Netzwerk mit mehreren POE-Access-Points & VLANs einrichten

Nikolei

Cadet 1st Year
Registriert
Juni 2012
Beiträge
10
Ich habe einige Geräte mit denen ich eine bestimmte Netzwerkkonfiguration Umsetzen muss, aber aktuell nicht sicher bin wie ich weiter vorgesehen soll. Es handelt sich um einen Netgear Router, welcher mit OpenWRT geflasht wurde, einen POE-fähigen Switch von tp-link und zwei POE-Access-Points von Ubiquiti, jeweils mit OpenWRT.
Die folgende Netzwerkkonfiguration soll gemacht werden:
1627836051098.png

Die Beschreibung die umgesetzt werden soll ist folgende:
Am Ende soll es Accesspoints von 0..n geben. Die Accesspoints bekommen ein Kabel mit POE über das zwei Netze in unterschiedlichen VLANs
an die APs gebracht werden.
"Mit IP" ist das Netz für die Administration wo eine fest IP am AP vorhanden ist. "Ohne IP" heißt, das Netz wird durch den AP auf das W-LAN gebridged für die Clients die dann eine IP bekommen vom Router.
Dadurch kann ein Client auch nicht auf den AP selbst zugreifen per SSH o.ä.

Auf dem switch ist noch die Standard-Firmware von tp-link mit Weboberfläche. Ich habe mich zwar schon einige Zeit mit Netzwerken beschäftigt aber das ist mir ziemlich neu. Was muss ich auf welchen Geräten konfigurieren um das umzusetzen?
 
Zuletzt bearbeitet:
Ehrlich gesagt, habe ich "Mit IP" und "Ohne IP" nicht so recht verstanden. Ich vermute, Du möchtest damit nur etwas umschreiben: "Mit IP" = "Mit fester IP"
Von festen IPs ist IMO abzuraten. Jedem VLAN sollte besser ein eigener DHCP-Server mit entsprechendem eigenem Subnet (= Adressbereich) zugeordnet sein.

Eine FRITZ!Box liefert z. B. zwei DHCP-Server für die (Default-)Subnets 192.168.178.xxx und 192.168.179.xxx (Gastnetz). Soweit ich weiß, bietet OpenWRT sogar noch mehr voneinander unabhängige Subnets/DHCP-Server mit entsprechenden frei wählbaren Adressbereichen.

Du kannst also bereits im Router fast alles erledigen, indem Du dort die benötigten Subnets (VLAN/DHCP-Server/Adressbereich) konfigurierst. Der Rest ist dann nur noch VLAN-Routing bis zu den APs … und dort für jedes VLAN jeweils eine zugehörige WLAN-Konfiguration.

Beim Aufbau meines Netzes (ebenfalls UniFi APs, aber anderer Router/Switch) hat mir diese Anleitung geholfen:
https://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/

Hinweis: Der vierte Port (Gastnetz) muss bei der FRITZ!Box die nicht vorhandene VLAN-Konfiguration ersetzen. Bei OpenWRT ist das nicht nötig, weil man VLAN/Subnet/DHCP-Server/Adressbereich zusammen konfigurieren kann.

Für Netzwerkkomponenten anderer Hersteller und mehr Details fand ich dieses Tutorial noch sehr hilfreich:
https://administrator.de/knowledge/...wall-pfsense-dd-wrt-oder-mikrotik-110259.html

Wichtig ist vor allem eins: Vom Router her denken, nicht von den APs! Im Switch nur VLAN-Tagging, in den APs nur VLAN-Tagging & (Multiple-)WLAN-Konfiguration … alles andere im Router.
 
Zuletzt bearbeitet:
Ich kann das Setup auch nicht nachvollziehen. Was soll der Sinn dahinter sein? Was willst du konkret erreichen? Wenn du dich nicht damit auskennst, gerne in normalen Worten beschreiben was wie wo passieren soll.

Stand jetzt ist es nämlich so, dass du dir die Frage streng genommen selbst schon gegeben hast, indem du die Ports bereits als tagged und untagged definiert hast. Allerdings fehlen noch die VLAN IDs, um beurteilen zu können was das alles überhaupt soll. Je nachdem wie man deine Zeichnung interpretiert hat das untere, schwarze Netzwerk mit ansible, etc nämlich keinen DHCP-Server und kein Gateway. Auch gibt es keinen Router, der zwischen beiden Netzwerken routen könnte, sie haben also keinerlei Verbindung untereinander. Das mag gewollt sein, aber deswegen ist eine sinnvolle, nachvollziehbare Beschreibung des Warum und Wieso essentiell.
 
Zuletzt bearbeitet:
Dig.Minimalist schrieb:
Kennt jemand gute guides fuer den Aufbau
Es gibt nicht die eine perfekte 0815 Anleitung sondern es kommt drauf an was du erreichen willst und was die Anforderungen sind.

Ich schließe mich den anderen an und verstehe nicht so recht, was der TE da mit und ohne IP meint.
 
Ein fortgeschrittenes Heimnetzwerk besteht aus Anforderungen, die erfüllt werden sollen, örtlichen Gegebenheiten, die berücksichtigt werden müssen, dem KnowHow des Admins, welches zur Umsetzung vorhanden sein sollte, und nicht zuletzt dem Budget, welches zur Verfügung steht. Allgemeine "Guides" führen am Ende nicht zu einem "fortgeschrittenen Heimnetzwerk", sondern zu einem nachgeklickten Setup, das womöglich gar nicht für diesen konkreten Anwendungsfall geeignet ist.

Fritzbox und Co stellen gefühlt nur ca. 5% der Themenwelt "Netzwerk" dar. Die restlichen 95% kann man sich nicht wirklich durch nachgeklickte Guides aneignen.
 
  • Gefällt mir
Reaktionen: Skysnake und snaxilian
@Nikolei

… was mir noch eingefallen ist:
Da gemäß Deiner Abbildung beide APs anscheinend dieselben WLANs (das VLAN1 bzw. VLAN2 getaggte) mit denselben SSIDs aufspannen sollen, Du sie aber wie den Router mit OpenWRT geflasht hast, solltest Du manuell nicht-überlappende Kanäle konfigurieren oder 802.11r (Fast Roaming/Transition) einschalten.
Mit der Original-Firmware hätte das die UniFi-Controller-Software übernommen, sogar einmalig bei der gemeinsamen Einrichtung der APs, ohne später ständig im Hintergrund laufen zu müssen.
Ich kann allerdings verstehen, dass man OpenWRT flasht, z. B. wenn der AP nicht mehr supported wird.
 
Zuletzt bearbeitet:
Vielleicht habe ich einige Details ausgelassen die noch relevant wären. "Mit IP" ist das Netz für die Administration wo eine fest IP am AP vorhanden ist. "Ohne IP" heißt, das Netz wird durch den AP auf das W-LAN gebridged für die Clients die dann eine IP bekommen vom Router. Dadurch kann ein Client auch nicht auf den AP selbst zugreifen per SSH o.ä.
 
Die APs sollten ihre IP-Adressen per DHCP ebenfalls vom Router erhalten, man kann (und sollte) dem DHCP-Server aber beibringen, ihnen immer dieselben IP-Adressen zuzuweisen.

Es lässt sich nicht verhindern, dass die Clients den AP "sehen" können. Wenn sie und er sich nicht im selben Subnet befinden, kann er schließlich auch kein WLAN für sie bereitstellen.
 
Zuletzt bearbeitet:
Nikolei schrieb:
Vielleicht habe ich einige Details ausgelassen die noch relevant wären.
Ja, hast du. Und das Copy&Paste Wiederholen von #1 soll jetzt diese Details liefern oder wie?


Aus #1:
Nikolei schrieb:
"Mit IP" ist das Netz für die Administration wo eine fest IP am AP vorhanden ist. "Ohne IP" heißt, das Netz wird durch den AP auf das W-LAN gebridged für die Clients die dann eine IP bekommen vom Router.


Aus #8:
Nikolei schrieb:
"Mit IP" ist das Netz für die Administration wo eine fest IP am AP vorhanden ist. "Ohne IP" heißt, das Netz wird durch den AP auf das W-LAN gebridged für die Clients die dann eine IP bekommen vom Router.



Mit und ohne IP sind sinnfreie Informationen für VLANs. VLANs sind Layer2 und IPs sind Layer3. Zwei Paar Schuhe.

Ich bin raus. Hab in letzter Zeit zu viele Threads beackert, in denen man um Infos kämpfen muss. Keine Lust mehr.
 
  • Gefällt mir
Reaktionen: snaxilian
So habe ich jetzt die eigentliche Aufgabe verstanden: Zwei APs sollen in einem Subnet zwecks Administration (z. B. per SSH) sichtbar, im anderen Subnet für Clients aber unsichtbar sein, d. h. keine für die Clients erreichbare IP-Adresse haben.
Zur Verfügung stehendes Equipment: OpenWRT-Router, OpenWRT-APs, Switch

Keine Ahnung, ob sowas möglich ist. (APs als Bridges kenne ich nur im Zusammenhang mit Mesh-Netzwerken.)
Trotzdem würde auch mich hier eine mögliche Lösung interessieren. ;)
 
Nikolei schrieb:
eine IP bekommen vom Router
Router routen IP-Pakete. Router vergeben keine IPs. DHCP-Serverdienste vergeben IPs. Diese laufen bei den meisten Anwendern zuhause auf dem was der Laie gemeinhin als "Router" bezeichnet aber das muss nicht so sein.
Nikolei schrieb:
Vielleicht habe ich einige Details ausgelassen die noch relevant wären.
Vielleicht wirst du mit dieser Salami-Häppchen-Taktik auch keine Hilfe bekommen, denn:
Raijin schrieb:
Ich bin raus. Hab in letzter Zeit zu viele Threads beackert, in denen man um Infos kämpfen muss. Keine Lust mehr.

Weil DU zu faul bist, vernünftig und vollumfänglich aufzuschreiben was du vor hast, sollen WIR diese Infos erraten oder dir mühsam aus der Nase ziehen. Damit machst du es dir sehr einfach weil du erst weitere Infos lieferst, wenn wir alles mögliche erraten haben und es nicht weiter geht. Damit verschwendest du unsere Zeit. Freizeit um genau zu sein.
Ich habe kein Problem mit diesem zeitaufwendigen Herumgehampel, du musst es nur sagen. Dann melde ich ein Gewerbe an, wir vereinbaren einen Beratungsvertrag und berechnet wird nach Zeit. Das ist dann weiterhin meine Zeit aber eben nicht meine Freizeit und du wirst dir zweimal überlegen ob du meine Zeit und damit dein Geld weiter durch Häppchen verschwenden möchtest oder dich erstmal selbst hinsetzt und deine Hausaufgaben machst.
Das Honorar würde ich vermutlich dann mit @Raijin auf den Kopf hauen^^

lanse schrieb:
Keine Ahnung, ob sowas möglich ist.
Ja, das ist absolut möglich und das ist das übliche Setup in gewerblichen Umgebungen. In jeder Behörde, Kaffee-Kette, Supermarkt, Elektromarkt, Kaufhäusern, etc. wo du als Besucher/Kunde bist, landest du in einem WLAN für Kunden ohne Zugriff auf die APs etc. an sich und ohne Zugriff auf die Kassen o.ä.
Bei solchen Setups hast also mindestens drei VLANs: eins für Kunden bzw. Endpunkte, eins für Kassen & Co. und eins für das Management der Netzwerkkomponenten. Weitere sind natürlich auch möglich.
 
Zuletzt bearbeitet: (Grammatik/Typo)
  • Gefällt mir
Reaktionen: Raijin
Na, besser jetzt? Erleichterung verschafft? Frust abgebaut?

Raijin schrieb:
Ja, hast du. Und das Copy&Paste Wiederholen von #1 soll jetzt diese Details liefern oder wie?
Raijin schrieb:
Raijin schrieb:
Übersehen, dass der TE den Startpost nachträglich überarbeitet hat mit der Formulierung aus dem Folgepost?

snaxilian schrieb:
Router routen IP-Pakete. Router vergeben keine IPs. DHCP-Serverdienste vergeben IPs. Diese laufen bei den meisten Anwendern zuhause auf dem was der Laie gemeinhin als "Router" bezeichnet aber das muss nicht so sein.
Schlimm, schlimm! Da hat doch wieder so ein "Laie" nicht vom DHCP-Serverdienst auf dem Router-Endgerät gesprochen, sondern vom Router. How dare you?!
In welchem Forum sind wir hier noch gleich? "Professionelle IT-Netze und -Systeme"? … ach nein: "Heimnetzwerke und Internethardware"

So schlecht finde ich die Beschreibung im Startpost (jetzt) eigentlich nicht. Habe auch erst nicht verstanden, dass der eigentliche Zweck der Übung sein soll, die APs vor den Clients komplett zu verstecken, das ist aber auch nicht das Problem des TE.

Schade, hätte gerne was gelernt … ich meine abseits von allgemeinen Belehrungen und Erziehungsversuchen … eher sowas: Wie versteckt man jetzt die APs komplett?
Da meine UniFi APs jetzt EOL sind, wollte ich sie evtl. auch mit OpenWRT flashen. Zufällig entspricht auch die Netzwerkkonfiguration des TE quasi meiner, da hätten mich seine Erfahrungen schon interessiert …

Als TE hätte ich aber vermutlich nach all den Nettigkeiten hier keinen Bock mehr …

@Nikolei

Falls Du's hinkriegst, bitte berichten. Mich würde zusätzlich auch noch interessieren, wie Seamless Roaming mit mehreren OpenWRT-APs in der Praxis funzt.
 
lanse schrieb:
Übersehen, dass der TE den Startpost nachträglich überarbeitet hat mit der Formulierung aus dem Folgepost?
Erstens ja, weil das nachträgliche kommentarlose Ändern eines Beitrags streng genommen sogar gegen die Regeln verstößt (wie mein Hinweis auf die Regeln sogesehen auch), und zweitens, weil ich mir eigentlich recht sicher bin, diese Formulierung auch schon vorher gelesen zu haben.

lanse schrieb:
So schlecht finde ich die Beschreibung im Startpost (jetzt) eigentlich nicht.
Die Ungereimtheiten bzw. Fehler in der Zeichnung, die ich in #3 angemerkt habe, sind weder erklärt noch korrigiert worden.


lanse schrieb:
Wie versteckt man jetzt die APs komplett?
Das Konzept nennt sich Management-VLAN, ein VLAN, das ausschließlich Geräte der Infrastruktur enthält. Jedweder Zugriff auf dieses VLAN wird über die Firewall bzw. den Router reglementiert..


lanse schrieb:
Als TE hätte ich aber vermutlich nach all den Nettigkeiten hier keinen Bock mehr …
Das mag sein und tut mir auch leid, aber in letzter Zeit sehen 2 von 3 Threads so aus. Ein TE, der sein Problem nicht mal in allgemeinen Worten - also untechnisch - ausreichend beschreiben kann, um dann Stück für Stück mit wichtigen Details anzukommen. In Anbetracht dessen, dass die Helfer hier im Forum ihre Freizeit dafür opfern, ist das Zeitverschwendung von anderen Leuten... Natürlich wirkt das immer unfair, wenn irgendwann die Frustbombe platzt. Wer regelmäßig hier im Forum unterwegs ist, wird wissen, dass ich eigentlich immer versuche, zu helfen und ausführlich zu erklären, aber irgendwann vergeht mir auch die Lust...


lanse schrieb:
Wenn sie und er sich nicht im selben Subnet befinden, kann er schließlich auch kein WLAN für sie bereitstellen.
Das stimmt so nicht. Die IP-Adresse eines AP ist unerheblich, weil er nur eine transparente Brücke zwischen seinem WLAN und LAN Interface darstellt, gewissermaßen ein Switch mit 2 Ports, WLAN und LAN. Es kommt dabei auf die OSI-Layer an. IP ist Layer 3, während Ethernet bzw. 802.3 und WLAN aka 802.11 sich auf Layer 2 bewegen. Es gibt zumindest keine technische Begrenzung, die es verbietet, dass ein AP (oder ein Switch) eine IP-Adresse aus einem falschen Subnetz hat und trotzdem funktioniert.


Genau darauf basiert letztendlich ja das Konzept des Management-VLANs. Dabei hat das Gerät - AP oder Switch - nur auf dem Management-VLAN eine IP-Adresse und ist ggfs sogar durch die Konfiguration noch zusätzlich vor Zugriffen aus den anderen VLANs geschützt. In den anderen VLANs hat das Gerät keine IP und trotzdem werden die Datenpakete munter weiterverteilt.

Es ist wie @snaxilian schon geschrieben hat üblich, dass in professionellen Netzwerken ein separates VLAN durch das gesamte Netzwerk geht, das ausschließlich die Geräte der Infrastruktur enthält, eben das Management-VLAN. In diesem VLAN befinden sich konsequenterweise keinerlei Clients und es ist über den Router, der die (V)LANs miteinander verbindet, geregelt, dass nur bestimmte Ports, Geräte, IP-Ranges oder Subnetze in dieses VLAN geroutet werden.


Die grundsätzliche Vorgehensweise ist also wie folgt:

  • VLAN ID für Management-VLAN erstellen (zB 99)
  • Management-VLAN auf alle Trunks zu den APs/Switches legen
  • Am AP/Switch auf dem Interface für das Management-VLAN eine IP-Adresse definieren
  • Firewall/Router konfigurieren und Zugriffe von den anderen VLANs reglementieren

Auf diese Weise hat der Switch/AP nur eine IP-Adresse in VLAN 99 und ist aus den anderen VLANs nicht erreichbar, sofern Gateway bzw. Firewall den Zugriff nicht routen bzw. erlauben. Je nach Gerät kann und muss man ggfs noch im Gerät selbst sicherstellen, dass der Zugriff auf das Webinterface ausschließlich über das Management-VLAN freigegeben ist.

Wie genau das bei einem Sammelsurium aus OpenWRT und TP-Link in den GUIs aussieht, kann ich aus dem Stegreif nicht sagen, weil ich weder mit dem einen noch mit dem anderen arbeite. Hier wird das anhand von Cisco im Paket Tracer vorgemacht, habe das Video aber nur kurz überflogen.
 
  • Gefällt mir
Reaktionen: snaxilian und lanse
Ich verstehe noch nicht wie ich die zwei gewünschten VLANs auf dem Router einrichten soll.
1628440269361.png

VLAN 99 soll für die Administration der am Switch hängenden Access Points sein und 42 das VLAN für die Clients an den Access Points.
Der Switch ist aktuell über das Web-Interface nicht erreichbar, obwohl ich unter DHCP leases den eintrag mit dem Switch sehe.
1628440430233.png
 
Wenn der Router ausreichend physische Ports für die VLANs am Switch hat, benötigt der Router selbst gar keine VLANs, sondern wird einfach jeweils mit einem Port mit einem Kabel an einem untagged Port des jeweiligen VLANs verbunden.

Was die Erreichbarkeit angeht: Natürlich muss das Routing stimmen und die Firewall für diese Verbindung offen sein, wenn der Zugriff aus einem anderen Teil des Netzwerks aufgebaut wird, also subnetz-/VLAN-übergreifend.
 
So wie ich das verstehe, sind CPU (ethX) bei OpenWRT virtuelle Ports (ethX Driver), wobei eth0 (wahrscheinlich) für die Switch-Funktionalität des Routers und eth1 für irgendetwas anderes steht. LAN 1-4 sind dann die Physical Ports.
Ich gehe also davon aus, dass der Switch an LAN 1 hängt. Dann sollte man LAN 1 als Trunk-Port verwenden, d. h. "tagged" mit allen VLAN-IDs - genau wie CPU (eth0): tagged/tagged/tagged. Hier werden quasi zwei Switches getrunkt.
Das weitere "Filtering" nach VLAN-ID-Tags findet dann nicht in der Switch-Funktionalität des Routers statt, sondern im TL-SG108PE, an dem die APs hängen. Das muss natürlich dort entsprechend konfiguriert werden.

Ich wäre außerdem vorsichtig, "tagged" und "untagged" an einem Port zu kombinieren: "untagged" akzeptiert nur Incoming Traffic ohne VLAN-ID-Tags und entfernt VLAN-ID-Tags bei Outgoing Traffic.
Hier kann man Sinn und Zweck (LAN/WAN-Trennung) nochmal im Detail nachlesen:
https://openwrt.org/docs/guide-user/network/vlan/switch_configuration

Am WoEnde habe ich mir übrigens meine UniFi APs (noch mit Original-Firmware und am bei mir nicht ständig laufenden UniFi-Controller) genauer angeschaut - zwei VLANs (Default/Gast) analog zu 99/42 hier im Thread: Im "Gast"-VLAN haben die APs tatsächlich keine IP-Adresse und sind unsichtbar für die Clients. :daumen:
Nur im "Default"-VLAN sind sie erreichbar.
Ich verwende dabei nicht den Gastzugang des UniFi-Controllers! Stattdessen habe ich dort nur die zwei VLANs (mit unterschiedlichen SSIDs natürlich) "durchgereicht". (Ich wollte nämlich auch an den Netzwerkdosen in unserem Gästezimmer denselben Gastzugang zur Verfügung stellen - nicht nur im WLAN. Deshalb musste ich die VLANs bereits in Router & Switch konfigurieren und nicht erst in den APs.)
 
Zuletzt bearbeitet:
Wie gesagt, wenn man LAN1-4 von switch0 trennt, also als eigenständige Interfaces behandelt, benötigt man gar keine VLANs am Router. Die VLANs am Switch sägen ihn ja sinngemäß nur in mehrere Teile, haben aber sonst keine weitere Intelligenz. Wenn es für jedes VLAN im TL-SG108E einen untagged Port gibt, der als Uplink zum Router dient und dort in ein eigenständiges Interface reinläuft, benötigt eben dieses Interface am Router gar kein VLAN, weil über den Uplink nur untagged Traffic läuft, also ohne VLAN-IDs.

Wenn jetzt natürlich ein unzureichend ausgestatteter Router lediglich via OpenWRT halbwegs VLAN-fähig gemacht wird, aber trotzdem nicht ausreichend physische Schnittstellen zur Verfügung stehen, muss man auch auf Seiten des Routers wohl oder übel mit VLANs arbeiten. Ich würde an dieser Stelle aber stark zu einem MikroTik hEX (S) / hAP ac2 oder einem EdgeRouter-X raten, alle um und bei 50-70€, anstelle mit OpenWRT-Krücken zu arbeiten. Letzteres soll nicht gegen OpenWRT sprechen, sondern gegen die unzureichende Hardware-Ausstattung eines 08/15 Routers für solche Szenarien.

Ansonsten würde man einen einzelnen Uplink vom TL-SG108E zum Router führen und an diesem Port dann auf beiden Seiten alle VLANs als tagged konfigurieren, der klassische Trunk-Port. Zur Weiterverwendung am Router dann die übrigen Ports ggfs untagged in das jeweilige VLAN packen, um dort Endgeräte bzw. unmanaged Switches anzuschließen, tagged VLANs dort wo erneut VLANs weiterverteilt werden sollen.


Genaueres kann man an dieser Stelle mangels detaillierter Informationen nicht sagen. Wie ich in #3 schon geschrieben habe, hat die Darstellung des Netzwerks in #1 nämlich einige Lücken und lässt sehr viel Raum für Interpretationen.
 
Also hier mal der Switch:
1629307477066.png


Die Ports 1-4 sind für für die Access Points, an Port 5 ist jetzt der Router Angeschlossen. Ist das richtig so? Ich müsste jetzt wahrscheinlich beim Router einstellen, dass die angeschlossenen APs für VLAN 2 vom DHCP eine IP bekommen sollen oder?
Ich habe auch noch nicht so richtig verstanden was eth0 und eth1 beim Router ist (siehe Bild) aber die Switch-Seite auf dem Router sieht jetzt so aus:
1629309065428.png


Ich habe dann noch unter Interfaces ein neues Interface erstellt namens guest, für die APs mit denen man als Gast reinkommt. So ist die konfiguration:
1629309273692.png


Den DHCP-Server habe ich für das Interface aktiviert und unter physical settings eine bridge zu eth1.99 gemacht (für VLAN 99):
1629309348239.png



Macht das irgendwie Sinn? Gäste die sich über das WLAN der APs anmelden sollten dann in VLAN 99 sein, welches IPs aus dem Bereich 192.168.99.x enthält.
 

Anhänge

  • 1629309165993.png
    1629309165993.png
    66,9 KB · Aufrufe: 266
Zuletzt bearbeitet:
Nikolei schrieb:
Ich müsste jetzt wahrscheinlich beim Router einstellen, dass die angeschlossenen APs für VLAN 2 vom DHCP eine IP bekommen sollen oder?
Das würde ich auch so machen.

Meine Bitte: Ich habe den Eindruck, dass sich Nummerierung und Anzahl der VLAN-ID-Tags sowie ihre Zuordnung zum jeweiligen Verwendungszweck von Beitrag zu Beitrag ändern.
Beim Switch (TL-SG108PE) fehlt z. B. VLAN-ID-Tag "99". Anscheinend soll das Management-VLAN dort mit "1" getaggt werden. Das kann so nicht funktionieren: Du musst natürlich dieselben VLAN-ID-Tags in Router und Switch (TL-SG108PE) vergeben/verwenden.
Wofür soll VLAN-ID-Tag "1", das im Router definiert ist, verwendet werden?
Welches VLAN-ID-Tag steht jetzt für das neue (?) "Gast"-(W)LAN?

Ich gehe jetzt von VLAN-ID-Tag "2" für die Clients ohne Administrationsrechte und VLAN-ID-Tag "99" für das Management-VLAN aus.


Zum Router …

CPU (eth0) steht IMO für die Modem- oder Switch-Komponente im Router-Endgerät. Dann würde ich das so einstellen:
  • VLAN ID 1/2/99: tagged/tagged/tagged
Verfügt das Router-Endgerät über eine WLAN-Komponente? Dann könnte die CPU (eth1) sein. (Ist nur eine Vermutung.) Wird die nicht benötigt, dann:
  • VLAN ID 1/2/99: off/off/off
Der Switch (TL-SG108PE) hängt am Router-Endgerät an LAN 1, richtig? Dann würde ich das so einstellen:
  • VLAN ID 1/2/99: tagged/tagged/tagged (Trunk-Port)

Zum Switch (TL-SG108PE) …

"802.1Q VLAN Configuration" statt "Port Based VLAN Configuration" zu verwenden, ist richtig.
("Port Based VLAN Configuration" - "Disable")

Ich würde das so einstellen:
  • VLAN ID 99 / Member Ports 1-5 / Tagged Ports 1-5 / Untagged Ports -
  • VLAN ID 2 / Member Ports 1-5 / Tagged Ports 1-5 / Untagged Ports -
… oder …
  • VLAN ID 2 / Member Ports 1-8 / Tagged Ports 1-5 / Untagged Ports 6-8
… je nachdem, wie Du die verbliebenen Ports des Switches (TL-SG108PE) verwenden willst.

Begründung: Du möchtest sowohl Management-Zugriff als auch Client-Zugriff ohne Administrationsrechte via WLAN, richtig? "Untagged" ist dann (an dieser Stelle) gar nicht möglich!

Bei der Konfiguration der APs musst Du jetzt den VLAN-ID-Tags "2" und "99" unterschiedliche SSIDs zuordnen. Dann liefern die APs zwei voneinander getrennte WLANs.
Im WLAN für Clients ohne Administrationsrechte, das auf VLAN-ID-Tag "2" basiert, würde ich den DHCP-Server (des Routers) aktivieren, wie Du es ja auch vorhast, im Management-WLAN dürften feste IPs (aus einem anderen Adressbereich) für die APs ausreichen, die dann natürlich nicht als DHCP-Clients konfiguriert sein dürfen, ansonsten wären sie ja für die Clients ohne Administrationsrechte "sichtbar".

Ob ein Bridge Interface an der Stelle sinnvoll/notwendig ist, kann ich nicht sagen.
 
Zuletzt bearbeitet:
Zurück
Oben