Ich hab 2 L-54g APs gekauft und möchte jetzt, dass die SSID1 (welche per WPA geschützt ist) ganz normal in das ungetaggte (da nicht alle Endgeräte VLAN können) Netzwerk kommen.
Während die logische SSID2 eine VLAN ID (2) bekommen soll, und logischerweise nur zum Router bei dem auf der virtuellen eth0.2 ein PPTP Server lauscht, woran sich die unsicheren Clients einloggen können.
So mein Problem ist, wie muss ich das am AccessPoint einstellen.
Unter Linux am drahtgebundenen Ethernet ist es kein problem, eth0 kommt ganz normal ins Netz (und bekommt die IP vom DHCP Server der normal auf dem eth0 Interface lauscht), und die eth0.2 in das VLAN mit der ID2 (und bekommt die IP vom DHCP Server der auf eth0.2 lauscht) und kann mich ohne Probleme am PPTP Server einloggen.
Letztendlich bleibt nur die Frage, was muss ich dafür am AP einstellen, um dort das gleiche Verhalten zu erreichen.
- zweites VLAN mit ID 2 in der VLAN-Netzwerktabelle anlegen. Zu diesem neuen gehören
die Interfaces LAN-1 und WLAN-1-2
- WLAN-1-2 aus dem Default-VLAN entfernen
- In den VLAN-Port-Einstellungen das Port-VLAN für WLAN-1-2 auf 2 umsetzen
- Tagging für LAN-1 aktivieren.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Alles was über das VLAN2 geht (also keine WPA Verschlüsselung kann), kommt bis zum m0n0wall Router und muss sich dort per PPTP einloggen (natürlich ist per Firewallregel der Zugang zum WAN gesperrt) und kommt dadurch dann in das "normale" LAN.
Alles was WPA kann, kommt ohne PPTP ins drahtgebundene LAN.
Zuletzt geändert von Konni am 05 Feb 2005, 23:23, insgesamt 1-mal geändert.
Ich denke mal, Du meinst WLAN-1-2? Tagging auf einen non-Trunking-Port zu
benutzen ist etwas ungewöhnlich, aber wenn's Deine Clients so brauchen, ist
das natürlich in Ordnung.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
>Naja das ganze VLAN Verhalten war für mich etwas "unlogisch"
Das ist die übliche Art und Weise, wie 802.1q auf Switches konfiguriert
wird (von dort kommt es ja). Man definiert Netze, ordnet den Netzen
Ports zu und feilt dann noch nach Bedarf an den Ingress/Egress-Regeln
für die Ports.
In diesem Falle sind die 'Ports' nur die einzelnen logischen WLANs bzw.
Point-2-Point-Strecken.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Naja eigetnlich kenne ich mich mit VLAN schon aus. @work hab ich da auch ein paar schön managebare 100 MBit Switche, aber privat kaufe ich mir sicherlich keine 3 managbaren 8 Port Gigabit Switche (wäre wohl etwas overkill).
Ich hab eher das Verhalten vom AP nicht so ganz verstanden (was ja letztendlich egal ist, solange es funzt).
Ich hatte das so in der Logik
WLAN-1-2 empfängt ein Datenpaket, versiehet es mit der ID2 und schickt es über LAN-1 raus, switch schickt es anhand der MAC (kann ja nix mit der VLAN ID anfangen) zum Router, der schickt anhand der ID zur virtuellen eth0.2.
So gesehen hätte ich vermutet, dass ich am LAN-1 Interface keinerlei Tag benötige, da das ja schon vom WLAN-1-2 hinzugefügt wurde, und der Rest sollte ja ohne jegliches tagging ablaufen, da wie angedeutet, die vorhandenen Switche alle nix mit tagging anfangen können (ich bin ja froh, das die alten Dinger getaggte Pakete nicht gleich verwerfen, wie ein paar "noName" 100MBit Switche mit Realtek Chipsatz).
Naja jetzt wird halt alles aus WLAN-1 und LAN-1 ebenfalls mit einer ID (1) versehen, aber solange die taglosen Pakete ohne Problem durchgereicht werden stellt das auch kein Problem dar.
für einen VLAN-fähigen Switch (ein LANCOM-AP mit aktivierten VLAN-Support ist
in diesem Sinn ein solcher) gehört eigentlich jedes Paket zu einem VLAN. Entweder
diese Zuordnung ist explizit durch ein 802.1q-Tag im Paket gegeben, oder sie wird
durch die Einstellungen des Ports abgeleitet. Beim Heraussenden wird dann anhand
der Konfiguration des ausgehenden Ports entschieden, ob ein Tag angehängt wird
oder nicht.
Üblicherweise hat man auf den WLANs keine Tags in den Paketen (wie gesagt, bei
Dir kann das ander sein). Wenn ein ungetaggtes Paket auf dem WLAN hereinkommt,
entscheidet das Ingess-Filter anhand der Port-VLAN-Id, zu welchem VLAN dieses
Paket gehört. Damit ist auch bekannt, an welche Ports dieses Paket überhaupt
weitergeleitet werden kann - das ist wichtig, damit Multi/Broadcasts nicht an die
falschen Ports weitergeleitet werden.
Anhand der Adreßtabelle hat der AP z.B. entschieden, daß das Paket an LAN-1 weiter
muß, und da LAN-1 auch 'Mitglied' dieses VLANs ist, ist das auch erlaubt. Tagging
ist auf LAN-1 aktiviert, und sofern das Paket nicht zum Port-VLAN des LAN-1
gehört, wird vor dem Senden ein Tag eingebaut. Wenn das Paket ein Broadcast
wäre und noch weitere Ports Mitglieder dieses VLANs wären, dann wäre das
Paket auf diesen Ports auch möglicherweise ohne VLAN-Tag weitergeleitet worden.
Umgekehrt, wenn ein auf ID 2 getaggtes Paket auf dem LAN hereinkommt, ist
das VLAN direkt klar, und beim Aussenden entscheidet sich anhand des 'Use Tagging'
Schalters, ob das Tag entfernt wird oder nicht.
Üblicherweise hat man entweder Trunking-Ports, d.h. Ports, die Mitglied in mehr als
einem VLAN sind, dann wird auf diesen natürlich Tagging benutzt, um die Pakete
zu kennzeichnen, oder sie sind nur Mitglied in einem VLAN, dann braucht man dort
kein Tagging (und die angeschlossenen Endgeräte verstehen es üblicherweise auch
nicht).
>da wie angedeutet, die vorhandenen Switche alle nix mit tagging anfangen können
Das müssen sie auch nicht. Ein VLAN-Tag wird zwischen dem Ethernet-Header und
der Payload eingebaut und das ganze Paket sieht für ein Gerät, das nichts von
VLAN weiß, wie ein gewöhnlicher Ethernet II-Frame aus , nur mit einem 'ungewöhnlichen'
Typ.
>(ich bin ja froh, das die alten Dinger getaggte Pakete nicht gleich verwerfen, wie ein paar
>"noName" 100MBit Switche mit Realtek Chipsatz).
Das Problem bei VLANs ist, daß durch das Tag die Pakete 4 Bytes länger werden, also
maximal 1522 Bytes statt 1518 Bytes (14 Bytes Header + 4 Bytes Tag + 1500 Byte
Payload + 4 Byte CRC). Manche älteren Switches oder Dual-Speed-Hubs wissen
davon nichts und verwerfen solche Pakete als zu lang.
>Naja jetzt wird halt alles aus WLAN-1 und LAN-1 ebenfalls mit einer ID (1) versehen,
Zumindest so wie Deine Konfiguration ist nein, weil das Port-VLAN von LAN-1
ja VLAN 1 ist. Pakete aus den 'Default-VLAN' eines Ports brauchen kein Tagging,
die Zuordnung ist da ja implizit.
Wichtig ist zu unterscheiden, daß intern im Gerät die Information über das VLAN
eines Pakets nichts damit zu tun hat, ob in dem Paket wirklich ein VLAN-Tag
drinsteht oder nicht. Das VLAN wird sozusagen im Switch als Attribut eines
Paketes mitgeführt, und erst bei Versenden entscheidet sich, ob ein Tag dazukommt
oder gelöscht wird.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
