Schwierigkeiten mit VLAN und meiner Umsetzung/Konfiguration

[ako77]

Hallo,

zum Thema VLAN habe ich hier einiges gefunden. Hat jemand von Euch ein
Howto speziell für Lancom Geräte (1681V), wie man Schritt für Schritt das
einrichtet? Ich komme hier nämlich nicht weiter und selbst das bisschen, was
ich bei Lancom finde, hilft mir nicht, weil ich aufm Schlauch stehe.
Allerdings kommt auch dazu, dass das Thema noch komplett neu für mich ist.
Da fehlt es ggf. noch an Grundwissen.
Nennt mir jemand bitte Quellen, mit denen auch er gelernt hat und die für
tauglich erklärt wurden?

Vllt. erklärt sich auch jemand bereit, mir per PM zu helfen.

Folgendes Ziel:
der Lancom soll alle ETH-Ports (1-4) separieren.
ETH-1 (LAN-1) Intranet
ETH-2 (LAN-1) WLAN-AP (von TP-Link mit MultiSSID)
ETH-3 (LAN-3) DMZ
ETH-4 (LAN-4) WAN (Plain Ethernet Routing zum DSL-Router, das int. Modem ist deaktiviert)

Diese VLANs soll es geben:
VLAN ID 1: INTRANET
VLAN ID 2: DMZ
Benötigt ETH-4 (WAN) auch ein VLAN? Oder die MultiSSID's?

Switch managed, DLink:
20 Ports auf VLAN ID 1 eingerichtet (Untagged)
4 Ports auf VLAN ID 2 "

Noch habe ich nicht erlesen, was genau Untagged und Tagged bedeutet.

Muss am 1681V überhaupt mit VLAN hantiert werden, wenn der Switch das
schon erledigt? Würde dann nicht die Separierung reichen und die Netzwerke
mit VLAN-IDs im Lancom konfigurieren? Dann könnte das VLAN-Modul daktiviert bleiben?

Beim WLAN-AP soll es zwei SSIDs geben. Einmal "secure" und einmal
"gast", wobei "gast" nur ins Internet über den 1681V kommen soll.

Wäre super, wenn mich jemand auf den richtigen Weg bringen könnte, weil ich
nach Stunden testen langsam breit bin

Zunächst mal Danke für's Lesen.
axel

[ako77]

Gibt es hier ggf. jemanden mit diesem Setup, der Scripte zur Verfügung stellen
könnte? Dabei ist wichtig, dass es sich nicht um einen MultiSSID AP von Lancom
handelt.

Wäre echt gut, wenn sich jemand bereit erklärt, mal ein Script (ohne pers. Daten)
bereit zu stellen, wo ARFs und/oder VLANs eingebunden sind.

Danke.

EDIT: angehängt, was ich erreichen möchte. Monowall/pfSense wird aber ersetzt
durch 1681V und der Accesspoint durch TP-Link WA910ND (mit VLAN ID 10
und 20)

[ako77]

So langsam komme ich dem Ziel näher.
Im Grunde funktionieren die Netze jetzt. Ich muss in meinem Fall das VLAN-Modul aktivieren.

Nur scheinen sich die Netze untereinander alle zu sehen und auch drauf zugreifen zu können.
Als VLANs gibt es WLAN1 (ID 10) und WLAN2 (ID 20). Sind die unter "IP-Netzwerke" richtig angelegt? (siehe Bild IP-Netzwerke.jpg)
Wie muss ich jetzt Firewall-Regeln anlegen, damit WLAN2 (ID 20) nur aufs
Internet zugreifen darf? Und ebenso die Routing-Tabelle? Muss ich mit Routing-Tags arbeiten? (Routing-Tabelle.jpg ist noch ein altes Bild)

Hoffentlich meldet sich noch jemand und bietet mir Hilfe an. Bis jetzt wurde dieser
Thread ja leider nur gelesen. Vielen Dank!

ako

[backslash]

Hi ako77

Nur scheinen sich die Netze untereinander alle zu sehen und auch drauf zugreifen zu können.

das ist ja auch korrekt so, denn im Router (also auf Layer 3) gibt es keine VLANs (denn das ist auf Layer 2)... Wenn du die Netze voreinander abschotten willst, dann mußt du ihnen unterschiedliche - von 0 verschiedene - Interface-Tags geben

Wie muss ich jetzt Firewall-Regeln anlegen, damit WLAN2 (ID 20) nur aufs
Internet zugreifen darf?

Gib WLAN2 ein von 0 verschiedenes Interface-Tag (z.B. 20).

Und ebenso die Routing-Tabelle? Muss ich mit Routing-Tags arbeiten? (Routing-Tabelle.jpg ist noch ein altes Bild)

nein - zumindest nicht für diesen Fall, weil eine mit 0 getaggte Route auf alle Tags matcht - somit auch auf das Tag von WLAN2 (20)

BTW: In die DMZ kommt WLAN2 aber trotzdem - auch wenn du der DMZ das Tag 252 vergeben hast, denn eine besonderheit der DMZ ist, daß sie von allen ARF-Netzen gesehen werden kann, denn ist i.A. auch ein Teil des Internets...

Gruß
Backslash

[ako77]

Hallo Backslash, (hattest Du meine PN bekommen?)

besten Dank, dass Du geantwortet hast.
Mache mich gleich mal an die Details zum Testen.

Schau mal bitte, ob die Port-Tabellen so richtig sind, bzw. ob ich den Haken
"Auf diesem Port Pakete erlauben..." setzen muss oder nicht.
Bei Port-VLAN-ID muss ich den Port des Interfaces (LAN-2) berücksichtigen
oder die VID? Vmtl. den Port des Interfaces, weil ich ja nur eine Angabe machen
darf?!

Grüße
axel


EDIT: Ist diese Routing-Tabelle (s.u.) richtig? Funktioniert das so, wenn ich
zwei Netzwerke gleichen Wertes angebe und nur das Routing Tag unterschiedlich?

Sind die FW-Regeln unten richtig?

[backslash]

Hi

(hattest Du meine PN bekommen?)

jetzt ja (Popup-Blocker)... Die beschreibt aber genau dieses Szenario hier, also ist es besser, das auch hier weiter zu behandeln.

Schau mal bitte, ob die Port-Tabellen so richtig sind, bzw. ob ich den Haken
"Auf diesem Port Pakete erlauben..." setzen muss oder nicht.
Bei Port-VLAN-ID muss ich den Port des Interfaces (LAN-2) berücksichtigen
oder die VID? Vmtl. den Port des Interfaces, weil ich ja nur eine Angabe machen
darf?!

Bei VLANs bin ich nicht so der Experte - deshalb lasse ich da lieber die Finger von. Das Problem ist, daß du dir ganz schnell den Ast absägen kannst, auf dem du gerade sitzt... Ich versuch's trotzdem mal

Auf allen Ports, außer dem Trunk-Port, sollte der Tagging-Modus auf "Niemals" und die Port-VLAN-ID passend zum daran gebundenen ARF-Netz sein, d.h. bei LAN-1 1 und bei LAN-3 252. Der Haken "Auf diesem Port Pakete..." sollte nicht gesetzt sein.

Auf dem Trunk-Port (LAN-2) sollte der Tagging-Modus auf "Immer" stehen und die Port-VLAN-ID auf 1 stehen (Admin-Netz). Der Haken "Auf diesem Port..." muß gesetzt sein.

Als nächstes mußt du die VLANs in der VLAN-Tabelle den Interfaces zuordnen, also VLAN 1 an LAN-1, VLAN 252 an LAN-3, VLAN 10 an LAN-2 und VLAN 20 auch an LAN-2.

Wenn du nun das VLAN-Modul anschaltest, hoffe, daß du dich nicht abgeschossen hast. Es ist immer sinnvoll, ein serielles Kabel dabei zu haben...

EDIT: Ist diese Routing-Tabelle (s.u.) richtig? Funktioniert das so, wenn ich
zwei Netzwerke gleichen Wertes angebe und nur das Routing Tag unterschiedlich

ja das geht prinzipiell - nur wirst du hier keine Freude haben, weil du durch diese Route das Netz WLAN1 "auf die WAN-Seite" verschiebst und das LANCOM für alle Adressen im 192.168.1.x-Netz ein Proxy-ARP macht...

Ganz nebenbei sehe ich gerade, daß WLAN1 und WLAN2 das gleiche Netz aufspannen - das ist zwar prinzipell möglich, weil sich diese Netze eh nicht sehen sollen und die Firewall das aufgrund des Session-trackings auch auseinander halten kann - dennoch sollte man von solchen Konstruktionen abstand nehmen, weil sie eine Fehlersuche unnötig erschweren. Es gibt genügend private Netze, die man hier vergeben kann.

Gruß
Backslash

[ako77]

Hi Backslash, ok, dann eben hier.

Auf allen Ports, außer dem Trunk-Port, sollte der Tagging-Modus auf "Niemals" und die Port-VLAN-ID passend zum daran gebundenen ARF-Netz sein, d.h. bei LAN-1 1 und bei LAN-3 252. Der Haken "Auf diesem Port Pakete..." sollte nicht gesetzt sein.

Verstanden.

Auf dem Trunk-Port (LAN-2) sollte der Tagging-Modus auf "Immer" stehen und die Port-VLAN-ID auf 1 stehen (Admin-Netz). Der Haken "Auf diesem Port..." muß gesetzt sein.

Auch verstanden.

Als nächstes mußt du die VLANs in der VLAN-Tabelle den Interfaces zuordnen, also VLAN 1 an LAN-1, VLAN 252 an LAN-3, VLAN 10 an LAN-2 und VLAN 20 auch an LAN-2.

Das habe ich dann schon mal richtig gemacht.

Wenn du nun das VLAN-Modul anschaltest, hoffe, daß du dich nicht abgeschossen hast. Es ist immer sinnvoll, ein serielles Kabel dabei zu haben...

VLAN ist bereits aktiviert und den Ast habe ich mir jetzt erst nach den o.g. Änderungen abgesägt. Übers Web-Backend komme ich aber noch drauf.
Mit diesen Einstellungen klappt es zunächst wieder:

Code: Alles auswählen

VLAN-Port	Tagging-Modus	Alle VLANs erlauben	Port-ID
LAN-1	Niemals	Aus	1
LAN-2	Gemischt	An	10
LAN-3	Niemals	Aus	2
LAN-4	Niemals	Aus	1

Sprich Port-ID 10 bei LAN-2, was einer ID eines VLANs entspricht (oder dem Routing-Tag!?) und Tagging-Modus "Gemischt".

EDIT: Ist diese Routing-Tabelle (s.u.) richtig? Funktioniert das so, wenn ich
zwei Netzwerke gleichen Wertes angebe und nur das Routing Tag unterschiedlich...

ja das geht prinzipiell - nur wirst du hier keine Freude haben, weil du durch diese Route das Netz WLAN1 "auf die WAN-Seite" verschiebst und das LANCOM für alle Adressen im 192.168.1.x-Netz ein Proxy-ARP macht...

Kannst Du das genauer erklären, was das bedeutet bzw. welche Auswirkunden
es haben könnte bezogen auf Proxy-ARP und "auf WAN Seite" verschieben!?

Ganz nebenbei sehe ich gerade, daß WLAN1 und WLAN2 das gleiche Netz aufspannen - das ist zwar prinzipell möglich, weil sich diese Netze eh nicht sehen sollen und die Firewall das aufgrund des Session-trackings auch auseinander halten kann - dennoch sollte man von solchen Konstruktionen abstand nehmen, weil sie eine Fehlersuche unnötig erschweren. Es gibt genügend private Netze, die man hier vergeben kann.

Ja, wie sollte es anders gehen? Der AP von TP-Link bietet mir nur VLANs bei MultiSSID an und beim DHCP-Netz kann ich nur einen Adress-Bereich angeben!?

Hmm, nun weiss ich gerade nicht weiter. Noch Ideen? Ich könnte Dir auch anbieten, Dir die Konfig per WEB anzusehen. Da es eine Testumgebung ist,
sind keine sensiblen Daten vorhanden/bzw. geändert. Wenn, dann PN an mich.

Besten Dank,
axel

[backslash]

Hi ako77

Sprich Port-ID 10 bei LAN-2, was einer ID eines VLANs entspricht (oder dem Routing-Tag!?) und Tagging-Modus "Gemischt".

Das bedeutet aber, daß das VLAN 10 ungetaggt auf dem Trunk ist - daher sollte m.E. hier in jedem Fall der Tagging-Modus auf "immer" stehen. Aber wie ich schon schreib: von VLANs lasse ich lieber die Finger...

Routing-Tags und VLANs haben erstmal nichts miteinander zu tun. Über Routing-Tags werden Routing-Kontexte voneinander separiert, während VLANs eine Separierung auf der Ethernet-Ebene durchführen. In einem Routing-Kontext können sich problemlos mehrere VLANs befinden - was ja auch der Defaultfall ist, wenn man ohne Routing-Tags arbeitet (besser gesagt, dann befinden sich alle Interfaces im Kontext 0)

Kannst Du das genauer erklären, was das bedeutet bzw. welche Auswirkunden es haben könnte bezogen auf Proxy-ARP und "auf WAN Seite" verschieben!?

Wenn im 192.168.1.x-Netz ein ARP-Request auf eine Adresse im 192.168.1.x gemacht wird, dann antwortet immer das LANCOM, was dazu führt, daß sich PCs in diesen Netzen nicht sehen können (bzw. es ist Zufall, ob es funktioniert - jenachdem wer schneller antwortet).

Die Frage ist halt: Was willst du mit dieser Route erreichen

Ja, wie sollte es anders gehen? Der AP von TP-Link bietet mir nur VLANs bei MultiSSID an und beim DHCP-Netz kann ich nur einen Adress-Bereich angeben!?

Du könntest den DHCP-Server im AP abschalten und dafür im LANCOM für jedes der beiden Netz einen DHCP-Server aufsetzen - da die "WLANx"-Netze in unterschiedlichen VLANs stehen, gibt es dabei keine Konflikte


Gruß
Backslash

[ako77]

Moin Backslash,

Das bedeutet aber, daß das VLAN 10 ungetaggt auf dem Trunk ist - daher sollte m.E. hier in jedem Fall der Tagging-Modus auf "immer" stehen. Aber wie ich schon schreib: von VLANs lasse ich lieber die Finger...

Hmm, auf der AP-Seite habe ich da keinen Einfluß. Im WA901ND kann ich nur VLAN aktivieren und IDs vergeben. Ich würde die Finger ja auch davon lassen, aber es scheint mit so einem Consumer-Gerät nicht anders zu funktionieren?! Ein AP von Lancom hat da andere Möglichkeiten?

Du könntest den DHCP-Server im AP abschalten und dafür im LANCOM für jedes der beiden Netz einen DHCP-Server aufsetzen - da die "WLANx"-Netze in unterschiedlichen VLANs stehen, gibt es dabei keine Konflikte

Auf diese Idee kam ich auch nach meiner letzten Antwort, als ich dann aber mit einem Gerät in WLAN1 verbinden wollte, wurde mir eine IP-Adresse zugeteilt, die eigentlich zum Netzwerk von WLAN2 gehört. Habe die Netze 192.168.1.0/24 WLAN1 und 192.168.2.0/24 WLAN2 angelegt. Dort kann ich ja keine VIDs angeben, sofern sollte die Vergabe vom Netzwerk-Namen abhängig sein, richtig?

Die Frage ist halt: Was willst du mit dieser Route erreichen

Dass das WLAN1 nur ins Internet darf... hmm...

Das bedeutet aber, daß das VLAN 10 ungetaggt auf dem Trunk ist - daher sollte m.E. hier in jedem Fall der Tagging-Modus auf "immer" stehen. Aber wie ich schon schreib: von VLANs lasse ich lieber die Finger...

Würde es helfen, wenn ich den AP an einen anderen Switch anschließen würde? Habe zwei Installationen am WE vor. Einmal mit einem HP und einmal mit einem D-Link Switch, beide VLAN-fähig.

Gibt es noch andere Ideen, wie ich das hier lösen kann/soll? Würde es helfen, mal zu telefonieren oder eben die Konfig per WEB zu begutachten? Wenn ich ums VLAN nicht rumkomme, wer könnte hier dann mein Ansprechpartner sein? Meldet sich ja leider niemand dazu...

Besten Dank an Dich!
cheers axel

[backslash]

Hi ako77

Hmm, auf der AP-Seite habe ich da keinen Einfluß. Im WA901ND kann ich nur VLAN aktivieren und IDs vergeben.

dann hast du aber auf dem AP die 10 als Port-VLAN-ID vergeben... Die Port-VLAN-ID dient einerseits dazu, ungetaggte Pakete in ein bestimmte VLAN zu zwingen. Andererseits werden Pakete dieses VLANs auch ungetaggt gesendet - es sei denn du würdest das Tagging erzwingen, was auch auf dem AP möglich sein sollte. M.E. sollten auf einem Trunk immer nur getaggte Pakete laufen, denn sonst könnte sich dort jemand einschmuggeln...

Auf diese Idee kam ich auch nach meiner letzten Antwort, als ich dann aber mit einem Gerät in WLAN1 verbinden wollte, wurde mir eine IP-Adresse zugeteilt, die eigentlich zum Netzwerk von WLAN2 gehört. Habe die Netze 192.168.1.0/24 WLAN1 und 192.168.2.0/24 WLAN2 angelegt. Dort kann ich ja keine VIDs angeben, sofern sollte die Vergabe vom Netzwerk-Namen abhängig sein, richtig?

richtig... Da bei der Definition der Netze festgelegt wird, in welchem VLAN sie stehen, muß das nicht noch mal extra beim DHCP-Server angegeben werden - daher gibt es dort auch keine VLAN-Einstellungen.

Die Frage ist halt: Was willst du mit dieser Route erreichen

Dass das WLAN1 nur ins Internet darf... hmm...

dafür ist diese Route aber völlig überflüssig (sie ist ja sogar kontraproduktiv, wegen des Proxy-ARPs)... Da du ja nur die Standard-Sperr-Routen und eine Defaultroute hast, reicht es vollkommen aus, das Netz WLAN1 mit einem Routing-Tag ungleich 0 zu versehen - und schon kann es nur noch ins Internet (und in die DMZ). Das ist ja gerade der Sinn der Routing-Tags...

Hättest du weitere 0 getaggte Routen zu anderen Netzen, dann müßtest du, um WLAN1 von diesen Netzen fernzuhalten, genau diese Routen nochmal mit dem Tag des WLAN1 anlegen und z.B. auf 0.0.0.0 zeigen lassen

Achtung: Es gibt einen Unterschied zwischen Routing-Tag 0 in der Routing-tabelle und Tag 0 bei den ARF-Netzen: In der Routing-Tabelle bedeutet Tag 0, daß diese Route genommen wird, wenn es keine anderen mit einem passenden Tag gibt. Bei den ARF-Netzen bedeutet Tag 0 nur, daß so getaggte Netze alle anderen Netze sehen dürfen, aber von Netzen mit einem Tag ungleich 0 nicht gesehen werden können - Tag 0 ist hier also kein "Default"-Tag wie in der Routing-tabelle, sondern eher ein "Supervisor"-Tag

Würde es helfen, wenn ich den AP an einen anderen Switch anschließen würde?

Eigentlich sollte der Switch dabei egal sein - ggf. solltest du aber mal in der Konfig des Switches nachschauen, weshalb VLAN10 bei dir ungetaggt auf dem Trunk läuft...

Gruß
Guido

[ako77]

NAbend Guido,

Achtung: Es gibt einen Unterschied zwischen Routing-Tag 0 in der Routing-tabelle und Tag 0 bei den ARF-Netzen: In der Routing-Tabelle bedeutet Tag 0, daß diese Route genommen wird, wenn es keine anderen mit einem passenden Tag gibt. Bei den ARF-Netzen bedeutet Tag 0 nur, daß so getaggte Netze alle anderen Netze sehen dürfen, aber von Netzen mit einem Tag ungleich 0 nicht gesehen werden können - Tag 0 ist hier also kein "Default"-Tag wie in der Routing-tabelle, sondern eher ein "Supervisor"-Tag

Danke für diese Erklärung. Das mit dem "Supervisor"Tag hatte ich gelesen, aber diesen Unterschied, bzgl. zum Routing-Tag, aus dem Manual heraus so nicht erkannt und gewusst.

Das ist ja gerade der Sinn der Routing-Tags...

Ja, so langsam komme ich dahinter. Verstanden.

dann hast du aber auf dem AP die 10 als Port-VLAN-ID vergeben...

Nicht absichtlich, sondern scheint das per Design beim AP so zu sein. VID 10 ist = PVID und VID 20 eben PVID 20. Denn jetzt habe ich was rausgefunden:
wenn ich im LANCOM die Port-VLAN-ID von 10 auf 20 ändere (an LAN-2), dann holt sich das WLAN-Gerät eine IP aus dem WLAN2, wechsel ich zurück auf die PVID10, bekomme ich eine IP aus dem WLAN1-Netz. Das ist jetzt allerdings blöd, weil ich somit keine automatische Erkennung habe. Ich gehe davon aus, das man nur eine PVID im LANCOM anlegen kann/darf?! Und nun?

Cheers
axel


EDIT:
Hier mal das Einzige aus dem Manual vom AP:

Wireless Settings in Multi-SSID mode

Enable VLAN - Check this box and then you can change the VLANID of each SSID. If you want to configure the Guest and Internal networks on VLAN, the switch you are using must support VLAN. As a prerequisite step, configure a port on the switch for handling VLAN tagged packets as described in the IEEE802.1Q standard, and enable this field.

SSID (1-4) - Up to 4 SSIDs for each BSS can be entered in the filed SSID1 ~ SSID4. The name can be up to 32 characters. The same name (SSID) must be assigned to all wireless devices in your network. If Enable VLAN is checked, the wireless stations connecting to SSID of different VLANID can not communicate with each other.

VLANID (1-4) - Provide a number between 1 and 4095 for VLAN. This will cause the device to send packets with VLAN tags. The switch connecting with the device must support VLAN IEEE802.1Q frames. The wireless stations connecting to the SSID of a specified VLANID can communicate with the PC connecting to the port with the same VLANID on the Switch.

[backslash]

Hi ako77

Nicht absichtlich, sondern scheint das per Design beim AP so zu sein. VID 10 ist = PVID und VID 20 eben PVID 20. Denn jetzt habe ich was rausgefunden:
wenn ich im LANCOM die Port-VLAN-ID von 10 auf 20 ändere (an LAN-2), dann holt sich das WLAN-Gerät eine IP aus dem WLAN2, wechsel ich zurück auf die PVID10, bekomme ich eine IP aus dem WLAN1-Netz.

Das ist ja genau das, was ich sagte: Hier laufen ungetaggte Pakete ziwschen dem AP und dem LANCOM. Ob nun der AP die Pakete schon ungetaggt rauschickt oder ob dein VLAN-fähiger Switch die Tags entfernt, kann ich dir nicht sagen...

Das ist jetzt allerdings blöd, weil ich somit keine automatische Erkennung habe. Ich gehe davon aus, das man nur eine PVID im LANCOM anlegen kann/darf?! Und nun?

Natürlich gibt es nur eine Port-VLAN-ID je Port - das Port-VLAN gibt ja an, in wlechem VLAN ungetaggte Pakete landen....


Dir bleibt jetzt eigentlich nur übrig, dich mit einem Hub zu berwaffnen, diesen zwischen alle beteiligten Strecken zu klemmen und dort mit Wireshark den Traffic mitzuschneiden, um herauszufinden, wer die VLAN-Tags entfernt (entweder der AP setzt keine rein oder der Switch nimmt sie wieder raus)

Gruß
Backslash

[ako77]

HI Guido,

was ist ein Hub? ...nein, nur ein Spaß, aber sowas habe ich hier nicht mehr rumliegen. Ich hatte den AP nur kurzfristig am D-Link Switch hängen. Ansonsten direkt am LANCOM ETH-2/LAN-2. Aber da habe ich vmtl. schon alle Möglichkeiten durchgespielt und es funktioniert nur annähernd, wenn ich den "gemischten" Tagging-Modus nutze. Bein "ankom. gemischt" funktionierte es, meine ich, auch noch.
Und wenn ich nur eine PVID angeben kann, gibt es wohl keine Lösung, ausser sich einen LANCOM-AP zuzulegen, oder?

Gruß
axel

[backslash]

Hi ako77

Und wenn ich nur eine PVID angeben kann

nochmal: Es kann prinzipiell nur eine PVID geben - das ist unabhängig davon, von welchem Hersteller ein Produkt kommt...

gibt es wohl keine Lösung, ausser sich einen LANCOM-AP zuzulegen, oder?

konfiguriere den AP richtig, d.h so, daß er die Pakete auch getaggt rausgibt - dann funktioniert auch der Tagging-Modus "immer"...

Gruß
Backslash

[ako77]

Hallo Backslash,

wollte nach einigen Tagen der Verzweiflung die Lösung kund tun.

konfiguriere den AP richtig, d.h so, daß er die Pakete auch getaggt rausgibt - dann funktioniert auch der Tagging-Modus "immer"...

Unvorstellbar, aber kein Scherz: der AP von TP-Link bietet MultiSSID an. In der Eingabemaske kann man bis zu 4 WLANs eintragen. Ich hatte immer zwei konfiguriert und das war scheinbar nicht richtig. Es funktioniert jetzt endlich und nur so, wenn 4 SSIDs angelegt sind. Das ist doch totaler Mist und ich kam nur durch Zufall drauf, dass mal so zu testen. Steht auch nirgendwo beschrieben, dass das so sein muss (oder ich habs nicht gefunden).

In Lanconfig unter Schnittstellen/VLAN/Port-Tabelle funktioniert der Tagging_Modus "niemals" und "gemischt". Nach dem mir auch der Lancom-Support bestätigt hat, dass meine Config auf dem 1681V richtig ist, konnte es also nur noch der AP sein.

Vielen Dank noch mal an Dich, dass Du Dir Zeit genommen hast, mich zu unterstützen!!

cheers
axel