VLAN Tagging auf Uplink-Port vom Router zum Access Point

Forum zur aktuellen LANCOM Router Serie: LANCOM 1781A, LANCOM 1781AW, LANCOM 1781EW, LANCOM 1781EF, LANCOM 1631E, LANCOM 831A und VPN Gateways: LC-9100 VPN, LC-7100 VPN, LC-8011 VPN, LC-7111 VPN und LC-7011 VPN

Moderator: Lancom-Systems Moderatoren

Antworten
ToshiPa
Beiträge: 8
Registriert: 15 Mai 2017, 21:59

VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von ToshiPa » 13 Jan 2018, 20:34

Hallo zusammen,

ich bräuchte mal ein bisschen Hilfe bei einem kleinen Konfigurations-Problem mit einem Lancom Router bzw. Access Point.

Ich habe einen 1781EF+ als Router und einen L-822acn als WLAN Access Point. Auf dem 1781 gibt es drei Netze. Nennen wir sie mal A, B und C. Netz A liegt auf ETH1 (LAN1), Netz B auf ETH2 (LAN2) und Netz C auf ETH3 (LAN3). Auf ETH4 (LAN4) ist der Access Point angeschlossen.

Die Netze A, B und C sollen auch über WLAN (unterschiedliche SSIDs) verfügbar sein. Das heißt doch, dass ETH4 auf dem 1781 und ETH1 auf dem Access Point getaggt sein müssen. Sowohl auf dem Router, als auch auf dem Access Point ist das VLAN-Modul aktiviert.

Wenn ich testweise die Uplink-Ports vom Router zum Access Point nicht tagge und nur ein Netz drüber laufen lasse, kann ich z.B. vom Access Point den Router anpingen. Sobald ich jedoch die Ports wieder auf Tagging (Immer) stelle, komme ich nicht mehr auf die Gegenstelle. Ach ja, beide Geräte laufen im Bridge Mode, also nicht isoliert.

Am Routing kann es ja nicht liegen, da es (zumindest mit einem Netz) ohne Tagging funktioniert. Außerdem soll ja nicht der Accesspoint routen, sondern der Router. ;-)

Hat jemand von euch vielleicht eine Idee? Danke schon mal für eure Antworten.

LG Frank

Maurice
Beiträge: 42
Registriert: 18 Sep 2017, 12:38

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von Maurice » 16 Jan 2018, 21:04

VLAN-Modul aktivieren und auf der Strecke Router <-> AP taggen ist schon mal richtig, Du musst aber die VLANs auch konfigurieren. Bin mir nicht sicher was Du schon gemacht hast, daher hier mal die wichtigsten Einstellungen auf dem Router:

Schnittstellen / LAN / Port-Tabelle: LAN-1 bis LAN-4 alle der selben Bridge-Gruppe zuordnen, z. B. BRG-2.

Schnittstellen / VLAN / VLAN-Tabelle: Für jedes Netz (A, B, C) einen Eintrag anlegen, z. B.:

Code: Alles auswählen

VLAN-Name  VLAN-ID  Port-Liste
A          10       LAN-1, LAN-4
B          11       LAN-2, LAN-4
C          12       LAN-3, LAN-4
Schnittstellen / VLAN / Port-Tabelle: Port-IDs einstellen:
LAN-1 = Port-ID 10, LAN-2 = Port-ID 11, LAN-3 = Port-ID 12

IPv4 / Allgemein / IP-Netzwerke bzw. IPv6 / Allgemein / LAN-Schnittstellen: VLAN-ID und Schnittstelle einstellen:

Code: Alles auswählen

Netzwerkname  VLAN-ID  Schnittstelle
A             10       BRG-2
B             11       BRG-2
C             12       BRG-2
Ich denke die Einstellungen auf dem AP kannst Du daraus ableiten.

ToshiPa
Beiträge: 8
Registriert: 15 Mai 2017, 21:59

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von ToshiPa » 16 Jan 2018, 23:54

Maurice hat geschrieben:VLAN-Modul aktivieren und auf der Strecke Router <-> AP taggen ist schon mal richtig, Du musst aber die VLANs auch konfigurieren. Bin mir nicht sicher was Du schon gemacht hast, daher hier mal die wichtigsten Einstellungen auf dem Router:

Schnittstellen / LAN / Port-Tabelle: LAN-1 bis LAN-4 alle der selben Bridge-Gruppe zuordnen, z. B. BRG-2.

Schnittstellen / VLAN / VLAN-Tabelle: Für jedes Netz (A, B, C) einen Eintrag anlegen, z. B.:

Code: Alles auswählen

VLAN-Name  VLAN-ID  Port-Liste
A          10       LAN-1, LAN-4
B          11       LAN-2, LAN-4
C          12       LAN-3, LAN-4
Schnittstellen / VLAN / Port-Tabelle: Port-IDs einstellen:
LAN-1 = Port-ID 10, LAN-2 = Port-ID 11, LAN-3 = Port-ID 12

IPv4 / Allgemein / IP-Netzwerke bzw. IPv6 / Allgemein / LAN-Schnittstellen: VLAN-ID und Schnittstelle einstellen:

Code: Alles auswählen

Netzwerkname  VLAN-ID  Schnittstelle
A             10       BRG-2
B             11       BRG-2
C             12       BRG-2
Ich denke die Einstellungen auf dem AP kannst Du daraus ableiten.
Hallo Maurice,

vielen Dank. Deine Tips haben mir auf jeden Fall schon mal weitergeholfen. :D

Beruflich habe ich viel mit Netzwerken zu tun. Allerdings weniger mit Routern, sondern Switchen. Das Geräte intern mit Bridges arbeiten kenne ich, hatte aber nie damit zu tun.

Mein Fehler war wohl, dass ich die Ports in der Port Tabelle keiner Bridge Group zugeordnet hatte. Mein Gedanke war dass, wenn ich die Pakete über die Firewall routen möchte, der Port im isolierten Modus laufen muss und keiner Bridge Group zugeordnet sein darf.

Unter IPv4 / Allgemein / IP-Netzwerke habe ich den Netzen/VLANs dann die logischen Schnittstellen (LAN-1, LAN-2, etc.) zugeordnet und keine Bridge Groups.

Im Referenzhandbuch (LCOS 10.12) steht zwar einiges über das Thema, aber so richtig verständlich war das für mich nicht. Aber ich sehe schon, dass ich noch ein bisschen zu lernen habe. :wink:

Ich werde mich als nächstes mal des Themas WLAN annehmen. 8)

Maurice
Beiträge: 42
Registriert: 18 Sep 2017, 12:38

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von Maurice » 17 Jan 2018, 22:19

ToshiPa hat geschrieben: Beruflich habe ich viel mit Netzwerken zu tun. Allerdings weniger mit Routern, sondern Switchen. Das Geräte intern mit Bridges arbeiten kenne ich, hatte aber nie damit zu tun.
Die Logik finde ich da bei Lancom auch etwas gewöhnungsbedürftig. ETH 1 bis ETH 4 sind die physikalischen Ethernet-Ports, für diese ist jedoch keine direkte VLAN-Konfiguration möglich (wie das bei den meisten Switches und Routern mit integriertem Switch die Regel ist). Die VLAN-Konfiguration ist nur für logische Interfaces möglich, die wiederum einen oder mehrere Ethernet-Ports beinhalten können. Auch die Benennung ist uneinheitlich; so werden LAN-1 bis LAN-4 mal als "Interface" bzw. "Schnittstelle" und mal als "Port" bezeichnet. Sowohl IP-Pakete als auch Ethernet-Frames werden konsequent "Pakete" genannt, obwohl das nun mal gar nichts miteinander zu tun hat... :roll:
ToshiPa hat geschrieben: Mein Fehler war wohl, dass ich die Ports in der Port Tabelle keiner Bridge Group zugeordnet hatte. Mein Gedanke war dass, wenn ich die Pakete über die Firewall routen möchte, der Port im isolierten Modus laufen muss und keiner Bridge Group zugeordnet sein darf.
Die Isolierung erfolgt hier über die unterschiedlichen VLAN-IDs.
ToshiPa hat geschrieben: Unter IPv4 / Allgemein / IP-Netzwerke habe ich den Netzen/VLANs dann die logischen Schnittstellen (LAN-1, LAN-2, etc.) zugeordnet und keine Bridge Groups.
Da LAN-4 dann wohl keinem IP-Netzwerk zugeordnet war ist der AP abgeschnitten. Das Problem ist, dass man sowohl einem IP-Netzwerk als auch einem Ethernet-Port jeweils nur genau ein logisches Interface zuordnen kann. Wenn man nun zwei Ethernet-Ports einem IP-Netzwerk zuordnen möchte gibt es zwei Möglichkeiten:
  • Beide Ethernet-Ports (z. B. ETH 1 und ETH 4) dem selben logischen Interface zuordnen (z. B. LAN-1) und dieses wiederum dem IP-Netzwerk. Dann hat man aber keine Möglichkeit, den Ethernet-Ports individuelle VLAN-Konfigurationen zuzuweisen.
  • Die Ethernet-Ports unterschiedlichen logischen Interfaces zuordnen (z. B. ETH 1 auf LAN-1 und ETH 4 auf LAN-4). Über diesen Umweg kann man die VLAN-Konfiguration individuell für jeden Ethernet-Port vornehmen. Da man aber nur eines der logischen Interfaces (und damit nur einen der Ethernet-Ports!) dem IP-Netzwerk zuordnen kann bleibt der zweite Ethernet-Port außen vor. Der Workaround ist daher, die beiden logischen Interfaces wiederum einer gemeinsamen Bridge-Gruppe zuzuordnen und diese dem IP-Netzwerk.
Zumindest habe ich mir das so zusammengereimt. Einfachere Lösungen willkommen.
ToshiPa hat geschrieben: Im Referenzhandbuch (LCOS 10.12) steht zwar einiges über das Thema, aber so richtig verständlich war das für mich nicht.
Ja, die Doku ist in vielen Punkten recht bescheiden. Insbesondere die KB-Artikel beziehen sich zudem oft auf ältere LCOS-Versionen. Da muss man sich vieles selbst zusammenreimen.

ToshiPa
Beiträge: 8
Registriert: 15 Mai 2017, 21:59

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von ToshiPa » 18 Jan 2018, 00:15

Hallo Maurice,

danke für Deine ausführlichen Antworten. :-)

Sie haben mir auf jeden Fall geholfen, das Mysterium Lancom etwas besser zu verstehen. ;-)


Gesendet von meinem BLA-L29 mit Tapatalk

ToshiPa
Beiträge: 8
Registriert: 15 Mai 2017, 21:59

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von ToshiPa » 20 Jan 2018, 13:26

Hallo zusammen...

Ich habe die Konfiguration jetzt mal so umgesetzt, wie von Maurice empfohlen.

Ethernet-Ports
ETH1 = LAN1
ETH2 = LAN2
ETH3 = LAN3
ETH4 = LAN4

Port-Tabelle
ETH1 - ETH4 = BRG2

VLAN-Tabelle
"Gast" / VLAN1 / LAN4
"Smarthome" / VLAN2 / LAN1 + LAN4
"Management" / VLAN3 / LAN3 + LAN4
"Heimnetz" / VLAN 4 / LAN2 + LAN4)

Port-Tabelle
LAN1 - LAN3 : "Niemals taggen" / "Alle VLANs erlauben = " "Nein" / Port-IDs "1-3"
LAN4 : "Immer getaggt" / "Alle VLANs erlauben auf "Ja" / Port-ID "Nicht relevant, da getaggt" --> Hier hängt der Access-Point

IP-Netze
"Gast" : 192.168.1.0/24 / VLAN-ID "1" / Schnittstellen-Tag "1" / BRG2
"Smarthome" : 192.168.2.0/24 / VLAN-ID "2" / Schnittstellen-Tag "2" / BRG2
"Heimnetz" : 192.168.3.0/24 / VLAN-ID "3" / Schnittstellen-Tag "3" / BRG2
"Management" : 192.168.4.0/24 / VLAN-ID "4" / Schnittstellen-Tag "4" / BRG2

IPv4 Routing Tabelle
Private Netze ins Internet sperren
Default Gateway ins Internet

Wenn ich das Schnittstellen-Tag auf "0" (Default) lasse, komme ich von jedem Netz in jedes andere. Das ist nicht gewollt. Ich möchte den Verkehr über die Firewall regeln. Also habe ich den IP-Netzen die Schnittstellen-Tags verpasst. Jetzt kann ich nur noch innerhalb des jeweiligen Netzes kommunizieren und ins Internet.

Wie bekomme ich den Traffice netzübergreifen über die Firewall geregelt? Muss ich am Routing auch noch was drehen (Routing-Tags auswerten)?

Mir raucht schon der Kopf. :G)

Danke schon mal für eure Hilfe. :M

ToshiPa
Beiträge: 8
Registriert: 15 Mai 2017, 21:59

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von ToshiPa » 29 Jan 2018, 16:52

Hallo zusammen,

ich habe mein Problem leider noch nicht gebacken bekommen. Vielleicht noch ein paar Anmerkungen, die weiterhelfen können.

Wie schon erwähnt, möchte ich über die Firewall die Kommunikation innerhalb der unterschiedlchen Netze und VLANs regeln. Sind Ports in einer Bridge Group zusammengefasst, wird (laut Referenzhandbuch) ja nicht geroutet und Pakete, die nicht geroutet werden gehen auch nicht über die Firewall.

Also muss ich den Router dazu bringen, das zu tun. Aus diesem Grund habe ich ja (unter anderem) die VLAN Tags gesetzt. Jetzt macht der Router, was er soll. Er routet zwischen den Netzen und das ohne Ausnahme. Die Firewall interessiert es gar nicht (Firewall Trace). Das Firewall Regelwerk ist vorerst sehr einfach gehalten. Eine DENY-ALL Regel am Ende und dann ein paar Ausnahmen.

Ich habe dann überlegt, wie ich die Pakete über die Firewall zwinge. Da kam mir die Idee zusätzlich zu den VLANs auf den IP-Netzen Schnittstellen Tags zu setzen. Ich habe sie der Einfachkeit halber genau so benannt, wie die VLANs des jeweiligen Netzes. Jetzt wandern die Pakete alle wunderschön durch die Firewall und werden auch richtig gefiltert. Doch leider hakt es jetzt am Router. Da bekomme ich die Fehlermeldung "No Route", "Network unreachable".

Was mache ich falsch? Habe ich da vielleicht einen fatalen Denkfehler in meinen Überlegungen?

Ich würde mich freuen, wenn mir jemand vielleicht einen Tip geben könnte.

Benutzeravatar
Jirka
Beiträge: 4095
Registriert: 03 Jan 2005, 14:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von Jirka » 29 Jan 2018, 17:17

Hi,

in den Regeln in der Firewall, den den Zugriff auf andere lokale Netze erlauben, musst Du dann auch das Routing-Tag des Zielnetzes setzen, sonst passt das nicht.

Viele Grüße,
Jirka
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.

ToshiPa
Beiträge: 8
Registriert: 15 Mai 2017, 21:59

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von ToshiPa » 29 Jan 2018, 19:40

Jirka hat geschrieben:Hi,

in den Regeln in der Firewall, den den Zugriff auf andere lokale Netze erlauben, musst Du dann auch das Routing-Tag des Zielnetzes setzen, sonst passt das nicht.

Viele Grüße,
Jirka
Hallo Jirka,

so ganz verstehe ich nicht, was Du meinst. Auf welchen Lösungsansatz beziehst Du Dich? Auf den, wo ich mit VLAN Tags arbeite und die Schnittstellen Tags auf "0" stehen oder die, wo ich zusätzlich zu den VLAN Tags die Schnittstellen Tags gesetzt habe?

Und eine "0" in den Firewallregeln oder im Router bedeutet doch, dass der Eintrag für alle Netze gilt.

Es gibt zum Beispiel ein Regel, dass mein Laptopn in alle Netze darf. Wie kann ich da in der Firewall nur "ein" Routing Tag des Zielnetzes eintragen? Und die Firewall kommt doch in der Reihenfolge vor dem Routing, oder?

Benutzeravatar
Jirka
Beiträge: 4095
Registriert: 03 Jan 2005, 14:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von Jirka » 29 Jan 2018, 19:48

Ich beziehe mich auf den Lösungsansatz, wo Du zusätzlich zu den VLAN Tags die Schnittstellen-Tags gesetzt hast. Denn die Schnittstellen-Tags bewirken eine Netztrennung (wenn man keine Deny-All-Regel hat), nicht die VLAN-Tags.
13 Jahre LANCOM-Forum — 13 Jahre Kompetenz in Sachen LANCOM.

ToshiPa
Beiträge: 8
Registriert: 15 Mai 2017, 21:59

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von ToshiPa » 29 Jan 2018, 20:02

Jirka hat geschrieben:Ich beziehe mich auf den Lösungsansatz, wo Du zusätzlich zu den VLAN Tags die Schnittstellen-Tags gesetzt hast. Denn die Schnittstellen-Tags bewirken eine Netztrennung (wenn man keine Deny-All-Regel hat), nicht die VLAN-Tags.
Okay.... ja, die Schnittstellen Tags habe ich gesetzt, damit die Netze getrennt sind. In der Firewall trifft auch die passende Regel zu.

Code: Alles auswählen

[Firewall] 2018/01/27 15:46:32,762  Devicetime: 2018/01/27 15:46:30,937
Packet matched rule ALLOW_MANAGEMENT
DstIP: 192.168.66.2, SrcIP: 192.168.100.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x49cc

test next filter (no matching route)

[Firewall] 2018/01/27 15:46:32,762  Devicetime: 2018/01/27 15:46:30,937
Packet matched rule DENY_ALL
DstIP: 192.168.66.2, SrcIP: 192.168.100.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x49cc

packet rejected

[IP-Router] 2018/01/27 15:46:32,762  Devicetime: 2018/01/27 15:46:30,937
IP-Router Rx (LAN-3, MANAGEMENT, RtgTag: 100): 
DstIP: 192.168.66.2, SrcIP: 192.168.100.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x49cc
Filter (Port)

[ICMP] 2018/01/27 15:46:32,762  Devicetime: 2018/01/27 15:46:30,937
ICMP Tx (LAN-3, MANAGEMENT): Dest-IP: 192.168.100.10: Destination unreachable (Host unreachable)
original packet:
DstIP: 192.168.66.2, SrcIP: 192.168.100.10, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0x49cc
Aber der Router findet dann die jeweiligen Zielnetze nicht. Hmm.... :|

GrandDixence
Beiträge: 336
Registriert: 19 Aug 2014, 22:41

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von GrandDixence » 29 Jan 2018, 21:16

Für "Heimnetzwerk"-internen Datenverkehr sollte die Firewallregel wie folgt aussehen:

Code: Alles auswählen

Quell-Tag:=<Tag des Quellnetzwerk>
Routing-Tag:=<Tag des Zielnetzwerk>
Für "Internetverkehr" (Default-Route) sollte die Firewallregel wie folgt aussehen:

Code: Alles auswählen

Quell-Tag:=<Tag des Quellnetzwerk>
Routing-Tag:=<Tag des Quellnetzwerk>

ToshiPa
Beiträge: 8
Registriert: 15 Mai 2017, 21:59

Re: VLAN Tagging auf Uplink-Port vom Router zum Access Point

Beitrag von ToshiPa » 29 Jan 2018, 22:51

GrandDixence hat geschrieben:Für "Heimnetzwerk"-internen Datenverkehr sollte die Firewallregel wie folgt aussehen:

Code: Alles auswählen

Quell-Tag:=<Tag des Quellnetzwerk>
Routing-Tag:=<Tag des Zielnetzwerk>
Für "Internetverkehr" (Default-Route) sollte die Firewallregel wie folgt aussehen:

Code: Alles auswählen

Quell-Tag:=<Tag des Quellnetzwerk>
Routing-Tag:=<Tag des Quellnetzwerk>
Hallo GrandDixence, hallo Jirka .... DANKE :D Das war der entscheidende Tip. Danke auch an alle anderen, die mir bei der Lösung geholfen haben.

Ich dachte eine Firewall Regel mit Tag "0" gilt für alle Netze. Eine Regel wie zum Beispiel "Laptop mit IP xyz, Quell-Tag 0 und Routing Tag 0 darf in Netz A, B und C" geht hier wohl nicht. Ich brauche, wie ich das jetzt verstanden habe, drei Regeln:
  • "Laptop mit Quell-ID 1 darf in Netz A mit Routing Tag 2"
    "Laptop mit Quell-ID 1 darf in Netz B mit Routing Tag 3"
    "Laptop mit Quell-ID 1 darf in Netz C mit Routing Tag 4"
Anstatt eines ganzen Netzes kann ich natürlich auch eine einzelne IP oder einen Bereich innerhalb dieses Netzes nehmen.

Ich muss mir das jetzt noch ein bisschen verinnerlichen und mir, mit den neuen Erkenntnissen im Hinterkopf, die Kapitel im Handbuch nochmals reinziehen. Die Philosophie, die hinter den Lancom Routern steckt, ist durchaus etwas anders als das, mit dem ich sonst zu tun habe.

Antworten

Zurück zu „aktuelle LANCOM Router Serie“