Hi!
Ich bin neu hier. Hab schon bisschen was durchgelesen, komm aber nicht wirklich weit mit den Begriffen.
Bin grad noch in der Ausbildung zum ITSE. Jetzt hat mein Ausbilder gemeint, ich soll für einen Kunden einen L-54g so konfigurieren, dass es 2 WLAN-Netze gibt. Das eine Intern, das andere für Gäste. Intern darf alles, extern nur Internet.
Das Interne Netz soll den im Netz vorhandenen DHCP benutzen(die meisten Angestellten dort haben eh feste IPs). Das Gast-WLAN soll den Lancom-DHCP nutzen.
Ich hatte das Ding mitlerweile soweit, dass ich 2Wlans konfiguriert habe, aber halt nur das ohne VLAN.
Als ich VLANs aktivieren wollte, bin ich nicht mehr auf den Lancom draufgekommen(Zugriff verweigert).
Könnt ihr mir da bitte helfen? Muss das Teil in einer Woche ausliefern und bin grad echt am verzweifeln.
Vielen Dank schon mal.
2 WLAN-Netze mit unterschiedlichen Berechtigungen und DHCPs
Moderator: Lancom-Systems Moderatoren
-
bumblebeeman
- Beiträge: 2
- Registriert: 11 Aug 2009, 08:20
Moin,
Für so einen Gastzugang gibt's viele Ansätze, und VLANs braucht man dafür nicht
unbedingt...
Du kannst z.B. in den Einstellungen der LAN-Bridge die SSID des Gast-WLANs auf
Bridge-Gruppe 'none' setzen, dann legst Du ein zweites ARF-Netz an, das an diese
SSID gebunden ist und damit zusammenhängend dann eine Instanz des DHCP-Servers.
Damit bekommen diese Clients in der Gast-SSID ihre Adresse vom LANCOM-DHCP
und müssen über dessen IP-Router gehen. Der routet dann aufs LAN weiter, und Du
kannst mit der Firewall im LANCOM nach Lust und Laune festlegen, wer im Gastnetz
was darf. Eventuell reicht es aber auch, für die im Intranet verwendeten Adressen
eine Sperrroute im LANCOM-IP-Router einzutragen, die Clients im internen Netz gehen
ja nicht über den IP-Router im LANCOM, sondern deren Pakete werden direkt ins
LAN gebridget. Wichtig ist natürlich noch eine passende Rückroute - dem Internet-Gateway
mußt Du noch sagen, daß es die Clients im Gast-WLAN über das L-54 erreicht.
geräteeigenen IP-Adressen) eine VLAN-Id ungleich Null stehen, weil mit aktivem VLAN-Modul
jedem einkommenden Paket eine VLAN-Id ungleich Null zugewiesen wird - den Sonderwert
Null für ungetaggten Betrieb gibt es nicht mehr.
Aber um es noch einmal klar zu sagen: VLANs sind kein Wundermittel, um zwei Netze 'auf
Knopfdruck' voneinander zu trennen. VLAN-Tagging ist erstmal nur eine Methode, mehrere
LANs passend markiert so über ein physikalisches LAN zu transportieren, daß jemand am
anderen Endes sie wieder auseinanderdividieren kann. Das kann entweder ein VLAN-fähiger
Switch sein, der die einzelnen (V)LANs wieder auf separaten Ethernet-Strängen herausführt,
oder ein Router, der in mehreren VLANs 'steht'.
Gruß Alfred
Für so einen Gastzugang gibt's viele Ansätze, und VLANs braucht man dafür nicht
unbedingt...
Du kannst z.B. in den Einstellungen der LAN-Bridge die SSID des Gast-WLANs auf
Bridge-Gruppe 'none' setzen, dann legst Du ein zweites ARF-Netz an, das an diese
SSID gebunden ist und damit zusammenhängend dann eine Instanz des DHCP-Servers.
Damit bekommen diese Clients in der Gast-SSID ihre Adresse vom LANCOM-DHCP
und müssen über dessen IP-Router gehen. Der routet dann aufs LAN weiter, und Du
kannst mit der Firewall im LANCOM nach Lust und Laune festlegen, wer im Gastnetz
was darf. Eventuell reicht es aber auch, für die im Intranet verwendeten Adressen
eine Sperrroute im LANCOM-IP-Router einzutragen, die Clients im internen Netz gehen
ja nicht über den IP-Router im LANCOM, sondern deren Pakete werden direkt ins
LAN gebridget. Wichtig ist natürlich noch eine passende Rückroute - dem Internet-Gateway
mußt Du noch sagen, daß es die Clients im Gast-WLAN über das L-54 erreicht.
Vorsicht Falle: Sobald das VLAN-Modul aktiviert ist, muß bei den ARF-Netzen (also denAls ich VLANs aktivieren wollte, bin ich nicht mehr auf den Lancom draufgekommen(Zugriff verweigert).
geräteeigenen IP-Adressen) eine VLAN-Id ungleich Null stehen, weil mit aktivem VLAN-Modul
jedem einkommenden Paket eine VLAN-Id ungleich Null zugewiesen wird - den Sonderwert
Null für ungetaggten Betrieb gibt es nicht mehr.
Aber um es noch einmal klar zu sagen: VLANs sind kein Wundermittel, um zwei Netze 'auf
Knopfdruck' voneinander zu trennen. VLAN-Tagging ist erstmal nur eine Methode, mehrere
LANs passend markiert so über ein physikalisches LAN zu transportieren, daß jemand am
anderen Endes sie wieder auseinanderdividieren kann. Das kann entweder ein VLAN-fähiger
Switch sein, der die einzelnen (V)LANs wieder auf separaten Ethernet-Strängen herausführt,
oder ein Router, der in mehreren VLANs 'steht'.
Gruß Alfred
-
bumblebeeman
- Beiträge: 2
- Registriert: 11 Aug 2009, 08:20
So, hab das ganze jetzt mal so, wie du es gsagt hast, eingerichtet. Allerdings komm ich zwar mit dem Intern-WLAN überall hin, mit dem Gast-Netz aber halt nirgends. kriegt nur ne APIPA-Adresse. Ich steh vermutlich auch grad total auf dem Schalauch, was ich einstellen muss um direkt auf meine Firewall geroutet zu werden.
Hab auch mal die Konfig mit angehängt. Vllt hilft die ja jemandem
Admin Edit: Firmware File geloescht
Hab auch mal die Konfig mit angehängt. Vllt hilft die ja jemandem
Admin Edit: Firmware File geloescht