VLAN mit GS-1224 und Ubiquity EdgeRouterXP

[Vtagger]

Hallo zusammen.
Oute mich als völliger VLAN-Neuling, aber müsste hier mit Hilfe meiner beiden Switche was "biegen". Bevor ich's kaputt konfiguriere frag' ich lieber erstmal die Profis und bin für eure Zeit und Hilfe!

Zwei Netze, nenne sie mal "Front" und "Rear": Front: 10.0.0.x/24, Rear 10.0.10.x/24. In "Front" hängt eine Fritte die Mesh-Master ist. Wegen der bestehenden Verkabelung will ich einen Fritz Repeater physisch in "Rear" einhängen, der muss aber den Master in "Front" finden, sich also "fühlen" als würde er in "Front" wohnen, damit er Teil vom "Mesh" werden kann.

Dann erstmal zum Lancom:

• Den habe ich aktuell "segmentiert" (sagt man das so?) und nutze 1/3 für Front, 1/3 gar nicht (reserve in der Mitte gelassen), und 1/3 für Rear.
• VLAN-Modus ist global auf "Port-Based" gestellt. Damit sind die alle grundsätzlich "untagged" wenn ich es richtig verstehe, sodass alle angeschlossenen Geräte als "liefern keinen Tag, und wenn doch, wird der mit der Port-VLAN-ID ersetzt" behandelt werden - richtig?
• Gruppe1: Ports 1-8 in VLAN1 (ja, sollte ich wohl mal auf eine andere als die Default-Zahl schieben, habe ich heute gelernt... würde ich bei der Gelegenheit dann mal mit machen)
• Gruppe2: Ports 17-24 in VLAN10 (für das .10.x Subnetz)
• Ports 9-16 sind ungenutzt und hängen in "dummy"-VLAN-IDs 2 bis 9 (weil die GUI mich das VLAN10 nicht "10" nennen lassen wollte solange nicht "9" bereits existiert - oder ich war zu doof damals).

Die "Brücke" zwischen beiden so separierten Netzen bildet ein OpenWRT-Router, der mit seinem WAN-Port im "Front" Netz hängt, und mit einem seiner LAN-Ports im "Rear" Netz (wo dann diverse "du darfst nicht nach Hause telefonieren, du bist nicht E.T.!"-Geräte wohnen, die er im Zaum hält.)

Dann weiter zum "EdgeSwitchXP":

• Von dem Lancom von einem Port in Gruppe 2/VLAN10 geht dann ein Kabel im "Rear" Netz zu einem Ubiquity EdgeSwitchXP.
• Der befindet sich räumlich dort, wo ich den Repeater hinbauen will (und wo ich kein zusätzliches Kabel direkt von der Fritte und auch kein WLAN hinbekomme), um das "Front"-Netz der Fritte dort verfügbar zu bekommen.
• Auf dem Ubi EdgeSwitchXP ist aktuell gar nichts "VLAN" (bzw. alles "default": Alle stehen auf "trunk" und "Untagged" als Member in VLAN1="management").

So, was ändere ich nun?
Auf dem Ubiquity im "Rear" Netz:

1. Erstmal von VLAN1 zu VLAN10 (für das .10.x "Rear" Netz) und VLAN2 (für das .0.x "Front" Netz) vorbereiten. VLAN2+10 definieren. Was wo rein kommt, s.u.
2. Dann nicht vergessen: in der Konfig das ManagementVLAN von "1" umstellen, damit er später noch erreichbar bleibt. Da ich ihn über seine IP .10.x anspreche, müsste da also VLAN10 gesetzt werden, denn später kommen Pakete vom Lancom entweder als 2 oder 10, aber nie mehr als "1" oder ganz ohne (richtig?)
3. Ports 1-4 für die "Rear"-Netz-Geräte als "untagged" in VLAN10 packen. Dann sollten alle dortigen Clients einen Tag "10" vom Ubiquity an ihre Pakete geklebt bekommen, richtig?
4. Dann neu: Port 7 auch "untagged" aber in das "VLAN2" packen. Da kommt dann der Repeater dran (kann der auf DHCP bleiben, wird er die Fritte "finden" und von ihr eine .0.x IP bekommen? Müsste doch? Sonst: feste .0.x/24 geben und .0.1 aka Fritte als Default Gateway manuell eintragen).
5. Dann Port8: Macht aktuell Up/Downlink zum Lancom. Den müsste ich auf "Trunk" lassen (alle anderen NICHT mehr, richtig?). Und ich setze ihn auf "Tagged" für die VLANs 2 und 10. Dann gehen nur noch Pakete zum Lancom, die eine ID2 oder ID10 haben, je nach Port, von dem sie kamen. Richtig?
6. (Ports 5+6 lasse ich raus/frei, da hängt noch nichts dran, muss ich dann zuordnen, wenn ich mal was hätte).

Dann auf dem Lancom:

1. Den muss ich von "port-based" auf "tag-based" umstellen. Hier auch von der VLAN1 verabschieden und mit 2 und 10 arbeiten.
2. Ports der Gruppe1 (1-8), "front"-Netz aus VLAN1 in VLAN2. Und die anderen Settings? Ingress Filtering=AUS; Packet Type=ALL; Role="Access"; PVID=2. Dann müssten alle Geräte hier im "front" Netz vom Lancom einen Tag "2" verpasst bekommen, richtig?
3. Ports der Gruppe 2 (17-24), "rear"-Netz bleiben in VLAN10. Settings wie oben bei Gruppe1, nur dass sie PVID=10 bekommen.

Und wie geht es dann weiter am Lancom? Hier stehe ich auf dem Schlauch (wenn nicht weiter oben auch schon mehrfach )

Einen bislang ungenutzten Port "in der Mitte", sagen wir die Wilde 13, zum Uplink-Port Richtung EdgeSwitch machen? Was muss ich dafür tun?

1. Im Handbuch finde ich eine Abbildung, bei der "Tag-Based" ausgewählt ist, und darunter gibt es eine Auswahl für "Uplink port" - die aber nach Multi-Select aussieht. Hier einfach Port13 auswählen, und damit ist der automatisch der "Trunk" zum EdgeSwitch? Muss ich auch noch einen Port aktivieren, der zur Fritzbox als "main router" führt? Und womöglich noch einen, der zum Open-WRT-"Brücken-Router" führt (Bzw. derer sogar beide für sein LAN+WLAN/Front+Rear-Netz-Interface)?
   ... oder ...
2. VLAN-ID "5" bauen, dort nur Port 13 rein, Ingress Filtering=AUS (?), PacketType=TaggedOnly (?), Role=TRUNK, PVID dürfte es hier dann aber gar nicht geben/brauchen, denn es müssen ja pakete mit 2 oder 10 durchgereicht werden (und keine ohne!), die der EdgeSwitch dann wieder auseinandersortiert und entweder den bösen Geräten an seinen Ports 1-4 oder eben dem Repeater an seinem Port 7 zustellt.

Hab ich's so ungefähr verstanden
Wo ist es falsch, wo wird es schief gehen? Ich leg' damit die ganze Hütte lahm, wenn.
(ich seh meine "Chefin" schon vor mir: ... und ich dann wohl ... das gilt es zu verhindern )

[lna]

Der Switch, über den wir sprechen ist mindestens 10 Jahre alt (End of Sale in 2015).
um und zu vermeiden, vielleicht ein neues projekt auf hardware mit erwartbarer Restlebensdauer umsetzen.

zum eigentlichen Thema.
wenn ich die ganze heim-nutzer-magie von avm und unifi richtig verstehe ist das aussichtslos (mesh sieht sich nur wenn die tatsächlich im selben segment sind oder du musst am router eine l2 bridge bauen und die entsprechenden firewall-regeln einsetzen).

Anschließend geht es ja weiter. Damit die WLAN Clients von vorne nach hinten roamen können wäre es nett, wenn sie vorne und hinten dasselbe subnetz haben, also entweder bridge-to-vlan am Accesspoint - das können die fritzen aber nicht, oder ein gemeinsames l2-segment siehe oben.

Die Frage ist also nicht wie wird der LANCOM konfiguriert (um das unmögliche möglich zu machen) sondern was ist der Plan.

[Vtagger]

Der Plan wäre mit der vorhandenen HW die Lösung zu bauen, denn es tut alles was es bisher soll - also warum wirf-weg-kauf-neu? Könnte ein neuerer Switch was dieser nicht kann ("das Unmögliche möglich machen")?

Apropos unmöglich: wirklich? Mal kurz die Fritz-Mesh-Pairing-Magie außen vor gelassen (für den Fall, das die sich tatsächlich nicht riechen wenn dazwischen ein Vlan-tag+untag passiert): Wenn ich das wie beschrieben umsetzte (nachdem ich wüsste, wie ich den "doppel-uplink" am Lancom konfigurieren muss) und dann hinter dem Ubi EdgeSwitchXP ein device mit fester Ip aus dem "Front" Netz anschließen würde, dann wäre das doch im IP Netz der Fritte. Wäre doch nichts anderes als wenn beide Switche gar keine besondere Konfiguration hätten und nur für dieses eine LAN da wären. Wenn man also nur ein vlan Tagging auf beiden hätte, welches nur auf dem uplink-Kabel getagged wäre.

Wenn man zwei VLans hat auf zwei miteinander gekoppelten switchen, dann hat man doch trotzdem immer (zumindest normalerweise) nur ein uplink-Kabel zwischen den beiden. Was anderes wäre das doch hier auch nicht - dass da noch der wrt Router in beiden hängt...dürfte doch egal sein. Könnte ja auch ein Server sein der mit zwei Netzwerkkarten in zwei LANs (hier zwei Vlans) Dienste anbieten. Vorn gibt's Burger und hinten Veggi...

Geht nicht? Echt?

[lna]

back to basics (bitte nicht schlagen):

stell dir das mit dem VLAN erstmal so vor als hättest du unabhängige Switches
ein Switch "Front"
ein Switch "Rear"

wenn du das Front netz im anderen Gebäudeteil haben möchtest, stellst du da einen weiteren Switch hin und verbindest ihn mit Front.
Wenn du Rear ebenfalls dort haben möchtest bekommt rear ebenfalls einen zweiten Switch und ein eigenes Kabel zum ersten Front switch.

vlan basic.png

mit VLANs wird der Switch Partitioniert (die mehreren switches oben werden quasi zusammengefasst auf einem, weiterhin zwei Kabel, aber obacht mit spanning-tree )
Alle Ports je VLAN sind im "Access" Modus.

vlan-basics-2.png

Die Kabel zwischen den Vlans können nun auch partitioniert werden

vlan-basics-3.png

Die Ports, an denen Clients angeschlossen sind, bleiben "access" im jeweiligen VLAN

Die Ports, mit denen die Switches untereinander verbunden werden, werden Trunk oder Hybrid oder General (Vokabeltraining, Sprachgebrauch der jeweiligen Hersteller in Deckung bringen).

Auf dem GS1224 musst du dafür in den Tag-Based Modus gehen.
in der VLAN Per Port Configuration kannst du die Port-Rolle je Port konfigurieren.
Bitte zunächst für die Bestands-Ports die Access-Rolle in den jeweiligen VLANs anlegen.
Anschließend den Uplink Port anlegen. Entweder Trunk (alles getagged) oder Hybrid (ein untagged / native vlan, rest tagged). --> diese einstellung musst du mit dem anderen Switch in Einklang bringen.
Lass das Ingress Filtering zunächst weg (oder mach es an, dann musst du die Membership in der "Tag-Based VLAN Configuration" sauber hinterlegen.)