[Erledigt] L-322agn Problem VLAN pro WLAN

[EDVNet]

Hallo zusammen,

ab und zu probiere ich ja mal neue Sachen aus und das ist heute der WLAN-Accesspoint L-322agn. Ich möchte pro WLAN-SSID separate VLANs verwenden, die über einen VLAN-fähigen Switch auf den AP getrunkt werden.

Aktuell habe ich die WLAN mit Auth. eingerichtet und die Grund-Konfiguration vorgenommen, so dass der L-322 konfigurierbar ist. Leider funktioniert bei mir noch nicht die Kommunikation aus den WLANs zum DHCP-Server/Gateway, da das ein separater Router ist (1781VA).

Hier mal mein Aufbau:
Switch: TP-LINK TL-SG3424
Port 17: Trunk mit VLANs: 1,1010,1020,1030,1040,1121,1141,2030,3010
Port 18: Trunk mit VLANs: 1,1010,1020,1030,1040,1121,1141,2030,3010
Port 20: Trunk mit VLANs: 1,1010,1020,1030,1040,1121,1141,2030,3010

VLAN-Tabelle-Switch.PNG

LANCOM 1781VA (DHCP-Server)
Firmware: 9.10.0426 / 22.10.2015
LAN-3 (ETH-3) an Port 17 des Switches
LAN-3 (ETH-4) an Port 18 des Switches

Netzwerke_1781VA.PNG

LANCOM L-322agn dual Wireless
Firmware: 9.10.0426 / 22.10.2015
LAN-1: Managment-Netzwerk (VLAN 1010) an Port 20 des Switches
VLAN-Modul ist aktiviert und eingerichtet:

Config_L-322agn.png

2,4 GHz-WLAN
WLAN-1: Mgmt (VLAN 1010)
WLAN-1-1: Intra (VLAN 1020)
WLAN-1-2: Guest (VLAN 2030)

5 GHz-WLAN
WLAN-2: Mgmt (VLAN 1010)
WLAN-2-1: Intra (VLAN 1020)
WLAN-2-2: Guest (VLAN 2030)

Bei der VLAN-Konfiguration habe ich mit an den Thread Lance 1781AW - VLAN, WLAN+HP Switch Problem gehalten.

Anmeldung am WLAN klappt nur mit statischer IP, da der DHCP-Server nicht erreicht wird (1781VA). Den L-322agn kann ich über den 1781VA erreichen und konfigurieren.

Was muss ich beim VLAN ändern, damit die WLANs das restliche Netzwerk erreichen?

Danke
Ulf

[Dr.Einstein]

Hallo Ulf,

der Fehler kann natürlich viele Ursache haben, ist schon recht komplex geworden, mit RADIUS und alles.

Was mich aber direkt wundert. Du schreibst, dass dein TP Link Trunk-Ports hat, im AP ist aber "nur" gemischt hinterlegt, sprich die PVID wird untagged, und der Rest tagged durchgejagdt. Eigentlich sollte es hierdurch schon Probleme geben zwischen AP und Switch. Entweder komplett Trunk auf beiden Seiten (immer / alle VLANs tagged) oder eine Art Hybrid (gemischt Management VLAN / Man. VLAN untagged, Rest tagged).

Bist du auch schon Schritt für Schritt vorgegangen? z.B. einen Port am Switch auf untagged des entsprechenden VLANs gesetzt und DHCP getestet? WPA Enterprise durch WPA2 Key ausgetauscht? Sind aus meiner Sicht aktuell zu viele Variablen

Gruß Dr.Einstein

[Jirka]

Hallo Ulf,

wie Dr. Einstein schon schreibt, das Gemischt im AP auf Immer umstellen.

Das zweite Problem dürfte das hier sein:

LAN-3 (ETH-3) an Port 17 des Switches
LAN-3 (ETH-4) an Port 18 des Switches

Zwischen Port 17 und 18 wird doch geswitcht, oder nicht?! Und am LANCOM auch, die Ports sind da ja der gleichen logischen Schnittstelle zugeordnet.

Viele Grüße,
Jirka

[EDVNet]

Hallo Dr. Einstein und Jirka,

danke für die Aufklärung. Da ich das VLAN-Modul im Lancom das erste Mal einsetze, bin ich da noch nicht vollständig durchgedrungen.

@Dr. Einstein

Was mich aber direkt wundert. Du schreibst, dass dein TP Link Trunk-Ports hat, im AP ist aber "nur" gemischt hinterlegt, sprich die PVID wird untagged, und der Rest tagged durchgejagdt. Eigentlich sollte es hierdurch schon Probleme geben zwischen AP und Switch. Entweder komplett Trunk auf beiden Seiten (immer / alle VLANs tagged) oder eine Art Hybrid (gemischt Management VLAN / Man. VLAN untagged, Rest tagged).

Ich verstehe das jetzt so, dass "immer" der Trunk-Modus ist und "Niemals" der Access-Modus (Vergl. Switchports), oder?

Das ich den AP über den Port trotzdem managen konnte, liegt warhscheinlich daran, dass der Switch-Port die PVID hat, die im gemischten Modus untagged wurde (1010).

Das Umstellen auf für LAN-1 auf "Immer" hat leider auch keine Besserung gebracht .

z.B. einen Port am Switch auf untagged des entsprechenden VLANs gesetzt und DHCP getestet?

Am Anfang hatte ich die Standard-Konfiguration des Assistenten drin und das WLAN hat war über die BRG-1 mit LAN-1 verbunden. Da habe ich im WLAN noch eine IP per DHCP aus dem MGMT-Bereich bekommen. BRG-1 habe ich inzwischen aus der Konfiguration rausgenommen. Wie in den Screenshots zu sehen ist, geht alles direkt auf LAN-1. Passt das zu Deiner Frage?

WPA Enterprise durch WPA2 Key ausgetauscht?

WPA2 Enterprise verwende ich gar nicht. Auch kein Radius. Anmeldung am WLAN per WPA2-Key klappt problemlos. Da DHCP noch nicht funktioniert, muss ich halt eine feste IP haben.

@Jirka:

Das zweite Problem dürfte das hier sein:

Das mit den zwei Ports ist extra eingestellt, weil ich ein Failover ausprobieren will, siehe: Link Aggregation mit 1781VA. Das restliche Netzwerk kann mit dieser Einstellung arbeiten. Wenn ein Link wegfällt, über nimmt der zweite Link.

Zum Testen habe ich aber mal einen Link gezogen. Ein Änderung des Verhaltens gibt es damit aber leider auch nicht

Noch Ideen?

Danke
Ulf

[Jirka]

Hallo Ulf,

Das Umstellen auf für LAN-1 auf "Immer" hat leider auch keine Besserung gebracht .

trotzdem ist es irgendwo falsch, ich weiß jetzt zwar auch nicht, warum es keinen Unterschied machen soll, aber ich kenne die Switch und das ganz genaue Verhalten da auch nicht genau.

Noch Ideen?

Ja. Aufgrund der Aussage, dass es mit festen IPs gehen soll und da Gateway = DHCP-Server, liegt hier nahe, dass die DHCP-Konfiguration im LANCOM-Router falsch ist. Was steht denn so in der Tabelle DHCP-Netzwerke?

Viele Grüße,
Jirka

[EDVNet]

trotzdem ist es irgendwo falsch, ich weiß jetzt zwar auch nicht, warum es keinen Unterschied machen soll, aber ich kenne die Switch und das ganz genaue Verhalten da auch nicht genau.

Ich kenne bei Switchen nur den Trunk- und den Access-Mode. Im Access-Mode kann jedes beliebige Device angeschlossen werden und ist im Netzwerk, dass zu der PVID (Physical VLAN ID) des Ports gehört. Im Standard ist das VLAN1. Bei mir VLAN 1010. Im Trunk-Mode hat der Port ebenfalls diese PVID, aber zusätzlich noch weite VLAN-IDs. Diese kann man aber nur benutzen, wenn das angeschlossene Device auch einen Trunk-Port betreiben kann. Der Switchport ist auf Trunk-Mode eingestellt. Bei LANCOM kenne ich das nur so, dass ich in den Netzwerken eine VLAN-ID im Netzwerk hinterlegen kann und bei mehreren VLAN-IDs (eine je Netzwerk) wird der Port am LANCOM-Router im Trunk-Modus betrieben.

Ja. Aufgrund der Aussage, dass es mit festen IPs gehen soll und da Gateway = DHCP-Server, liegt hier nahe, dass die DHCP-Konfiguration im LANCOM-Router falsch ist. Was steht denn so in der Tabelle DHCP-Netzwerke?

Mit festen IP's geht nur, dass die WLAN-Anmeldung vollständig durchgeführt wird. Das Gateway des Netzes kann ich deswegen trotzdem nicht anpingen. Wenn ich das WLAN im Gerät (Laptop, Tablet) auf DHCP stellen, wird halt keine IP vergeben und die WLAN-Anmeldung bricht vollständig ab.

WLAN selber funktioniert. Das Routing mit den VLANs klappt meines Erachtens noch nicht richtig.

Gibt es denn eine andere Möglichkeit die WLAN-SSIDs an separate Netzwerke anzubinden, die je ein VLAN eingetragen haben? Über die IP-Netzwerke vielleicht?

Danke
Ulf

[Dr.Einstein]

Hallo EDVNet,

was ich bis jetzt nie gemacht hatte, ist das Management Netz des APs auf LAN-1 festzubinden. Bei mir steht das immer auf BRG-1. Die VLANs sorgen für die Trennung.

Vielleicht gibt es auch ein Verständnisproblem beim Begriff Trunk. Es gibt Herstellerspezifische Trunkports wie bei HP und Cisco. Das hat aber nichts zutun mit dem VLAN "TrunK". Beim TP Link ist das doch relativ einfach. Du legst neue VLANs an und für jedes VLAN kannst du tagged, untagged oder excluded hinterlegen. Wenn alle VLANs auf tagged stehen spricht man von Trunk (= Lancom immer). Wenn ein VLAN auf untagged steht, und alle anderen auf tagged ist das eine Art Hybrid (gemischt im Lancom), wenn der Port nur ein VLAN untagged hat, Rest excluded ist das ein untagged Port (= Lancom niemals).

Wie gesagt, geh Schritt für Schritt vor. Nimm den Lancom (ohne WLAN), mach deine 5,,6 Netze inkl VLANs rauf (ohne VLAN Modul), nimm den Switch und mach einen Trunkport dazwischen. Pack auf den Switch für jedes VLAN einen untagged Port rauf und teste entsprechend die Erreichbarkeit des jeweiligen VLANs zum Router. Wenn das ok ist, machst du weiter mit dem Router inkl VLAN Modul + WLAN. Ist das fertig, VLAN Trunk zum AP, danach WLAN im AP usw.

Ich denke, es liegt am Trunk bzw. an dem Verständnis, was ein Trunk ist.

Gruß Dr.Einstein

[EDVNet]

Hallo Dr. Einstein,

ok, ich werde noch einmal zurückbauen und schrittweise testen.

Benötige ich für jedes WLAN (ein IP-Netz pro SSID) einen Eintrag in den IP-Netzwerken?

Danke
Ulf

[Dr.Einstein]

Nein, nur vorne am Router, wenn über diesen geroutet werden soll (oder DHCP etc benötigt wird).

[EDVNet]

Fehler gefunden auf S. 339 LCOS-REFMANUAL-910-DE.pdf:

Wird das Interface über die Einstellung keine aus allen Bridge-Gruppen entfernt, so findet keine Übertragung
über die LAN-Bridge zwischen LAN und WLAN statt (isolierter Modus). In dieser Einstellung ist eine
Datenübertragung zwischen LAN und WLAN für dieses Interface nur über den Router möglich.

Und da ich im Bridge-Modus war, konnte es ja nicht funktionieren.

Hier mal meine Vorgehensweise zur Fehlereingrenzung:

• IP-Netzwerk Management auf LAN-2 gelegt (VLAN 0), damit ein unabhängiger Port vorhanden bleibt, der Port am Switch ist im Access-Mode für das Management-VLAN
• Schnittstellen > LAN > Port-Tabelle Interface LAN-2 (ETH-2) auf Bridge-Gruppe=Keine geändert, so dass man WLAN nicht ins Management-Netz kommt
• IP-Netzwerke eingerichtet auf BRG-1 mit jeweiliger VLAN-ID, die alle auf dem Switch-Port, an dem LAN-1 angeschlossen ist, eingerichtet sein müssen (LAN-1 ist standardmäßig in BRG-1 enthalten)
• DHCP-Server für jedes der eingerichteten Netze im Client-Modus eingetragen, um Netzwerk-Connect ohne VLAN-Modul zu überprüfen (Der AP muss für jedes Netzwerk eine IP per DHCP vergeben bekommen)
• VLANs aktivieren
  • VLAN-ID 1 in IP-Netzwerk Management eintragen
  • VLAN-Modul aktivieren
  • VLANs in VLAN-Tabelle mit ausgewählten Ports eintragen, wobei der Eintrag Default_VLAN erhalten bleibt
    • VLAN2030, 2030, LAN-1, WLAN-1-3, WLAN-2-3
    • VLAN1020, 1020, LAN-1, WLAN-1, WLAN-2
    • VLAN1141, 1141, LAN-1, WLAN-1-2, WLAN-2-2
  • in der Port-Tabelle
    • VLAN-Port LAN-2 auf Niemals, Nein, 1 umgestellt, damit der Port (passend zum Switch) als Access-Port genutzt wird und die VLAN-ID wieder entfernt wird.
    • Die Ports WLAN-1/2-X auf Niemals, Nein, jeweiliges VLAN siehe VLAN-Tabelle eingestellt
• IP-Netzwerke bis auf Management wieder entfernt

Die Funktion war bereits nach dem Aktivieren des VLAN-Moduls vorhanden. Das Löschen der Netzwerke dient nur dem Aufräumen.

Dann kann ich mich ja jetzt dem Band Steering widmen. Aktuell melden sich die Geräte nämlich nur im 2,4 GHz-Netz an.

Danke für die tolle Unterstützung und frohe Weihnachten.
Ulf

[EDVNet]

Fehler gefunden auf S. 339 LCOS-REFMANUAL-910-DE.pdf:

Wird das Interface über die Einstellung keine aus allen Bridge-Gruppen entfernt, so findet keine Übertragung
über die LAN-Bridge zwischen LAN und WLAN statt (isolierter Modus). In dieser Einstellung ist eine
Datenübertragung zwischen LAN und WLAN für dieses Interface nur über den Router möglich.

Und da ich im Bridge-Modus war, konnte es ja nicht funktionieren.

Hier mal meine Vorgehensweise zur Fehlereingrenzung:

• IP-Netzwerk Management auf LAN-2 gelegt (VLAN 0), damit ein unabhängiger Port vorhanden bleibt, der Port am Switch ist im Access-Mode für das Management-VLAN
• Schnittstellen > LAN > Port-Tabelle Interface LAN-2 (ETH-2) auf Bridge-Gruppe=Keine geändert, so dass man WLAN nicht ins Management-Netz kommt
• IP-Netzwerke eingerichtet auf BRG-1 mit jeweiliger VLAN-ID, die alle auf dem Switch-Port, an dem LAN-1 angeschlossen ist, eingerichtet sein müssen (LAN-1 ist standardmäßig in BRG-1 enthalten)
• DHCP-Server für jedes der eingerichteten Netze im Client-Modus eingetragen, um Netzwerk-Connect ohne VLAN-Modul zu überprüfen (Der AP muss für jedes Netzwerk eine IP per DHCP vergeben bekommen)
• VLANs aktivieren
  • VLAN-ID 1 in IP-Netzwerk Management eintragen
  • VLAN-Modul aktivieren
  • VLANs in VLAN-Tabelle mit ausgewählten Ports eintragen, wobei der Eintrag Default_VLAN erhalten bleibt
    • VLAN2030, 2030, LAN-1, WLAN-1-3, WLAN-2-3
    • VLAN1020, 1020, LAN-1, WLAN-1, WLAN-2
    • VLAN1141, 1141, LAN-1, WLAN-1-2, WLAN-2-2
  • in der Port-Tabelle
    • VLAN-Port LAN-2 auf Niemals, Nein, 1 umgestellt, damit der Port (passend zum Switch) als Access-Port genutzt wird und die VLAN-ID wieder entfernt wird.
    • Die Ports WLAN-1/2-X auf Niemals, Nein, jeweiliges VLAN siehe VLAN-Tabelle eingestellt
• IP-Netzwerke bis auf Management wieder entfernt

Die Funktion war bereits nach dem Aktivieren des VLAN-Moduls vorhanden. Das Löschen der Netzwerke dient nur dem Aufräumen.

Dann kann ich mich ja jetzt dem Band Steering widmen. Aktuell melden sich die Geräte nämlich nur im 2,4 GHz-Netz an.

Danke für die tolle Unterstützung und frohe Weihnachten.
Ulf

Hallo zusammen,

Das zweite Problem dürfte das hier sein:<br />LAN-3 (ETH-3) an Port 17 des Switches<br />LAN-3 (ETH-4) an Port 18 des Switches<br />Zwischen Port 17 und 18 wird doch geswitcht, oder nicht?! Und am LANCOM auch, die Ports sind da ja der gleichen logischen Schnittstelle zugeordnet.

Das habe ich jetzt auch wieder aktiviert und das Netzwerk läuft immer noch super. Fehler war nur die fehlende Bridge.

Viele Grüße
Ulf

Kaum macht man's richtig, funktioniert's