Praxis WLAN-Controller / WLAN-Roaming im Heimnetz (SoHo)

Dieses Thema im Forum "FAQ's und How-to's" wurde erstellt von CapFloor, 17. Juni 2016.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.248
    Punkte für Erfolge:
    38
    Hier ein anspruchsvolleres Beispiel aus der Praxis, um die vollständige Konfiguration einer WLAN-Controller Umgebung auf Mikrotik Basis darzustellen - integriert in eine bestehende Installation aus bintec als Zugangsrouter und Fritzbox als ISP Access Router. Die allgemeinen technischen Hintergründe / Motivation einer WLAN-Installation mit WLAN-Controller sind - hier - aufgezeigt.

    Insgesamt besteht die Beschreibung aus vier Teilen:

    1. In diesem Beitrag geht es um die Eckpunkte des zugrundeliegenden Szenarios.
    2. Im zweiten Beitrag wird das VLAN-Konzept und einige Besonderheiten bzgl. der Mikrotik Konfiguration im Detail erklärt.
    3. Die Konfigurationsvideos sind im dritten Beitrag zusammengefasst.
    4. Auf die Möglicheit der Provisionierung von Dual-Band Access Points wird im vierten Beitrag eingegangen.

    Die beschriebene WLAN-Installation umfasst die Einrichtung von 4 WLAN-Netzen (VLAN 1, 20, 30, 100):

    1. Heim / Home (VLAN 1): In diesem Netzsegment befinden sind alle Clients, die keinen besonderen Beschränkungen bzgl. der Kommunikation untereinander und ins Internet unterliegen.

    2. Test / Test (VLAN 20): Der bintec Router stellt mehrere Internet-Zugänge im Load-Balancing zur Verfügung. Clients im VLAN 20 sollen einen spezifischen von diesen Internet-Zugänge nutzen, sonst aber keinen Zugriff auf andere Subnetze haben. Dies wird über eine "Erweiterte Route" im bintec erreicht, so dass keine speziellen Firewall-Regeln für die Trennung dieses Subnetzes von den anderen notwendig sind - bei anderen Herstellern heißt bintecs "Erweiterte Route" Policy Based Routing. Die Konfiguration dieser "erweiterten Route" wird im Konfigurationsvideo des bintec Routers nicht gezeigt.

    3. Gast / Guest (VLAN 30): Über dieses VLAN wird das WLAN für Gäste zur Verfügung gestellt. In diesem Segment ist nur der Zugang zum Internet möglich. Die Definition der diesbzgl. Firewall-Regeln ist im Video zur bintec Konfiguration gezeigt.

    4. Spiel / Game (VLAN 100): Die Geräte im VLAN 100 befinden sich (logisch) in der DMZ. Das Konzept dazu ist in - in diesem Beitrag - erläutert. Die DMZ liegt in diesem Fall zwischen der FB als dem ISP Access Router (äußere Firewall) und dem bintec (innere Firewall). Im Konfigurationsvideo zum Switch wird der Port#5 im VLAN 100 konfiguriert und ist mit der FB per Kabel verbunden. In der Mikrotik Konfiguration ist der jeweils letzte Port des WLC und des "controlled AP" cAP im VLAN 100 konfiguriert. Damit ist es möglich, per Kabel z.B. Spielekonsolen an den MT Geräten in die DMZ zu bringen, in der UPnP zur automatischen Konfiguration von Portweiterleitungen aktiviert ist, ohne die Sicherheit im Heimnetz zu diskreditieren.

    Ein Fokus dieser Beispielkonfiguration liegt auch auf der kostengünstigen Umsetzung. Obwohl z.B bestimmte bintec Router, wie die be.ip (plus) und deren OEM Derivat Digitalisierungsbox von der Telekom einen WLC mitbringen, kann der Einsatz einer komplett getrennten WLC-Umgebung mit 4 APs - hier auf MT Basis- günstiger sein als ein AP eines renommierten Herstellers.

    Im Anhang ist die Beispielkonfiguration im Überblick zu sehen. Dort erkennt man - außer meiner Vorliebe für geschmackvolle Farben :cool:- auch ein Farbschema: Komponenten im VLAN 1 sind grün, die im VLAN 20 gelb, im VLAN 30 blau und im VLAN 100 rot. Auf den Linien, die VLAN-Trunks darstellen, sind die VLANs genannt, die auf diesen Verbindungen getagged werden.

    Grundsätzlich müssen VLANs bei einer WLC Konfiguration mit dem CapsMan von Mikrotik nicht unbedingt zum Einsatz kommen. Die Netzwerk-Pakete werden vom cAP standardmäßig "so-wie-sie-sind" direkt an den WLC geschickt, der cAP trifft keine eigene Routing-Entscheidung. Wenn sich der WLC und die cAPs im selben Layer 2 Netzwerk befinden, dann findet auch die Kommunikation zwischen WLC und cAP ausschliesslich auf Layer 2 statt, ansonsten auf Layer 3 (IP). Dieser Ansatz erspart unter bestimmten Umständen die VLAN-Konfiguration von Komponenten, die sich auf dem Kommunikationspfad zwischen WLAN-Controller und "controlled AP" befinden. Wenn der WLC auch als DHCP-Server und Internet-Zugangsrouter agiert, kann auch ohne VLANs am WLC eine eventuell notwendige Trennung von WLAN-Netzen per Firewall durchgeführt werden (Subnetze auf Layer 3). In dem hier gezeigten Praxisbeispiel ist das allerdings nicht der Fall, da der WLC hier eben nicht als DHCP-Server und Internet-Zugangsrouter fungiert. Diese Funktion übernimmt in unserem Beispiel der bintec Router.

    Falls das als WLC genutzt Mikrotik Modell selbst ein WLAN-Interface besitzt, so kann auch dieses über den (lokalen) WLC provisioniert werden. Das wird im letzten Konfig-Video "MT Verbindung cAP mit CapsMan" ganz zum Schluss gezeigt.

    Der nächste Beitrag geht detaillierter auf die VLAN-Konfiguration im WLC und im cAP ein.
     

    Anhänge:

  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.248
    Punkte für Erfolge:
    38
    Die VLAN Konfiguration des MT WLC und des MT cAP ist im Anhang zu finden.

    Alle WLAN-Interfaces, die in den cAPs provisioniert werden, sind im WLC in der Bridge "br-wlan" zusammengebunden. Die Pakete aus den WLAN-Netzen sind mit den entsprechenden VLAN-IDs getagged: Heim=VLAN1, Test=VLAN20, Gast=VLAN30 und Spiel=VLAN100. Für jedes VLAN wird ein virtuelles Interface (br-wlan-vlan001 bis br-wlan-vlan100) auf Basis der WLAN-Bridge "br-wlan" aufgesetzt. Auf diesen virtuellen Interfaces landet der entsprechend getaggte Netzwerk-Verkehr aus den WLAN-Netzen. Das gleiche Prinzip findet auf der Seite der Ethernet-Ports Anwendung: Die Ethernet-Ports werden zu einen Switch gebündelt - praktisch zu einer Hardware-Bridge verbunden - und darauf basierend wird für jedes VLAN ein virtuelles Interface (eth1-vlan001 bis eth1-vlan100) konfiguriert. Um den Datenfluss zwischen WLAN-Interfaces und Ethernet-Ports zu ermöglichen, verbinden vier Bridges - eine für jedes VLAN - die virtuellen Interfaces im jeweiligen VLAN miteinander: bridge = br-wlan-vlan001 + eth1-vlan001, br-vlan020 = br-wlan-vlan020 + eth1-vlan020 usw.

    Ob und welche Ethernet-Ports zu welchem VLAN konfiguriert werden, wird in der Switch-Konfiguration festgelegt. Im Beispiel wird der Ethernet 1 Port (eth1) als VLAN-Trunk zur Verbindung mit dem TP-Link Switch benutzt. Dies gilt sowohl für den WLC als auch für die cAPs. Im Video wird beispielhaft die Konfiguration des WLC und eines cAPs gezeigt.

    Aufgrund der als WLC und cAP gewählten Geräte - beide haben mehr als einen Ethernet-Port -, können auch weitere kabelgebundene Geräte insbesondere über den cAP ins Netzwerk integriert werden, was u.U. die Anschaffung eines weiteren Switches unnötig macht.

    Diese Art der VLAN Konfiguration wird normalerweise nur für den WLC durchgeführt. In dem hier behandelten Szenario erhält auch der cAP diese Konfiguration. Warum?

    Wenn der WLC und der cAP nur über eine Internet-Leitung miteinander verbunden sind (per VPN), so ist das bedingungslose Weiterleiten der Netzwerk-Pakete vom cAP zum WLC nicht sinnvoll. Beim Zugriff der Clients des cAP auf das Internet z.B. würden so alle Pakete zum entfernten WLC gelangen und von dort ins Internet geroutet werden. Sinnvoller ist die Nutzung des lokalen Internet-Zuganges - aus Sicht des cAP -, ohne die Vorteile der zentralen Konfiguration der entfernten cAPs über den WLC aufzugeben. Dies kann bei Mikrotik dadurch erreicht werden, dass in der "Datenpfad" Konfiguration für die provisionierten WLAN-Netze im cAP die Option "Local forwarding" gesetzt wird. Dadurch landen die WLAN-Interfaces nicht mehr in der WLAN-Bridge des WLC, sondern in der des cAP. Der Netzwerk-Verkehr läuft gemäß der Konfiguration genauso wie im WLC ab, aber bei gesetztem "Local forwarding" eben im cAP. Damit ist auch die effiziente, zentrale Verwaltung von weit entfernten Access Points möglich - aus Sicht des WLC - und gleichzeitig die Nutzung lokaler Infrastruktur - aus Sicht des cAP.

    Im nächsten Beitrag wird die Konfiguration vom bintec, dem TP-Link Switch, dem WLC und einem cAP in Videos gezeigt.
     

    Anhänge:

  3. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.248
    Punkte für Erfolge:
    38
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.248
    Punkte für Erfolge:
    38
    Die im vorherigen Beitrag gezeigte Provisionierung der WLAN-Interface für den cAP durch den WLC ist auf 2,4GHz WLAN-Interfaces beschränkt. Außerdem ist die gezeigte Provisionierung aus Sicherheitsaspekten nicht gerade optimal: Jeder beliebige Access Point, der sich an den CapsMan im WLC wendet, bekommt eine aktive WLAN-Konfiguration für die WLAN-Netze Heim, Test, Gast und Spiel.

    Das Video in diesem Beitrag baut auf der Konfiguration aus dem letzten Beitrag auf und zeigt:

    1. Wie muss die Provisionierung angepasst werden, damit auch 5GHz WLAN-Interface vom WLC provisioniert werden können?
    2. Wie kann die Provisionierung neuer cAPs sicherer gestaltet werden?

    MT WLC Dualband Provisionierung

    Zum Abschluss dieser Konfigurationsanleitung noch der Hinweis, dass anstelle des bintec Routers auch Modelle anderer Hersteller genutzt werden können. Einzige Voraussetzung ist die VLAN-Fähigkeit des Routers, so dass der Trunk-Port zwischen Switch und Router konfiguriert werden kann und die DHCP-Scopes für die Subnetze der VLANs im Router aufgesetzt werden können.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen