VLAN mit Netgear Access Point WNDAP360

Dieses Thema im Forum "Netgear" wurde erstellt von king_of_drums, 22. Februar 2017.

  1. king_of_drums

    king_of_drums Starter

    Registriert seit:
    22. Februar 2017
    Beiträge:
    8
    Punkte für Erfolge:
    0
    Hallo,

    ich bin mir nicht sicher, ob mein Beitrag hier richtig ist. Allerdings habe ich kein anderes zutreffendes Forum gefunden. Deshalb probiere ich es mal hier.

    Und zwar möchte mit dem Netgear Access Point WNDAP360 zwei Netzwerke mit je einer VLAN ID einrichten. Dazu habe ich zuerst in der AP Konfiguration unter WIRELESS eine SSID für 2,4GHz und eine SSID für 5Ghz eingerichtet.

    Anschließend habe ich unter Security je zwei Profile (Consumer mit VLAN ID 1001 und Gast mit VLAN ID 1000) eingerichtet. Also sowohl für 802.11ng (2,4GHz) und 802.11na (5GHz) eingerichtet.

    Der AP ist an dem Netgear Switch GS108E an Port 5 angeschlossen. Von Port 2 geht es dann an einen LTE Router (Speedport LTE). Bei beiden Ports habe ich die beiden VLAN IDs (1000 und 1001) den beiden Port zugeordnet und beide auf Tagged (T) eingestellt.

    Im Router kann man auf der Seite Configuration -> System -> Advanced -> General unter dem Punkt 802.1 Q VLAN noch was einstellen. So kann man zum Beispiel "Untagged VLAN" deaktivieren. Oder aber eine andere VLAN ID? einstellen.
    Der Defaulteintrag ist hier 1.

    Leider bekomme ich nun zum Beispiel keine Internetverbindung hin. Dem Laptop wird nicht einmal eine IP-Adresse über DHCP zugewiesen. Der DHCP ist auf dem LTE Router eingerichtet.

    Was muss ich noch ändern / einstellen, damit ich nun mit meinem Laptop sowohl ins Internet komme (über VLAN ID 1000) als auch in mein Netzwerk komme (VLAN ID 1001).

    Wäre super, wenn mir hier jemand einen Tipp geben könnte, um mein Problem zu lösen.
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.247
    Punkte für Erfolge:
    38
    Hi,

    willkommen im Forum.

    Die Konfiguration, die du am AP und am Switch durchgeführt hat, scheint mir korrekt zu sein.

    Allerdings fehlt dem eingesetzten Router eine ausreichende VLAN Fähigkeit an seinen LAN-Ports. Die Konfig des LAN-Ports des Router, der die Verbindung zum Switch herstellt, würde logisch genauso aussehen wie die der beiden VLAN Trunk-Ports im Switch: Beide VLANs werden getaggt übertragen. Schon das läßt sich bei deinem Router nicht einstellen.

    Hinzukommt, dass beiden VLANs (Layer 2) im Router jeweils ein Subnetz (Layer 3) zugeordnet werden muss, z.B. VLAN 1000 das Subnetz 192.168.1.0/24 und VLAN 1001 Subnetz 192.168.2.0/24. In diesen beiden Subnetzen müsste dann ein DHCP-Server die IP-Adresse für die Client in den entsprechenden VLANs/Subnetzen vergeben. Diese Fähigkeit hat der Speedport LTE leider auch nicht.

    Um das Problem zu lösen, muss ein anderer Router zum Einsatz kommen, der entweder den Speedport LTE ablöst oder zwischen Switch und Speedport LTE die DHCP-Server Funktion übernimmt.

    Router, die das können, gibt es von Mikrotik oder bintec oder LANCOM und beginnen preislich so bei 100 Euro.

    VG
     
  3. king_of_drums

    king_of_drums Starter

    Registriert seit:
    22. Februar 2017
    Beiträge:
    8
    Punkte für Erfolge:
    0
    Hallo CapFloor,

    vielen Dank für deine ausführliche Antwort. Ich hatte immer gedacht, das der Router die VLAN Tags entfernt. Oder kann man nicht auch einen Switch so konfigurieren, dass diese von allen Datenpaketen zum Router die VLAN ID entfernt?

    Interessant für mich wäre dann die Lösung, einen Router zwischen Speedport und Switch. Könntest du mir einen preisgünstigen empfehlen? Bin mir auch nicht ganz sicher, welcher Router dann auch der richtige wäre. Vielleicht kannst du mir 2-3 Typen nennen.

    Schonmal Vielen Dank dafür.
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.247
    Punkte für Erfolge:
    38
    Hi,
    Das kann man natürlich so konfigurieren. Dann kann der Router allerdings nicht mehr zwischen den VLANs unterscheiden und - wichtig! - kann für die beiden VLANs / Subnetze keine eigenen DHCP-Server (DHCP-Scopes) zur Verfügung stellen. Damit wären die beiden auf Layer 2 getrennten Netze (per VLAN-Tag) auf Layer 3 (IP-Ebene) nicht mehr getrennt.

    Zwischen Switch und LTE-Router sollte ein Durchsatz von 50MBit/s ausreichen, denke ich. Dann reicht in meinen Augen ein kleiner - Mikrotik hEX lite - für 45-50 Euro.

    Es ginge auch ein älteres bintec Gerät, z.B. ein bintec rs120, den es mit etwas Glück gebraucht auf ebay auch schon für 60 Euro geben kann.

    VG
     
  5. king_of_drums

    king_of_drums Starter

    Registriert seit:
    22. Februar 2017
    Beiträge:
    8
    Punkte für Erfolge:
    0
    Hallo CapFloor,

    ich habe mir nun endlich günstig einen bintec Router bei ebay gekauft. Diesen habe ich nun auch mal in einer Versuchsumgebung aufgebaut.

    Ich habe im Router nun zwei drei VLAN eingerichtet. Sowie zwei DHCP Server. Die IP-Adressenvergabe über den DHCP funktioniert schon.

    Was ich nun aber nicht schaffe ist, von einem VLAN auf das andere zu kommen. Und das benötige ich leider.
    So wie ich das verstanden habe muss ich nun Routen zwischen diesen beiden VLAN Netzwerken erstellen. Leider habe ich aber überhaupt keinen Plan, wie ich diese einstellen soll. Über google habe ich leider auch noch nicht das passende gefunden.

    Die VLAN's habe ich alle unter LAN-> IP-Konfiguration angelegt. Dort habe ich dann alle VLAN auf die selbe Schnittstelle gelegt (en1-0). Ist das überhaupt richtig? So wie ich das verstanden habe sollte das passen. Ich möchte ja auch nur ein LAN Kabel vom Router zum Switch ziehen. Muss ich den TRunK noch irgendwie dann extra konfigurieren?

    Die AP's sind nun alle direkt auf den Router gelegt.

    Ich bin hier für jede Hilfe / Tipp dankbar.
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.247
    Punkte für Erfolge:
    38
    Hi,
    Welches Modell ist es denn geworden?
    In beiden VLANs?
    Ein bisschen exakter: Es werden Routen zwischen den beiden Subnetzen, die du im Router den beiden VLANs zugeordnet hast, benötigt. DIE werden vom Router allerdings schon bei der Konfiguration der virtuellen Interfaces im LAN-Menü bei Einrichten der VLANs angelegt. Poste bitte die Konfiguration der VLANs aus dem LAN-Menü.
    Wenn die Subnetze richtg definiert sind, dann geschieht das Sperren oder Freigeben von Netzwerk-Verkehr zwischen den Subnetzen in der Firewall. Wie die allerdings konfiguriert wird, hängt vom verwendeten Routermodell ab. Hast du an der Firewall schon irgendwelche Einstellungen vorgenommen?
    Ja (en1-0 befindet sich im "Routing-Modus"?), du solltest dann neben en1-0 auch ein "en1-0-1" Interface für das zweite VLAN sehen.
    Wenn du die VLANs über die beschriebene Methode konfiguriert hast, dann ist die physikalische Schnittstelle eth1 ein VLAN-Trunk: Es werden nur VLAN-getaggte Pakete übertragen, eingehende Pakete müssen auch mit dem VLAN getaggt sein - der entsprechende Port am Switch muss als VLAN-Trunk konfiguriert sein.

    VG
     
  7. king_of_drums

    king_of_drums Starter

    Registriert seit:
    22. Februar 2017
    Beiträge:
    8
    Punkte für Erfolge:
    0
    So,

    ich hatte mal wieder etwas Zeit zum ausprobieren.

    Folgende Router ist es nun geworden: RS232j-4G.

    Die VLAN's passen nun. Das WLAN funktioniert auch. Die DHCP's funktionieren bei beiden VLAN's. Die Routen zwischen den Subnetzen funktionieren auch.

    Nun bin ich beim letzten Step: Wie komme ich nun mit meinen Netzwerkgeräten ins Internet.

    Bei den DHCP Servern habe ich als DNS Adresse die des Speedport eingetragen. Ich denke. dass der Speedport weiterhin das DNS übernehmen sollte.

    Ich denke, dass ich eine Routing zum Speedport LTE II einrichten muss. Dieser hat die IP Adresse 192.168.20.1. Ich habe leider nur keinen Plan, wie die Route richtig aussehen sollte.

    Im Speedport habe ich einige Portweiterleitungen eingerichtet. Bleiben die dann auch im Speedport? Oder muss ich diese in den Bintec Router verschieben.

    DANKE für die Hilfe!!!
     

    Anhänge:

    • 1.png
      1.png
      Dateigröße:
      18,1 KB
      Aufrufe:
      7
  8. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.247
    Punkte für Erfolge:
    38
    Hi,

    wenn ich das richtig sehe, ist der Speedport auch am Port en1-0 angeschlossen über den Switch? In diesem Fall muss der Port am Switch, an dem der SP LTE II angeschlossen ist, als Access Port konfiguriert sein, also ohne VLAN-Tag.

    Die Default-Route im bintec muss so wie im Anhang konfiguriert werden.

    VG
     

    Anhänge:

  9. king_of_drums

    king_of_drums Starter

    Registriert seit:
    22. Februar 2017
    Beiträge:
    8
    Punkte für Erfolge:
    0
    Der Speedport ist direkt am bintec Router angeschlossen. Also wie du schon sagtest an der Schnittstel en1-0.
    Ich probiere die Route heute abend mal aus.

    Danke!!
     
  10. king_of_drums

    king_of_drums Starter

    Registriert seit:
    22. Februar 2017
    Beiträge:
    8
    Punkte für Erfolge:
    0
    Hallo Capfloor,

    ich habe heute die Route mal eingestellt. Leider hat das nicht funktioniert. Ein Ping auf den SP LTE II hat nicht funktioniert.
    Nun habe ich noch ein paar Fragen.

    1. Welche DNS Adresse muss ich eigentlich einstellen? Ich denke doch die des SP LTE II. Ich habe mal die Konfiguration der DHCP Server mal angehängt.

    Bei der "DHCP Konfiguration" hat man bei den einzelnen DHCP Servern noch unter der Spalte Gateway Einstellmöglichkeiten. Adresse, Keine und Router als Gateway verwenden. Ich denke hier sollte die IP Adresse des Gateways eingetragen werden.

    2. Ich habe auch mal ein Bild der eingetragenen Routen beigefügt. Ich weiß leider nicht mehr welche Routen automatisch eingetragen wurden und welche ich vielleicht mal eingetragen habe. Meines Erachtens sind die Routen 3 und 5 über, oder?

    3. Muss ich am SP LTE II noch irgend etwas ändern? Meines Erachtens nicht, da der neue bintec Router ja nur für die Verbindung der Netzwerke und die DHCP Server Tätigkeit des SP LTE II übernimmt.

    4. Muss ich für die Verbindung vom bintec Router zum SP LTE II einen eigene Schnittstelle konfigurieren? Also en1-2 mit einer separaten 192.168.20.x IP Adresse und dann diesen Port auf untagged stellen?

    Fragen über Fragen!!!!! Ich hoffe, du kannst mir helfen.

    Gruß!!!
     

    Anhänge:

    • 3.jpg
      3.jpg
      Dateigröße:
      52,1 KB
      Aufrufe:
      44
  11. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.247
    Punkte für Erfolge:
    38
    Hi,

    wenn du den SP II noch nicht mal pingen kannst, dann ist die VLAN Konfiguration noch nicht ok.

    Am bintec taggst du die Pakete aus dem Subnetz 192.168.20.0/24. Am Switch muss der Port zum bintec als Member von VLAN-ID (VID) #1 definiert sein, und VID#1 muss an diesem Switch-Port ausgehend auch getagged konfiguriert werden. Der Switch-Port vom Switch zum SP II muss Member von VLAN#1 sein und ungetagged Pakete rausschicken. Eingehende Pakete an diesem Port müssen mit VID#1 versehen werden - die PVID muss auf 1 konfiguriert werden.

    Alternativ kannst du das VLAN#1, also Subnetz 192.168.20.0/24, im bintec ohne VID konfigurieren. Dann muss der zum bintec verbundene Switch-Port VLAN#1 nicht ausgehend taggen. Die restliche Konfiguration des Switches bleibt gleich.

    Du kannst auch einen eigenen Port im bintec für den Internet-Zugang konfigurieren. Das funktioniert dann so wie in der Alternativkonfiguration oben beschrieben.

    Du kannst ja mal die VLAN Konfiguration des Switch posten. Die Routen im bintec wären auch hilfreich...

    VG
     
  12. king_of_drums

    king_of_drums Starter

    Registriert seit:
    22. Februar 2017
    Beiträge:
    8
    Punkte für Erfolge:
    0
    Hallo CapFloor,

    ich habe nun wieder einige Tage weiter an mein VLAN gearbeitet, doch ich komme leider einfach nicht weiter.
    Ich habe ja wohl den Ehrgeiz, dass alleine hinzubekommen, aber es klappt einfach nicht.

    Ich versuch nun noch einmal genau meine Konfiguration zu beschreiben:
    PC -> Netgear Switch GS108 Port 2 (PVID=1, in VLAN 1010 ) -> TRUNK über Port 8 (PVID=1, VLAN 1 ,
    VLAN 1010 [T] -> zu weiteren Switch GS724 Port 12 (PVID 1 , VLAN 1010 [T] -> am Netgear GS724 geht es über Port 1 zum zum Bintec RS232 Router, PVID 1, VLAN 1, VLAN 1010 [T] -> dann über Port 13 weiter zum Speedport LTE,
    PVID 1, VLAN 1 (dieser Port ist dann auch nicht im VLAN 1010.

    Was jetzt leider immer noch nicht klappt, ist das durchrouten zum Speedport. Den erreiche ich einfach nicht und ich habe auch keinen Plan mehr, woran das liegen kann.

    Vielleicht kannst du den Fehler finden und mir das noch einmal für Dummy's erklären, was ich falsch mache.
    Die Firewall im bintec Router habe ich über FIREWALL -> Richtlinien -> Optionen deaktiviert. Somit sollte mir die Firewall da keinen Strich durch die Rechnung machen.

    Die Konfiguration des bintec Routers habe ich beigefügt.

    Ich hoffe du kannst mir helfen.

    Schonmal vielen Dank!!!
     

    Anhänge:

  13. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.247
    Punkte für Erfolge:
    38
    Hi,

    die VLAN-Konfiguration der Switches und des bintec sind korrekt - für VID#1 und #1010.

    Der Speedport muss am bintec an en1-4 angeschlossen werden. Dieser Port ist standardmäßig als WAN-Port konfiguriert, d.h. IP-Konfiguration des Ports wird über DHCP angefordert und NAT ist auf diesem Port angeschaltet. Achte darauf, dass in der Konfiguration des LAN-Ports#4 "Standard-Route" und "NAT" in den "Erweiterten Einstellungen" angehakt sind. Wenn der sP an diesem bintec Port angeschlossen wird, dann bekommt der Port#4 im bintec eine IP-Adresse aus dem LAN-Segment des Speedport. Achte darauf, dass sich dieses Subnetz von allen anderen im bintec konfigurierten Subnetzen unterscheidet.

    Die DHCP-Scopes für die Subnetze 192.168.20.0/24 und 192.168.10.0/24 sollten als DNS-Server und Default-Gateway die IP-Adresse des bintec im jeweiligen Subnetz setzen - also 192.168.20.2 bzw. 192.168.10.2.

    Ich denke, dann bist du "Ready-to-Rumble" :D.

    VG
     
  14. king_of_drums

    king_of_drums Starter

    Registriert seit:
    22. Februar 2017
    Beiträge:
    8
    Punkte für Erfolge:
    0
    Hallo CapFloor,

    Vielen Dank für deine Antwort. Ich habe es nun hinbekommen. Nachdem ich nun den Port en1-4 mit dem Speedport verbunden hatte, diesem Port dann eine IP-Adresse aus einem anderen Bereich zugewiesen habe und NAT für diesen Port aktvierte, funktionerte es.

    Vielen Dank für die Hilfe und die Geduld.
     
  15. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.247
    Punkte für Erfolge:
    38
    Hi,

    schön das es jetzt funktioniert. Danke für die Rückmeldung.

    VG
     

Diese Seite empfehlen