VLAN mit 1790EF und LX-6402

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
cf01
Beiträge: 11
Registriert: 23 Feb 2020, 10:11

VLAN mit 1790EF und LX-6402

Beitrag von cf01 »

Konstellation:
  • Lancom 1790EF Router ist mittels Fritzbox über Kabelam Internet angeschlossen.
  • Am 1790EF hängen diverse Netzwerkgeräte (NAS, IoT Geräte, ...); direkt am Router und teilweise über kleinen DLink-switch (unmanaged).
  • An der 1790EF hängt der Access-Point LX-6402 - daran sind unsere Laptops und Mobilgeräte per WLAN angebunden.


Ich würde gerne folgendes erreichen:
Ich möchte gerne ein GAST-Netzwerk einrichten.
Einmal um Gästen einen separaten Zugang zu geben, der dann abgetrennt sein soll von den Kerngeräten wie meine NAS und andere, auf die nur interne Geräte zugreifen können sollen.

Ich dachte daran das mit VLANs zu realisieren:
  • GASTNETZ (SSID2, VLAN 1) und INTERNET (SSID1, VLAN 0) auf LX-6402
  • 1790EF ist Router; Geräte die über GASTNETZ verbunden sind, sollen dann im LAN nicht auf die anderen Geräte zugreifen dürfen, sondern lediglich ins Internet.
  • Als weiteren Schritt möchte ich später VPN Zugänge einrichten (habe VPN 25 Option), so dass ich später wenigen Geräten von extern gesichert auf mein LAN zugreifen kann.
FRAGEN:
  • Kann ich denn ein Netzwerk mit VLANs ohne zusätzlichen Switch einrichten? Bin mir mittlerweile unsicher!
  • Was würdet ihr mir empfehlen? Lässt sich der Zugriff bestimmter Geräte auch per Firewallregeln sinnvoll organisieren (also z.B. sind ja alle Geräte bekannt (MAC), die im LAN auch auf die NAS kommen sollen; ist es möglich alle nicht spezifizierten Geräte (z.B. Gäste) den Zugriff auf die NAS und bestimmte Geräte zu verweigern). Wie müsste ich das angehen?
Trotz technischer Affinität, bin ich noch recht am Anfang mit meiner "LANCOM-Karriere".

Ach ja, erschwerend kommt hinzu, dass ich kein WIN-Anwender sondern MAC-Nutzer bin und ich keine Möglichkeit habe LANConfig tools zu verwenden; also, das alles irgendwie über WebConfig erledigen müsste.

Danke für ein wenig Guidance.
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VLAN mit 1790EF und LX-6402

Beitrag von 5624 »

Kann ich denn ein Netzwerk mit VLANs ohne zusätzlichen Switch einrichten? Bin mir mittlerweile unsicher!
Ja.
Was würdet ihr mir empfehlen? Lässt sich der Zugriff bestimmter Geräte auch per Firewallregeln sinnvoll organisieren (also z.B. sind ja alle Geräte bekannt (MAC), die im LAN auch auf die NAS kommen sollen; ist es möglich alle nicht spezifizierten Geräte (z.B. Gäste) den Zugriff auf die NAS und bestimmte Geräte zu verweigern). Wie müsste ich das angehen?
Das ist bei LANCOM sehr leicht. Bei der Definition des IP-Netzwerks einfach ein Schnittstellentag ungleich 0 und ungleich dem Schnittstellen-Tag des LAN geben. Dann sehen sich die Netzwerke nicht.
GASTNETZ (SSID2, VLAN 1) und INTERNET (SSID1, VLAN 0) auf LX-6402
Haut nicht hin. LAN VLAN0 ist in Ordnung, VLAN 1 klappt nicht. Die VLAN-ID muss mindestens 2 sein, sonst guckt dich der Router böse an. Wichtig: In keinem Fall das VLAN-Modul aktivieren. Das brauchst du nicht. Machst du es, hast du hoffentlich eine Sicherung der Konfiguration oder genug Erfahrung auf der seriellen Konsole.
Wenn du das VLAN-Modul doch aktivierst, auch wenn es nicht nötig ist, musst du besondere Sachen beachten (die u.a. dafür zuständig sind, dass du das VLAN-Tag 1 normal nicht benutzen darfst).
LCS NC/WLAN
cf01
Beiträge: 11
Registriert: 23 Feb 2020, 10:11

Re: VLAN mit 1790EF und LX-6402

Beitrag von cf01 »

Machst du es, hast du hoffentlich eine Sicherung der Konfiguration oder genug Erfahrung auf der seriellen Konsole.
Hab ich bereits durch. Ohne vorherige Sicherung, wohlgemerkt. Nun ja....

Hat jemand Erfahrung wie ich ohne LANconfig auf dem LX6402 das Netz einrichten kann? In webconfig sehe ich keine Menüpunkte, die mir das erlauben.

Kann die Konsole Skripte?
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VLAN mit 1790EF und LX-6402

Beitrag von 5624 »

Den LX selbst kenne ich nicht, aber WEBconfig ist mächtiger als LANconfig. Große Teile von WEBconfig sind aber so gebaut, dass die exakt wie LANconfig aussehen.

Wie man es bei einem LX macht, ist unten bei Punkt 3 beschrieben https://support.lancom-systems.com/know ... g+von+VLAN
LCS NC/WLAN
cf01
Beiträge: 11
Registriert: 23 Feb 2020, 10:11

Re: VLAN mit 1790EF und LX-6402

Beitrag von cf01 »

Danke, ich teste das mal ....
cf01
Beiträge: 11
Registriert: 23 Feb 2020, 10:11

Re: VLAN mit 1790EF und LX-6402

Beitrag von cf01 »

Bei mir steht als default VLAN-ID für das Netzwerk INTERNET = 0. In der Anleitung ist die VLAN ID des Netzes INTERNET = 1.
Spielt das eine Rolle?

LC 1790EF: Ich wollte jetzt
  • das LAN (INTERNET, 192.168.200.x) mit VLAN-ID = 0 und
  • das Gastnetz (GAST, 192.168.210.x) mit VLAN-ID = 5 konfigurieren.


Auf der LX 6402:
  • WLAN1 (ssid1) mit VLAN-ID = 0 (das soll praktisch mit dem INTERNET 'mappen'.
  • WLAN2 (ssid2) mit VLAN-ID = 5 (darüber sollen keine Zugriffe auf das LAN möglich sein)
Sieht das so korrekt aus???
Das DEFAULT-VLAN steht dabei auf 1. (Schnittstellen / VLAN)
Sperre ich mich da gleich aus?
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VLAN mit 1790EF und LX-6402

Beitrag von 5624 »

Ja, in der Anleitung ist das Tag 1 eingetragen, es ist aber auch das VLAN-Modul aktiviert worden. Schaltest du es nicht ein, musst du auf dem Router die 0 lassen. Wenn ist das richtig deute, ist es bei den LX genauso, aber ich kenne die nicht.

Also nochmal wichtig für den Router:

VLAN-Modul aus, VLAN-Tag für das ungetaggte Netz muss 0 sein
VLAN-Modul ein, VLAN-Tag für das ungetaggte Netz muss 1 sein
Abweichung davon => ausgesperrt
LCS NC/WLAN
ittk
Beiträge: 1244
Registriert: 27 Apr 2006, 09:56

Re: VLAN mit 1790EF und LX-6402

Beitrag von ittk »

Hi,

LX-Modelle haben ein explizit zu konfigurierendes VLAN-Modul mehr, ist ja kein LCOS mehr, was darauf betrieben wird....
Die kennen nur untagged VLAN ID = 0 oder VLAN ID > 0 ist tagged.
5624 hat geschrieben: 15 Okt 2020, 20:53 Ja, in der Anleitung ist das Tag 1 eingetragen, es ist aber auch das VLAN-Modul aktiviert worden. Schaltest du es nicht ein, musst du auf dem Router die 0 lassen. Wenn ist das richtig deute, ist es bei den LX genauso, aber ich kenne die nicht.
cf01
Beiträge: 11
Registriert: 23 Feb 2020, 10:11

Re: VLAN mit 1790EF und LX-6402

Beitrag von cf01 »

@5624: Ich habe jetzt gemäß Anleitung die Konfiguration vorgenommen. Allerdings funktioniert das nicht. Einmal mit und einmal ohne VLAN Modul getestet.
Ich komme jetzt über beide SSIDs ins Interne Netz, aber auch auf meine NAS. Das sollte ja nur im 'internen' Netz (vlan id 1) möglich sein....
Habe auch versucht die beiden Firewallregeln gemäß Anleitung einzurichten. Aber es stand dort nicht beschrieben wie ich Objekt GAST anlege bzw. wie ich den Ziel-Dienst (DNS) bei der ALLOW_GAST_DNS Regel in Webconfig spezifiziere.... ich weiss, dass ich mir das selbst erarbeiten muss, allerdings bin ich über jeden Tipp dankbar.
Ein paar Geräte erreiche ich über die neue Konfiguration nicht mehr. Ich vermute mal dass die kein VLAN unterstützen. Aber ich dachte auch dass im Hybrid Mode das Default VLAN mit ID 1 'einspringt' falls eine ungetaggte Verbindung versucht wird.

@ittk: Die LX-6402 läuft kann ich per WebConfig einstellen. Dort kann ich jeweils auch die VLAN ID für die einzelnen SSIDs einstellen ...?!
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VLAN mit 1790EF und LX-6402

Beitrag von 5624 »

Bekommst du IP-Adressen aus den unterschiedlichen Subnetzen zugewiesen, wenn du dich mit den unterschiedlichen SSIDs verbindest?
LCS NC/WLAN
cf01
Beiträge: 11
Registriert: 23 Feb 2020, 10:11

Re: VLAN mit 1790EF und LX-6402

Beitrag von cf01 »

@5624: Ja. Ich bekomme die jeweiligen ins der jeweiligen Subnetze zugewiesen.
Vielleicht ist das eine Anfänger Frage: Ich habe zwei kleine DSG switches (unmanaged) an jeweils einem port der 1790ef. Ist vermute, das ist das Problem!? an diesen switches hängen jeweils ein paar Geräte...
Und: Danke für die Geduld!
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: VLAN mit 1790EF und LX-6402

Beitrag von 5624 »

Nein, wenn du eine IP-Adresse aus dem jeweiligen Subnetz bekommst, ist die VLAN-Konfiguration korrekt. Vermutlich hast du die Schnittstellentags nicht korrekt gesetzt. Das Gäste-Netz darf weder das Schnittstellentag 0 haben, noch dürfen die Schnittstellentags von LAN und Gästenetz identisch sein. Alternativ könntest du ne Firewallregel erstellen, die das gleiche bewirkt, aber das wäre wohl komplizierter.

Mit den Switches hat das nichts zu tun.
LCS NC/WLAN
cf01
Beiträge: 11
Registriert: 23 Feb 2020, 10:11

Re: VLAN mit 1790EF und LX-6402

Beitrag von cf01 »

Tja. Mein Kernnetz läuft. Allerdings immer noch nicht so wie ich mir das vorstelle.
Wie gesagt hängt die LX-6402 am 1790EF.
Am 1790EF hängen dann an den Einzelnen Anschlüssen 2 switches mit weiteren geraten.
Wenn ich nun mit meinem Hauptechner über WLAN verbunden bin, sehe ich allerdings nicht alle Geräte.
So, als ob die im WLAN nicht erreichbar sind.
Ich kann auch meine LX-6402 per webconfig nicht erreichen, obwohl ich per WLAN über diese verbunden bin.
Wenn ich per Kabel an die 1790EF gehe, dann schon.
??? Woran kann das liegen ???
cf01
Beiträge: 11
Registriert: 23 Feb 2020, 10:11

Re: VLAN mit 1790EF und LX-6402

Beitrag von cf01 »

Im Syslog der 179EF habe ich zudem einen Eintrag:
LOCAL3 Alarm Dst: 192.168.197.99:8814 {name meines 1790EF}, Src: 192.168.197.1:53 (UDP): connection refused
Wobei die 192.168.197.1 mein FritzKabelrouter ist, der die 1790EF mit dem Internet verbindet.
Die 192.168.197.99 ist die 1790EF im Netz des Fritzkabelrouters.
Muss ich da was für die Firewall konfigurieren?
Wiederholt vielen Dank für die Geduld mit meinen Fragen!
Antworten