9
VLAN für mehrere SSIDs von Access Point
Hallo liebe Community,
Ich bin leider noch nicht sehr erfahren, was Netzwerkadministration angeht, also vergebt meine Ungewissheit.
Zu meinem Problem:
Ich habe einen Access-Point, welcher für 2 verschiedene SSIDs jeweils ein eigenes VLAN tagged. Eine SSID geht direkt ins VLAN100, zu meinem Hauptrouter für das Internet. Die zweite SSID wird über einen anderen Router geleitet, welcher vom VLAN200 (ebenfalls anderes IP-Netz) ins VLAN100 routet. DIes ist für mich deshalb wichtig, da hier Kontrollregeln und statische Routen definiert sind, die nur für Mitglieder dieses Netztes gültig sind. Siehe auch das Schaubild. Leider bekomme ich das nicht so hin, wie ich mir das vorstelle. Nutzer, die versuchen sich mit dem AccessPoint zu verbinden bekommen keine IP zugewiesen und haben auch keinen Zugriff aufs Netzwerk
verwendete Hardware:
AccessPoint: TP-LInk EAP225
Router(Internet): FritzBox 7590
Router(intern): TPLink TL-WR841N
Switch: Netgear JGS516PE
Weitere Informationen:
Auf dem Switch sind die Vlans wie im Bild zu sehen mit 802.1q definiert. Port1 mit dem Parameter ALL. (Wenn ich das richtig verstehe, agiert dieser als Trunk-Port und der Switch akzeptiert alle getaggten VLANs und verteilt diese entsprechend). Im AccessPoint sind die VLANs je SSID1 und SSID2 mit VLAN100 und VLAN200 definiert.
Was mache ich falsch?
Vielen Dank im Voraus für eure Hilfe!
Mit freundlichen Grüßen
syhrth
Ich bin leider noch nicht sehr erfahren, was Netzwerkadministration angeht, also vergebt meine Ungewissheit.
Zu meinem Problem:
Ich habe einen Access-Point, welcher für 2 verschiedene SSIDs jeweils ein eigenes VLAN tagged. Eine SSID geht direkt ins VLAN100, zu meinem Hauptrouter für das Internet. Die zweite SSID wird über einen anderen Router geleitet, welcher vom VLAN200 (ebenfalls anderes IP-Netz) ins VLAN100 routet. DIes ist für mich deshalb wichtig, da hier Kontrollregeln und statische Routen definiert sind, die nur für Mitglieder dieses Netztes gültig sind. Siehe auch das Schaubild. Leider bekomme ich das nicht so hin, wie ich mir das vorstelle. Nutzer, die versuchen sich mit dem AccessPoint zu verbinden bekommen keine IP zugewiesen und haben auch keinen Zugriff aufs Netzwerk
verwendete Hardware:
AccessPoint: TP-LInk EAP225
Router(Internet): FritzBox 7590
Router(intern): TPLink TL-WR841N
Switch: Netgear JGS516PE
Weitere Informationen:
Auf dem Switch sind die Vlans wie im Bild zu sehen mit 802.1q definiert. Port1 mit dem Parameter ALL. (Wenn ich das richtig verstehe, agiert dieser als Trunk-Port und der Switch akzeptiert alle getaggten VLANs und verteilt diese entsprechend). Im AccessPoint sind die VLANs je SSID1 und SSID2 mit VLAN100 und VLAN200 definiert.
Was mache ich falsch?
Vielen Dank im Voraus für eure Hilfe!
Mit freundlichen Grüßen
syhrth
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 571784
Url: https://administrator.de/contentid/571784
Printed on: April 16, 2024 at 15:04 o'clock
9 Comments
Latest comment
Laut Anleitung gibts kein ALL. Bzw. bei meinem Netgear-Switch (anderer Typ) gibt es nur UntagAll, TagAll und RemoveAll bei der Konfiguration, die für die Massenänderung gedacht sind.
Wenn du das VLAN ausgewählt hast, müssen die jeweiligen Ports mit einem U (für Untagged) oder T (für Tagged) markiert sein. Ist kein Buchstabe in dem Port, ist der Port kein Mitglied des VLANs.
Im VLAN-Status kannst du auch nachschauen, welche Ports zu welchem VLAN gehören.
Netgear kennt keine Trunkports, die alle VLANs automatisch beinhalten. Das macht Cisco.
Wenn du das VLAN ausgewählt hast, müssen die jeweiligen Ports mit einem U (für Untagged) oder T (für Tagged) markiert sein. Ist kein Buchstabe in dem Port, ist der Port kein Mitglied des VLANs.
Im VLAN-Status kannst du auch nachschauen, welche Ports zu welchem VLAN gehören.
Netgear kennt keine Trunkports, die alle VLANs automatisch beinhalten. Das macht Cisco.
1
Vielen Dank für deine schnelle Antwort.
Ich versuche morgen noch eine neue Firmware aufzuspielen.
Die Konfiguration habe ich bisher im Reiter "802.1q Einfach" gemacht, dort gibt man pro Port nur eine VLAN ID von 1-4096 oder "all" ein.
Wie würde eine passende Konfiguration aussehen?
Port 2-4: U
Port 5-8: U
Port 1: T?
Ich versuche morgen noch eine neue Firmware aufzuspielen.
Die Konfiguration habe ich bisher im Reiter "802.1q Einfach" gemacht, dort gibt man pro Port nur eine VLAN ID von 1-4096 oder "all" ein.
Wie würde eine passende Konfiguration aussehen?
Port 2-4: U
Port 5-8: U
Port 1: T?
Kommt auf die Konfiguration des Access Points an. Will der beide VLANs tagged haben oder ein VLAN tagged und eins untagged?
1
Das ist mir freigestellt, ich kann pro SSID eine VLAN ID, oder garkein VLAN auswählen. Laut meiner Skizze würde ich jeweils SSID1 in VLAN100 und SSID2 in VLAN200 stecken.
Also
VLAN 100:
Port 1 U
Port 2-4 U
Port 5-8 (nix)
VLAN 200:
Port 1 T
Port 2-4 (nix)
Port 5-8 U
Du hast im AP die VLAN-ID 2 stehen. Die IDs müssen schon übereinstimmen. Auf einem getaggten Port wäre 2 was anderes als 200.
VLAN 100:
Port 1 U
Port 2-4 U
Port 5-8 (nix)
VLAN 200:
Port 1 T
Port 2-4 (nix)
Port 5-8 U
Du hast im AP die VLAN-ID 2 stehen. Die IDs müssen schon übereinstimmen. Auf einem getaggten Port wäre 2 was anderes als 200.
1
Vielen Dank, ich probiere das morgen mal aus.
Habe gerade nur irgendeine Zahl eingetragen zum Verdeutlichen. Dass die Zahlen übereinstimmen müssen ist mir bewusst
Habe gerade nur irgendeine Zahl eingetragen zum Verdeutlichen. Dass die Zahlen übereinstimmen müssen ist mir bewusst
welcher für 2 verschiedene SSIDs jeweils ein eigenes VLAN tagged.
Klassische MSSID Konfig also !Hier findest du dazu alles Details inkl. Praxisbeispiel:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das du einen Router benötigst der dir die beiden VLANs routet sollte dir klar sein. Das o.a. Tutorial erklärt ja genau wie solche Designs aussehen.
Deine beiden Router FritzBox und 841N sind nicht VLAN fähig. Der Switch ist ein simpler Layer 2 VLAN Switch der ebenfalls NICHT zwischen den VLANs routen kann.
Damit wäre es dann also vollkommen logisch das du schon im Ansatz scheitern musst !
Wenigstens den 841N kannst du aber mit einer alternativen Firmware OpenWRT flashen, was den Router dann VLAN fähig macht.
Damit würde man eine saubere Lösung hinbekommen.
Bitte lese das o.a. VLAN Tutorial genau durch inkl. des Praxisbeispiels damit du erstmal die Grundlagen zu so einem MSSID Setup verstehst. Es sollte dann alle deine Fragen beantworten.
So mit der vorhandenen Hardware ist aber dein Vorhaben zum Scheitern verurteilt. Statt des TP-Link 841N wäre ein Mikrotik Router:
https://www.varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941- ...
allemal sinnvoller gewesen mit dem dein Setup im Handumdrehen umsetzbar wäre !
Siehe dazu auch:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Danke für deine Hilfestellung.
Deiner Aussage nach, ist das von mir beschrieben Szenario mit dieser Hardware nicht umsetzbar. In der mit tikayevent erarbeiteten Lösung funktioniert aber alles wie erwartet. Mein Fehler war lediglich, dass ich Port 1 auf VLAN200 auf Tagged stellen muss, hierzu habe ich das Menü auch zuerst garnicht gesehen.
Nochmal kurz dazu wieso es funktioniert. Ich habe zwei physisch getrennte Netze die im Switch gelb und lila markiert sind, das einzige Routing was hier passiert, passiert physisch über den 841N. 2-8 und 9-16 sind untagged VLAN Ports, agieren also einfach wie zwei physisch voneinander getrennte switches. Die Zuteilung von Paketen die vom AP auf Port 1 gesendet werden übernimmt sogesehen der Switch selbst.
Ich verstehe aber, dass das natürlich eine sehr gebundene Lösung ist und man mit geeigneter Hardware mehr anfangen könnte.
Da ich aber Student bin, mir also keine teure Hardware leisten kann und dieses Szenario sich mit der bereits vorhandenen Hardware lösen lässt, habe ich mich dafür entschieden es so zu versuchen und wie bereits gesagt, es funktioniert wie erwartet.
MfG
Deiner Aussage nach, ist das von mir beschrieben Szenario mit dieser Hardware nicht umsetzbar. In der mit tikayevent erarbeiteten Lösung funktioniert aber alles wie erwartet. Mein Fehler war lediglich, dass ich Port 1 auf VLAN200 auf Tagged stellen muss, hierzu habe ich das Menü auch zuerst garnicht gesehen.
Nochmal kurz dazu wieso es funktioniert. Ich habe zwei physisch getrennte Netze die im Switch gelb und lila markiert sind, das einzige Routing was hier passiert, passiert physisch über den 841N. 2-8 und 9-16 sind untagged VLAN Ports, agieren also einfach wie zwei physisch voneinander getrennte switches. Die Zuteilung von Paketen die vom AP auf Port 1 gesendet werden übernimmt sogesehen der Switch selbst.
Ich verstehe aber, dass das natürlich eine sehr gebundene Lösung ist und man mit geeigneter Hardware mehr anfangen könnte.
Da ich aber Student bin, mir also keine teure Hardware leisten kann und dieses Szenario sich mit der bereits vorhandenen Hardware lösen lässt, habe ich mich dafür entschieden es so zu versuchen und wie bereits gesagt, es funktioniert wie erwartet.
MfG
Deiner Aussage nach, ist das von mir beschrieben Szenario mit dieser Hardware nicht umsetzbar.
Switch ja, Router Nein !Der Switch ist OK aber du kannst die VLANs mit den Routern so nicht handhaben weil beide kein VLAN supporten !
Die FritzBox generell nicht und der 841N nur wenn du ihn mit OpenWRT flashst.
Wenn du das machst, dann kannst du dein Design so umsetzen. Ohne OpenWRT auf dem 841N wird das Vorhaben aber grundsätzlich scheitern.
https://openwrt.org/de/toh/tp-link/tl-wr841nd
Ich habe zwei physisch getrennte Netze die im Switch gelb und lila markiert sind,
OK, wenn diese Netze auch permanent physisch getrennt bleiben sollen, dann hast du natürlich Recht, dann kannst du das so problemlos umsetzen.Vermutlich willst du dann nur den Switch für diese beiden immer getrennt bleibenden VLANs gemeinsam nutzen. Das ist dann richtig und klappt natürlich.
War missverständlich, denn man konnte auch davon ausgehen das es eine Routing Verbindung zwischen diesen Netzen geben sollte.
So hast du natürlich recht, sorry !
as einzige Routing was hier passiert, passiert physisch über den 841N.
Transparent kann er aber nicht routen weil du mit der Original Software das NAT (IP Adress Translation) am WAN Port nicht abschalten kannst ! Routing bleibt also mit der Original Firmware immer eine Einbahnstrasse. Das NAT Problem ist hier genauer geschildert:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Da ich aber Student bin, mir also keine teure Hardware leisten kann
Nicht dein Ernst oder ?? Der o.a. Mikrotik kostet 20 Euronen. Muss man siche rnicht kommentieren... 
Aber egal..wenns klappt ist ja alles gut !
Case closed...