schon wieder VLAN Gastzugang

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
alik
Beiträge: 3
Registriert: 25 Apr 2007, 13:29

schon wieder VLAN Gastzugang

Beitrag von alik »

Hallo Leute,

ich finde dieses Forum wirklich super und es ist auch wirklich verblüffend was alles mit diesenn kleinen Geräten alles möglich ist.

Ich habe mir nach viel suchen, lesen und probieren auch einen WLAN Gastzugang gebastelt, welcher auch fast richtig funktioniert :D

Ich habe irgendwo einen Fehler gemacht.

Hier also meine Konfiguration:

LAN-Seite: HP Procurve Switche

Default vlan mit der ID 1
der Port A22 (hier steckt der Lancom drin) ist tagged

vlan_gast mit der ID 800 Port A22 ist ebenfalls tagged, weiterhin ist hier noch der Port A1 als tagged eingetragen. Hier steckt meine Firewall drin, welche für die WLAN-Gäste die IP-Adressen verteilt und die Authentifizierung macht. (funktioniert soweit super)

Lancom-Seite

die Lancom Konfiguration habe ich in Screenshots festgehalten.


Zur Zeit habe ich folgendes:

- WLAN-GAST funktioniert perfekt. (WLAN Interface WLAN 1-2)
- WLAN für das normale LAN (WLAN Interface WLAN 1) funktioniert nicht
- Der Lancomrouter ist vom LAN aus nicht erreichbar, weder Ping noch etwas anderes

Was ich möchte ist:

dass zusätzlich das Gerät vom LAN erreichbar ist und das 2te WLAN Interface funktioniert.

Nach meinem Verständnis ist etwas an der Default VLAN Konfiguration falsch, da das GAST VLAN ja funktioniert. Leider sehe ich nicht was falsch.

Schon mal vielen herzlichen Dank
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Nach oben
eddia
Beiträge: 1239
Registriert: 15 Nov 2004, 09:30

Beitrag von eddia »

Hallo alik,
vlan_gast mit der ID 800 Port A22 ist ebenfalls tagged, weiterhin ist hier noch der Port A1 als tagged eingetragen. Hier steckt meine Firewall drin, welche für die WLAN-Gäste die IP-Adressen verteilt und die Authentifizierung macht. (funktioniert soweit super)
da Du von Gast-Zugang sprichst: Meinst Du einen gemeinsamen Internetzugang für Intranet und Gäste? Und über welches Gerät erfolgt der? Falls das diese Firewall ist, zu welchen VLANs gehört die Verbindung zwischen Lancom und Switch sowie Switch und Firewall? Und wie sieht die Portkonfiguration von WLAN-1 aus?

Gruß

Mario
Nach oben
alik
Beiträge: 3
Registriert: 25 Apr 2007, 13:29

Beitrag von alik »

Ich versuche es etwas besser zu beschreiben.

Der Lancom Router ist ans Firmenlan angeschlossen und steckt in einem getaggtem Port im Switch.
Die Internetverbindung wird über die Firewall hergestellt, sowohl für das LAN als auch für das VLAN - Gäste. (id 800)

1. Es soll über WLAN 1 möglich sein sich im Firmenlan zu bewegen. (Wie mit Kabel auch, nur mit WLAN) Jeder der bei uns im LAN ist kann auch ins Internet. Das WLAN 1 ist möglichst sicher konfiguriert. (WPA, versteckte SSID, sicheres Passwort usw.)
2. Mit WLAN 1-2 sollen Kunden und Besucher einen Internetzugang bekommen. Ich möchte die Kunden und Besucher deswegen nicht ins LAN lassen. Dieses WLAN ist offen, die Authetifizierung erfolgt über die Firewall und dem Besucher wird ein Inernetzugang für 30 min. gewährt. Dieser Punkt funtioniert bereits mit der von mir beschriebenen Konfiguration.

Was leider nicht funktioniert ist der 1. Punkt, wobei es nicht am WLAN liegt. Ich kann mich mit WLAN 1 verbinden, doch leider bekomme ich keine IP. (DHCP über DomänenController) Dies liegt daran, dass bei der vorhandenen Konfiguration auch der Lancomrouter per Kabel aus dem LAN nicht erreichbar ist.
zu welchen VLANs gehört die Verbindung zwischen Lancom und Switch sowie Switch und Firewall? Und wie sieht die Portkonfiguration von WLAN-1 aus?
Die Firewall steckt in dem gleichem Switch wo auch der Lancom steckt beide sind tagged. D.h auf dem Switch sind 2 Ports tagged die Firewall und der Lancom. Zum vlan mit der id 800 (gast vlan) göhrt die Firewall und der Lancom. Im default vlan id 1 steckt nur der Lancom. (sihe Anhang)
Sollte die Firewall vielleicht auch im default vlan getaggt werden?

Ich hoffe ich habe es verständlich beschrieben.

Vielen Dank
Alik
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Nach oben
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6207
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:
Kontaktdaten von alf29

Beitrag von alf29 »

Moin,

erwartet Dein Switch eventuell alle Pakete an Port A22 mit einem Tag? Wenn ja,
dann könnte das Dein Problem sein, denn in der jetzigen Einstellung ist das Port-VLAN
am LAN-Port des LANCOM 1 - damit werden alle Pakete, die dem VLAN 1 angehören
(also entweder Pakete vom/zum LANCOM selber oder Pakte von WLAN-1), am LAN-Port
ohne Tag ausgegeben. Das kannst Du ändern, indem Du das Port-VLAN des
LAN-Ports auf einen Wert setzt, der nicht in Deinem Aufbau vorkommt - also auf einen
Wert ungleich 1 und ungleich 800.

Gruß Alfred
Nach oben
alik
Beiträge: 3
Registriert: 25 Apr 2007, 13:29

Beitrag von alik »

Vielen Dank, genau das war es. Ich habe das Port-Vlan des LAN-Ports auf den Wert 2 gesetzt und schon geht alles wie gewünscht.
Leider verstehe ich nicht ganz warum das alles so ist aber das liegt vermutlich an dem mangelndem Wissen üver VLANs.

Danke
Nach oben
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6207
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:
Kontaktdaten von alf29

Beitrag von alf29 »

Moin,

ist eigentlich ganz einfach: Das Port-VLAN bestimmt, welchem VLAN
Pakete zugeschlagen werden sollen, die hereinkommen und kein Tag
besitzen. Das ist zum einem bei Ports der Fall, die überhaupt kein
Tagging benutzen (bei Dir z.B. die WLANs), zum anderen aber auch
bei Ports, auf denen potentiell ein Mischbetrieb aus getaggten und
ungetaggten Paketen bestehen kann. In letzterem Falle muß man ja
eine Regel haben, nach der ausgehende Pakete ein Tag bekommen oder
nicht, und das ist genau wieder das Port-VLAN - Pakete, die diesem
VLAN angehören, bekommen kein Tag, auch wenn Tagging für
diesen Port angeschaltet ist. In Deinem Fall gingen also Pakete für
VLAN 800 auf dem LAN getaggt heraus , für das VLAN 1 jedoch ungetaggt -
und die hat der Switch vermutlich verworfen...

Man könnte argumentieren, daß Du mit dem Nicht-Weiterleiten
ungetaggter Pakete diesen Mischbetrieb auf dem LAN explizit ausgeschlossen
hast. Das wäre noch eine sinnvolle Änderung für zukünftige
LCOS-Versionen.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Nach oben
eddia
Beiträge: 1239
Registriert: 15 Nov 2004, 09:30

Beitrag von eddia »

Hallo alik,

wenn es jetzt funktioniert - gut. Aber...
Die Firewall steckt in dem gleichem Switch wo auch der Lancom steckt beide sind tagged. D.h auf dem Switch sind 2 Ports tagged die Firewall und der Lancom. Zum vlan mit der id 800 (gast vlan) göhrt die Firewall und der Lancom. Im default vlan id 1 steckt nur der Lancom.
...es ist erstaunlich, dass Du bei dieser VLAN Konfiguration am Switch überhaupt eine Verbindung aus dem LAN bzw. WLAN-1 zur Firewall bekommst. Denn der Port A1 gehört ja nur zum VLAN 800.

Aber vielleicht habe ich gerade einen Knoten im Gehirn. :?

Gruß

Mario
Nach oben
IT-Wolf
Beiträge: 11
Registriert: 08 Aug 2012, 14:38

Beitrag von IT-Wolf »

alik hat geschrieben:Vielen Dank, genau das war es. Ich habe das Port-Vlan des LAN-Ports auf den Wert 2 gesetzt und schon geht alles wie gewünscht.
Leider verstehe ich nicht ganz warum das alles so ist aber das liegt vermutlich an dem mangelndem Wissen üver VLANs.

Danke
Wo hast du den VLan Port geändert?
Also bei welchen Einstellungen? Weil da hänge ich auch.
Nach oben
Antworten

Zurück zu „LANCOM Wireless aktuelle Accesspoints“