WLC-4006 + 5 AGN321: Intern und Gästenetz

[reenreen]

Hallo,

ich habe ein weit verzweigtes Netzwerk hier. Mit ein paar VLAN fähigen und einigen nicht VLAN fähigen Switche. Vom Verteiler Switch bis zu den entsprechenden Punkten der AGN sind jedoch durchweg alle VLAN-fähig.

Nun meine Wunschkiste, welche ich nicht auf die Reihe bekomme...

Festes Netzwerk (HP Switche) mit default VLAN 1 auf 192.168.1.0
WLAN mit vlan 150 auf 192.168.150.0 mit Zugriff auf VLAN 1
Gäste WLAN mit vlan 180 auf 192.168.180.0 nur Zugriff auf Internet

Ok... WLC läuft soweit und verteilt auch die Konfig an die AP. An den Switchen habe ich jeweils an den Ports an denen der WLC und die APs hängen vlan 150 untagged und vlan 180 getagged hinzugefügt. Switche untereinander mit 150 und 180 getagged. Dem Switch habe ich für vlan 150 eine ip helper address für einen internen DHCP gegeben. Für vlan 180 die Adresse vom WLC. Beim WLC habe ich dann noch den DHCP für das Gästenetz aktiviert.

WLC und APs holen sich gerade auch vom DHCP eine 192.168.150.x Adresse... wäre in Zukunft anders vielleicht auch schöner

Die beiden SSID sind 150 untagged und 180 tagged.

Und schon hier falle ich auf den Bauch: Keine IP für Gäste... so... ich verstehe vermutlich einfach die Arbeitsweise vom vlan nicht so richtig. Jemand Ideen?

Danke!

Edit: Das Handbuch vom WLC habe ich auch schon durch, aber komme nicht so Recht weiter. Vermutlich habe ich hier "nur" einen Denkfehler im Bezug auf die VLANSs... oder WLCTunnel oder oder...

[Christoph_vW]

Ich kenne zwar die WLCs nicht, aber mit einem "normalen" LANCOM Router würde ich das Inter-VLAN Routing über den Router machen und auf dem LANCOM die DHCP Anfragen pro Netz beantworten bzw. in einer Domäne an einen Windows DHCP Server weiterlassen. Dann braucht man auch auf dem Switch den ip-helper nicht.

Vielleicht schaust du auf dem LANCOM mal mit einem DHCP Trace, wo das Problem liegt...

> vlan 150 untagged und vlan 180 getagged hinzugefügt
warum stellst du nicht alle VLANs auf tagged in den entsprechenden Ports?
Man muss nur auf dem LANCOM den Netzen die richtigen VLAN Tags zuweisen...

[reenreen]

Ich kenne zwar die WLCs nicht, aber mit einem "normalen" LANCOM Router würde ich das Inter-VLAN Routing über den Router machen und auf dem LANCOM die DHCP Anfragen pro Netz beantworten bzw. in einer Domäne an einen Windows DHCP Server weiterlassen. Dann braucht man auch auf dem Switch den ip-helper nicht.

Bitte was? Hier steige ich ja schon aus

Vielleicht schaust du auf dem LANCOM mal mit einem DHCP Trace, wo das Problem liegt...

Tipp für irgendein Tool?

> vlan 150 untagged und vlan 180 getagged hinzugefügt
warum stellst du nicht alle VLANs auf tagged in den entsprechenden Ports?
Man muss nur auf dem LANCOM den Netzen die richtigen VLAN Tags zuweisen...

Wenn ich das tue: Wie sollen dann die AP von alleine an ihre IP Adresse vom Win DHCP kommen, wenn getagged? Dann müsste der AP ja auch vorher getagged sein oder nicht?

Danke!!

[Bernie137]

Hi,

vielleicht noch ein ganz anderer Ansatz ohne VLAN im Netzwerk. Ist jetzt schwierig zu beurteilen, aber vielleicht passt es ja bei Euch ins Szenario:
https://www2.lancom.de/kb.nsf/1275/4FA4 ... enDocument
https://www2.lancom.de/kb.nsf/1275/E5B4 ... enDocument

Viele Grüße
Heiko

[Christoph_vW]

Ohne CAPWAP:

APs: Tagged VLAN 150, 180 (Tagging immer Default VLAN 150, andere VLANs erlauben :ja)
WLC: ETHx Tagged VLAN 1,150,180 (Tagging immer, Default VLAN 1, andere VLANs erlauben: ja)

Switch Ports für WLC und APs Tagged in den entsprechenden VLANs (wie oben)

Normale Switchports für LAN untagged 1

Kein Routing auf Switch, kein ip-helper

Routing zwischen VLAN1 und VLAN150 über FW Regel auf LANCOM

Netze auf WLC einrichten und für GAST und WLAN DHCP Weiterleitungen an den DC einstellen (->IP)
Auf dem DC entsprechende DHCP Bereiche anlegen.

(Ich weiß jetzt aber nicht in wie weit ein WLC Routing kann, ich habe stattdessen einen LC-9100+ an der Stelle)

[reenreen]

Danke Heiko.

Worin genau besteht denn der Unterschied zwischen dem VLAN und den WLC Tunnel?

Und der Trunk zwischen WLC und Switch? Sind das nicht einfach mehrere Tags auf einem Port?

Edit: Hab es nun mal mit dieser Konfig versucht: https://www2.lancom.de/kb.nsf/1275/E5B4 ... enDocument
Ich bekomme keine IP vom WLC.

[MariusP]

Hi,

Tipp für irgendein Tool?

Mit Putty auf der Konsole oder per Lanconfig, alternativ mit lcoscap einen Paketmitschnitt anfertigen und per Wireshark auswerten.
Gruß

[Christoph_vW]

Wieso Trunk? ich glaube kaum das die LANCOM Router/APs/WLCs Port Trunking unterstützen.

Sicher sind das mehrere Tags auf einem Port, das ist ja das schöne an VLANs.
Man weist den Netzen auf dem LANCOM einfach die VLAN IDs zu.

Hier ein Bsp. von einem HP Switch:

HP-8212zl# show vlan ports ethernet B20

Status and Counters - VLAN Information - for ports B20

VLAN ID Name | Status Voice Jumbo
------- -------------------------------- + ---------- ----- -----
1 DEFAULT_VLAN | Port-based No No
2 VLAN2 | Port-based No No
4 VLAN4 | Port-based No No

[reenreen]

Hi,

Tipp für irgendein Tool?

Mit Putty auf der Konsole oder per Lanconfig, alternativ mit lcoscap einen Paketmitschnitt anfertigen und per Wireshark auswerten.
Gruß

Danke dir!

Ok, super... was sagt mir nun diese Information?

Code: Alles auswählen

[DHCP] 2013/09/25 16:50:50,288  Devicetime: 2013/09/25 16:46:39,047
DHCP Rx (LAN-1, INTRANET): 
DHCP Client Message (request) from 0.0.0.0: DHCPREQUEST
  Op    = 01       | HType = 01   | HLen  = 06   | Hops  = 00
  XId   = 25A15591 | Secs  = 0001 | Flags = 0000
  CIAdr =          0.0.0.0 | YIAdr =          0.0.0.0
  SIAdr =          0.0.0.0 | GIAdr =          0.0.0.0
  CHAdr = 10 68 3f 43 86 86 00 00 00 00 00 00 00 00 00 00

 (DHCP server off) => Discard

Wenn ich das richtig verstehe wird die DHCP Anfrage einfach mal knallhart abgewiesen, weil der DHCP ausgeschaltet sei. Gut, was genau bringt ihn auf die Idee?

[reenreen]

Wieso Trunk? ich glaube kaum das die LANCOM Router/APs/WLCs Port Trunking unterstützen.

Na hier: https://www2.lancom.de/kb.nsf/1275/4FA4 ... enDocument
wird in der Zeichnung Trunk geschrieben.

Sicher sind das mehrere Tags auf einem Port, das ist ja das schöne an VLANs.
Man weist den Netzen auf dem LANCOM einfach die VLAN IDs zu.

Hier ein Bsp. von einem HP Switch:

HP-8212zl# show vlan ports ethernet B20

Status and Counters - VLAN Information - for ports B20

VLAN ID Name | Status Voice Jumbo
------- -------------------------------- + ---------- ----- -----
1 DEFAULT_VLAN | Port-based No No
2 VLAN2 | Port-based No No
4 VLAN4 | Port-based No No

Ja gut, dann passt zumindest das bei mir...

[Christoph_vW]

Aha, VLAN Trunk, hat nichts mit Trunking auf dem Switch zu tun.

Da die DHCP Anfrage abgewiesen wird, würde ich mal darauf tippen das für das entsprechende Netz auf dem LANCOM kein DHCP Server konfiguriert ist. (der LANCOM muss eine gültige IP in dem Bereich haben und das Netz dem richtigen VLAN tag zugeordnet sein)

[reenreen]

Aha, VLAN Trunk, hat nichts mit Trunking auf dem Switch zu tun.

Danke...

Da die DHCP Anfrage abgewiesen wird, würde ich mal darauf tippen das für das entsprechende Netz auf dem LANCOM kein DHCP Server konfiguriert ist. (der LANCOM muss eine gültige IP in dem Bereich haben und das Netz dem richtigen VLAN tag zugeordnet sein)

Ja hm. Ok, leuchtet ein. Aber öhm: Wie kann ich dem WLC mehrere IP Adressen verpassen? Vor allem, wie geht das dann hier:
https://www2.lancom.de/kb.nsf/1275/E5B4 ... enDocument
Ich habe die Public SSID in WLC-Tunnel1 reingepackt. WLC-Tunnel-1 hat eine IP Adresse und einen Tag bekommen. Nochmal alles gecheckt: Unter WLC-Tunnel-1 war VLAN auf 0 gesetzt. Hab es auf 1 abgeändert und siehe da: Ich bekomme eine IP.
Super! Jetzt nur noch Gateway und ein öffentlicher DNS oder wie? Mal angenommen ich hätte das Gateway an LAN Port 2? Wie mache ich das dann? Oder muss ich nun wieder irgendwie alles über mein normales Gateway schieben? Wenn ja: Wie?

[Christoph_vW]

Was hast du denn für einen Router? Oder wird der WLC als Router benutzt?
Der Router muss die VLANs schon kennen, um von dort aus korrekt ins Internet routen zu können.

[reenreen]

Was hast du denn für einen Router? Oder wird der WLC als Router benutzt?
Der Router muss die VLANs schon kennen, um von dort aus korrekt ins Internet routen zu können.

Naja routen kann hier viel. Im Prinzip können ja sogar Switche routen mittlerweile.

Ich habe ja nun mit den WLC-Tunnel kein VLAN mehr im Public Netz oder verstehe ich das falsch? Die WLC Tunnel sind ja eher was Lancom eigenes oder?
Wie gebe ich den WLC Tunnel dann ein Gateway und/oder ein DNS?

Edit ok: Ich muss ein Routing einrichten und dann mich laut dieser Anweisung hinter einen Router mit DHCP stellen:
http://www.lancom-systems.de/fileadmin/ ... UAL-DE.pdf
Zitat: "Erstellen Sie für den Internetzugang der Gäste einen Eintrag in der Liste der DSL-Gegenstellen mit der Haltezeit '9999'
und dem vordefinierten Layer 'DHCPOE'. Dieses Beispiel setzt voraus, dass ein Router mit aktiviertem DHCP-Server
den Internetzugang bereitstellt. In LANconfig finden Sie diese Einstellung unter Konfiguration > Kommunikation
> Gegenstellen > Gegenstellen (DSL) ."
Wenn ich das nun nicht möchte? Ich habe ein Gateway mit einer IP Adresse, welches hinter dem Port klebt...

[Christoph_vW]

Naja, die WLC Tunnel benutze ich nicht, ich mache das nur über VLANs, da alle APs an VLAN fähigen Switches hängen und ich keinen Traffic von entfernten Netzen ins lokale tunneln will.