Vlan für Gast Wlan einrichten

[Jonny20897]

Hallo, ich würde gerne für unser Gäste Wlan welches über ein Captive Portal erreichbar sein soll ein extra Vlan einrichten. Leider habe ich selber nicht wirklich viel Ahnung von der Materie aber sehr viel Lust mich weiter einzuarbeiten. Um erstmal grundlegende Fragen zu klären wollte ich hier aber zuerst mal nachfragen.
Das Gäste Wlan soll sich bei uns im Hofcafe sowie über den angrenzenden Garten erstrecken. Für das private Wlan am Hof habe ich bereits mehrere Accesspoints mit Mesh Funktion besorgt und betriebe diese auch soweit ziemlich erfolgreich. Hierfür habe ich zwei Zyxel NWA 210 ax sowie mehrere Zyxel NWA 50 ax und zwei NWA 1123 ac pro Accesspoints im Betrieb teils per Kabel angeschlossen teils aber auch über die Mesh Funktion verbunden. Als Router dient ein Zyxel SCR 50 axe. Verwaltet wird alles über die Nebula Cloud.
Naturgemäß bei einem landwirtschaftlichen Betrieb sind die Gebäude verstreut gelegen und Lan Kabel hat beim Bau niemand verlegt. Somit bin ich soweit echt positiv überrascht wie gut diese Lösung funktioniert.

So nun zum Gast Wlan. Dieses würde ich gerne mittels den beiden NWA 210 ax Accesspoints realisieren., Diese bieten die Funktion des Captive Portals an und auch das funktioniert gut und schaut auch gut aus. Habe testweise schon mal damit rumgespielt.

Meine Fragen sind nun:

1. Bin ich mit einem Vlan für das Gastnetz auf der sicheren Seite, was das Privatnetz betrifft? Das Gastnetz soll ausschließlich ins Internet kommen sonst nichts.
2. Ist das ganze überhaupt möglich? Im Grunde ist nach dem Router alles über unmanaged Switches miteinander verbunden. Selbst am Router hängt alles an einem Port, da baulich nicht anders möglich.
3. Kennt sich jemand mit der Nebula Cloud aus und könnte mir ein wenig beim einrichten helfen?

Vielen Dank für eure Hilfe!

LG Johannes

 

[SGCGoliath]

Ja dafür sind VLANs da und setzen wir auch so ein. Du gibst dem Gäste WLAN eine VLAN ID und diese muss ich ganzen Netz verfügbar sein. Das heisst insbesondere der Router muss dieses natürlich eingerichtet haben.
bei den unmanaged Switches kann es funktionieren, muss aber nicht. Das musst du testen. Hatte da schon beides
Theoretisch wenn alle Geräte im Nebula sind sollte dies einfach zu konfigurieren sein, da das VLAN dann automatisch eingerichtet werden soll. Habe ich aber selber so noch nie gemacht. Ev. hilft auch youtube

 

[Raijin]

Bin ich mit einem Vlan für das Gastnetz auf der sicheren Seite, was das Privatnetz betrifft? Das Gastnetz soll ausschließlich ins Internet kommen sonst nichts.

VLAN als solches ist erstmal kein Sicherheitsfeature. Im Prinzip ist das nur eine virtuelle Verkabelung, die die vorhandene physische Verkabelung nutzt bzw. überlagert. So kann man innerhalb eines LAN-Kabels mehrere Netzwerke übertragen und innerhalb eines VLAN-fähigen Switches die Ports eben diesen Netzwerken zuordnen, also aus einem physischen 24er Switch werden dann zB 3x 8er Switches, oder 1x 12er + 1x 8er und 1x 4er Switch oder oder oder..

Die Sicherheit innerhalb eines komplexen Netzwerks mit mehreren Teilnetzwerken - sei es nun virtuell per VLAN verteilt oder physisch mit autarker Verkabelung - kommt dort ins Spiel, wo ein Übergang von einem ins andere Netzwerk stattfindet bzw. stattfinden kann. In erster Linie ist es der Router, bei dem alle (V)LANs zusammenlaufen, aber natürlich auch die Switches. Nicht zuletzt gilt es zB auch die physische Sicherheit zu beachten, wenn jemand Zugang zu den Switches bzw. den Kabeln hat.

Ist das ganze überhaupt möglich? Im Grunde ist nach dem Router alles über unmanaged Switches miteinander verbunden. Selbst am Router hängt alles an einem Port, da baulich nicht anders möglich.

Unmanaged Switches haben keinerlei VLAN-Funktionalität. Sie können maximal VLAN-getaggte Pakete blind durchreichen, aber es kann genausogut sein, dass sie diese Pakete als ungültig verwerfen, weil sie zusätzliche Felder enthalten, die der Switch nicht versteht. Es ist nicht wirklich definiert wie unmanaged Switches mit VLAN-Paketen umgehen und daher muss man es ausprobieren ob es bei diesem oder jenen Modell funktioniert.

Es ist dennoch ratsam, bei Verwendung von VLANs auch VLAN-fähige Hardware zu verwenden, da man sonst mangels Konfigurationsmöglichkeiten keinerlei Spielraum für Veränderungen hat.

 

[Jonny20897]

Ok ich habe gestern mal versucht ein Vlan einzurichten. Habe folgende Konfiguration vorgenommen:

Leider scheint es irgendwo ein Problem zu geben, da das Smartphone scheinbar eine IP Adresse bekommt aber trotzdem keinen Internetzugang. Bei den SSID Einstellungen habe ich natürlich als Vlan ID das Vlan 10 eingestellt.

Vielleicht kann mir ja jemand bei den Einstellungen behilflich sein.
LG Johannes

 

[norKoeri]

Zyxel SCR 50 axe

Das Problem ist eher jener Router. Den haben nicht viele, ich jedenfalls nicht und daher kann ich Dir trotz Erfahrungen mit dem Nebula-Control-Center auch nicht helfen. Aber Zyxel hat eine eigene Online-Community. Vielleicht findet sich dort jemand. Vorher – wie @Raijin schon schrieb –, erstmal einen NWA direkt am SCR probieren, nicht dass Du einen völlig veralteten oder verbuggten Switch hast, der nicht mit VLANs umgehen kann.

 

[Jonny20897]

Mir wurde im zyxel Forum geraten, dass ich doch auf jedenfall die Switch auswechseln soll gegen Vlan fähige. Leider scheint es als ob es eigentlich keine bezahlbaren gibt die über Nebula gemanagt werden können.
Welche würdet ihr denn empfehlen. Sollten auch Poe fähig sein 5 Port oder 8 Port reichen. Kaufe sowas eigentlich auch gerne über Kleinanzeigen da oft wesentlich günstiger.
LG Johannes

 

[h00bi]

über ein Captive Portal erreichbar sein soll

lass es. Ist unnötige Gängelung. Wenn der Anschluss klar auf das Gastgewerbe läuft, brauchst du das nicht mehr.

Naturgemäß bei einem landwirtschaftlichen Betrieb sind die Gebäude verstreut gelegen und Lan Kabel hat beim Bau niemand verlegt.

nach dem Router alles über unmanaged Switches miteinander verbunden.

Was ist denn dieses "alles", für das es auf dem Hof keine LAN Kabel gibt?

Ergänzung (3. Juli 2024)

Leider scheint es als ob es eigentlich keine bezahlbaren gibt die über Nebula gemanagt werden können.

Naja, das ist jetzt auch nicht wirklich notwendig, wenn da 1x ein zusätzliches VLAN eingerichtet werden soll.

 

[Der_Dicke82]

Moin moin,

Ich würde die GS-1200 Reihe von Zyxel nehmen, wenn euch Gbit reicht! Die Einrichtung von VLANs sind hier wirklich einfach über die Weboberfläche möglich.
Amazonlink (mit und ohne POE)

 

[Jonny20897]

Habe mir jetzt managed switches aus der GS-1200 Reihe bestellt. Allerdings ist nach wie vor kein Internetzugang möglich mit der SSID obwohl ich den accesspoint direkt an den Router angeschlossen habe. Kann es sein, dass ich eventuell noch eine statische Route vom Vlan zum wan port einrichten muss?
Sorry aber so als Laie findet man leider auch nicht wirklich viele hilfreiche Webseiten. Vielleicht kann mir jemand ja auch Lesestoff empfehlen.

lass es. Ist unnötige Gängelung. Wenn der Anschluss klar auf das Gastgewerbe läuft, brauchst du das nicht mehr.

Tatsächlich läuft der Anschluss auf mich privat. Deswegen habe ich da lieber noch ein paar Zeilen zum abhaken dazwischen.

Was ist denn dieses "alles", für das es auf dem Hof keine LAN Kabel gibt?

Im Grunde inzwischen einige Accesspoints, da hier sehr sehr schlechter Mobilfunkempfang herrscht und einige private Computer. Ist halt alles nachträglich überall kreuz und quer gelegt worden. Teilweise dann halt auch nur ein Kabel vom Anschluss im Büro ins Wohngebäude und dort dann mittels Switch wieder aufgeteilt. Ich habe eben die ganze Wlan Geschichte erst angefangen, weil hier wie gesagt sehr schlechter Mobilfunkempfang ist und bis letztes Jahr auch nur 2-3Mbps per Dsl angekommen sind. Habe dann letztes Jahr Starlink angeschafft und seit dem ist das ganze auch erst attraktiv und interessant für den Rest des Hofes geworden.

Vielen dank schon mal für eure bisherige Hilfe.

VG Johannes

 

[norKoeri]

keine bezahlbaren gibt die über Nebula gemanagt werden können

1350, 1915, 1920v2, 1930-Serien bekommt man auch gebraucht und sind Nebula-Control-Center (NCC) fähig. Leider sind die 1350 und 1915 noch selten, weil einfach noch zu neu. 1920v2 aber ist gut und Dank mehr Funktionen eigentlich auch besser. Nachteil: Du musst immer auf V2 achten. Und man kann als Verkäufer seinen Switch nicht selbst aus NCC rauswerfen; das geht bisher nur über den Support bzw. ein Ticket. Aber machbar.

Kann es sein, dass ich eventuell noch eine statische Route vom Vlan zum wan port einrichten muss?

Irgendwie muss LAN noch mit WAN verbunden sein, ja. Eigentlich machen das moderne User-Interfaces automatisch oder geben einen direkt Wahl. Das ist alles eine Sache, wie sich das Nebula-Control-Center das „ausdenkt“. Kann man soviel gelesen haben, wie man will, ist am Ende wildes herumklicken und vielleicht auch stupides durchprobieren – wenn das keiner in der Zyxel Community weiß, sagt das auch schon Bände.

 

[Jonny20897]

Inzwischen sind die managed switches da. Hab mir zwei Zyxel GS1200 HP besorgt. Verstehe ich das richtig, dass ich jetzt nicht alle Switches austauschen muss sondern nur die, die auch tatsächlich auf dem Weg zwischen dem Accesspoints liegen die das Gastnetz bereitstellen und dem Router?
VG

 

[norKoeri]

Eigentlich musst Du nur jene Switche auf dem Weg austauschen, die kaputt sind, also VLAN-Tags verwerfen. Aber das hilft Dir alles wenig, solange der WLAN-Access-Point (mit seinem Gastzugang) direkt am Internet-Router auch noch nicht läuft. Klappt das Szenario inzwischen?

 

[Jonny20897]

Ja das habe ich hinbekommen. Habe bei der IP vergabe den Fehler gemacht statt einer 1 ganz am ende eine 0 zu setzen. Deswegen hat es wohl nicht geklappt. Bin gerade beim rumprobieren mit den switches. Leider kappiere ich die Oberfläche mit den Non-Member, Tag Egress Member, Untag Egress Member nicht ganz und das mit der PVID auch nicht so richtig. Habe mir inzwischen einige Videos angeschaut aber so richtig steige ich noch nicht durch. Habe gerade das Testszenario aufgebaut, das ich auf Port 5 die Verbindung zum Router hergestellt habe und auf Port 1 den Accesspoint angeschlossen habe. Der Accesspoint strahlt nun zwei SSIDs aus eine mit Vlan 20 (Gast Vlan) und eine mit Vlan 1 (normales Netz in dem eigentlich alles drin hängt). Wichtig ist, dass das Vlan 1 "überall hinkommt" also praktisch so als ob man gar keine Vlans hat.
Momentan habe ich es so konfiguriert und es funktioniert so:

Vielleicht könnte mir ja jemand erklären warum genau

LG Johannes

Ok das mit der PVID habe ich jetzt glaube ich verstanden. Eigentlich ist die für mich realtiv uninteressant da alle mein Pakte die über das Gast VLAN kommen ja durch die Accesspoints getaggt sind. Im Grunde wäre das ja nur interessant wenn ich Lan Ports für Gäste bereitstellen würde die dann in das Vlan 20 gehen sollen. Dann würde ich die entsprechenden Ports auf PVID 20 setzen oder?

 

[norKoeri]

Genau, Du musst gar nichts in den Switchen konfigurieren. Die sollen alle VLANs weiterleiten, der Router bzw. der Access-Point saugt sich dann seine VLANs aus dem Datenstrom raus und sortiert die richtig ein. Im Grunde hast Du jetzt die Switche so konfiguriert, dass VLAN 20 nicht an Port 2-4 rauskommt, tut ja auch nicht weh.

 

[Jonny20897]

Nur nochmal fürs Verständnis, Grün also Untag egress members bedeutet, dass der Switch die Vlan Tags entfernt. Also beim Bild wird für VLan 1 auf allen Ports der Tag entfernt. Gleichzeitig würden Daten die auf Port 1-5 rein kommen alle den Vlan Tag 1 bekommen da die PVID 1 ist. Ist hier allerdings nicht der Fall da der Accesspoint alle Datenpakete schon mit einem Tag versieht.
Jetzt verstehe ich allerdings nicht warum es dann funktioniert, weil ja definitiv durch die beiden SSIDs auch Datenpakete im VLan 1 auf Port 1 raus gehen die dann ja untagt werden durch den Switch. Warum kann der Accesspoint die trotzdem richtig zuordnen?

Orange also Tag egress member bedeutet einfach nur, dass der Port nur Datenpakete mit dem jeweiligen Vlan durchlassen soll aber sonst nichts mit den Paketen macht. Also kein Tag entfernt oder hinzugefügt.
Und grau also non member, dass er ein Paket am jeweiligen Port mit dem entsprechenden Vlan Tag nicht raus oder rein lassen soll.

Danke noch einmal fürs klarstellen.

 

[Raijin]

Ich empfehle dir die Lekture dieser VLAN-Grundlagen. Dort wird recht anschaulich anhand von Farben erklärt wie untagged und tagged VLANs funktionieren.

 

[norKoeri]

Ich würde die Switche zurücksetzen und gar nichts (außer vielleicht Stromsparmaßnahmen wie EEE) konfigurieren, aber um Deine Fragen zu beantworten:

Jetzt verstehe ich allerdings nicht warum es dann funktioniert, weil ja definitiv durch die beiden SSIDs auch Datenpakete im VLan 1 auf Port 1 raus gehen die dann ja untagt werden durch den Switch. Warum kann der Accesspoint die trotzdem richtig zuordnen?

Weil ungetaggt – also ganz ohne VLAN-Tag – ebenfalls das VLAN1 ist, jedenfalls dann, wenn 1 auch die Port-VLAN-ID (PVID) ist.

Orange also Tag egress member bedeutet einfach nur, dass der Port nur Datenpakete mit dem jeweiligen Vlan durchlassen soll aber sonst nichts mit den Paketen macht. Also kein Tag entfernt oder hinzugefügt.
Und grau also non member, dass er ein Paket am jeweiligen Port mit dem entsprechenden Vlan Tag nicht raus oder rein lassen soll.

Jepp. Oder anders formuliert: Bei Orange und Grün nimmt der Port in dem VLAN teil, ist also ein Teilnehmer = Englisch „Member“. Das andere, gedanklich erstmal unabhängige Konzept dazu ist dann das Taggen: Eingang, Ausgang. Manche Web-Oberfläche trennen das. Manche Web-Oberflächen wie Deines, kombiniert das.