Einrichtung Subnetze und evtl. VLAN - bitte um Hilfe!

[Avalanche]

Ich verzweifel grad. LANCOM ist so dermassen kompliziert... komme heute nach fast 2 Stunden nichtmal einen Schritt weiter.

Sieh es positiv: Wenn Du die Lancom Konfiguration verstanden hast, hast Du verstanden, wie Netzwerke grundsätzlich funktionieren

[Kosta]

Ich verzweifel grad. LANCOM ist so dermassen kompliziert... komme heute nach fast 2 Stunden nichtmal einen Schritt weiter.

Sieh es positiv: Wenn Du die Lancom Konfiguration verstanden hast, hast Du verstanden, wie Netzwerke grundsätzlich funktionieren

Hahaha, klingt gut!!


Sent from my iPhone using Tapatalk

[Dr.Einstein]

Vielleicht noch mal als kleine Informationsbasis für Lancom VLAN:

Unter TCP/IP - Netze hinterlegst du VLAN-IDs für deine IP-Adressen, die der Lancom besitzt. Ist hier eine VLAN-ID != 0 gesetzt, erwartet der Lancom IP-Pakete (Rahmen), denen ein VLAN-Header vorangestellt wurde, d.h. Netzwerkgeräte VOR dem Lancom müssen bereits mit VLANs sprechen. Soll heißen, du sperrt dich sofort aus, wenn du mit einem Laptop direkt auf dem Lancom Router via Kabel draufhängst. Um wieder rauszukommen, könnte man zB in der Netzwerkkarte des Laptops die VLAN-ID konkret einstellen (ist aber eigentlich Zeitverschwendung).

Im Lancom Router hast du jedoch die Möglichkeit, das Verhalten von normalen Paketen (Rahmen) ohne VLAN-Header zu beinflussen und einen Header vorzuhängen. Dafür gibt's das VLAN-Modul. In der VLAN-Tabelle hinterlegst du einfach, auf welchen Schnittstellen welche VLAN-Header eintreffen könnten/dürfen->einfach alles auflisten. So, die Port-Tabelle ist das interessanteste. Tagging-Modus niemals steht dabei für Rahmen/Pakete, die kein VLAN-Header haben (PCs etc) aber in ein VLAN "hochgehoben" werden sollen. Dafür den Eintrag Port-VLAN-ID verwenden. Der Modus "Immer" bedeutet, dass auf dem Port ausschließlich Rahmen/Pakete mit vorangestellten VLAN-Headern ankommen, der Eintrag für PVID müsste also eigentlich ausgegraut sein da keine Relevanz(wie eigentlich im ersten Absatz). Der Modus "gemischt" bewirkt eine Mischung aus niemals und immer: Es dürfen sowohl Rahmer/Pakete mit VLAN-Header passieren, Rahmer/Pakete ohne VLAN-Header bekommen die VLAN-ID, die unter PVID hinterlegt ist.

Wenn du das verstanden hast, kommst du mit Lancom VLAN problemlos klar und du kannst dich danach mit den HPs beschäftigen.

Gruß Dr.Einstein

[Avalanche]

Danke Dr. Einstein für die ausführliche Erklärung. Manchmal frage ich mich, warum diese grundlegenden Dinge nicht auch so in der Dokumentation bzw. in der Onlinehilfe stehen...

[Kosta]

Danke für die weitere detaillierte Beschriebung. Ich schliesse mich den Avalance zu, die Bedienungsanleitung habe ich bereits mehrmals gelesen (VLAN Teil), aber du schreibst es ja richtig klar.
Ich muss es aber noch mindestens 5x lesen, sowohl ein paar Mal das ganze Thread auch, um das richtig im Kopf zu verbinden

Ich muss mit dem VLAN Modul arbeiten, mir bleibt ja nichts andere über: ich brauche mehr Netze als was ich LAN-Ports am LANCOM habe. Daher muss LANCOM das "Management" übernehmen, und die Netze dann alle "gebündelt" per Port ausgeben (ich kann schon verteilen, aber nicht so dass ich am Switches nur VLANs habe und LANCOM nur Routing macht. Leider. Wäre mir eh lieber.

Daher, wenn du sagst, in meinem speziellen Fall oben, "welche VLAN-Header eintreffen könnten/dürfen->einfach alles auflisten.":
- soll ich auf einem Switch die 192er Netzwerke auflisten (11-15), und dann für LAN-1, und auf dem zweiten Switch zB. LAN-2 und dafür das 32-er Netz
Ist das richtig so?

Hmm, aber warte, ich lese bereits weiter:
"Tagging-Modus niemals steht dabei für Rahmen/Pakete, die kein VLAN-Header haben (PCs etc) aber in ein VLAN "hochgehoben" werden sollen. Dafür den Eintrag Port-VLAN-ID verwenden."
Wenn ich das richtig verstehe, Port-Tabelle geht nach LAN-Ports. D.h. hier konfiguriert man, welchen VLAN-ID das Paket beim Eintreffen an das Port bekommen wird. Richtig?
Ist das sinnvoll, vorallem wenn ich per Port mehrere VLANs betreibe?
Wenn ich gemischt nehmen würde, würde das gleiche Problem passieren. Paket bekommen die von mir ausgewähltes PVID. Trotzdem stehe ich noch immer auf der Leitung, will soll dann der LANCOM wissen, welche VLAN-ID die Rechner aus einem Subnet bekommen werden, wenn am Port bereits die PVID fixiert ist??

Ich hoffe das macht Sinn was ich schreibe

[Dr.Einstein]

Denkfehler: Du verbindest nur ein! Kabel mit deinem zentralen Switch und machst unter TCP/IP - Netze alle VLANs rein, die du brauchst. Das VLAN Modul kannst du komplett auslassen + unkonfiguriert lassen. Bedingung dafür wäre, dass du am HP Switch einen VLAN-Trunk zum Lancom hinbekommst, was an sich nicht so wild ist (VLAN1 tagged, VLAN2 tagged, usw).

Wenn du Schritt für Schritt machen willst: Alle VLAN ID unter TCP/IP - Netze hinterlegen. Danach VLAN-Modul an, VLAN-Tabelle alle VLAN-ID hinzufügen mit der Port LAN-1. Danach unter Port-Tabelle -> LAN-1 -> gemischt + PVID 1.

Durch diese Einstellung kommst du über das logische LAN-1 noch ins VLAN1 auf den Lancom, alle anderen angeschlossenen Netze über LAN-1 benötigen, gesetzt durch den HP Switch, einen VLAN-Header.

Gruß Dr.Einstein

[Kosta]

Ahhhh OK!!

Und heute habe ich mir ein paar Videos aus dem Youtube angeschaut, einer der ein Netzwerk Step-by-Step gebaut hat (Virtuell) und hier ist mir noch zusätzlich einiges klar geworden.

Ich hab irgendwie gedacht ich brauche VLAN Modul im LANCOM. Aber jetzt verstehe ich endlich das Unterschied zwischen untagged und tagged *wirklich*.
Ich werde am HP soeben ein Trunk einrichten, sogar hat HP ein Trunk1 bereits eingerichtet. LANCOM benötigt ja keine Trunk Einstellung? Hier reicht es im TCPIP/IP-Netzwerke die Netze einzurichten und jeweils alle an ein LAN-Port legen und dann einfach verbinden, richtig?

Eigentlich, wenn ich das richtig verstehe, brauche ich das VLAN Modul wirklich nicht. Der LANCOM muss ja gar nicht getaggte Frames rausschicken, da eigentlich der Switch das übernimmt, wie auch die Netzwerkkarten der Server, da einige auf einer NIC hängen (Hyper-V).

Mit anderen Worten, wenn ich zB. das AP an das Port 20 hänge, will dass AP zwei Netze bekommt, und zwar 13 und 15, dann erstelle ich im HP Switch ein VLAN mit VID13 und eins mit VID15, teile das Port20 jeweils den VLAN 13 und 15, im LANCOM lege ich doch beim Netz 13 das VID 13, und beim Netz VID15, und beim AP für die jeweilige SSID je VID 13 und 15.
Natürlich vorausgesetzt LANCOM wird auf ein Trunk-Port angehängt.

Somit müsste das richtig sein, und jeweilige SSID nur für jeweilge Subnetze zugreifbar sein.

Kommt's hin?

[Kosta]

Alsoooo...
Voller Stolz kann ich sagen ich hab's geschafft!!
Jetzt verstehe ich endlich Sinn von Tagged und Untagged (bzw. Tag und Untag beim HP) und dann noch etwas was mir (weil ich es einfach übersehen habe) lange stützig gemacht hat - Für den Trunk-Port kann man einrichten ob Tag/Untag/Exclude, und der war auf E. Einfach übersehen. Auf Tag umgestellt und voila...
Geht doch alles! Morgen versuchen wir das Thema AccessPoint.

Jetzt voran mit der Konfiguration des Netzwerkes!

Ich möchte mich für all die geduldige Hilfe die ich hier erhalten habe herzlichst bedanken!! Danke danke danke!!!!

Kosta


Sent from my iPhone using Tapatalk

[wolf.z]

Vielleicht noch mal als kleine Informationsbasis für Lancom VLAN:

Unter TCP/IP - Netze hinterlegst du VLAN-IDs für deine IP-Adressen, die der Lancom besitzt. Ist hier eine VLAN-ID != 0 gesetzt, erwartet der Lancom IP-Pakete (Rahmen), denen ein VLAN-Header vorangestellt wurde,... ...Gruß Dr.Einstein

Ich hatte die gleichen Probleme wie Kosta.... Nun habe ich eins weniger, dank des Studiums dieses Threads. Danke an Dr. Einstein. Das (für mich) merkwürdige dabei, ich musste meinem Intranet die VLAN-ID 1 verpassen, damit ich auf das Gerät 1821 zugreifen konnte. Mit der VLAN-ID 0 für das Intranet und anderen VLAN-IDs != 0 blieb ich erfolgreich ausgesperrt.

Doch jetzt erst mal, was ich machen will.
Auf unserem Vereinsgelände werkelt erfolgreich ein 1821 und spannt 1 WLAN auf. Die Netzabdeckung ist aber miserabel, deshalb will ich ein paar APs dazupacken. Und das ist mir soweit auch gelungen, so lange ich keine VLANs nutze. Ich möchte aber zusätzlich ein völlig dichtes Kassennetz und ein Gastnetz aufspannen.
Ersteres soll nur ein (oder 2) iPad mit einem Kassenrechner unseres Gaststättenpächters verbinden und sonst nichts, mobile Geräte im Gastnetz sollen getrennt von unserem Intranet ins Internet gelangen.
Weil ich das über mehrere APs realisieren möchte, denke ich, ich benötige VLANs. Nun habe ich unten stehende Konfiguration auf einem Lancom 1821 konfiguriert, als Router in einem Testsystem mit 2. AP Lancom 315 konfiguriert, und diese Kabel gesteckt zwischen Laptop, Lancom 1821 und Lancom 315 als 2. AP:
1821, ETH1 <-> Laptop
1821, ETH2 <-> 315 ETH2
Den 315 erreiche ich mit Lanconfig nicht, der 315 erreicht weder den DHCP Server des 1821 noch den RADIUS.

Den Laptop lokal angesteckt am 315 ist aber ein Verbindung zum Gerät möglich. In die W-LANs, deren Netz einen DHCP Server des 315 auf Auto und keine RADIUS Authentifizierung (MAC-Adresse) des RADIUS auf dem 1821 nutzen, kommt mein Laptop rein, ebenso über die beiden ETHs.

Auf dem 315 habe ich die Sachen identisch konfiguriert bis auf die Adresse(n) des Geräts, dem habe ich in jedem Netz die x.x.x.26 gegeben.

Hiiilfe, was mach ich falsch?

[Dr.Einstein]

Die wichtigste Tabelle fehlt: Schnittstellen / VLAN / Port-Tabelle. Und da steht bestimmt auch der Grund, weshalb nur VLAN ID 1 geht

Und das gleiche bitte nochmal aus Sicht eines APs. Und bitte nicht so riesige Bilder, da bekommt man Augenkrebs

[wolf.z]

Oh, Entschuldigung, hatte ich nicht gesehen. Ich gelobe, nun immer erst die Vorschau zu bemühen, ich rege mich über solche Sachen wie das mit den Bildern auch auf.

Der 1821 hat keine Gesamtdarstellung der Port-Tabelle, daher keine screenshots, nehme an, weil das erst ab LCOS größer 7 geht? Also:

Tabelle zeigt:
Port | Tagging Modus Gemischt | Pakete erlauben, die zu anderen VLANs gehören | Port-VLAN-ID

1821
LAN-1 | ja | ja | 1
LAN-2 | ja | ja | 1
LAN-3 | ja | ja | 1
WLAN-1 | ja | ja | 1
WLAN-1-2 | ja | ja | 2
WLAN-1-3 | ja | ja | 3
WLAN-1-4 | ja | ja | 1

315
LAN-1 | ja | ja | 1
LAN-2 | ja | ja | 1
WLAN-1 | ja | ja | 1
WLAN-2 | ja | ja | 1
WLAN-2-2 | ja | ja | 2
WLAN-2-3 | ja | ja | 3
WLAN-2-4 | ja | ja | 1

Im 315 habe ich die VLAN Tabelle im Punkt Portliste mit *-* gefüllt und nicht wie im 1821 die Schnittstellen alle aufgelistet.

Als ich auf den Lan Ports noch VLAN-ID 0 hatte und das Intranet wie heute auf 10.0.0.x aber mit VLAN-ID 0 unterwegs war, konnte ich nicht mehr auf die Geräte zugreifen.

[Dr.Einstein]

ja, liegt an der Firmware

1821:

LAN-1 gemischt VLAN1
LAN-2 gemischt VLAN1
LAN-3 gemischt VLAN1
LAN-4 gemischt VLAN1
WLAN-1 niemals VLAN1
WLAN-1-2 niemals VLAN2 + andere VLANs nicht erlaubt
WLAN-1-3 niemals VLAN3 + andere VLANs nicht erlaubt
WLAN-1-4 niemals VLAN4 + andere VLANs nicht erlaubt

315:

LAN-1 gemischt VLAN1
LAN-2 gemischt VLAN1
WLAN-1 niemals VLAN1 + andere VLANs nicht erlaubt
WLAN-1-2 niemals VLAN2 + andere VLANs nicht erlaubt
WLAN-1-3 niemals VLAN3 + andere VLANs nicht erlaubt
WLAN-1-4 niemals VLAN4 + andere VLANs nicht erlaubt
WLAN-2 niemals VLAN1 + andere VLANs nicht erlaubt
WLAN-2-2 niemals VLAN2 + andere VLANs nicht erlaubt
WLAN-2-3 niemals VLAN3 + andere VLANs nicht erlaubt
WLAN-2-4 niemals VLAN4 + andere VLANs nicht erlaubt

die VLAN Tabellen unbedingt ordentlich befüllen, also VLAN1 = LAN-1 + LAN-2 + WLAN-1 + WLAN-2 usw.

[wolf.z]

ja, liegt an der Firmware

die VLAN Tabellen unbedingt ordentlich befüllen, also VLAN1 = LAN-1 + LAN-2 + WLAN-1 + WLAN-2 usw.

OK, werde ich heute Abend machen, vielen Dank. Bei den Schnittstellen sehe ich jetzt aber noch keinen Fehler????, eher bei der VLAN-Tabelle.

Vielen Dank,
WolfZ

[Dr.Einstein]

Welche Schnittstellen? Schnittstellen -> Ethernet-Ports -> die Zuordnungen oder was meinst du? Sieht von den gezeigten Bildern/Zeilen alles soweit gut aus.

[wolf.z]

Sorry, ich meinte die Porttabellenunterschiede. Du schriebst ja, dass ich für die WLANs den Modus "niemals" und "keine anderen VLANS erlauben" nehmen soll, also ein großer Unterschied zu meiner jetzigen Config. Das ist die Config für das von mir beschrieben Ziel. Aber im Moment stochere ich als Blinder ja noch im Dunkel der Erreichbarkeit meiner Geräte herum. Und da habe ich eben noch mehr "offen" als die im Betrieb geplanten Abgrenzungen. Als Blinder weiß man ja nie genau, welche Einschränkung einen gerade scheitern lässt, also lieber weniger davon....

Die Sache mit der VLAN Tabelle im AP mit nur drei Mal *-* statt ausgeschriebener Namen erscheint mir der Fehler zu sein. Wenn ich doch nur endlich die Geräte zuverlässig erreichen könnte, dann könnte ich endlich beginnen, alle Fehler im Routing machen.

Vielen Dank,
melde mich wieder nach dem Test,
WolfZ