[gelöst] L452agn dual - Gedankenspiele ...

[AS1306]

@All, da ich noch keine Berührungspunkte mit den dualen AP´s von Lancom hatte, würde ich mich freuen, wenn mir jemand Info´s bezüglich der Ethernetschnittstellen geben könnte. Das Netz, um das es sich handelt wird über einen LC1781-4G geroutet und ist wie folgt konfiguriert:

ETH1 = VDSL Business 50MBit
ETH2 = Netz1 (Schnittstellentag 1 - DHCP-Server aktiv)
ETH3 = Netz2 (Schnittstellentag 0 - SBS 2008 mit aktiviertem DHCP-Server)
ETH4 = Netz2 (Schnittstellentag 0 - Netz der Domäne)

ETH2 = Verbindung zum Switch GS2326 A
ETH4 = Verbindung zum Switch GS2326 B

Mobilfunkanschluß = Backup für die Onlinekonnektivität ...

Da aufgrund der lokalen Gegebenheiten ein AP vollkommen ausreichend ist, würde ich gern den 452´er nutzen, um in beiden Netzen einen WLAN-AP zu integrieren. Für mich stellt sich daher die Frage, ob ETH1 des AP´s dem WLAN1 und ETH2 einem WLAN2 eindeutig zugeordnet werden kann? ETH1 würde dann mit dem GS2326A und ETH2 mit dem GS2326B verbunden werden. Der AP würde in beiden Fällen im WLAN-Client Modus agieren können, ohne dass Netz 1 Zugriff in das Netz 2 erhält (Schnittstellentag)? Ein 3. WLAN für den öffentlichen Zugriff ohne in Kontakt mit den existierenden Netzen wäre hierrüber ebenfalls realisierbar? Ich hoffe, dass es nun nachvollziehbar ist, was ich bezwecke ... Vielleicht habt Ihr ja noch den einen oder anderen Gedanken hierzu, um die ganze Geschichte zu optimieren

Grüße aus Berlin - Andreas

[alf29]

Moin,

Für mich stellt sich daher die Frage, ob ETH1 des AP´s dem WLAN1 und ETH2 einem WLAN2 eindeutig zugeordnet werden kann? E

Ja, im einfachsten Fall durch Einsatz von zwei Bridge-Gruppen.

Der AP würde in beiden Fällen im WLAN-Client Modus agieren können,

Gegen was für einen AP? Nicht-transparenter Client-Modus (d.h. ohne den LANCOM-eigenen Client-Bridge-Modus) ist nicht auf beiden WLANs gleichzeitig definiert.

Ein 3. WLAN für den öffentlichen Zugriff ohne in Kontakt mit den existierenden Netzen wäre hierrüber ebenfalls realisierbar?

Nicht parallel mit dem so betriebenen Gerät. Wenn beide WLANs im Client-Modus sind, dann können sie nicht gleichzeitig im AP-Modus noch SSIDs betreiben.

Gruß Alfred

[AS1306]

Danke alf29 für das schnelle Feedback ... dann verhalten sie sich ja analog zu allen anderen Lancom Geräten. Ich wollte es nur bestätigt haben, bevor ich wieder investieren werde -

Ja, im einfachsten Fall durch Einsatz von zwei Bridge-Gruppen.

Ansonsten über eine VLAN-Konfiguration? Mich würden die "nicht so einfachen" Fälle mal interessieren. Mit dem WLAN-Client-Modus hast Du natürlich recht, habe ich tatsächlich wieder mal etwas quer gelegen, da es ja keinen AP Gegenpart gibt. Anfragen aus dem WLAN-Netz sollen einfach nur zum DHCP-Server bzw. DC "weitergereicht" werden ...

Gruß Andreas

[alf29]

Moin,

Ansonsten über eine VLAN-Konfiguration? Mich würden die "nicht so einfachen" Fälle mal interesieren.

So etwas kann man natürlich auch über VLAN hinbasteln (bei allen Ports das Tagging auf 'nie' stellen, Port-VLANs und VLAN-Mitgliedschaften passend setzen), aber das ist eigentlich unnötig kompliziert, wenn man einen Dual-AP nur quasi in der Mitte durchschneiden möchte. VLANs werden erst interessant, wenn man keine einfache 1:1-Beziehung zwischen verschiedenen Ports hat.

Gruß Alfred

[AS1306]

Danke Alfred, triffst den Nagel mal wieder voll auf den Kopf:

... wenn man einen Dual-AP nur quasi in der Mitte durchschneiden möchte ...

Ich hoffe, dass er noch bis Ende der Woche bei mir ankommt ...

Gruß Andreas

[AS1306]

So, die Hoffnung mit der Auslieferung hat sich erfüllt. Den Gedankenspielen folgt die "harte" Realität. Heute kam er nun an und wurde natürlich gleich angeschlossen und konfiguriert ... O.K. sagen wir mal versucht zu konfigurieren. Nach anfänglicher Euphorie schiebe ich nun seit ein paar Stunden etwas Frust. Der Reihe nach ...

Ziel ist es, wie bereits oben beschrieben, das LAN durch einen AP so zu erweitern, dass einerseits jeweils auf die bereits vorhandenen Netze zugegriffen werden kann und andererseits zu jedem Netz ein Gastnetz zur Verfügung steht, das logischerweise keinen Zugriff in die lokalen Bereiche hat bzw. unter keinen Umständen haben darf. Nachdem ETH1 des AP mit dem GS2326-B und ETH2 mit dem GS2326-A verbunden worden sind, folgte die Konfiguration via LANconfig. Das programmm fand das Gerät auch im 0-er Netz und ordnete eine IP zu (DHCP vom LANCOM war wohl schneller, als DHCP vom SBS) ... da ich allerdings alles aus dem 3-er Netz verwalte, vergab ich eine IP aus diesem Bereich! Soweit alles in Ordnung.

• - 2. Massnahme ... das Bridging (Porttabelle - Schnittstelle - LAN)
  - ETH1 und WLAN1 NW1 = BRG-1 analog für ETH2 und WLAN2 NW2 = BRG-2
  - WLAN1 NW2 = keine BRG (Gastnetz GS2326-B)
  - WLAN2 NW2 = keine BRG (Gastnetz GS2326-A)
  - für die Gastnetzwerke wurden unter IP-Netzwerke 2 neue Netze mit Bindung an die Schnittstelle WLAN-1-2 und WLAN-2-2 (Schnitstellentag 1 und 2) eingerichtet ...
  - physikalische NW 1 und 2 und die zugehörigen SSID´s (logische WLAN´s) aktiviert. WPA vergeben ...
  - DHCP-Netzwerke für die Gastnetzwerke wurden eingerichtet und aktiviert (Server aktiviert = JA)
  - DHCP-Netzwerk INTRANET läuft im Client-Modus und verweist auf den SBS als DNS und den LANCOM als Standardgateway ...

Das Resultat sieht wie folgt aus:

• - Netz 0 (192.168.0.x) via WLAN-2-1 läuft korrekt ...
  - Netz 0 (Gastnetz B) via WLAN-2-2 wird korrekt via DHCP "gefüttert" (DHCP Einstellungen entsprechen den Angaben, die unter DHCP-Netzwerke für Gastnetze hinterlegt worden sind! Verbindung in das LAN erfolgt, allerdings keine Internetanbindung ...
  - laut System Fehlerdiagnose: DNS Problem - Was habe ich hier vergessen?
  - Netz 3 via WLAN-1-1 und WLAN-1-2 ist absolut nicht zugängig???
  - Kontrolle der Einstellungen ... Erstkonfiguration hat im Betriebsmodus WLAN1 = Managed eingetragen ... in Basisstation geändert ... weiterhin kein Zugriff???
  - Einrichtungsassisten für WLAN gestartet und durchgeführt ... immer noch kein Zugriff!
  - WLAN-2-2 (0-er Netz) testweise via BRG-1 angebunden ... ich lande im 3-er Netz, was mir sagt, dass unter Umständen etwas mit dem WLAN-Modul 1 nicht stimmt - Was liegt hier im Argen?
  - Broadcast der SSID´s erfolgt von allen eingerichteten logischen WLAN-Netzen ... Bei der Verbindungsherstellung via WLAN-Modul 2 kommt sofort die Abfrage des Zugangspasswortes für das Netz - via WLAN-Modul 1 kommt es erst gar nicht hierzu ...

Ich hoffe, dass es nur eine Einstellungssache ist. Würde mich über Lösungsvorschläge "tierisch" freuen, da ich momentan erst einmal nicht weiter weiss ...

THX Andreas

[AS1306]

Nachdem heute das System via Telnet in den Auslieferungszustand zurückversetzt worden ist, ging es mir in erster Linie um die Überprüfung des WLAN Modul 1. Hierfür habe ich diesmal nur die Assistenten zur Konfiguration herangezogen und die IP für den AP erst einmal so wie vorgegeben belassen. SSID auf LCX gesetzt und getestet. Ergebnis = es funktioniert. Nachdem das System mit den in anderen Büros gültigen SSID´s konfiguriert worden sind ... gleiches Problem, wie ich gestern beschrieb. Dachte im ersten Moment, dass Sonderzeichen wohl das Problem verursachen könnten - Fehlanzeige, die Länge der Bezeichnung war es!!! Normalerweise sollten doch 32 Charaktere hierfür genutzt werden können. Aus irgendeinem Grund sind hier nur 12 zulässig. Das erklärt, warum das WLAN-Modul 2 auch auf Anhieb funktionierte - WLAN-Modul 1 mit 13 ASCII-Zeichen jedoch nicht. Komisch, da es in meiner LC1781-EW Konfiguration mit eben genau diesen SSID´s ohne Einschränkungen funktioniert ... Ist das ein Deja-vu? Ich könnte meinen, solch ein Problem schon einmal gehabt zu haben. Any way ...

Netz 3 via WLAN-1-1 und WLAN-1-2 ist absolut nicht zugängig???

... das hat sich dann mehr oder weniger von selbst erledigt! SSID XXXX.intranet geht nicht - XXX.intranet hingegen schon!?

WLAN-1-1 und WLAN-2-1 sind nun in vollem Umfang nutzbar. Auffällig war hier nur, dass Clients an WLAN-2-1 recht lange benötigen, bis sie den DHCP-Server "finden" - ca. 40-50 Sekunden. WLAN-1-1 hingegen nur Bruchteile einer Sekunde. Stichwort - Routingtabelle?

Was ich allerdings noch nicht hinbekommen habe - die Gastnetze können beide noch immer nicht ins Internet. Ist hier eventuell irgendwo noch eine Route zu konfigurieren? IP-Parameter werden korrekt aus den IP-Netzwerken, die an die Schnittstellen WLAN-1-2 bzw. WLAN-2-2 gebunden sind, übergeben. DHCP-Server sind für diese Netze aktiv ...

THX Andreas

[AS1306]

Bezüglich der SSID Geschichte werde ich heute mal den Support kontaktieren, da ich dieses Verhalten gestern erneut in dieser Form verifizieren konnte. Vielleicht ist es ja doch ein BUG, zumindest aber für mich ein "merkwürdiges Verhalten". Das Ganze hatte allerdings auch einen positiven Effekt, da WLAN-1-1 und WLAN-2-1 jetzt wirklich perfekt arbeiten. Wahrscheinlich war wohl nur ein erneuter Neustart erforderlich, da ich an der Konfiguration diesbezüglich wirklich nichts verändert habe.

Die Gastnetze werden aber immer noch nicht ins Internet geroutet. Hatte hierfür noch Rückrouten in den Router eingetragen, die aber nicht zum gewünschten Ergebnis führten ...

Wirklich keiner, der irgendeine Idee bzw. einen Ansatz hierzu hat?

Ist hierfür eventuell ein spezieller Trace erforderlich? Wenn ja, welcher?

THX Andreas

[Dr.Einstein]

Hey AS1306,

also ich würde bei so ein Konstellation das komplette Bridgegruppen-Geraffel
weglassen und direkt auf VLANs umschwenken. Ist zwar einmaliger Aufwand
alles einzurichten, aber danach bist du deutlich flexibler. Zumal die teure
Hardware hast, die das alles problemlos beherrscht.

- Dem 1781 die beiden Netze geben, aber die Schnittstellen auf beliebig lassen
- Zwischen Lancom und beiden Switchen einen VLAN-Trunk herstellen, VLAN
Modul kann dadurch ausbleiben
- SBS am Switch ranhängen
- beide Switche entsprechend den Ports mit Access Ports für die VLANs versehen
- AP Port des Switches auf hybrid umstellen, alternativ auch mittels VLAN Trunk
- AP mit VLAN-Modul einrichten, WLAN Netze als niemals, LAN-1 als gemischt
oder immer, jenachdem, ob als Trunk oder als hybrid am Switch eingerichtet
- Der AP braucht keine IP auf dem Gastnetzwerk, auch Routing / DNS ist
nicht notwendig, außer du brauchst eine aktuelle Uhrzeit für das Gerät selbst

Gruß Dr.Einstein

[AS1306]

Danke erst einmal für das Feedback!

- Dem 1781 die beiden Netze geben, aber die Schnittstellen auf beliebig lassen

Was bedeutet das konkret? Momentan hat der 1781 doch beide Netze, die allerdings mittels Schnittstellen-Tag voneinander getrennt sind.

Habe mich zwar schon mit den Grundlagen in Bezug auf VLAN beschäftigt, würde aber bei weitem nicht behaupten wollen, da genau zu wissen, was ich hier mache. Gern hätte ich diesen Ansatz daher vorher als Gedankenspiel "durchgespielt". Alfred erwähnte ja auch bereits den etwas komplizierteren Weg, den ich zu diesem Zeitpunkt halt als Lösung der Zielvorgabe gesehen hatte. Notfalls würde ich momentan halt auch erst einmal mit einem Gastnetz klarkommen, wenn das einfacher zu realisieren wäre. Perspektivisch allerdings schon so, wie bereits erwähnt! ...
Mit den vorhandenen 1781-EW´s funktionierte das auf dieser Basis halt auch super.

Mein Problem, wie sicher bei vielen anderen auch ... die liebe Zeit - muss halt immer alles schnell gehen und sofort funktionieren.

THX Andreas

[Dr.Einstein]

Du hast ja höchstwahrscheinlich IP Netz 1 an logisch LAN-1
und IP-Netz 2 an logisch LAN-2 u.ä. konfiguriert. Das löst du auf und stellt um
auf Schnittstelle beliebig. Die Tags selbst kannst du natürlich zur Trennung lassen.

Allround-Anweisung für VLANs wird schwer übers Forum, aber bei konkreten
Fragen kann man dir bestimmt helfen. Da ich gerne Public Spot mache,
kann ich dir aus Erfahrung sagen, dass man mit Bridge Gruppen auf Dauer
bei sowas unglücklich wird

Gruß Dr.Einstein

[janosch]

Du hast ja höchstwahrscheinlich IP Netz 1 an logisch LAN-1
und IP-Netz 2 an logisch LAN-2 u.ä. konfiguriert. Das löst du auf und stellt um
auf Schnittstelle beliebig. Die Tags selbst kannst du natürlich zur Trennung lassen.

Oder man stellt die Schnittstelle beider Netze auf LAN-1.

[AS1306]

Es hat zwar etwas gedauert und etwas zusätzliche Hilfe war nötig, dafür kann mein Anliegen allerdings nun auch als gelöst betrachtet werden. Vielen Dank an Dr.Einstein, der Einwand mit der VLAN-Geschichte wird sicherlich perspektivisch umgesetzt, da das im Endeffekt doch wesentlich flexibler ist/wird. Leider kann ich da aber nicht immer so ran, wie ich es gern hätte ... Produktivsystem!
Die Umsetzung erfolgte im Endeffekt anhand der Anleitung: WLAN-Gastzugang ohne VLAN Funktionalität

Ich hatte hier immer etwas mit den 2 Funkmodulen gehadert, da ich ursprünglich dachte bzw. annahm, dass dies konträr zum Szenario 2 der Anleitung stehen würde. Dieses Szenario läßt sich ja ebenfalls laut dieser Anleitung nur mit einem einzelnen AP im Netz in dieser Form realisieren. Offensichtlich verhält sich aber ein Dual-AP in diesem Sinne genau wie ein physisch vorhandener AP. O.K. - wieder etwas schlauer ... Verhäddert hatte ich mich im Grunde genommen nur an 3 Stellen. Die DHCP-Netzwerke müssen in meinem speziellen Fall natürlich aktiviert werden, da das Gateway dies in der vorliegenden Konfiguration nicht übernimmt (... da der SBS das hier regelt!). In diesem Zusammenhang wurde die DNS-Weiterleitung im AP nicht wie ursprünglich gedacht auf den SBS sondern auf das Gateway gelegt und last but not least natürlich auch die vorher konfigurierten Schnittstellentags entfernt - diese Trennung wird nun über entsprechende Firewall-Regeln erzeugt. Gastnetz A wird BRG-3 und Gastnetz B der Gruppe BRG-4 zugeordnet ... und voilà alles funktioniert, wie es soll. Netze sind jeweils über den AP erreichbar. Gastnetz A stellt Internet und Datenaustauschmöglichkeit zwischen den Clients, Gastnetz B stellt lediglich einen Internetzugang ohne Zugriff auf andere Clients zur Verfügung. Im Folgenden die Vorgehensweise und ein paar Bilder ...

1. Im Gateway die Rückrouten für die Gastnetze eintragen ... (Routingtabelle - IP des AP 192.168.3.198)
2. Im AP die Ports in der Porttabelle zuweisen ... (BRG-1 bis BRG-4)
3. Im AP die IP-Netzwerke anpassen ... (BRG-1 bis BRG-4)
4. Im AP die DHCP-Netzwerke anpassen ...
5. Im AP die DNS-Weiterleitung aktivieren und zuweisen ...
6. Im AP die Firewall-Regeln erstellen (sehr wichtig, da sonst ins LAN "gesprungen" werden kann!) ...

[Dr.Einstein]

Find die Lösung interessant, danke fürs Posten