Gastnetz ohne Internet

[Dr.ToM]

Hallo Forum-Mitglieder,

unsere Firma hat ein Netz aus 4 VLANs; alle sind nur firmenintern erreichbar und trennen Ressourcen bzw. diverse Zugriffsrechte. Nun soll der 4G-Router gegen einen 5G ersetzt werden UND zusätzlich ein Gastnetz aufgesetzt werden. Am Switch sind weitere 12 APs vom Typ IAP-54 (FW: 8.62) installiert und "verteilen" das Firmennetz "Intranet" (WLAN-Netzwerk 1) auf dem Gelände.

Um nicht am laufenden System arbeiten zu müssen habe ich den schon vorhandenen 1926VAG-5G mit der Konfiguration aus dem 1781VA-4G in den neuen Router übertragen und die Anlage läuft erst einmal genauso wie vorher - nur schon im 5G-Netz.

Im Büro habe ich nun den 1781er mit einem (weiteren) Switch ES2126+ und einem IAP-54 (den ich erst einmal aus dem obigen Netz "entwendet" habe) als Testumgebung stehen.

Folgendes möchte ich gerne realisieren:
Auf dem Router 1781VA-4 (FW: 10.42), gekoppelt mit dem Switch ES2126+ sollen die Firmennetze und zusätzlich das Gastnetz eingerichtet UND über vorerst nur einen IAP-54 abgebildet werden. Später sollen dann wieder alle 12 APs (auch alle IAP-54) und natürlich der 1926er eingebunden werden.

Ich habe die Konstellation nach der Hilfestellung von @pappabaer (viewtopic.php?t=20027) eingerichtet und muss leider feststellen, dass dies bei mir nicht so läuft... Ich habe zwar Zugriff auf alle Firmennetze und vom eingerichteten Gastnetz vom PC aus, bekomme aber kein Internet für das Gastnetz - weder am PC, noch über WLAN (Smartphone/Laptop).

Erst als ich in dem AP das IP-Netzwerk "Gast" (getaggt auf 4) aufgenommen und den DNS (vom Router) weitergeleitet habe bekam ich wenigstens das Intranet über über das Wlan zum Laufen.
"Gast" ist im DHCP-Netzwerk, "Intranet" und die anderen werden manuell eingerichtet.

Was könnte die Ursache sein? Ich bekomme vom Gast-Netzwerk über Wlan eine IP und auch die eingetragene DNS (10.10.10.254) zugewiesen.
Möglicherweise habe ich mittlerweile durch das ewige Probieren - und Studieren! - einige unnötige bzw. störende Eigenschaften eingestellt... ich bin zwar IT-interessiert, jedoch nicht auf dem Gebiet "Lancom und Netzwerke" eher Laie (der aber an der Aufgabe wachsen möchte )

Kurz zur Topologie:
Router 10.10.10.254

IP-Netzwerke VLAN-ID Tag PORT(-Liste)
Intranet: 10.10.10.254 1 1 LAN-1
Labor: 10.10.20.254 2 2 LAN-1
TK-Anlage: 10.10.30.254 3 3 LAN-1
Gast: 10.10.40.254 4 4 LAN-1

VLAN-Modul ist am Router aus-, an dem AP eingeschaltet. Der AP hat zwei VLANs (SSID Labor und SSID Gast) erhalten.

Schnittstellen im AP: Port-Tabelle:
"Intranet" VLAN-ID=1, Port-Liste: LAN-1,WLAN-1; Ankommend/gemischt/Niemals PORT-ID=1
"Gast" VLAN-ID=4, Port-Liste: LAN-1,WLAN-2; Ankommend/gemischt/Niemals PORT-ID=4

Weitere - vielleicht hindernde (?) Einstellungen (alle anderen Einstellungen sind "default"):

AP: TCP/IP-Netzwerk:

1.png

DHCP:

2.png

DNS:

3.png

weiter im nächsten Teil...

[Dr.ToM]

IP-Router/Routing:

4.png

Router: Schnittstellen/VLAN:

5.png

IP-Netzwerke:

6.png

[Dr.ToM]

DHCP:

7.png

IPv4-Routing-Tabelle:

8.png

Firewall:

9.png

[Dr.ToM]

10.png

11.png

Puhhh, ziemlich länglich geworden.... Besten Dank für eure Unterstützung und Hilfe im Voraus
ToM

[Dr.Einstein]

Access Point

Vorbereitung:
- Lösch das IP-Netzwerk GAST raus (deine Router IP Adresse + AP IP sind eh identisch, Fehler)
- Lösch den DHCP Eintrag raus für Gast
- Lösch die DNS Weiterleitung raus für hast

VLAN Tabelle auf dem AP:
- VLAN1 : LAN-1 + WLAN-1
- VLAN4 : LAN-1 + WLAN-1-2
- LAN-1 Port-VLAN ID 1 Modus Gemischt
- WLAN-1 Port-VLAN ID 1 Modus Niemals
- WLAN-1-2 Port-VLAN ID 4 Modus Niemals

Router

- DHCP Gastnetzwerk zeigt DNS ebenfalls auf 10.40.40.254
- IP-Routing Tabelle für Schnittstellen-Tag 4 / Default Route zeigt ebenfalls auf INTERNET statt 10.40.40.254, identisch dem Eintrag für Routing Tag 0
- Firewallregel für DNS kann dann weg

Den ES2126+ hatte ich schon lange nicht mehr in der Hand. VLAN-1 + VLAN-4 wird entsprechend den Router Ports und Access Points Ports zugewiesen. Richtung Router laut deiner Konfig VLAN-1 als tagged, zu den APs als untagged (PVID 1), VLAN-4 zu beiden Komponenten tagged.

[Dr.ToM]

Erst einmal ganz herzlichen Dank für deine Hilfestellung. Ich habe nunmehr alles so rückgestellt wie du oben empfohlen hast. Am PC bekomme ich auch nun mein Gastnetz. Am WLAN liegt allerdings kein Gast an; soll heißen: Ich bekomme über Wlan keine Verbindung, also auch keine Zuweisung einer IP. Und ich glaube, diese Einstellung hatte ich schon einmal und deswegen angefangen "wild" im AP das IP-Netz auf Gast zu erweitern...
Gibt es hierzu noch eine Idee?
Beste Grüße
ToM

[Dr.Einstein]

Nu hab ich meine Screenshots vom ES2126.

VLAN Mode: Tag based
Sym VLAN / Double Tag / SVL: disabled

Dann legt man VLAN 1 und VLAN 4 als Tag-Group an. Macht bei den Router und Access Points Ports in beiden VLANs die Member Häkchen, und bei VLAN 1 APs die Untag-Häkchen.

Die AP Konfiguration ist an sich relativ simpel, AP plattmachen und

- Management IP vergeben, VLAN ID 1
- DHCP deaktivieren
- VLAN-Modul aktivieren
- VLAN1 : LAN-1 + WLAN-1
- VLAN4 : LAN-1 + WLAN-1-2
- LAN-1 Port-VLAN ID 1 Modus Gemischt
- WLAN-1 Port-VLAN ID 1 Modus Niemals
- WLAN-1-2 Port-VLAN ID 4 Modus Niemals
- WLAN-1 + LAN-1 als BRG-1 zusammenfassen und dem Management Netz zuordnen
- WLANs einrichten

[Dr.ToM]

Danke nochmals. Aaaaber: leider ändert sich nichts. Ich bekomme alle Netze am LAN dargestellt und auch jeweils die Zuteilung einer IP, der richtigen DNS etc. (Gastnetz).
Über den AP erhalte ich das Labor (Management) über eine fixe Adresse (DHCP hierfür im Router deaktiviert). Also, bis dahin alles richtig - somit müssten auch die Port-Einstellungen am Switch passen.
Nun habe ich testweise für jedes netz einen eigenen Port am Switch eingestellt... es klappt mit der verdrahteten Konfiguration.

Nun, warum streikt das Gast-Netz? Brauche ich nicht doch irgendwo eine weiter DHCP-Einstellung?

[PappaBaer]

Moin,

fasse doch nochmal bitte zusammen, wie die Konfiguration auf dem AP bei Dir zur Zeit aussieht.
Du hast zwei SSID, Labor und Gast, richtig? auf welchen Interfaces liegen die SSIDs? Lt. Deinem ersten Post ist das Labor auf WLAN-1 (also 1. WLAN-Modul, erste SSID) und Gast auf WLAN-2 (also 2. WLAN-Modul, erste SSID).
Das VLAN-Modul hast Du eingeschaltet und die VLAN-Tabelle sollte dann so aussehen:

Code: Alles auswählen

VLAN-Name	VLAN-ID	     Port-Liste
Default         1            LAN-1
Labor           2            LAN-1, WLAN-1
Gast            4            LAN-1, WLAN-2

In der VLAN-Porttabelle dann entsprechend:

Code: Alles auswählen

LAN-1  Hybrid, PVID 1, alle VLANs erlaubt an
WLAN-1 Access, PVID 2, alle VLANs erlaubt aus
WLAN-2 Access, PVID 4, alle VLANs erlaubt aus

Solltest Du die SSIDs auf anderen Interfaces konfiguriert haben (z.B. Gast auf WLAN-1-2), dann musst Du das auch entsprechend in diesen Tabellen berücksichtigen und anpassen.

Mit dieser Konfiguration leitet der AP Traffic aus dem Interface WLAN-1 in VLAN 2 und Traffic aus dem Interface WLAN-2 in VLAN 4. Auf LAN-1 liegt dann das VLAN 1 ungetagged und VLAN 2 und 4 getagged an.
Der Switchport muss dann entsprechend auf Hybrid konfiguriert sein, VLAN 1, 2 und 4 angehakt und VLAN 1 als PVID eingetragen.

Viele Grüße,
Torsten

[Dr.ToM]

Moin Torsten,
ich habe "Default direkt in Labor umbenannt und das Ganze sieht so aus:

1.png

2.png

Alles andere ist - wie Dr. Einstein empfohlen - auf Werkseinstellung gelassen (Nach Reset neu aufgesetzt - wie oben beschrieben)

[PappaBaer]

Okay, und Dein Gast-Netz ist auch wirklich WLAN-1-2 und nicht WLAN-2 (Weil Du das im Anfangspost geschrieben hast)?
Und hattest Du nicht im Anfangspost noch davon geschrieben, dass das Labor-Netz im VLAN 2 sein soll? Nun ist es anscheinend VLAN 1 ?!?

[Dr.ToM]

Danke für deine Rückmeldung. Ich habe einiges hin- und her probiert...
Die letzten Bilder sind vom IST-Stand; also WLAN-1.2 ist Gast, WLAN-1 ist Labor (Default-Netz). Ich habe nun mal 3 Netze probiert und "default" als belassen und dann natürlich die VLAN-ID erweitert auf "3", funktioniert aber auch nicht anders. Es ist also nur Gast-Netz, das nicht aufgelöst werden. Wie geschrieben, am PC - also an einem weiteren untagged Port vom Switch läuft auch Gast richtig.

[Dr.Einstein]

LAN-1 ankommend gemischt ist falsch, nur gemischt.

[Dr.ToM]

Ok, ich werde es morgen mal ändern und dann Feedback geben. Habe für heute den Kram zur Seite gelegt

[PappaBaer]

Dr. Einstein hat Recht. Habe das komplett überlesen in Deinem Screenshot. Den Modus "ankommend gemischt" gibt es zum Glück seit LCOS 9.20 auch nicht mehr.