× Router: PRG AV4202, ADB DV2210

normal Frage Gäste-VLAN am Pirelli 5.1.6


Mehr
09 Mär 2014 21:29 - 09 Mär 2014 21:30 #61201 von GeraldS
Gäste-VLAN am Pirelli 5.1.6 wurde erstellt von GeraldS
Es gab vor 2,5 Jahren schon mal einen Beitrag zu "Pirelli und VLAN" aber ich melde mich jetzt, weil ich einfach nicht weiter komme: Ich möchte ein Gäste VLAN am Pirelli einrichten, das ins Internet kann aber keine Verbindung zum lokalen LAN zulassen soll. Anlass dazu sind Unifi-Accesspoints, die ich gekauft habe, und die VLAN-Tagging unterstützen. D.h. das normale WLAN kommt untagged und das Gäste-VLAN mit ID 99 an den Ports des Pirelli an. Ich habe das zuerst mit der Firmware Version E3.0.10 versucht (auch über Shell), und nun mit Version 5.1.6, wo es offenbar mehr Einstellmöglichkeiten gibt - ich habe damit auch schon unzählige Varianten ausprobiert, aber ich fürchte ich durchschaue die Parameter für VLANs noch immer nicht ausreichend.

Mein erster Ansatz war eine zweite "Gäste-Bridge" zu konfigurieren, die einen getrennten DHCP-Range vergibt (10.0.1.0/24) und dort mit den VLAN-Einstellungsmöglichkeiten für die einzelnen Ports experimentiert. Aber so gelingt es mir nicht einmal, dass die VLAN 99 Geräte eine IP-Adresse bekommen.

Zweiter Ansatz war über die bestehende LAN-Bridge eine VLAN-Schnittstelle zu legen (somit VLAN über Bridge über Port) und dort einen DHCP-server einzutragen, doch auch hier gibt es keine IP-Adresse über DHCP.

Vielversprechendster Ansatz war, direkt auf einen Port (z.B. LAN Ethernet 1) eine VLAN-Schnittstelle mit ID 99 anzulegen (also nach meinem Verständnis wäre dieser Port dann ein Trunk). Diesen Trunk dann unter eine Gäste-Bridge zu hängen, die DHCP kann (somit Bridge über VLAN über Port). Hier bekommen die VLAN 99 Geräte nun eine korrekte IP-Adresse aus dem neuen Range und ich kann auch ins Internet. Problem dabei: Nun funktionieren die untagged-Geräte auf diesem Port nicht mehr, weil ich die Schnittstelle LAN Ethernet 1 aus der LAN-Bridge entfernen musste, denn Pirelli beschwerte sich, dass die Schnittstelle nicht gleichzeitig in der LAN Bridge "enslaved" sein dürfte, und zu einem VLAN gehören darf. Und ein VLAN 1, das ich testweise angelegt habe, scheint nicht dasselbe zu sein wie "untagged".

Fazit: Ich check's nicht und bin verwirrt über die Komplexität der Einstellmöglichkeiten. Ich verstehe auch nicht ganz den Unterschiede:
  • In der Bridge-Konfiguration ist es möglich je Port VLANs einzutragen (deaktiviert, Kein VLAN-Bezeichner, Standard-VLAN-Bezeichner, Alle VLAN Bezeichner, mehrere VLAN-IDs) - wo ist da der Unterschied?
  • Nicht nur für die gebridgten Ports, sondern für die Bridge selbst kann ich die selben Dinge auch nochmals einstellen - was soll das?
  • Wenn ich eine "VLAN-Schnittstelle" neu anlege, dann kann ich die entweder auf eine Bridge oder einen Port legen - beim Port geht es grundsätzlich, bei der Bridge irgendwie nicht. Bei der Bridge muss ich außerdem noch angeben ob das VLAN tagged oder untagged ist, und Ports auswählen, für welche das VLAN gilt - welchen Effekt hat die Auswahl der Ports hier (die ich nach Anlage nicht mehr sehe). Was ist eine VLAN-Schnittstelle überhaupt genau technisch für das Pirelli? Inwiefern definiert die tatsächlich das VLAN (ich kenn das von anderen Switches/Routern so nicht, da scheint die Konfiguration klarer).
  • Und vieleicht noch eines: Es gibt einen Port "LAN Ethernet"(Pirelli-interne Bezeichnung bcmsw) - was tut der? Wird zwar mehrmals im OpenRG-Manual referenziert, aber ich habe das Gefühl, das ist irgendein Überbleibsel und tut gar nichts.

Ich weiß, sehr viele Fragen, aber ich habe jetzt schon sehr viel Zeit investiert und bin über jegliche Tipps und Erklärungen sehr dankbar, auch wenn's jetzt nicht gleich die vollständige Lösung zu meinem Problem ist. Vielleicht lohnt es aber die ganze Mühe ja gar nicht und ich sollte gleich einen anderen Router nehmen?

Danke und lG!
Letzte Änderung: 09 Mär 2014 21:30 von GeraldS.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
10 Mär 2014 15:00 - 10 Mär 2014 16:31 #61217 von rwhome
rwhome antwortete auf Gäste-VLAN am Pirelli 5.1.6
hallo,

zu vlan beim pirelli sage ich jetzt mal nichts

aber ich habe mal ein gäste vlan als beispiel angelegt
nur mache ich das über meinen switch

die vorlage war die gäste w-lan funktion (e_3.0.10)
dort sind schon alle firewall regeln definiert und auch ein eigenes netz
habe einen lan-port aus der bridge1 herausgenommen und der bridge2 (wlan.vap) zugeordnet

ethernet port4 auf bridge 2

Anhang bridge.png wurde nicht gefunden.



diesen port habe ich zusätzlich mit dem switch verbunden und dort ein eigenes vlan angelegt (untagged) und die ports zugeordnet welche in diesen gäste vlan liegen sollen
im beispiel halt nur zwei ports ... die anderen ports liegen im lan mit dem pirelli z.b. über port1 verbunden

Anhang vlan.png wurde nicht gefunden.


damit habe ich ein gäste w-lan und gäste vlan bzw. die gäste w-lan funktion muss man ja nicht nutzen (wlan.vap einfach nicht aktivieren)

über dieses gäste vlan kannst z.b. deine unifi-accesspoints anschließen oder auch andere geräte (diese müssen allesamt kein vlan unterstützen ... die trennung zwischen lan u. gäste lan macht ja der switch)
soll nur als beispiel dienen das man es auch anders lösen kann

LG RWHome//Wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden

Dieser Beitrag enthält Bilddateien.
Bitte anmelden (oder registrieren) um sie zu sehen.

Letzte Änderung: 10 Mär 2014 16:31 von rwhome.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
10 Mär 2014 17:38 #61218 von GeraldS
GeraldS antwortete auf Gäste-VLAN am Pirelli 5.1.6
Hallo rwhome,

vielen Dank für deine Anleitung - Konzept glaube ich soweit verstanden zu haben und ich hatte übrigens auch schon die Vorlage in der E3.0.10 studiert (die ich allerdings nicht verwende, weil das DHCP ständig versagt und daher zurück auf 5.3.5 bzw. für aktuelle Konfigurationsversuche auf 5.1.6 bin).

Abgesehen davon, dass ich mir noch einen managed Switch besorgen müsste, stehen meine Access Points "irgendwo" im LAN und haben keine dedizierte Verkabelung bis hin zum Pirelli. Dort drauf sind zwei WLAN-Netze eingerichtet, wo über die selbe Leitung die Haus-WLAN-Pakete untagged ins Hausnetz versendet werden, und die Gäste-WLAN-Pakete mit VLAN ID 99. Daher mein Ansatz mit dem tagged VLAN, da ich hoffte am Pirelli die ID 99 Pakete einfach "rauszufischen", einen gesonderten IP-Range zu geben und dann halt noch richtig zu routen. Vielleicht bin ich da aber auch völlig am Holzweg.

Mein eigentliches Problem bei diesem Ansatz ist ja im Grunde, dass ich mit den Einstellmöglichkeiten für VLANs am Pirelli nicht zurande komme. Aber vielleicht sollte ich einfach doch einen managed switch davor setzen und im Grunde deinen Ansatz der Verbindung zum Pirelli verfolgen (einzelne Ports einer neuen Gäste-Bridge zuzuweisen habe ich ja auch schon mit der 5.1.6 geschafft).

Nur halt nicht die VLAN-ID am Switch fixen Ports zuweisen, sondern doch tagged arbeiten, und der Switch trennt den herein kommenden VLAN Traffic auf zwei verschiedene Ausgangsports Richtung Pirelli auf. So wie ich das sehe könnte der Switch zwischen "untagged" und "tagged 99" Paketen unterscheiden - da wäre eine Konfiguration leichter möglich und am Pirelli dahinter brauche ich gar kein VLAN mehr.

Könnte das gehen?

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
10 Mär 2014 18:12 - 11 Mär 2014 12:56 #61221 von rwhome
rwhome antwortete auf Gäste-VLAN am Pirelli 5.1.6
hallo,

für die 5.1.6 gibt es auch eine vorlage für ein gäste w-lan
im tpirelli blogspot zu finden
ohne firewall regeln geht es nicht

natürlich geht das auch mit tagged vlan ... nur habe ich keine geräte welche das unterstützen und kann daher kein passendes und getestetes beispiel liefern

'irgendwo im lan' gibt es nicht ... es kann ja nur eine sternförmige punkt zu punkt verbindung sein aber ich weiß was du meinst

wenn du mehrere switches verwendest sollten natürlich alle vlan unterstützen sonst bringt das ganze so oder so nichts

LG RWHome//Wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden
Letzte Änderung: 11 Mär 2014 12:56 von rwhome.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
11 Mär 2014 15:56 #61229 von rwhome
rwhome antwortete auf Gäste-VLAN am Pirelli 5.1.6

LG RWHome//Wer glaubt, etwas zu sein, hat aufgehört, etwas zu werden

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Mehr
12 Mär 2014 00:08 - 12 Mär 2014 00:21 #61249 von GeraldS
GeraldS antwortete auf Gäste-VLAN am Pirelli 5.1.6
Hallo rwhome,

vielen lieben Dank für's "aus-der-Box-heraus-denken" und für deine Recherche, was die UniFi-APs betrifft - du hast mir gerade geholfen die Lösung zu finden, die für mich passt!

Klar habe ich die Manuals und FAQs gelesen, und trotzdem war es für mich irgendwie sonnenklar, dass ich einen eigenen IP-Range und daher VLANs für mein Gäste-WLAN brauche. Erst die von dir referenzierten Forumsbeiträge haben mir klar gemacht, dass mir für meine Heimanwendung die eingebaute Guest-Access Lösung der UniFi-APs völlig ausreicht. Diese isoliert alle am Guest-WLAN angemeldeten Geräte voneinander und auch von meinen restlichen Geräten. Hat zwar jetzt die gleiche IP-Range wie meine Heimgeräte und sicherlich wäre die VLAN-Lösung noch sauberer, aber eigentlich will ich doch nur Bekannte und Freunde meiner Kinder davon abhalten, mit unserem Geräten im Netz zu spielen. Und dafür reicht es völlig und es funktioniert einfach!

Ich habe damit jetzt sämtliche Versuche beendet am Pirelli VLANs zu konfigurieren (und übrigens auch von Dextha erfahren, der sich vor zwei Jahren hier im Forum an den VLANs versucht hat, dass er sein Vorhaben von damals mangels Stabilität eingestellt hat und auf OpenWRT umgestiegen ist).

Falls jemand mit den UniFi-Geräten Ähnliches versuchen möchte: Das ist grundsätzlich wirklich simpel, das zusätzliche virtuelle WLAN ist ohne VLAN aber mit Guest Policy einzurichten. In der Guest Control die Restricted Subnets so belassen wie sie sind (inkludiert auch 10.0.0.0/8), dafür aber zusätzlich bei Allowed Subnets 10.0.0.138/32 hinzufügen (damit Verbindung zum Gateway und das bedeutet auch ins Internet erlaubt ist). Am Pirelli ist überhaupt nix zu ändern.

Danke und ganz liebe Grüße! Ich bin glücklich :lol:
Letzte Änderung: 12 Mär 2014 00:21 von GeraldS.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.608 Sekunden
Powered by Kunena Forum