This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WLAN und VLAN

Hallo,


ich habe eine sehr spezielle Fragestellung, zu der ich im Netz bislang trotz langem langem suchen (ich habe das Gefühl, das gesamte weltweite Internet dazu schon erfolglos gesehen zu haben) nichts gefunden habe, das mir das Problem klären konnte. Ich möchte ein WLAN-Netz aufbauen, dass in einer eigene VLAN abgeschottet ist, damit die Endgeräte (Gäste-Notebooks, SmartDevices etc.) kein Zugriff auf mein Produktivnetz erhalten. Folgende Konfiguration habe ich gemacht:

Sophos SG, Schnittstelle eth2, Ethernet-VLAN, VLAN-Tag 2021, IP 172.20.21.254/24

|

Port am HP-Switch zur Sophos -> VLAN1 untagged + VLAN 2021 tagged

Port am HP-Switch zum AccessPoint -> VLAN1 untagged+VLAN 2021 tagged

|

AccessPoint AP30 (IP erhält der AP vom meinem DHCP) -> VLAN Tag 1

|

Wifi "TestWifi" mit Bridge in VLAN 2021

Ist das grundsätzlich richtig eingerichtet. Es scheint zu laufen.

ABER:

1. VLAN werden doch eigentlich zur Netzsegmentierung eingesetzt. Ich kann aber von einem Notebook im TestWifi aus alles mögliche anpingen. M.E. sollte das doch nicht gehen, wozu segmentiere ich sonst überhaupt.

2. zwischen zwei Switchen muss ich die Verbindungen immer taggen (so habe ich es zumindest recherchiert, macht ja auch Sinn); ist die VLAN-Konfig am AP ein Tagged oder ein untagged? Kann ich dann überhaupt den AP VLANTag 1 geben und dem dazugehörigen Port am Switch untagged lassen?

3. ich würde die VLAN-Angabe beim AP als Management-ID sehen, da ich ja über den AP mehrere unterschiedlich getaggte Wifis laufen lassen kann

Sorry, wenn die Fragen nicht so ganz klar strukturiert sind, ich habe schon einen heißen Kopf vor lautem taggen und untaggen und pingen. hat jemand Erfahrung damit und kann mir ein paar Tipps geben?



This thread was automatically locked due to age.
  • Ich habe jetzt nicht wirklich Ahnung von VLan, aber so wie ich das verstehe was du machen willst, ist ein WLAN für Gäste, die auf dein internes Netzwerk kein Zugriff haben.

    Und genau das hat bei mir die UTM selber eingerichtet als ich das WLAN Interface in der UTM aktiviert habe. Ein eigenes Netz, das nicht auf das interne Netzwerk zugreifen kann.

    Oder verstehe ich da was falsch?

  • Ja genau, das will ich machen. Genauer gesagt, eigentlich nicht für Gäste, sondern für einen größeren Werkstattbereich, der das WLAN für die Übertragung von Fahrzeugdaten benötigt. Ich möchte/muss den Datenverkehr so genau wie möglich einschränken.

    Was genau hast du gemacht? Hängt zwischen Deinen APs und UTM ein Switch? Wie genau ist dort die Konfiguration?

    Ich habe es immer so verstanden:

    -mein WLAN-Netz  hat eine VLAN-ID, z.B. bei mir ID 2021

    -der AP selbst kann ja auch eine haben, das müsste aber eine andere sein, z.B. ID 1 zum managen (Default-VLAN?); die 2021 kann ich dem AP selbst nicht geben, da ich ja auf dem AP auch weitere WLAN-Netze haben kann mit wiederum anderen VLAN-IDs (ich habe dort z.B. u.a. noch ein weitere WLAN-Netz mit der ID 2022 laufen); diese beiden Netze sollen/müssen auch getrennt voneinander laufen

    -dann hängt der AP (ich habe natürlich zig APs hier hängen) an einem HP PoE-Switch-Port der mit den VLAN-IDs 2021, 2022 getagged ist; ob ich hier auch die VLAN-ID 1 taggen muss, bin ich mir nicht sicher, würde es aber vermuten, da der Switch ja irgendwie entscheiden muss, ob der Datenverkehr für das Managemnent des APs oder für die WLAN-Geräte sein soll (glaube ich...)

    - und der HP-Switch hängt wiederum an einer UTM-Schnittstelle mit Ethernet-VLAN-Bridge-Konfiguration und der entsprechenden VLAN ID 2021 oder 2022

    Zu kompliziert gedacht?

  • Also, bei mir hängt die UTM, der AP und die Client's alle an einem Switch.

    Beim aktivieren von WLAN kommt folgendes Bild, was eingerichtet wird:

    Wenn sich nun einer im WLAN anmeldet, ist der getrennt von dem internen Netz, da dies in einem anderen Bereich liegt (192.168.xx.xx).

    Ob dies Sicherheit's mäßig in Ordnung ist denke ich schon, aber vielleicht ist es mit VLAN noch sicherer, aber wie schon gesagt, kenne ich mich da nicht aus. 

  • Hi,


    Du brauchst das doch garnicht mit VLANs machen. Definiere einfach eine neue Schnittstelle z.B. WLAN-Gastzugang an wlan1 und gibts der eine IP aus einem anderen Netzwerkbereich. Dann legst Du einen weiteren DHCP-Server an, der auf der Schnittstelle arbeitet.

    Unter WLAN-Netzwerke legst Du zwei WLANs an. Das eine nutz als Schnittstelle wlan1 und Dein Produktives WLAN wird als "bridge ins LAN" definiert.


    Das klappt natürlich nur mit Sophos APs. Da Du aber einen AP30 hast, sollte das kein Problem sein. Nun hast Du ein Produktiv WLAN in Deinem Adressbereich und ein Gast-WLAN in einem anderen Netzwerkbereich.


    Über Firewall-Regeln kannst Du dann auch noch die Ports je WLAN unterschiedlich öffnen. Ist megakomfortabel ;-).

    Gruß

    Christoph

  • Sorry, dass ich mich erst jetzt wieder melde. Ich habe die hinweise mal aufgenommen und ein wenig getestet und ja, der Fehler lag wohl bei den Konfigurationen der Switche. Ich bin mit tagged und untagged ein wenig durcheinander gekommen. Jetzt funktioniert es, zumindest bei einem Testdrucker, den ich ins VLAN genommen hatte. Ich bin glücklich! Hoffentlich hält das Glück beim Wifi noch an. Danke für die Hinweise.

  • Kleiner Tipp... Nächstes mal nimm für den Screenshot noch mal nen Editor und mach den PSK für dein WLAN unkenntlich [H]

  • Das jetzt nachdem es öffentlich ist zu ändern versteht sich von selbst :-P

  • Der Screenshot ist von einer UTM, bei der kein WLAN aktiv ist. Der PSK wird jedes mal neu generiert, wenn man das WLAN aktiviert.

    Habe nur Aktiviert, Screenshot gemacht und wieder deaktiviert. Ist also völlig harmlos[;)]

  • Hi,

     

    ich habe eine Ähnliche Aufgabenstellung. Im Moment laufen zwei WLAN SSID's. Eines Intern und eines Gäste. Beide sind auf allen AP's. Die AP's sind in meinem normalen Subnet. Ich möchte jetzt die IP's wieder freigeben und die AP's in ein VLAN verschieben. Kann ich einfach das VLAN in den Schnittstellen anlegen und die AP's auf VLAN Tag umstellen?

     

    Vielen Dank