R1202 als WLC für W1002N mit Multi-SSID (VLAN) in bestehendem Netz

Dieses Thema im Forum "Bintec" wurde erstellt von flotitt, 29. November 2015.

  1. flotitt

    flotitt Starter

    Registriert seit:
    29. November 2015
    Beiträge:
    9
    Punkte für Erfolge:
    1
    Ich tüftle jetzt schon eine ganze Weile erfolglos an einem (aus meiner Sicht) absoluten Standard-Setting. Ziel ist:

    1. Integration eines R1202 in ein bestehendes Netz (Windows Server mit DHCP / DNS sowie Gateway vorhanden).
    2. Einsatzzweck als WLAN Controller (Auto-Konfiguration mehrerer W1002N) und Router / Firewall für Bereitstellung einer Multi-SSID-Umgebung, darunter ein WLAN "Gastnetz" (vss-2) mit bintec Hot Spot Lösung (nur Internet) sowie einem WLAN-Zugang zum bestehenden Netz (vss-1)
      [/list=1]

      Managementnetz ist 192.168.2.0/24 mit default VLAN(1), PoE und VLAN laufen über über einen S1224P. Gateway ist ein AVM 5188 an an einem weiteren Switch (untagged) mit 192.168.2.1.

      Gastnetz soll 192.168.11.0/24 mit VLAN2 werden

      Auf dem R1202 sind alle Ports als eigene Schnittstellen definiert (1=en1-0 bis 5=en1-4).

      Die PoE-Ports 2 bis X des S1224P, an denen die APs jeweils mit ETH1 hängen sowie die Verbindung zum R1202 (Port 25 > en1-1) sind auf dem Switch jeweils für VLAN1 untagged und für VLAN2 getagged. An en1-0 des R1202 hängt der Uplink zum bestehenden Switch und damit zum Gateway.

      Der WLAN-Controller auf dem R1202 funktioniert prinzipiell, d.h. die W1002N tauchen als Slave-AP (IPs über existierenden DHCP im Management-Netz) auf und die beiden SSIDs werden inkl. VLANs (vss-1 ohne VLAN und vss-2 mit VLAN2) über den Wizard korrekt eingerichtet.

      Auf dem R1202 ist ein DHCP-Bereich für das Gastnetz 192.168.11.0/24 eingerichtet. Standard-Route zum Gateway 192.168.2.1 existiert für beide Netze.

      Ich habe als Konfiguration sowohl ein Setting mit br0 bestehend aus en1-0 und en1-1 und entsprechender VLAN-Konfiguration als auch ein reines Routing-Setting mit virtuellen Interfaces in den einzelnen VLANs versucht, bekomme es in keinem der Szenarien gleichzeitig hin, dass:
      • WLAN-Zugriffe über vss-1 auf den bestehenden DHCP des Netzes laufen und die über vss-2 auf den des R1202.
      • Nur Internetzugriff über vss-2 möglich ist, d.h. außer dem Gateway ausgehend aus VLAN2 nichts nach VLAN1 geroutet wird.
      • Sichergestellt ist, dass der WLAN-Controller die APs für den Konfigurationszugriff über das Verwaltungsnetz kontinuierlich erreichen kann.
        [/list=a]

        Hier im Forum habe ich u.a. http://www.router-forum.de/board-bi...-bestehendes-netz-einbinden-62875-page-1.html sowie http://www.router-forum.de/board-bi...cations/thread-rs232jw-vlan-63212-page-3.html gefunden, bin aber auch mit den Hinweisen dort nicht zum Ziel gekommen.

        Ich habe derartige Szenarien in der Vergangenheit immer über eine VM mit mehreren VLAN-basierten NICs und pfSense gelöst und dort bisher keine Probleme gehabt, aber für den R1202 (der wegen der WLAN-Controller-Funktionalität benötigt wird) komme ich nicht ganz zurecht.

        Kann mir hier jemand, der schon mal ein ähnliches Setting konfiguriert hat, vielleicht einen Denkanstoß geben, wir ihr dieses Setting abdecken würdet? Für eine kurze Hilfestellung wäre ich auf jeden Fall sehr dankbar!
     
  2. flotitt

    flotitt Starter

    Registriert seit:
    29. November 2015
    Beiträge:
    9
    Punkte für Erfolge:
    1
    Vielleicht noch ein Nachtrag: Im Bridge-Modus komme ich dem Ziel schon recht nahe und zwar mit folgender Konfiguration auf dem R1202:

    en1-0 + en1-1 > br0 mit 192.168.2.248 und 192.168.11.254
    VLAN1 an en1-0 und en1-1 jeweils untagged, VLAN2 an en1-1 tagged
    DNS-Eintrag für externen DNS und Gateway
    DHCP-Server an br0 für 192.168.11.1-253
    Standard-Route über externen Gateway 192.168.2.1

    Hier funktioniert der WLAN-Controller, die DHCP-Vergabe entsprechend SSID und der Zugriff auf das Verwaltungsnetz, nicht aber der Zugriff auf das Internet bzw. den Gateway über das Gastnetz.

    Zum identischen Ergebnis komme ich mit getrennten virtuellen en1-1-0 (VLAN1) und en1-1-1 (VLAN2) statt der Bridge.

    Problem ist, dass ich keinen Weg gefunden habe, die Pakete von 192.168.11.0/24 an 192.168.2.0/24 im R1202 zu untaggen (da der AVM 5188 als existierender Gateway kein VLAN kann) ohne dabei gleichzeitig den externen DHCP ins Gastnetz "durchzulassen". Das Hinzufügen von en1-0 zu VLAN2 als untagged scheitert also wg. dem externen DHCP.

    Ich habe das Gefühl, ich denke hier auch inzwischen viel zu kompliziert ... das muss doch alles viel einfacher gehen ... Hüüüüllllfeeeeeeee :confused:
     
  3. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    505
    Punkte für Erfolge:
    16
    Hallo,

    leider habe ich ein Verständnisproblem bei deinem Thema. denn mit Multi-SSID (VLAN) arbeite ich auch.

    Eine Besonderheit / Einschränkungen gibt es bei bintec für das Interface auf dem der WLC läuft.

    http://faq.bintec-elmeg.com/faq_wlan_20_wlc_hints_01_de,115145,194.html

    Somit sind eigentlich nur Geräte betroffen, bei denen WLAN im Router eingebaut sind, oder wo ein AP gleichzeitig als WLC läuft.
     
  4. flotitt

    flotitt Starter

    Registriert seit:
    29. November 2015
    Beiträge:
    9
    Punkte für Erfolge:
    1
    Danke für den Hinweis, darüber war ich im Vorfeld auch schon gestolpert. Nachdem der WLC (nur) auf dem R1202 läuft, sollte die Problematik ja - wie du schreibst - eigentlich nicht auftreten.

    Mir scheint eher, als würde es, dadurch das VLAN1 bei bintec auf den APs (gezwungenermaßen) untagged ist auf dem Router ein Problem mit der VLAN-Zuordnung geben. Im Prinzip würde es ja reichen, wenn der R1202 untagged (ausgehend) auf dem default VLAN mit den W1002N sprechen könnte, damit der WLC läuft. Gleichzeitig müsste sichergestellt werden, dass der eingehende Traffic aus den zwei SSIDs entweder direkt durchgelassen oder bei VLAN2 so geroutet wird, dass das VLAN-Flag verworfen wird, aber nur noch der Gateway 192.168.2.1 erreichbar ist. Aber auch dafür muss es doch einen "besseren" Weg geben, ohne eine Schleife zu bauen.

    Nochmal zur Verdeutlichung, die Strecke zwischen Client und Gateway:

    Client (SSID1 oder SSID2) > W1002N > VLAN1 oder VLAN2 > S1224P > VLAN1 oder VLAN2 > R1202 > VLAN ? > externer Switch (hier hängt u.a. der existierende DNS und DHCP im default VLAN) > Gateway
     
  5. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.499
    Punkte für Erfolge:
    68
    Hi,

    willkommen im Forum.

    Mir ist leider dein Aufbau noch immer nicht klar. Kannst du nicht mal ein Bild malen, dass die Interface-Belegung beim bintec zeigt, VLAN Konfiguration und Subnetze?

    Was ich zu verstehen glaube, ist, dass du einen Default-Gateway im 192.168.2.0/24 Subnetz aus beiden Subnetzen benutzen, aber gleichzeitig den Zugriff vom 192.168.11.0/24 Subnetz auf "den Rest von 192.168.2.0/24" blockieren willst?!? Das wäre keine schöne Idee, denn das geht nur "von hinten durch die Brust ins Auge": Per Firewall-Regel den Netzwerk-Verkehr für das Subnetz 192.168.11.0/24 mit Ziel "Gateway" erlauben, dahinter eine Regel die den Rest des Verkehrs vom ".11.x" nach ".2.x" verbietet.

    Ich verstehe auch nicht, wo du eigentlich ein Tagging Problem siehst?

    VG
     
  6. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    505
    Punkte für Erfolge:
    16
    VLAN1 ist normalerweise immer untagged. Die SSID1 muss ja nicht als VLAN1 laufen. Ich kann unabhängig vom WLC bei der SSID ein beliebiges VLAN nehmen, es muss nur tagged beim Access Point ankommen.
    Damit das klappt, nimmst du eines der LAN - Interfaces auf dem Router und lässt es im Routingmodus laufen.
    Und auf diesem kannst du dann noch weitere virtuelle Interfaces mit VLAN hinzufügen.
     
  7. flotitt

    flotitt Starter

    Registriert seit:
    29. November 2015
    Beiträge:
    9
    Punkte für Erfolge:
    1
    Danke für eure schnellen Antworten. Bevor ich zum Malen anfange ...

    Das heißt, du würdest den R1202 untagged an einem der Interfaces mit statischer IP ins Management-Netz einhängen, die IPs der APs ebenfalls aus diesem Netz nehmen, dann aber beide SSIDs mit VLANs != 1 taggen und per DHCP des R1202 an jeweils einem VNIC über ein anderes Interface in eigene Subnetze packen. Anschließend Routing der beiden Subnetze / VLANs vom einem Interface des R1202 zum Management-VLAN (untagged) am anderen Interface des R1202 und dort bei Paketen aus dem Gastnetz per Firewall nur die in Richtung Gateway durchlassen?
     
  8. Kalle2013

    Kalle2013 Freak

    Registriert seit:
    19. Mai 2013
    Beiträge:
    505
    Punkte für Erfolge:
    16
    Richtig, wobei der wichtigste Punkt ist, das du auf dem R1202 keine Bridge konfigurierst, sondern wenn nötig
    nur switch (z.B. 2 Anschlüsse als en1-1) und über LAN -> IP-Konfiguration -> Schnittstellen -> NEU die VLANs hinzufügst.
    Bei der SSID im WLC gibst du dann die gewünschte VLAN-ID an und legst beim DHCP Server dafür einen Pool an.
    Die Trennung der Netze wird dann in der R1202 über die Firewall geregelt.
     
  9. maba77

    maba77 Starter

    Registriert seit:
    28. April 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Hallo zusammen,
    ich muss das nochmals aufgreifen:
    Konstellation: Bintec R1202 (aktuelle FW) als WLC in bestehendem Netz. DHCP macht der DC, Option 138 ist konfiguriert, das läuft.

    Die IP des R1202 ist 192.168.120.220, das Gateway ist 192.168.120.1. Jetzt möchte ich zum "normalen WLAN" lediglich ein oder zwei Gastnetzwerke haben. Dazu habe ich unter LAN-IP-Konfiguration-neu, basierend auf meiner Schnittstelle 1-0 eine zusätzliche Schnittstelle mit VLAN-ID 20 (vertrauenswürdig) und der IP 192.168.180.1 hinzugefügt.
    Das habe ich im WLAN-Controller hinterlegt und für das 180er-Netz noch einen DHCP im Bintec hinterlegt. Das funktioniert soweit.
    Aber: wie stelle ich das Routing ein, damit ich aus dem 180er Netz in das 120er komme? Bei der IP des R1202 (192.168.120.220) ist Schluss...
    VG
     
  10. maba77

    maba77 Starter

    Registriert seit:
    28. April 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Hi nochmals,
    glaube langsam der R1202 ist defekt. Ich hab das Teil zurückgesetzt und alles so einfach wie möglich gehalten:
    R1202 mit IP 192.168.120.220 versehen und GW 192.168.120.1 eingetragen.
    Schnittstellen ETH1-4 sind in en1-0 zusammengefasst. Daraus habe ich eine Bridge "br0" erzeugt und daraus wiederum br0-1 (VLAN 2). Den WLC eingerichtet, DHCP für das Gäste-WLAN scharf gemacht und nur einen einzigen AP (WI1003N) direkt an den R1202 gehängt.
    Alles funktioniert, nur routet der R1202 nicht von einem Netz ins andere und somit auch nicht aus dem Gäste-WLAN ins Internet. Wenn ich alles richtig verstanden habe, müsste das aber so funktionieren. FW ist aus...
    Das ist echt frustrierend gerade :-(
     

    Anhänge:

  11. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.499
    Punkte für Erfolge:
    68
    Hi,

    willkommen im Forum.
    Was meinst du damit? Bekommen Clients im VLAN#2 eine IP-Konfiguration zugewiesen im 192.168.170.0/24? Ist dafür ein DHCP-Scope im R1202 definiert? Welchen Standard-Gateway bekommen Client im Gastnetz?

    VG
     
  12. maba77

    maba77 Starter

    Registriert seit:
    28. April 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Hallo CapFloor,
    danke für deine Begrüßung und Antwort.

    Genau, die Clients im Gastnetz bekommen bekommen eine IP 192.168.170.x. Als Standard-Gateway die IP 192.168.170.1

    VG
     
  13. maba77

    maba77 Starter

    Registriert seit:
    28. April 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Hallo nochmals,

    glaube Bintec und ich sprechen nicht die gleiche Sprache, ich bekomme das zumindest nicht zum laufen. Hat jemand eine Idee was ich konkret falsch mache?

    VG
     
  14. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.499
    Punkte für Erfolge:
    68
    Hi,

    der Gateway für den Internet-Zugang kennt das 192.168.170.0/24 Netzwerk? Ansonsten eine Route im Gateway für dieses Subnetz eintragen, die auf den bintec zeigt.

    VG
     
  15. maba77

    maba77 Starter

    Registriert seit:
    28. April 2018
    Beiträge:
    5
    Punkte für Erfolge:
    1
    Ach Du Schande, ich versinke gerade im Boden vor Scham...
    Danke!