WLAN's eines AP55 in verschiedenen Netzten?

Der AP kann das. Bridge to VLAN ist der richtige Weg.

Der Switchport muss dazu als VLAN-Trunc konfiguriert sein, da der AP die Pakete samt VLAN-tag zum Switchport schickt.

Die Anbindung des AP muss dafür auch als VLAN konfiguriert sein.

Hallo Dirk,

danke für Deine Ausführungen. Soweit alles klar. D.h. ich ändere "bridged to AP-LAN" in "bridged to VLAN xx". Switchport ist klar.

Beim AP kann man noch das VLAN-Tag einstellen. Muß ich das auch setzen? Und wenn ja, welches Tag wähle ich, wenn der AP zwei VLAN's ausstrahlen soll...

Gruß
Christoph

am AP ist nur sein "Arbeits-VLAN" einzustellen.

dieses kann unabhängig von den VLAN#s sein, in welche die SSIDs gebridged werden.

Hallo Christoph Klahn.

Damit der AP an VLANs gebunden werden kann, muss bei diesem VLAN-Tagging aktiviert werden. /vgl. Sophos UTM: How to bridge wireless AP to VLAN ).

Das bedeutet am AP, dass dort nicht mehr die Option "Bridge to LAN" gewählt werden kann. Das ist in der Online-Doku der UTM unter "Wireless Protection -> Access Points -> Overview" unter der ÜBerschrift "Rules for Assigning Networks to APs" beschreiben.

---

Rules for Assigning Networks to APs

An access point can only be assigned to a wireless network if the Client traffic option of the wireless network and the VLAN tagging option of the access point fit together. The following rules apply:

• Wireless network with client traffic Separate Zone: VLAN tagging of the access point can be enabled or disabled.
• Wireless network with client traffic Bridge to AP LAN: VLAN tagging of the access point has to be disabled.
• Wireless network with client traffic Bridge to VLAN: VLAN tagging of the access point has to be enabled. The respective wireless clients will use the Bridge to VLAN ID specified for the wireless network, or they will receive their VLAN ID from the RADIUS server, if specified

---

Folglich muss der AP in der UTM und auf dem Switch so umkonfiguriert werden, dass am Switch das Standard-LAN auch als VLAN erreichbar ist.

Das AP-Vlan kann man betrachen als administratives Netzwerk für den AP. An dem Port, an dem der Switch hängt empfiehlt sich beispielsweise folgendes Setup:

1. Untagged VLAN mit DHCP an dem die Sophos erreichbar ist. Dort bekommt der AP dann die Information, dass er in ein VLAN soll. Das wird nur benötigt, damit der AP die Information bekommt, dass er künftig via VLAN gemanaged wird. In der Doku wird darauf hingewiesen, dass das Mangement-VLAN nicht 0,1 oder 4095 sein sollte. Das könnte auch das Standard-LAN sein.
2. Tagged VLAN mit dem AP-Management-Netz
3. Alle anderen Netze, die der AP als VLAN binden soll auch tagged, auch das Netz, in dem das Standard-LAN ist, das bisher "Bridged to LAN" war

Die Punkte 1 und 2 sollten in der Sophos als Netze definiert sein, in denen neue access points konfiguriert werden können. ("Wireless Protection -> Global Settings -> Access Control")

Hi,

habe nun am Wochenende mal Zeit gefunden, mich nochmals mit dem Thema auseinanderzusetzen. Leider habe ich noch keine Funktion. Was habe ich bisher nun gemacht:

UTM-seitig:
LAN-Internal: 10.10.1.0/24 auf eth0
VLAN 10 - EDV-Netzwerk, 10.10.10.0/24
VLAN 20 - IP-Telefonie, 10.10.20.0/24
VLAN 30 - Multimedia, 10.10.30.0/24
VLAN 40 - Gebäudetechnik, 10.10.40.0/24
VLAN 100 - Gäste, 10.10.100.0/24

Die VLANs habe ich per Ethernet VLAN auf eth0 gelegt. Jedes der Netze im DNS auf "Allowed Networks" und per NAT-Regel das Masquerading ins Internet aktiviert. Des weiteren habe ich jedem Netz einen DHCP-Server zugewiesen.
Firewall-Regeln noch auf ANY (bis es soweit läuft).

Dann habe ich zwei HP-Switche. Einen 48-Porter und einen 24-Porter PoE+. Die eth0 der UTM geht auf Port 48 des einen Switches. Von Port 47 des Switches weiter auf Port 24 des PoE+-Switches.
Die beiden AP55 hängen einmal an Port 1 und an Port 2 des PoE+-Switches.
Die Ports sind wie folgt eingestellt:
Port 48 als Hybrid-Port: Untagged: 1, Tagged 10,20,30,40,100
Port 47 als Hybrid-Port: Untagged: 1, Tagged 10,20,30,40,100
Port 24 als Hybrid-Port: Untagged: 1, Tagged 10,20,30,40,100
Port 1 und 2 als Hybrid-Port: Untagged: 1, Tagged 10,20,30,40,100

In den APs VLAN-Tagging auf VLAN 1 gesetzt und die jeweiligen zu sendenden SSIDs per "Bridged to VLAN" den o.g. VLANs zugeweisen.

Habe dann gelesen, daß man die VLAN-ID 0 und 1 nicht bei den APs nutzen darf. Also habe ich in der UTM ein weiteres VLAN 2 (10.10.2.0/24) auf eth0 eingerichtet und dieses ebenso an DNS, NAT und DHCP gebunden. Die APs dann entsprechend auf VLAN-Tagging mit der ID 2 gesetzt.

Die SSIDs werden auch gesendet, ich kann mich mit den Endgeräten auch anmelden, bekomme aber keine IP-Adresse zugeweisen. Ich sehe in dem WebAdmin der UTM, daß die APs IPs aus dem 10.10.1.0er-Netz zugewiesen bekommen und nicht aus dem 10.10.2.0er-Netz. Finde ich schonmal eigenartig.

Habt Ihr noch einen Hinweis für mich? Es ist natürlich doof, daß das VLAN1-Tagging bei den APs nicht funktioniert, da ich das 10.10.1.0/24-Netz gerne als Infrastrukturnetz nehmen wollte, in welchem sich lediglich Komponenten des Netzwerkes befinden (UTM, Switche, APs, ESXi-Server...).

Gruß

Christoph

Hallo Christoph,

VLAN2 als Infrastrukturnetz ist gar nicht so verkehrt.
VLAN 0 und 1 haben bei Jedem Hersteller andere interne Funktionen ... und immer wieder gibt es Probleme.

Holen sich die AP's initial eine 10.10.1.x oder auch wenn sie fertig angemeldet sind und laufen?
(wenn sie die SSID's ausstrahlen, ist das schlimmste eigentlich durch)

Was sagt das DHCP-Log, wenn clients eine Adresse anfragen?

Evtl. mal Wireshark mitschneiden lassen, was beim Verbindungsaufbau mit DHCP passiert.

ganz nebenbei ... die DHCP-Server sind auch eingeschaltet ?

Hallo Dirk,
vielen Dank für den Wireshark-Tip. Ich habe in meinem Switch den Switchport für den Trunk falsch konfiguriert gehabt. Nun klappts ;-).

Gruß
Christoph