VLAN auf tagged setzen oder keines.

Wenn er auch billige HP ProCurve Switch Gurken betreibt ist das dort auch der Default !
Zeigt die Konfig auch an.

hi, ich komm da doch noch nicht weiter, habe schon einen HP-Spezi sich das anschauen lassen, aber der konnte mich auch nicht helfen.
Der Switch und die Firewall sind korrekt eingerichtet, es muss am AP liegen. Hast du ein Gateway eingerichtet? Und hattest du auch dein Normales Subnetz + das VLAN oder nur ein VLAN?

Hallo,

was klappt denn noch nicht (Verbindungsaufbau mit dem AP, IP-Adresse per DHCP erhalten, Zugriff aufs Internet?)? Wie schon mal weiter oben geschrieben, haben wir im Moment noch keinen WLAN-Controller, der wird aber bald bestellt. Zurzeit ist für die SSIDs auf den APs unter "Egress VLAN" einfach die entsprechende VID eingetragen. Dies sorgt dafür, dass die Daten der der SSID entsprechend getagged werden. Der physikalische Port1 ist im Moment noch untagged im VLAN 1, die VIDs für die WLAN-Netzwerke sind natürlich getagged. Auf dem Switch im Prinzip genau so: VLAN1 untagged und die VIDs für die WLAN-Netze/SSIDs stehen auf tagged.
Über das VLAN1 ist der AP zu Konfigurationszwecken per SSH und Web-GUI zu erreichen, er hat also ganz normal eine IP-Adresse aus dem Subnetz, wo auch die anderen Geräte aus VLAN1 drinstecken. Für das VLAN-Interface der entsprechenden WLAN-Netzwerke/SSIDs habe ich keine IP-Adresse vergeben, der AP ist also aus dem WLAN heraus auch nicht konfigurierbar, er sorgt also nur für ein Bridging auf Layer 2.
Ach ja, ein Gatway habe ich für das VLAN1 natürlich auch eingerichtet, sodass eine Konfiguration auch aus anderen Subnetzen heraus möglich ist. Inter-VLAN-Routing ist aber selbstverständlich blockiert, sodass die WLAN-Daten komplett isoliert Richtung Internet gehen (Zugriff auf Server usw. kommt erst, wenn der Controller da ist).
Da die E-MSM460er keinen DHCP-Server-Dienst anbieten, läuft auf einem Rechner im Netz, der sich auch im VLAN-Netz der WLAN-Clients befindet ein DHCP-Server (Switch-Port für die VID des WLAN-Netzwerkes steht auf untagged, VLAN1 auf NO).

Das hört sich alles richtig und vernüftig an und ist auch technisch absolut korrekt. Entspricht auch genau dem wie es im Praxistutorial beschrieben ist.
Wo bitte ist denn nun dein Problem ?

also, ich erkläre mal meine Konfig:
einmal habe ich auf den APs ein funktionierendes WLAN für die Mitarbeiter, welches im Subnetz 192.168.248.x läuft. DHCP kommt von DC und Internet über unsere Firewall, läuft alles tutti.

Nun soll ein Gast-WLAN hinzukommen, welches getrennt von unserem LAN arbeitet, aber trotzdem Internet hat. Hier habe ich das Subnetz 192.168.247.x gewählt.
Ich habe ein VLAN auf den AP mit der VID 100 erstellt, welches mit dem Port 1 gemapped ist. Unter VSC habe ich ein GAST-WLAN erstellt und habe "Egress VLAN" auf 100 gestellt.
Auf den angeschlossenen PoE Switch läuft das Patchkabel auf Port 1. Habe auch hier das VLAN 100 erstellt. Port 1 ist ein Hybrid-Port und hat eine Membership in VLAN 1 & 100 (da es ja auch mit unserem LAN 248 kommunizieren soll) Port 24 ist getagged auf VLAN 100. Dieser ist dann per Patchkabel auf ein Interface der Firewall gepatched.
Auf der Firewall habe ich auch ein VLAN mit der ID 100 erstellt (mit DHCP-Funktions usw).

Aber wenn ich mich mit dem Gast-WLAN verbinde erhalte ich keine IP. Auch wenn ich mir per Notebook eine Feste IP aus dem Subnetz gebe kann ich nicht das VLAN-Gateway vom Notebook aus erreichen.

Wenn ich mein Notebook anstelle des AP anschließe, dann kann ich das Gateway von der Firewall anpingen...

bitte mal den Port, wo der AP dran sitzt (Port 1), auf Access umstellen (also nicht Hybrid) und dann VLAN 1 auf untagged (vorausgesetzt der AP steht für VLAN-ID 1 auch auf untagged) und VLAN 100 auf tagged setzen
das Ganze dann bis zur Firewall so weiter machen, also Port 24 am Switch und die Firewall jeweils für VLAN 1 auf untaggged und VLAN 100 auf tagged
dem VLAN-Interface (VLAN 100) auf der Firewall dann noch eine IP aus dem Bereich 192.168.247.x geben, aber wie sich das anhört, hast du das ja schon gemacht; das sollte eigentlich klappen

hi,

wenn ich Port 1 auf dem Switch für das VLAN 1 auf untagged setzte und dann versuche VLAN 100 auf tagged zu setzen, dann bekomme ich immer die Meldung, dass der Port nun auf Hybrid umgestellt werden muss, was dann auch automatisch passiert.

Zitat von @AndreasOC:

Gut !

Nun soll ein Gast-WLAN hinzukommen, welches getrennt von unserem LAN arbeitet, aber trotzdem Internet hat. Hier habe ich das
Subnetz 192.168.247.x gewählt.
Ich habe ein VLAN auf den AP mit der VID 100 erstellt, welches mit dem Port 1 gemapped ist. Unter VSC habe ich ein GAST-WLAN
erstellt und habe "Egress VLAN" auf 100 gestellt.

Auch gut, Also sendet der AP vermutlich mit dem 248er Netz untagged im VLAN 1 und das .247er netz kommt tagged mit der VLAN ID 100 raus. Absoluter Standadrd so und auch korrekt !

Auf den angeschlossenen PoE Switch läuft das Patchkabel auf Port 1. Habe auch hier das VLAN 100 erstellt. Port 1 ist ein
Hybrid-Port und hat eine Membership in VLAN 1 & 100 (da es ja auch mit unserem LAN 248 kommunizieren soll)

Ist auch richtig. Default VLAN 1 ist immer untagged an solchen Ports und dieser Port 1 muss "tagged" in VLAN 100 liegen. Ein "show run" der Port bzw. VLAN Konfig des Switches hier mal zu postenwäre sehr sinnvoll !

Port 24 ist getagged auf VLAN 100. Dieser ist dann per Patchkabel auf ein Interface der Firewall gepatched.
Auf der Firewall habe ich auch ein VLAN mit der ID 100 erstellt (mit DHCP-Funktions usw).

Aber wenn ich mich mit dem Gast-WLAN verbinde erhalte ich keine IP. Auch wenn ich mir per Notebook eine Feste IP aus dem Subnetz
gebe kann ich nicht das VLAN-Gateway vom Notebook aus erreichen.

OK, wichtig ist hier die Benatwortung der Frage:
Ist das ein dedizierter Port auf der Firewall ?? Wenn ja wird der Traffic dort tagged oder untagged gesendet ??
Ist das ein Trunk Port der Firewall also ein Port der noch andere VLANs mitbedient ??

Wenn ich mein Notebook anstelle des AP anschließe, dann kann ich das Gateway von der Firewall anpingen...

Aha ! Das zeigt doch dann ganz klar das dein fehler auf der Firewall liegt !!
Dein Notebook sendet Traffic immer "untagged" !! Folglich ist also dein Firewall Port logischerweise untagged sofern er den Notebook Traffic "sieht" !
Oben schreibst du aber "Port 24 (der zur FW geht) ist getagged auf VLAN 100"
Wenn der Port also tagged Traffic zur Firewall sendet, diese aber nur untagged im VLAN 100 ist dann muss man dir nicht mehr viel hier erklären sofern du weisst was VLAN Tagging ist, oder ??
Fazit: Switchport untaggen oder FW Port taggen.

leider habe ich damals per Konsole noch kein Telnet eingerichtet und kann momentan keine Konsolenabfragen machen.. (Show run), wenn ich mich per Telnet aufschalten will komm die Meldung kein Telnet Passwort gesetzt.
in der firewall gibt es nur dieses eine VLAN

auf der firewall ist die konfiguration für das VLAN wie folgt:
VLAN ID: 100
Security Zone: Optional
Tagged/Untagged: Tagged trafic
DHCP-Mode: DHCP Server
Range: 192.168.247.20-200

Interface:
WLAN_GAST
TYPE: VLAN

das müsste doch so richtig sein...

Na toll...kein Telnet Passwort gesetzt !! Wie wärs denn wenn du mal eins setzt und uns hier etwas Erleuchtung bringst ?? Oder es mit SSH (Putty) versuchst oder kann die HP Gurke das nicht ?!
OK, laut FW Konfig ist der Traffic tagged. Dein PC sagt aber das Gegenteil, denn der könnte das VLAN 100 Interface der FW niemals erreichen wenn der Traffic wirklich tagged wäre, da er nur untagged kann.
Untagged und Tagged Traffic ist inkompatibel wie jeder Netzwerker ja weiss.
Fazit: Irgendeine Komponente lügt hier also bei dir. Du selber, der Switch bzw. Port oder die FW bzw. der Port!!
Am besten nimmst du mal einen Wireshark Sniffer, flanschst den an den Port an und siehst dir mal die nackte Realität an...dann müssen wir hier nicht im freien Fall weiterraten

Doch die Gurke kann SSH, aber auch das muss erst per Konsole aktiviert werden.
ABER... (schande über mich) habe ich einen großen Fehler ausmerzen können... ein Kabel war falsch angeschlossen.
Jetzt kann ich wenn ich mit fester IP im WLAN verbinde den Switch bereits anpingen, die FW aber noch nicht.

Ist es denn richtig, dass jeder Rechner hier im Netz das VLAN 100 anpingen kann???

außerdem zur Info, der AP steht nur auf Port 12, hier auch ein Auszug über Telnet was jetzt aktiv ist:

[HP PoE Switch]display current-config
#
version 5.20, Release 2208P01
#
sysname HP PoE Switch
#
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
#
domain default enable system
#
telnet server enable
#
vlan 1
#
vlan 100
#
radius scheme system
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
#
local-user admin
password cipher SQF(*BD"5D3Q=^Q`MAF4<1!!
authorization-attribute level 3
service-type telnet
service-type ftp
local-user administrator
password cipher SQF(*BD"5D3Q=^Q`MAF4<1!!
authorization-attribute level 3
service-type telnet
#
interface NULL0
#
interface Vlan-interface1
ip address 192.168.248.29 255.255.255.0
#
interface Vlan-interface100
ipv6 address FE80::BAAF:67FF:FE7C:5B5B link-local
ipv6 address auto link-local
ip address 192.168.247.11 255.255.255.0
undo dhcp select server global-pool
#
interface GigabitEthernet1/0/1
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/2
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/3
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/4
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/5
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/6
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/7
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/8
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/9
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/10
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/11
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/12
port link-mode bridge
port link-type hybrid
port hybrid vlan 100 tagged
port hybrid vlan 1 untagged
poe enable
#
interface GigabitEthernet1/0/13
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/14
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/15
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/16
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/17
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/18
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/19
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/20
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/21
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/22
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/23
port link-mode bridge
poe enable
#
interface GigabitEthernet1/0/24
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100
poe enable
#
interface GigabitEthernet1/0/25
port link-mode bridge
shutdown
#
interface GigabitEthernet1/0/26
port link-mode bridge
shutdown
#
interface GigabitEthernet1/0/27
port link-mode bridge
shutdown
#
interface GigabitEthernet1/0/28
port link-mode bridge
shutdown
#
snmp-agent
snmp-agent local-engineid 800063A203B8AF677C5B71
snmp-agent sys-info contact Andreas
snmp-agent sys-info location Muenster
snmp-agent sys-info version v3
#
ip https ssl-server-policy default
#
load xml-configuration
#
user-interface aux 0
user-interface vty 0
user-interface vty 1
authentication-mode none
set authentication password simple +++++
user-interface vty 2 15
#
return

Hat jemand noch ne Idee??
wär wirklich toll wenn wir den letzten Fehler auch noch findne könnten.

Was ist denn jetzt noch der letzte Fehler ??
M.E. ist der Hybrid Mode an Port 12 falsch. Dort muss auch Trunk Mode aktiviert sein. Die H3C Syntax ist etwas krank wenn nicht sehr krank aber der Hybrid Mode ist ein kombiniertet route und Switch Port was du hier niemals hast.
Deshalb nur Trunk, denn routen soll ja die FW wenn man dich richtig versteht ?!

ich komm nicht bis zur Firewall durch...
Die Firewall soll nur DHCP für den 247-Bereich machen.
Ich habe den Port 12 nun auf Trunk gesetzt. Und ist ins VLAN 100 getagged, aber auch hier hat sich noch nix geändert.

so, nun läuft es!!!
der Port 24 durfte nicht auf Tagged stehen. Sobald ich diesen auf Untagged gestellt hatte und auf Access. Lief es. Den Port 12 habe ich auch meine alte Einstellung zurückgesetzt, VLAN 100 getagged und Hybrid.
Dann war nur noch die Einrichtung auf der Firewall.
Aber vielen Dank für eure Hilfe!

Bitte dann auch
How can I mark a post as solved?
Nicht vergesen !!

German solved Question LAN, WAN, Wireless Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments