VLAN Tagging für Gast W-LAN prinzipiell so möglich??

1711+ · Beitrag von **1711+** » 02 Sep 2010, 01:59

Hallo,

gleich vorweg.. in Sachen VLAN fehlts mir noch gehörig an Praxis.

Hardware:
Lancom 1711+ Firmware-8.00
Lancom L321agn Firmware-8.00
2x unmanaged Gigabit Switch

Ausgangssitiuation wie folgt (lacht nicht über die Skizze, war ne Menge Arbeit

):

>Lancom-1711+<
|
|
>Switch/kein-VLAN<---->div.-Rechner<
|
|
>Switch/kein-VLAN<---->div.-Rechner<
|
|
>Lancom-L321agn<---->SSID-Intern<
|
|
>SSID-Gäste<

Gewünscht wären nun 2 VLAN's.
VLAN 1 das Intranet mit der SSID Intern und ein Gästenetz von dem aus man nur via SSID Gast ins Internet und sonst nirgends hin gelangt.

Nun die Frage die mich vollends verwirrt. Kann ich das mit meinen Gerätschaften so überhaupt verwirklichen? Oder benötige ich dazu mindestens einen VLAN Switch?

Die VLAN Tabelle am 1711+ hätte ich wie folgt konfiguriert:

Intranet VLAN-1 LAN-1
Gast VLAN-2 LAN-1

Die Porttabelle am 1711+:

LAN-1 Modus-Gemischt andere VLANs erlauben ja Port-Tag-1

Die VLAN Tabelle am L321agn:

Intranet VLAN-1 LAN-1,WLAN-1
Gast VLAN-2 LAN-1,WLAN-1-2

Die Porttabelle am L321agn:

LAN-1 Modus-Gemischt andere VLANs erlauben ja Port-Tag-1
WLAN-1 Modus-Niemals andere VLANs erlauben nein Port-Tag-1
WLAN-1-2 Modus-Niemals andere VLANs erlauben nein Port-Tag-2

Und offen gestanden blicke ich kein bisschen durch ob ich es so erreiche das Gäste WLAN vom Internem Netz und dem Internem WLAN abzuschotten, so dass nur Internet Zugriff möglich ist. Außerdem sollte man auch nicht von Intern aufs Gäste WLAN kommen.

Geht das ohne einen VLAN Switch? Die internen Rechner senden ja ohne Tag rum..

Wenn jemand Zeit/Lust hat wäre ich um Hilfe sehr dankbar.

MfG

1711+

Jirka · Beitrag von **Jirka** » 02 Sep 2010, 12:01

1711+ hat geschrieben:Nun die Frage die mich vollends verwirrt. Kann ich das mit meinen Gerätschaften so überhaupt verwirklichen?

Ja.

1711+ hat geschrieben:Oder benötige ich dazu mindestens einen VLAN Switch?

Nein. (Im Normalfall nein.)

1711+ hat geschrieben:Die VLAN Tabelle am 1711+ hätte ich wie folgt konfiguriert:

Das VLAN-Modul kann unter diesen Umständen im 1711+ aus bleiben.

1711+ hat geschrieben:Die VLAN Tabelle am L321agn:

Intranet VLAN-1 LAN-1,WLAN-1
Gast VLAN-2 LAN-1,WLAN-1-2

Korrekt.

1711+ hat geschrieben:Die Porttabelle am L321agn:

LAN-1 Modus-Gemischt andere VLANs erlauben ja Port-Tag-1
WLAN-1 Modus-Niemals andere VLANs erlauben nein Port-Tag-1
WLAN-1-2 Modus-Niemals andere VLANs erlauben nein Port-Tag-2

Bei LAN-1 kann 'Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören' auch deaktiviert werden.

1711+ hat geschrieben:Und offen gestanden blicke ich kein bisschen durch ob ich es so erreiche das Gäste WLAN vom Internem Netz und dem Internem WLAN abzuschotten, so dass nur Internet Zugriff möglich ist.

Ja, das erreichst Du damit.

1711+ hat geschrieben:Außerdem sollte man auch nicht von Intern aufs Gäste WLAN kommen.

Ja, das tut man auch nicht.

So, am 1711+ müssen nun natürlich noch die beiden Netze konfiguriert sein unter TCP/IP -> Allgemein -> IP-Netzwerke:
Intranet mit VLAN-ID 0 und Schnittstellen-Tag 1
Gaeste mit VLAN-ID 2 und Schnittstellen-Tag 2

Wenn ich jetzt nichts übersehen habe, sollte damit alles funktionieren wie gewünscht. Ein Test schafft natürlich Gewissheit.

Viele Grüße,
Jirka

1711+ · Beitrag von **1711+** » 02 Sep 2010, 15:23

Danke Jirka!!

Deine Erklärung war echt super! Dass ich das VLAN Modul nicht brauche war mir so nicht klar. Aber hab mir das jetzt erstmal zu Gemüte geführt und hab jetzt auch gerafft wieso das so funzt.

Habs mittlerweile konfiguriert, funzte auf Anhieb 1a!

Super deine Hilfe sonst wäre das ein längeres Prozedere geworden.^^

Immer wieder ne Freude diese Lancom Dinger, einfach super!

Jetzt ist nur eine neue Frage aufgetaucht. Benutze zur Authentifizierung 802.11x über den integrierten RADIUS mit EAP-TTLS. Wie konfiguriere ich denn nun dass sich ein Benutzer auch wirklich nur in das vorgesehene WLAN einbuchen kann? Beispiel: Benutzer Gast nur in VLAN 2? Mache ich das über das Feld VLAN ID beim Benutzer Gast in der Benutzerliste des RADIUS vom L321? Oder geht das garnicht?

Schönen Nachmittag!

1711+

SunSeb · Beitrag von **SunSeb** » 02 Sep 2010, 18:48

Hallo zusammen,

Dass ich das VLAN Modul nicht brauche war mir so nicht klar. Aber hab mir das jetzt erstmal zu Gemüte geführt und hab jetzt auch gerafft wieso das so funzt.

Das finde ich sehr interessant, habe es aber noch nicht so ganz verstanden - könnte einer von euch beiden das noch einmal kurz erläutern.

Danke und schönen Abend,
SEBastian

backslash · Beitrag von **backslash** » 02 Sep 2010, 20:51

Hi SunSeb,

das VLAN-Modul wird nur gebraucht, wenn die VLAN-Filterung aktiv sein soll. Das wird hier in den APs benötigt, um die einzelnen SSIDs an die VLANs zu binden. Im 1711 hingegen ist es nicht nötig, weil die Separierung schon erfolgt ist. Hier müssen nur passende VLAN-Tags an die ARF-Netze gesetzt werden:

Das ungetaggte Intranet wird einen ARF-Netz mit VLAN-ID 0 zugewiesen.
Das getaggte Gast-Netz einem passend mit 2 getaggten ARF-Netz.

Es schadet aber auch nicht das VLAN-Modul auf dem 1711 einzuschalten - solange man alles auch korrekt konfiguriert. Hierbei ist vor allem das ARF-Netz für das Intranet zu beachten, denn dieses kann dann nicht mehr in VLAN 0 verbleiben, sondern muß ins VLAN 1 wandern...

Gruß
Backslash

1711+ · Beitrag von **1711+** » 03 Sep 2010, 01:46

Das hieße am 1711+ dann:

1. Ich trage unter TCP/IP>Netzwerke>Inttanet VLAN 1 ein.

2. Ich aktiviere das VLAN Modul.

3. Ich lösche in der VLAN Tabelle den Eintrag und erstelle Intranet mit LAN-1 und Gast mit LAN-1.

4. Ich trage in der VLAN Porttabelle bei LAN-1 als Modus Gemischt ein, entferne den Haken andere VLANS auf diesem Port erlauben >Nein< (hier bin ich mir unsicher??) und trage als Port VLAN die 1 ein.

Stimmt das so?

Wenn ja noch 2 weitere Fragen:

- Welche Lösung ist besser/sicherer/sauberer? Auf dem 1711+ VLAN aktivieren oder nicht?

- Weiß noch wer eine Lösung wie ich am integrierten RADIUS, welcher für beide SSID's zuständig sein soll, definiere dass sich z.B. der User Gast nur ins WLAN Gast einloggen kann? Mach ich das über den Eintrag VLAN-ID in der Benutzertabelle beim jeweiligen Benutzer?

MfG

1711+

Jirka · Beitrag von **Jirka** » 03 Sep 2010, 10:46

1711+ hat geschrieben:Das hieße am 1711+ dann:

1. Ich trage unter TCP/IP>Netzwerke>Intranet VLAN 1 ein.

2. Ich aktiviere das VLAN Modul.

3. Ich lösche in der VLAN Tabelle den Eintrag und erstelle Intranet mit LAN-1 und Gast mit LAN-1.

Mit Angabe der entsprechenden VLAN-ID versteht sich.

1711+ hat geschrieben:4. Ich trage in der VLAN Porttabelle bei LAN-1 als Modus Gemischt ein, entferne den Haken andere VLANS auf diesem Port erlauben >Nein< (hier bin ich mir unsicher??) und trage als Port VLAN die 1 ein.

Das 'Auf diesem Port Pakete erlauben, die zu anderen VLANs gehören' kann aus. Das wird für andere Sachen benötigt. Ich will es mal zum leichteren Verständnis versuchen so auszudrücken, wie es gemeint ist: Auf diesem Port Pakete erlauben, die zu VLANs gehören, bei denen dieser Port laut VLAN-Tabelle nicht Mitglied ist. Das ist halt sinnvoll, wenn es Admins gibt, die mitkriegen wollen, was für andere VLANs Leute so benutzen wollen...

1711+ hat geschrieben:Stimmt das so?

Ja.

1711+ hat geschrieben:- Welche Lösung ist besser/sicherer/sauberer? Auf dem 1711+ VLAN aktivieren oder nicht?

Besser: Na nicht aktivieren, habe ich doch schon geschrieben.
Sicherer: Beides gleich gut.
Sauberer: Es gibt Leute, die wollen zu Testzwecken gerne mal ein ETH-Port am 1711+ einem anderen VLAN zuordnen, hier zum Beispiel dem Gast-Netz. Das macht sich natürlich einfacher, wenn der VLAN-Betrieb schon aktiviert ist. Aber ansonsten ist ein ausgeschaltetes VLAN-Modul eine genauso saubere Konfiguration wie ein eingeschaltetes Modul. Nur wozu einschalten, wenn nicht benötigt. Ich meine die VLAN-Tabelle und die Port-Tabelle kannst Du ja trotzdem konfigurieren, wenn Du dann mal irgendwann einschalten willst, dann brauchst Du eben nur einschalten und die VLAN-ID vom Intranet in den IP-Netzwerken anpassen (zeitgleich versteht sich). Das Einschalten des VLAN-Moduls aktiviert im Wesentlichen nur die Ingress/Egress-Filter, die einkommenden Paketen ein VLAN zuweisen und ausgehende Pakete mit einem VLAN-Tag versehen oder eben nicht.

1711+ hat geschrieben:- Weiß noch wer eine Lösung wie ich am integrierten RADIUS, welcher für beide SSID's zuständig sein soll, definiere dass sich z.B. der User Gast nur ins WLAN Gast einloggen kann? Mach ich das über den Eintrag VLAN-ID in der Benutzertabelle beim jeweiligen Benutzer?

Sollte so ein Gast-Netz nicht im Normalfall leichter zugänglich sein? (ohne Verschlüsselung?)
Ansonsten ja, trage da die entsprechende VLAN-ID ein.

Viele Grüße,
Jirka

1711+ · Beitrag von **1711+** » 03 Sep 2010, 17:16

OK, ich glaub jetzt hab ich es gerafft. Da ich in der Tat noch paar Sachen mit VLAN testen will werde ich es am 1711+ erstmal aktiviert lassen zum rumspielen.

Das mit dem RADIUS und VLAN fürs Gast WLAN werde ich gleich testen. Das Gast WLAN ist nicht wirklich für Gäste, eher für Clients welche einfach nur ins Internet sollen und sonst nirgends hin. Ansonsten würde ich auch eher zu Public Spot tendieren.

Nur leider hab ich jetzt erstmal mit einem kleinem/großen VPN Problem zu kämpfen. Wer mag kann ja mal nachlesen um VPN Unterforum.

Danke @backslash und jirka!

Gruß

1711+

Jirka · Beitrag von **Jirka** » 03 Sep 2010, 17:25

Hi,

ich habe mir die Benutzerkonten-Tabelle noch mal angeschaut: Unter LANconfig findest Du in der Benutzerkonten-Tabelle das Feld Gerufene Station, wo Du den Benutzer auf eine SSID festnageln kannst, indem Du auf *:SSID filtern kannst, wobei 'SSID' in diesem Beispiel der Netzwerk-Name (SSID) eines logischen WLAN-Netzwerkes ist.

Viele Grüße,
Jirka

1711+ · Beitrag von **1711+** » 03 Sep 2010, 17:49

Super Danke! Werd ich dann mal so einrichten.

Na dann mal auf die VPN Sache stürzen

Schönen Abend Jirka!

1711+

LANCOM-Forum.de

VLAN Tagging für Gast W-LAN prinzipiell so möglich??

VLAN Tagging für Gast W-LAN prinzipiell so möglich??

Re: VLAN Tagging für Gast W-LAN prinzipiell so möglich??