3
VLAN Konfiguration (Lancom AP und Netgear-Switch)
Hallo zusammen,
ich stehe vor einem kleinen Verständnis-/Konfigurationsproblem was die VLAN Konfiguration angeht. Folgende Sachlage...
Wir benötigen für unsere Firma ein Gäste-WLAN. Aktuell haben wir einen AP (Bridged-Mode), der in unser Netzwerk über eine statische IP eingebunden ist. Die IP Adressen bekommen die WLAN Geräte direkt vom DHCP der Firma. Das funktioniert soweit. Mein Wunsch ist nun, dass nur die WLAN Geräte der Firma wie Laptops und Firmenhandys weiterhin im Internen WLAN Netz liegen und weiterhin die IP vom "Firmen"-DHCP ihre IP beziehen jedoch alle anderen WLAN Geräte eine IP vom DHCP der Firewall bekommen.
Da an dem Switch noch weitere LAN-Geräte angebunden sind sollten diese natürlich auch weiterhin im Firmen-LAN sein.
Dazu ein kleines Schema:
FW (OPNsense)
|
|
Switch (Netgear JGS524PE) -------- LAN (Firmennetz)
|
|
AP (Lancom l322agn)
An der Firewall ist für die Schnittstelle ein DHCP eingeschaltet, der natürlich nichts im Firmennetzwerk zu suchen hat.
IP der Firewall-Schnittstelle ist 192.168.1.1
Das Netz ist hier 192.168.1.0/24
Der AP ist im Bridge-Modus. Es ist lediglich die LAN-1 Schnittstelle angebunden.
Die Konfig am AP:
WLAN-Firma = VLAN2 (LAN1, WLAN 1 Schnittstellen) IP 10.1.1.10
WLAN-Gast = VLAN1 (LAN1, WLAN 1-2 Schnittstellen) IP 192.168.1.2
Die Konfiguration am Switch:
Port 1 = VLAN1 (geht Richtung Firewall)
Port 2 = VLAN 1 und VLAN 2 (geht Richtung AP)
Port 3-23 = VLAN 2 (soll weiterhin an das interne LAN angebunden sein)
Port 24 = VLAN2 (Switch-Anbindung an LAN)
Meine Problem liegt nun in der richtigen Konfiguration. Wo muss ich das Tagging für die VLANs setzen und wo lasse ich die Ports untagged, damit der "Verkehr" richtig funktioniert.
Vielleicht kann mir auch jemand sagen wo ich überall die VLAN Einstellungen am AP setzen muss, da ich mich dauernd aussperre
Ich bin euch für jede Hilfe Dankbar.
ich stehe vor einem kleinen Verständnis-/Konfigurationsproblem was die VLAN Konfiguration angeht. Folgende Sachlage...
Wir benötigen für unsere Firma ein Gäste-WLAN. Aktuell haben wir einen AP (Bridged-Mode), der in unser Netzwerk über eine statische IP eingebunden ist. Die IP Adressen bekommen die WLAN Geräte direkt vom DHCP der Firma. Das funktioniert soweit. Mein Wunsch ist nun, dass nur die WLAN Geräte der Firma wie Laptops und Firmenhandys weiterhin im Internen WLAN Netz liegen und weiterhin die IP vom "Firmen"-DHCP ihre IP beziehen jedoch alle anderen WLAN Geräte eine IP vom DHCP der Firewall bekommen.
Da an dem Switch noch weitere LAN-Geräte angebunden sind sollten diese natürlich auch weiterhin im Firmen-LAN sein.
Dazu ein kleines Schema:
FW (OPNsense)
|
|
Switch (Netgear JGS524PE) -------- LAN (Firmennetz)
|
|
AP (Lancom l322agn)
An der Firewall ist für die Schnittstelle ein DHCP eingeschaltet, der natürlich nichts im Firmennetzwerk zu suchen hat.
IP der Firewall-Schnittstelle ist 192.168.1.1
Das Netz ist hier 192.168.1.0/24
Der AP ist im Bridge-Modus. Es ist lediglich die LAN-1 Schnittstelle angebunden.
Die Konfig am AP:
WLAN-Firma = VLAN2 (LAN1, WLAN 1 Schnittstellen) IP 10.1.1.10
WLAN-Gast = VLAN1 (LAN1, WLAN 1-2 Schnittstellen) IP 192.168.1.2
Die Konfiguration am Switch:
Port 1 = VLAN1 (geht Richtung Firewall)
Port 2 = VLAN 1 und VLAN 2 (geht Richtung AP)
Port 3-23 = VLAN 2 (soll weiterhin an das interne LAN angebunden sein)
Port 24 = VLAN2 (Switch-Anbindung an LAN)
Meine Problem liegt nun in der richtigen Konfiguration. Wo muss ich das Tagging für die VLANs setzen und wo lasse ich die Ports untagged, damit der "Verkehr" richtig funktioniert.
Vielleicht kann mir auch jemand sagen wo ich überall die VLAN Einstellungen am AP setzen muss, da ich mich dauernd aussperre
Ich bin euch für jede Hilfe Dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 389572
Url: https://administrator.de/contentid/389572
Printed on: April 19, 2024 at 00:04 o'clock
3 Comments
Latest comment
Einfach mal die Suchfunktion benutzen...! 
Alle deine Fragen beantwortet ein hiesiges VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Genau dein Beispiel beschreibt das "Praxisbeispiel" dort.:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
...und unten diverse Links in den "Weiterführenden Links" !
Die OpenSense VLAN Konfig dürfte identisch sein zur pfSense Konfig.
Nochwas...
Eigentlich ist das Quatsch, denn MSSID APs haben immer nur im Default VLAN (In der Regel 1) eine Management IP.
Da sie im Bridge Mode arbeiten bridgen sie ihre MSSIDs (Multiple SSIDs) ja nur in die entsprechenden VLANs.
Mehrere IP Adressen pro VLAN wären dann also Unsinn, denn wozu sollte die gut sein im Bridge Mode wo nur Mac Adressen zählen ?! IP Adressen wären dort sinnfrei. Das sollte sicher auch dir einleuchten.
Das einzige was du machen musst ist die SSIDs zu definieren, die SSIDs auf die VLAN IDs abbilden und ggf. die WLAN Security für die SSIDs festlegen, mehr nicht.
Dafür reicht logischerweise eine einzige Management IP auf dem AP.
Zu deinen Ports:
Was noch wichtig für ein Gast VLAN auf der OpenSense ist steht hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Deine ToDos im Schnellverfahren:
Weiter zum Gastnetz.
Wenn du jetzt den Test PC in den Port 24 (Gast LAN und WLAN) steckst dann solltest du:
Nochwas allgemein:
Das obige Design ist nicht optimal was das WLAN anbetrifft. Mit der Firewall solltest du auch das WLAN in ein separates WLAN trennen und NICHT das WLAN im Bridge Mode mit dem Firmennetz betreiben. WLAN Clients sind so immer direkt auch gleich im Firmennetz.
Besser ist es das immer zu segmentieren und auch dem Firmen WLAN ein eigenes Segment zu geben. Damit hast du erheblich bessere Kontroll- und Sicherheits Optionen was das Firmen WLAN anbetrifft.
Ggf. also nochmal das Grunddesign daraufhin überdenken und anpassen. Mit der Firewall ist das ja ein Kinderspiel das so einzurichten. Ein paar Mausklicks im GUI genügen. Grundlagen dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit dem Rüstzeug solltest du das jetzt im Handumdrehen zum Fliegen bringen !!!
Alle deine Fragen beantwortet ein hiesiges VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Genau dein Beispiel beschreibt das "Praxisbeispiel" dort.:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
...und unten diverse Links in den "Weiterführenden Links" !
Die OpenSense VLAN Konfig dürfte identisch sein zur pfSense Konfig.
Nochwas...
Der AP ist im Bridge-Modus.
Das widerspricht sich dann mit deiner angegebenen IP Konfig. Das dürfte falsch sein das dein AP 2! IP Adressen (bzw. pro VLAN eine IP) hat.Eigentlich ist das Quatsch, denn MSSID APs haben immer nur im Default VLAN (In der Regel 1) eine Management IP.
Da sie im Bridge Mode arbeiten bridgen sie ihre MSSIDs (Multiple SSIDs) ja nur in die entsprechenden VLANs.
Mehrere IP Adressen pro VLAN wären dann also Unsinn, denn wozu sollte die gut sein im Bridge Mode wo nur Mac Adressen zählen ?! IP Adressen wären dort sinnfrei. Das sollte sicher auch dir einleuchten.
Das einzige was du machen musst ist die SSIDs zu definieren, die SSIDs auf die VLAN IDs abbilden und ggf. die WLAN Security für die SSIDs festlegen, mehr nicht.
Dafür reicht logischerweise eine einzige Management IP auf dem AP.
Zu deinen Ports:
- Port 1 = VLAN1 (geht Richtung Firewall) ---> der muss Tagged sein für die VLANs außer 1 VLAN Interfaces entsprechend auf der pfSense/OpenSense eingerichtet laut Tutorial !
- Port 2 = VLAN 1 und VLAN 2 (geht Richtung AP) ---> der muss Tagged sein für die VLANs außer 1 MSSID zu VLAN ID Zuordnung entsprechend (siehe Beispiel Tutorial)
- Port 3-23 = VLAN 2 (soll weiterhin an das interne LAN angebunden sein) WAS ist für dich das interne LAN ?? Das Firmen LAN ??
- Port 24 = VLAN2 (Switch-Anbindung an LAN) WAS ist für dich das LAN ?? Das Firmen LAN ?? Dann wäre der vorherige Punkt ja überflüssig ?! Vermutlich soll das das Gast VLAN sein, oder ??
Was noch wichtig für ein Gast VLAN auf der OpenSense ist steht hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Deine ToDos im Schnellverfahren:
- VLAN Interface VLAN 2 auf der OpenSense einrichten als Parent Interface das LAN Interface verwenden
- ACHTUNG: Firewall Regel für das VLAN 2 Interface auf der Firewall erstellen. Ggf. zum Testen erstmal "Scheunentor" Regel PASS, Source: VLAN2_net, Destination: ANY nutzen !
- Ggf. Captive Portal aktivieren aber erst später wenn ohne CP alles sauber rennt.
- Auf dem Switch das VLAN 2 einrichten.
- Port 1 als Tagged setzen für das VLAN 2, PVID auf 1. Das bedeutet dann Default VLAN 1 untagged was auf dem Opensense LAN Port (Gastenetz) bzw. dessen IP liegt und VLAN 2 Tagged was dann auf dem VLAN 2 Interface der Opensense liegt (Firmennetz).
- Ggf. DHCP Server anpassen sofern die OpenSense DHCP macht für Gast- und Firmennetz.
- Port 2 ebenso: Port 2 als Tagged setzen für das VLAN 2, PVID auf 1. Dann im AP die Firmen SSID auf VLAN 2 und die Gast SSID auf VLAN 1 mappen.
- Ports 3-23 untagged als Accessports aufs VLAN 2 setzen (PVID auf 2), das ist dann das Firmennetz
- Port 24 untagged als Accessport aufs VLAN 1 setzen (PVID auf 1, ist der Default), das ist dann das Gastnetz.
- Eine IP Adresse vom OpenSense DHCP Server im IP Netz IP 10.1.1.x /24 (Firma) bekommen.
- Das IP Interface der Opensense pingen können
- Eine IP im Internet wie 8.8.8.8 pingen können
- Ein WLAN Client in der SSID "Firma" sollte die gleichen Schritte erfolgreich machen können !
Weiter zum Gastnetz.
Wenn du jetzt den Test PC in den Port 24 (Gast LAN und WLAN) steckst dann solltest du:
- Eine IP Adresse vom OpenSense DHCP Server im IP Netz IP 192.168.1.x /24 (Gast) bekommen.
- Das IP Interface der Opensense pingen können
- Eine IP im Internet wie 8.8.8.8 pingen können
- Ein WLAN Client in der SSID "Gast" sollte die gleichen Schritte erfolgreich machen können !
Nochwas allgemein:
Das obige Design ist nicht optimal was das WLAN anbetrifft. Mit der Firewall solltest du auch das WLAN in ein separates WLAN trennen und NICHT das WLAN im Bridge Mode mit dem Firmennetz betreiben. WLAN Clients sind so immer direkt auch gleich im Firmennetz.
Besser ist es das immer zu segmentieren und auch dem Firmen WLAN ein eigenes Segment zu geben. Damit hast du erheblich bessere Kontroll- und Sicherheits Optionen was das Firmen WLAN anbetrifft.
Ggf. also nochmal das Grunddesign daraufhin überdenken und anpassen. Mit der Firewall ist das ja ein Kinderspiel das so einzurichten. Ein paar Mausklicks im GUI genügen. Grundlagen dazu auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mit dem Rüstzeug solltest du das jetzt im Handumdrehen zum Fliegen bringen !!!
Vielen Dank für deine ausführliche Erklärung und für die Links sowie deine Hilfe. Ich habe mich soweit durchgearbeitet.
Jedoch glaube ich hast du was durcheinander gebracht oder ich habe es nicht genau erklärt. Ich hatte leider auch nen Zahlendreher drin was die VLANs angeht.
VLAN 1 soll firmenintern sein
VLAN 2 soll das Gast-WLAN sein
Also:
Die Firewall ist soweit konfiguriert. Es ist ein Interface eingerichtet mit der VLAN 2 und parent interface sk3 (habe hier von sk0 bis sk3 Anschlüsse)
Firewallregel ist vorübergehend eingerichtet.
Switch:
Port 1 ist mit VLAN2 getagged. Die PVID ist 2.
Port 2 ist mit VLAN1 getagged und mit VLAN2 getagged. Die PVID ist 1.
Port 3-24 ist mit VLAN 1 nicht getagged. Die PVID ist 1.
Port 3-24 sollen praktisch im Firmen LAN sein. Port 24 ist der Uplink in das Firmen-Netz.
AP:
Die Konfiguration des AP habe ich nach folgendem Beispiel gemacht nur ohne dem RADIUS-Server. https://www2.lancom.de/kb.nsf/1275/60D780371297F0DCC12579C9004DDE16?Open ...
Nun was soll ich sagen
Es läuft. Im Gast-WLAN bekomme ich die IP von der Firewall und im Firmen-WLAN die IP vom Firmen-DHCP.
Jetzt muss ich nur noch die Firewall Regeln richtig konfigurieren.
Vielen Dank nochmal für deine Mühe.
Jedoch glaube ich hast du was durcheinander gebracht oder ich habe es nicht genau erklärt. Ich hatte leider auch nen Zahlendreher drin was die VLANs angeht.
VLAN 1 soll firmenintern sein
VLAN 2 soll das Gast-WLAN sein
Also:
Die Firewall ist soweit konfiguriert. Es ist ein Interface eingerichtet mit der VLAN 2 und parent interface sk3 (habe hier von sk0 bis sk3 Anschlüsse)
Firewallregel ist vorübergehend eingerichtet.
Switch:
Port 1 ist mit VLAN2 getagged. Die PVID ist 2.
Port 2 ist mit VLAN1 getagged und mit VLAN2 getagged. Die PVID ist 1.
Port 3-24 ist mit VLAN 1 nicht getagged. Die PVID ist 1.
Port 3-24 sollen praktisch im Firmen LAN sein. Port 24 ist der Uplink in das Firmen-Netz.
AP:
Die Konfiguration des AP habe ich nach folgendem Beispiel gemacht nur ohne dem RADIUS-Server. https://www2.lancom.de/kb.nsf/1275/60D780371297F0DCC12579C9004DDE16?Open ...
Nun was soll ich sagen
Es läuft. Im Gast-WLAN bekomme ich die IP von der Firewall und im Firmen-WLAN die IP vom Firmen-DHCP.
Jetzt muss ich nur noch die Firewall Regeln richtig konfigurieren.
Vielen Dank nochmal für deine Mühe.
Immer gerne wieder
