Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

HP Access Point mit Gast WLAN einrichten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: AndreasOC

AndreasOC (Level 1) - Jetzt verbinden

31.08.2012 um 08:23 Uhr, 5554 Aufrufe, 23 Kommentare

Hallo zusammen,

wir haben bei uns mehrere Access Points im Einsatz (HP E-MSM460). Das normale Firmen-WLAN funktioniert auch einwandfrei.
Nun möchte ich für unsere Besucher ein Gast-WLAN zur Verfügung stellen. Wie ich gelesen habe muss ich dafür ein VSC zur erstellen, so dass der Zugriff auf unser LAN nicht gestattet ist, nur Internet.
Jemand eine Idee wie ich das genau mache? Die HP-Anleitung hilft da nicht weiter.


Noch als Info: Wir haben keinen Access Point Controller im Einsatz.
Mitglied: aqui
31.08.2012 um 08:51 Uhr
Vielleicht hilft dir das etwas was die grundlegenden Schritte für so eine Einrichtung anbetrifft:
http://www.administrator.de/contentid/91413
bzw. hier für ESSID fähige APs:
http://www.administrator.de/contentid/110259 --> Parxisbeispiel.
Ist leider nicht HP Produkt bezogen aber die Konfig Schritte dürften absolut identisch sein, da das bei allen Herstellern so ist !
Bitte warten ..
Mitglied: AndreasOC
31.08.2012 um 09:23 Uhr
Dank dir, das wird mir bestimmt weiterhelfen, aber erst werde ich mich mal tiefer in die Materie einlesen müssen.
Bitte warten ..
Mitglied: PSaR04
31.08.2012 um 16:30 Uhr
Damit beschäftige ich mich gerade auch, verwende ebenfalls den HP E-MSM460 und noch ohne Controller (kommt später, da es im Moment schnell gehen muss...). Daher haben bisher Gäste auch noch keinen Zugriff, aber verschiedene WLAN-Netzwerke/SSIDs habe ich schon eingerichtet. Wegen der VLAN-Einrichtung habe ich hier auch noch eine Frage "am laufen" (http://www.administrator.de/forum/VLAN-Einrichtung-auf-HP-Procurve-Swit ...), mitlerweile klappt die Verbindung auch schon.
Wenn Du noch Fragen hast, kannst du dich ja noch mal melden, u. a. bei der Einrichtung der VLANs für die verschiedenen SSIDs hatte ich auch erst ein paar Probleme, da ich das nicht ganz so intuitiv fand, wenn man weiß wie, gehts aber.
Bitte warten ..
Mitglied: AndreasOC
31.08.2012 um 16:45 Uhr
mittlerweile kann ich mich per VLAN schon mit meinem Rechner verbinden. Nun muss ich aber das VLAN durch meinen HP PoE Switch bekommen und dann auf meine Firewall, die dafür DHCP machen soll. Momentan hänge ich noch am PoE Switch, aber wie gesagt, der AP läuft mit dem VLAN quasi schon.
Bitte warten ..
Mitglied: aqui
31.08.2012 um 16:50 Uhr
Ist doch ganz einfach:
Port an denen der AP hängt hat alle relevanten VLANs tagged und ebenso analog der Port der zur Firewall geht mit den gleichen Tags.
Achte darauf das das Firewall Interface auch tagged für alle VLANs ist sofern du es wie im o.a. Tutorial beschrieben über ein Interface bedienst.
Bitte warten ..
Mitglied: PSaR04
31.08.2012 um 18:54 Uhr
Als kleine Ergänzung: Das Default-VLAN des Access Points steht standardmäßig auf untagged, darauf muss natürlich bei der Konfiguration des Switches geachtet werden. Also entweder beide Geräte (Switch und AP)für das Default-VLAN auf tagged setzen oder keines.
Bitte warten ..
Mitglied: aqui
01.09.2012 um 08:54 Uhr
Wenn er auch billige HP ProCurve Switch Gurken betreibt ist das dort auch der Default !
Zeigt die Konfig auch an.
Bitte warten ..
Mitglied: AndreasOC
07.09.2012 um 11:33 Uhr
hi, ich komm da doch noch nicht weiter, habe schon einen HP-Spezi sich das anschauen lassen, aber der konnte mich auch nicht helfen.
Der Switch und die Firewall sind korrekt eingerichtet, es muss am AP liegen. Hast du ein Gateway eingerichtet? Und hattest du auch dein Normales Subnetz + das VLAN oder nur ein VLAN?
Bitte warten ..
Mitglied: PSaR04
07.09.2012 um 20:56 Uhr
Hallo,

was klappt denn noch nicht (Verbindungsaufbau mit dem AP, IP-Adresse per DHCP erhalten, Zugriff aufs Internet?)? Wie schon mal weiter oben geschrieben, haben wir im Moment noch keinen WLAN-Controller, der wird aber bald bestellt. Zurzeit ist für die SSIDs auf den APs unter "Egress VLAN" einfach die entsprechende VID eingetragen. Dies sorgt dafür, dass die Daten der der SSID entsprechend getagged werden. Der physikalische Port1 ist im Moment noch untagged im VLAN 1, die VIDs für die WLAN-Netzwerke sind natürlich getagged. Auf dem Switch im Prinzip genau so: VLAN1 untagged und die VIDs für die WLAN-Netze/SSIDs stehen auf tagged.
Über das VLAN1 ist der AP zu Konfigurationszwecken per SSH und Web-GUI zu erreichen, er hat also ganz normal eine IP-Adresse aus dem Subnetz, wo auch die anderen Geräte aus VLAN1 drinstecken. Für das VLAN-Interface der entsprechenden WLAN-Netzwerke/SSIDs habe ich keine IP-Adresse vergeben, der AP ist also aus dem WLAN heraus auch nicht konfigurierbar, er sorgt also nur für ein Bridging auf Layer 2.
Ach ja, ein Gatway habe ich für das VLAN1 natürlich auch eingerichtet, sodass eine Konfiguration auch aus anderen Subnetzen heraus möglich ist. Inter-VLAN-Routing ist aber selbstverständlich blockiert, sodass die WLAN-Daten komplett isoliert Richtung Internet gehen (Zugriff auf Server usw. kommt erst, wenn der Controller da ist).
Da die E-MSM460er keinen DHCP-Server-Dienst anbieten, läuft auf einem Rechner im Netz, der sich auch im VLAN-Netz der WLAN-Clients befindet ein DHCP-Server (Switch-Port für die VID des WLAN-Netzwerkes steht auf untagged, VLAN1 auf NO).
Bitte warten ..
Mitglied: aqui
08.09.2012, aktualisiert um 08:07 Uhr
Das hört sich alles richtig und vernüftig an und ist auch technisch absolut korrekt. Entspricht auch genau dem wie es im Praxistutorial beschrieben ist.
Wo bitte ist denn nun dein Problem ?
Bitte warten ..
Mitglied: AndreasOC
10.09.2012 um 08:23 Uhr
also, ich erkläre mal meine Konfig:
einmal habe ich auf den APs ein funktionierendes WLAN für die Mitarbeiter, welches im Subnetz 192.168.248.x läuft. DHCP kommt von DC und Internet über unsere Firewall, läuft alles tutti.

Nun soll ein Gast-WLAN hinzukommen, welches getrennt von unserem LAN arbeitet, aber trotzdem Internet hat. Hier habe ich das Subnetz 192.168.247.x gewählt.
Ich habe ein VLAN auf den AP mit der VID 100 erstellt, welches mit dem Port 1 gemapped ist. Unter VSC habe ich ein GAST-WLAN erstellt und habe "Egress VLAN" auf 100 gestellt.
Auf den angeschlossenen PoE Switch läuft das Patchkabel auf Port 1. Habe auch hier das VLAN 100 erstellt. Port 1 ist ein Hybrid-Port und hat eine Membership in VLAN 1 & 100 (da es ja auch mit unserem LAN 248 kommunizieren soll) Port 24 ist getagged auf VLAN 100. Dieser ist dann per Patchkabel auf ein Interface der Firewall gepatched.
Auf der Firewall habe ich auch ein VLAN mit der ID 100 erstellt (mit DHCP-Funktions usw).

Aber wenn ich mich mit dem Gast-WLAN verbinde erhalte ich keine IP. Auch wenn ich mir per Notebook eine Feste IP aus dem Subnetz gebe kann ich nicht das VLAN-Gateway vom Notebook aus erreichen.

Wenn ich mein Notebook anstelle des AP anschließe, dann kann ich das Gateway von der Firewall anpingen...
Bitte warten ..
Mitglied: PSaR04
10.09.2012 um 21:04 Uhr
bitte mal den Port, wo der AP dran sitzt (Port 1), auf Access umstellen (also nicht Hybrid) und dann VLAN 1 auf untagged (vorausgesetzt der AP steht für VLAN-ID 1 auch auf untagged) und VLAN 100 auf tagged setzen
das Ganze dann bis zur Firewall so weiter machen, also Port 24 am Switch und die Firewall jeweils für VLAN 1 auf untaggged und VLAN 100 auf tagged
dem VLAN-Interface (VLAN 100) auf der Firewall dann noch eine IP aus dem Bereich 192.168.247.x geben, aber wie sich das anhört, hast du das ja schon gemacht; das sollte eigentlich klappen
Bitte warten ..
Mitglied: AndreasOC
11.09.2012 um 08:26 Uhr
hi,

wenn ich Port 1 auf dem Switch für das VLAN 1 auf untagged setzte und dann versuche VLAN 100 auf tagged zu setzen, dann bekomme ich immer die Meldung, dass der Port nun auf Hybrid umgestellt werden muss, was dann auch automatisch passiert.
Bitte warten ..
Mitglied: aqui
11.09.2012 um 12:50 Uhr
Zitat von AndreasOC:
also, ich erkläre mal meine Konfig:
einmal habe ich auf den APs ein funktionierendes WLAN für die Mitarbeiter, welches im Subnetz 192.168.248.x läuft. DHCP
kommt von DC und Internet über unsere Firewall, läuft alles tutti.

Gut !

Nun soll ein Gast-WLAN hinzukommen, welches getrennt von unserem LAN arbeitet, aber trotzdem Internet hat. Hier habe ich das
Subnetz 192.168.247.x gewählt.
Ich habe ein VLAN auf den AP mit der VID 100 erstellt, welches mit dem Port 1 gemapped ist. Unter VSC habe ich ein GAST-WLAN
erstellt und habe "Egress VLAN" auf 100 gestellt.
Auch gut, Also sendet der AP vermutlich mit dem 248er Netz untagged im VLAN 1 und das .247er netz kommt tagged mit der VLAN ID 100 raus. Absoluter Standadrd so und auch korrekt !

Auf den angeschlossenen PoE Switch läuft das Patchkabel auf Port 1. Habe auch hier das VLAN 100 erstellt. Port 1 ist ein
Hybrid-Port und hat eine Membership in VLAN 1 & 100 (da es ja auch mit unserem LAN 248 kommunizieren soll)
Ist auch richtig. Default VLAN 1 ist immer untagged an solchen Ports und dieser Port 1 muss "tagged" in VLAN 100 liegen. Ein "show run" der Port bzw. VLAN Konfig des Switches hier mal zu postenwäre sehr sinnvoll !

Port 24 ist getagged auf VLAN 100. Dieser ist dann per Patchkabel auf ein Interface der Firewall gepatched.
Auf der Firewall habe ich auch ein VLAN mit der ID 100 erstellt (mit DHCP-Funktions usw).

Aber wenn ich mich mit dem Gast-WLAN verbinde erhalte ich keine IP. Auch wenn ich mir per Notebook eine Feste IP aus dem Subnetz
gebe kann ich nicht das VLAN-Gateway vom Notebook aus erreichen.
OK, wichtig ist hier die Benatwortung der Frage:
Ist das ein dedizierter Port auf der Firewall ?? Wenn ja wird der Traffic dort tagged oder untagged gesendet ??
Ist das ein Trunk Port der Firewall also ein Port der noch andere VLANs mitbedient ??

Wenn ich mein Notebook anstelle des AP anschließe, dann kann ich das Gateway von der Firewall anpingen...
Aha ! Das zeigt doch dann ganz klar das dein fehler auf der Firewall liegt !!
Dein Notebook sendet Traffic immer "untagged" !! Folglich ist also dein Firewall Port logischerweise untagged sofern er den Notebook Traffic "sieht" !
Oben schreibst du aber "Port 24 (der zur FW geht) ist getagged auf VLAN 100"
Wenn der Port also tagged Traffic zur Firewall sendet, diese aber nur untagged im VLAN 100 ist dann muss man dir nicht mehr viel hier erklären sofern du weisst was VLAN Tagging ist, oder ??
Fazit: Switchport untaggen oder FW Port taggen.
Bitte warten ..
Mitglied: AndreasOC
11.09.2012 um 14:34 Uhr
leider habe ich damals per Konsole noch kein Telnet eingerichtet und kann momentan keine Konsolenabfragen machen.. (Show run), wenn ich mich per Telnet aufschalten will komm die Meldung kein Telnet Passwort gesetzt.
in der firewall gibt es nur dieses eine VLAN

auf der firewall ist die konfiguration für das VLAN wie folgt:
VLAN ID: 100
Security Zone: Optional
Tagged/Untagged: Tagged trafic
DHCP-Mode: DHCP Server
Range: 192.168.247.20-200

Interface:
WLAN_GAST
TYPE: VLAN

das müsste doch so richtig sein...
Bitte warten ..
Mitglied: aqui
11.09.2012, aktualisiert um 15:19 Uhr
Na toll...kein Telnet Passwort gesetzt !! Wie wärs denn wenn du mal eins setzt und uns hier etwas Erleuchtung bringst ?? Oder es mit SSH (Putty) versuchst oder kann die HP Gurke das nicht ?!
OK, laut FW Konfig ist der Traffic tagged. Dein PC sagt aber das Gegenteil, denn der könnte das VLAN 100 Interface der FW niemals erreichen wenn der Traffic wirklich tagged wäre, da er nur untagged kann.
Untagged und Tagged Traffic ist inkompatibel wie jeder Netzwerker ja weiss.
Fazit: Irgendeine Komponente lügt hier also bei dir. Du selber, der Switch bzw. Port oder die FW bzw. der Port!!
Am besten nimmst du mal einen Wireshark Sniffer, flanschst den an den Port an und siehst dir mal die nackte Realität an...dann müssen wir hier nicht im freien Fall weiterraten
Bitte warten ..
Mitglied: AndreasOC
12.09.2012 um 10:13 Uhr
Doch die Gurke kann SSH, aber auch das muss erst per Konsole aktiviert werden.
ABER... (schande über mich) habe ich einen großen Fehler ausmerzen können... ein Kabel war falsch angeschlossen.
Jetzt kann ich wenn ich mit fester IP im WLAN verbinde den Switch bereits anpingen, die FW aber noch nicht.

Ist es denn richtig, dass jeder Rechner hier im Netz das VLAN 100 anpingen kann???
Bitte warten ..
Mitglied: AndreasOC
12.09.2012 um 10:48 Uhr
außerdem zur Info, der AP steht nur auf Port 12, hier auch ein Auszug über Telnet was jetzt aktiv ist:

[HP PoE Switch]display current-config
version 5.20, Release 2208P01
sysname HP PoE Switch
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
domain default enable system
telnet server enable
vlan 1
vlan 100
radius scheme system
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
user-group system
local-user admin
password cipher SQF(*BD"5D3Q=^Q`MAF4<1!!
authorization-attribute level 3
service-type telnet
service-type ftp
local-user administrator
password cipher SQF(*BD"5D3Q=^Q`MAF4<1!!
authorization-attribute level 3
service-type telnet
interface NULL0
interface Vlan-interface1
ip address 192.168.248.29 255.255.255.0
interface Vlan-interface100
ipv6 address FE80::BAAF:67FF:FE7C:5B5B link-local
ipv6 address auto link-local
ip address 192.168.247.11 255.255.255.0
undo dhcp select server global-pool
interface GigabitEthernet1/0/1
port link-mode bridge
poe enable
interface GigabitEthernet1/0/2
port link-mode bridge
poe enable
interface GigabitEthernet1/0/3
port link-mode bridge
poe enable
interface GigabitEthernet1/0/4
port link-mode bridge
poe enable
interface GigabitEthernet1/0/5
port link-mode bridge
poe enable
interface GigabitEthernet1/0/6
port link-mode bridge
poe enable
interface GigabitEthernet1/0/7
port link-mode bridge
poe enable
interface GigabitEthernet1/0/8
port link-mode bridge
poe enable
interface GigabitEthernet1/0/9
port link-mode bridge
poe enable
interface GigabitEthernet1/0/10
port link-mode bridge
poe enable
interface GigabitEthernet1/0/11
port link-mode bridge
poe enable
interface GigabitEthernet1/0/12
port link-mode bridge
port link-type hybrid
port hybrid vlan 100 tagged
port hybrid vlan 1 untagged
poe enable
interface GigabitEthernet1/0/13
port link-mode bridge
poe enable
interface GigabitEthernet1/0/14
port link-mode bridge
poe enable
interface GigabitEthernet1/0/15
port link-mode bridge
poe enable
interface GigabitEthernet1/0/16
port link-mode bridge
poe enable
interface GigabitEthernet1/0/17
port link-mode bridge
poe enable
interface GigabitEthernet1/0/18
port link-mode bridge
poe enable
interface GigabitEthernet1/0/19
port link-mode bridge
poe enable
interface GigabitEthernet1/0/20
port link-mode bridge
poe enable
interface GigabitEthernet1/0/21
port link-mode bridge
poe enable
interface GigabitEthernet1/0/22
port link-mode bridge
poe enable
interface GigabitEthernet1/0/23
port link-mode bridge
poe enable
interface GigabitEthernet1/0/24
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100
poe enable
interface GigabitEthernet1/0/25
port link-mode bridge
shutdown
interface GigabitEthernet1/0/26
port link-mode bridge
shutdown
interface GigabitEthernet1/0/27
port link-mode bridge
shutdown
interface GigabitEthernet1/0/28
port link-mode bridge
shutdown
snmp-agent
snmp-agent local-engineid 800063A203B8AF677C5B71
snmp-agent sys-info contact Andreas
snmp-agent sys-info location Muenster
snmp-agent sys-info version v3
ip https ssl-server-policy default
load xml-configuration
user-interface aux 0
user-interface vty 0
user-interface vty 1
authentication-mode none
set authentication password simple
user-interface vty 2 15
return
Bitte warten ..
Mitglied: AndreasOC
17.09.2012 um 09:30 Uhr
Hat jemand noch ne Idee??
wär wirklich toll wenn wir den letzten Fehler auch noch findne könnten.
Bitte warten ..
Mitglied: aqui
17.09.2012 um 10:59 Uhr
Was ist denn jetzt noch der letzte Fehler ??
M.E. ist der Hybrid Mode an Port 12 falsch. Dort muss auch Trunk Mode aktiviert sein. Die H3C Syntax ist etwas krank wenn nicht sehr krank aber der Hybrid Mode ist ein kombiniertet route und Switch Port was du hier niemals hast.
Deshalb nur Trunk, denn routen soll ja die FW wenn man dich richtig versteht ?!
Bitte warten ..
Mitglied: AndreasOC
17.09.2012, aktualisiert um 11:16 Uhr
ich komm nicht bis zur Firewall durch...
Die Firewall soll nur DHCP für den 247-Bereich machen.
Ich habe den Port 12 nun auf Trunk gesetzt. Und ist ins VLAN 100 getagged, aber auch hier hat sich noch nix geändert.
Bitte warten ..
Mitglied: AndreasOC
21.09.2012 um 09:47 Uhr
so, nun läuft es!!!
der Port 24 durfte nicht auf Tagged stehen. Sobald ich diesen auf Untagged gestellt hatte und auf Access. Lief es. Den Port 12 habe ich auch meine alte Einstellung zurückgesetzt, VLAN 100 getagged und Hybrid.
Dann war nur noch die Einrichtung auf der Firewall.
Aber vielen Dank für eure Hilfe!
Bitte warten ..
Mitglied: aqui
21.09.2012 um 19:53 Uhr
Bitte dann auch
http://www.administrator.de/faq/32
Nicht vergesen !!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
WLAN-Funkreichweite Access Point MikroTik (4)

Frage von teret4242 zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Access Point: Ubiquiti UAP AC PRO Einschätzung Reichweite (4)

Frage von TimMayer zum Thema LAN, WAN, Wireless ...

Router & Routing
Zyxel Support, Zyxel W-Lan Access Point NWA1100-NH (2)

Erfahrungsbericht von ThomasBIT zum Thema Router & Routing ...

Router & Routing
Access Point konfigurieren (2)

Frage von accessp01nt zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...