Netzwerk um VLANs erweitern - WiFi ist mir noch nicht ganz klar

[Gamienator]

Heyho alle zusammen,

mein Heimnetzwerk soll durch VLANs separiert werden. Das einzige was mich daran noch aufgehalten hat war mein TP-Link accesspoint, der nicht VLAN fähig ist. Nun bin ich auf der Suche nach einem neuem AP, konnte aber noch nicht ganz mit der Suche loslegen weil mir eine Sache noch nicht ganz klar ist:

Auf unserer Arbeit evaluieren wir gerade die Möglichkeit über eine SSID alle VLANs anzubieten. Das klingt in der Theorie ja nicht schlecht und wollte nun wissen ob das im "Heimnetzerk" machbar ist bzw. was man dafür braucht. Meinen Miniserver mit einer pfSense habe ich ja schon am laufen und wenn ich es richtig weiß müsste ich mir noch einen RADIUS Server aufsetzen.

Gibt es denn seitens des APs auch Bedinungen die er erfüllen muss? Manche meiner Geräte haben leider nur WPA2 Pre-Shared Key als Auth Methode.

Ansonsten bin ich auf der Suche nach einem AP der

• VLAN fähig ist
• SNMP anbietet oder andere Monitoring Möglicheiten für CheckMK
• Mesh wäre nett um die APs zu erweitern falls nötig
• WiFi 6 wenns kein großer Aufpreis ist

Wenn also jemand Erfahrung damit hat, bitte her damit, ich bin um jegliche Hinweise dankbar

 

[xxMuahdibxx]

aber ich habe auf der schnelle das gefunden ...

https://www.cisco.com/c/de_de/suppo...-vlan-mapping-on-a-wireless-access-point.html

 

[Zokrace]

warum nicht mit nem VLAN fähigen Switch portbasiert den Port des APs einfach für alle VLANs konfigurieren?
Oder willst du das WLAN selbst in Vlans unterteilen?

 

[Gamienator]

Genau @Zokrace ich möchte das WLAN selber unterteilen, eben in Gast, IoT und Intern, sonst hätte ich natürlich ein untagged VLAN gemacht.

@xxMuahdibxx Da stelle ich ja ein das eine SSID ein VLAN hat. Mein Endziel war es ja, nur eine SSID zu haben und der Auth Server vergibt dem Gerät dann das richtige VLAN

 

[Zero_Official]

da bist du bei TP Link richtig.
sowohl eap225/245 oder neuere eap660/670 können ssid to vlan, und preislich sind die auch ok.
Habe 3 davon mit Vlans im Netz, daher aus eigener Erfahrung.

 

[scooter010]

Also wenn man mehrere VLAN möchte, dann geht das nur über mehrere SSID. Ansonsten kann der AP ja nicht wissen, in welches VLAN er den Traffic schicken soll.

Es kann sein, dass das via RADIUS auch anders geht, aber davon habe ich keine Ahnung.

Ich habe einen Ubiquiti 6 Lite und da gehen 5 VLAN (802.3Q) auf mehrere WLAN - SSID. Dann braucht es halt einen Switch, der 802.3Q fähig ist und die VLANs an die pfsense schickt und diese Routet entsprechend.

 

[zaphod88]

Also wenn man mehrere VLAN möchte, dann geht das nur über mehrere SSID. Ansonsten kann der AP ja nicht wissen, in welches VLAN er den Traffic schicken soll.

Es kann sein, dass das via RADIUS auch anders geht, aber davon habe ich keine Ahnung.

Ja, mit RADIUS geht das, Freeradius z.B. - anhand von MAC, Benutzernamen, RADIUS-Client ( also AP) oä. kann der Server dem Client mitteilen, in welches VLAN das Device fallen soll - natürlich vorausgesetzt, das VLAN kommt auch beim AP an. Mit Unifi AC Pro und Freeradius hab ich das allerdings bislang auch noch nicht zum Laufen bekommen.

 

[Raijin]

Frag am besten @norKoeri. Er/Sie/Es nutzt 802.1X bzw RADIUS intensiv und kann dir da gezielt weiterhelfen.

 

[norKoeri]

… bin ja schon am Tippen.

über eine SSID alle VLANs anzubieten

Das diskutier(t)en wir hier und dort.

Mein Fazit: Kannst Du vergessen, außer Du nimmst UniFi oder was richtig teures wie Cisco, Ruckus, … oder Du bastelst mit OpenWrt. Selbst die Umsetzung von Lancom gefällt mir nicht (oder ich verstehe sie nicht). Und auch bei MikroTik ist es basteln bzw. erfordert (bei Modellen mit WifiWave2) den aktuellen Release-Candidate von RouterOS (7.9). Problem ist der Multicast-Traffic wie mDNS oder IPv6. Mein TP-Link Omada EAP haut den einfach über alle VLANs raus†. Dadurch geht dann je nach Betriebssystem die IPv6-Connectivity kaputt und je nach Anwendung ist dann damit Internet kaputt (falls die Anwendung kein automatisches Fallback auf IPv4 macht). Wenn Du auf mDNS und IPv6 komplett verzichten kannst, dann hast Du natürlich gewonnen.

† TP-Link: Obwohl der Software-Bug seit Jahren besteht, soll irgendwann ein Firmware-Update kommen. Der vorletzte Woche erschienene Omada SDN Controller 5.9.31 bietet ganz tief unter Site/Wireless/Advanced/Multicast endlich die Schalter dafür. Aber die Firmware für die Access-Points fehlt noch immer. Und welche EAP-Modelle (und welche Hardware-Versionen davon) diesen Firmware-Fix dann bekommen, ist völlig offen.

Mit Unifi AC Pro und Freeradius hab ich das allerdings bislang auch noch nicht zum Laufen bekommen.

Läuft hier mit einem UniFi AC Lite und UniFi AC LR. Hast Du im FreeRADIUS

use_tunneled_reply​

konfiguriert? Besser/aktueller ist dieser Blog-Post … Welches Betriebssystem nutzt Du für FreeRADIUS bzw. auf dem WLAN-Clienten? Nicht das Du ein ganz anderes Problem – generell mit WPA-Enterprise – hast.

Auf unserer Arbeit evaluieren wir gerade

Aus reiner Neugierde: Warum wartest Du deren Ergebnisse nicht ab?
Und bitte schreib uns, was bei der Evaluation herausgekommen ist (und Ihr mit all den Test-Geräten macht; Abstaub?). Denn bei vielen Herstellern geht das auch nicht mit allen ihren Modell-Serien bzw. Modell-Generationen. Trotzdem würde ich die Finger von solchen Herstellern lassen, denn vermutlich ist es nicht in deren Test-Prozeduren und damit völlig Zufall das/ob dynamisches VLAN über RADIUS und auch IPv6 sauber geht.

VLAN fähig

Für jedes VLAN eine eigene SSID anzulegen, ist der Weg wie man es seit 25 Jahren macht oder bis vor 15 Jahren gemacht hat. Je nachdem wie man es sieht, der alte bzw. übliche Weg. Du hast dann nämlich den Nachteil, dass Dein WLAN-Access-Points für jede SSID jeweils ein Management-Frame (WLAN-Beacon) aussendet. Und das geschieht mit der langsamsten Datenrate. Folglich verlierst Du Durchsatz. Man müsste das mal real messen … Teilweise retten könntest Du das, indem Du die kleinste Datenrate hochziehst (statt 1 Mbit/s auf 5,5/6 oder 11/12 oder 24 Mbit/s gehst). Aber dann verlierst Du wieder Reichweite bzw. musst mehr Access-Points setzen/kaufen. Ein Teufelskreis.

 

[Zokrace]

https://administrator.de/tutorial/d...r-wlan-u-lan-clients-mit-mikrotik-512768.html

vllt kommst hiermit ja zurecht. schaut direkt nach deiner fragestellung aus ^^
wenn das so zum laufen bringst sag bescheid, vllt brauch ich das mal auf arbeit :

 

[scooter010]

Du hast dann nämlich den Nachteil, dass Dein WLAN-Access-Points für jede SSID jeweils ein Management-Frame (WLAN-Beacon) aussendet. Und das geschieht mit der langsamsten Datenrate. Folglich verlierst Du Durchsatz.

Ich habe bei mir mit 2 APs mit wifi6 und bei Aufenthalt im selben Raum wie einer der APs rund 65 MByte/s. Ist das nun langsam? Das ist immerhin mehr als die Hälfte von dem, was GBit Ethernet schafft.

Edit: Wenn der Radius Server dem Client mitteilt, welches VLAN er nehmen soll (z.B. anhand der MAC), dann ist die Netzseparierung ja nun nicht mehr wirklich gegeben, oder?

 

[Raijin]

Gast, IoT und Intern

Schau dir aber genau an was du in "IoT" stecken willst und womit bzw woher du das steuern willst. Viele vermeintlichen smart devices sind nämlich gar nicht so smart bzw ihre Apps sind es nicht. Häufig arbeiten die Apps nämlich mit Broadcasts, um die IoT-Komponenten / -Bridges zu finden und das funktioniert (ohne Trickserei) nur innerhalb ein und desselben Netzwerks. Heißt: Die App auf dem Smartphone in "intern" hat unter Umständen Probleme, das smarte device in "IoT" zu finden bzw zu steuern. Sofern das Smart Home System die manuelle Eingabe der IP erlaubt, kann man es auch in gerouteten Netzwerken nutzen, wenn nicht, dann nicht bzw man muss das Smartphone nach Bedarf von einem Netz ins andere umloggen, um etwas zu bedienen.

Bei VLANs bzw allgemein segmentierten Netzwerken gilt daher das KISS-Prinzip, Keep It Simple, Stupid. Manchmal ist weniger einfach mehr.

 

[norKoeri]

Wenn der Radius Server dem Client mitteilt, welches VLAN er nehmen soll (z.B. anhand der MAC), dann ist die Netzseparierung ja nun nicht mehr wirklich gegeben, oder?

Der RADIUS-Server teilt dem WLAN-Access-Point mit, in welches VLAN der WLAN-Client zu packen ist. Der WLAN-Client merkt davon gar nichts bzw. kann daran auch gar nichts ändern.

https://administrator.de/tutorial/-512768.html

Bitte nicht von der Komplexität der Anleitung abschrecken lassen. Die ist so komplex, weil dort gleich fünf Dinge erklärt werden (Internet-Router, Netz-Switch, interner WLAN-Controller, interner RADIUS-Server und das WLAN an sich). Ich musste in meinem MikroTik keine VLANs definieren, ging bei mir quasi alles automatisch. Für einen einfachen WLAN-Access-Point – also ganz ohne Router – musste ich nur:

1. Zurücksetzen
2. Firewall-Regeln löschen …
3. Quick Set: WISP AP und (Configuration) Mode: Bridge
4. RADIUS hinzufügen …
5. Security-Profile default auf WPA-Enterprise ändern …
6. Multicast Helper: full

 

[snaxilian]

Mesh

Reden wir hier von dem Marketinggelaber was Endkunden als Mesh verkauft wird oder Mesh im ursprünglichen Sinne? Oder meinst du eigentlich Roaming bzw. ggf. Controller-gesteuertes Roaming und schreibst nur Mesh (anstatt Roaming)?

Zum Thema Radius und VLANs haben dir ja schon andere passend geantwortet.

 

[Gamienator]

Erleuchte mich dann bitte? Ich möchte einfach nur die Möglichkeit haben zwischen APs duch zu laufen ohne das der Client das merkt und Verbindungsabbrüche gibt

 

[snaxilian]

Erleuchte mich dann bitte?

Funktioniert etwa bei dir keine einzige Suchmaschine? Du willst ein für Privatanwender komplexes Netzwerk mit VLANs und Radius aufsetzen und scheiterst daran "unterschied roaming mesh" in $Suchmaschine einzugeben?^^

Das Elektronik-Kompendium ist in der Regel eine gute erste Anlaufstelle und da wird auch erklärt was Mesh ist und was Roaming ist, zumindest aus korrekter technischer Beschreibung.

zwischen APs duch zu laufen ohne das der Client das merkt und Verbindungsabbrüche gibt

Roaming.

 

[norKoeri]

zwischen APs durch zu laufen, ohne das der Client das merkt und Verbindungsabbrüche gibt

snaxilian meint vermutlich, dass WLAN-Roaming auch so geht, nämlich mit der gleichen SSID und den selben Sicherheitseinstellungen auf allen WLAN-Access-Points.

WLAN-Mesh bzw. Access-Point-Steering hat sich als Marketing-Blase aufgetan, bei dem einige Hersteller wenigstens noch die Unterstützung für 802.11k plus 802.11v verstehen … So langsam kommt Certified EasyMesh auf, welches 802.11s aufgreift.

Was Du vermutlich haben willst, scheint reines WLAN-Roaming zu sein. Aber … bei WPA-Enterprise brauchst Du dafür ein Konzept wie Fast-BBS-Transition nach 802.11r, weil ein Handover bei WPA-Enterprise einfach ewiglich braucht. Wenn Du eine Realtime-Anwendung wie Video-Konferenzen, Web-Seminare oder Sprach-Telefonie nutzt. Dieses „Fast-Roaming“ ist ebenfalls noch wahnsinnig buggy. Inzwischen „kann“ das eigentlich jeder. Mit Wi-Fi 6 kam hier auch ein neues Konzept.

Aber ob es auch wirklich mit den eigenen WLAN-Clients „tut“, muss man testen. Oftmals braucht man es gar nicht, weil es eben nur Realtime-Anwendungen betrifft.

Controller-gesteuertes Roaming

Gamienator, wenn Du Access-Point-Steering meinst, gibt es

• passives Steering, also nach 802.11k plus 802.11v. Und
• aktives Steering, bei dem ein zentraler WLAN-Controller aktiv in die WLAN-Verbindungen eingreift.

Auch hier existiert viel Mischmasch, weil manche WLAN-Access-Points inzwischen bereits aktiv eingreifen z. B. indem ein WLAN-Client abgemeldet wird oder je nach Signalqualität erst gar nicht beantwortet wird, aber nur für sich auf dem jeweiligen Access-Point, nicht zentral über alle Access-Points.

Manche meiner Geräte haben leider nur WPA2 Pre-Shared Key als Auth Methode.

Auch ein Grund, warum sich PPSK aufgetan hat.

 

[mr.w0lf]

Ich würde hier noch gerne einen alternativen WLAN-Hersteller in den Raum werfen, ich verwende bei mir die APs von Cambium, mit denen ist es möglich den Clients unterschiedlichliche VLANs zuzuordnen ohne dass man dafür einen RADIUS Server betreiben muss.
Die APs entscheiden anhand des eingegebenen WLAN Passworts in welches VLAN der Client zugeordnet wird. Roaming funktioniert hier auch einwandfrei, die APs sind halt nicht ganz günstig.