Gäste WLAN /VLAN

[Noxrider]

Hey zusammen,

Ich besitze 2 VLANS
VLAN 1 192.168.1.1-254
VLAN 3 192.168.3.1-254

ich hab mir ein Gästenetz eingerichtet und dazu ein entsprechendes VLAN3 erstellt. Das Gästenetz(VLAN3) soll nur ins Internet und nicht auf Inhalte im VLAN 1 zugreifen können. Alle nötigen Ports sind bereits getaggt, getrunked etc.
Die WLAN Geräte können sich mit dem Gästenetz welches in VLAN 3 liegt verbinden und erhalten auch eine IP-Adresse im entsprechenden Adressbereich. Allerdings können die Geräte noch nicht ins Internet.

Was muss ich am Router noch einstellen?
Habe einen Dual WAN Router

Gruß

 

[JimiHändriks]

https://www.computerbase.de/forum/t...ss-point-tplink-hauptrouter-fritzbox.1824564/

Hatte ein ähnliches Problem.
Vlt. hilft dir das weiter.

 

[martinallnet]

Um welche Hardware geht es hier?

 

[Noxrider]

https://www.computerbase.de/forum/t...ss-point-tplink-hauptrouter-fritzbox.1824564/

Hatte ein ähnliches Problem.
Vlt. hilft dir das weiter.

danke für deine Antwort, leider hilft mir das nicht weiter. Bei meinem Problem handelt es sich um ein anderes Subnetz welches über den gleichen Router ins Internet soll

 

[Ic3HanDs]

Klingt nach einem Routing Problem. Hast mal die Default Routen gecheckt?

 

[deveth0]

Gibt es denn einen Router, der im WLAN vlan hängt und ins Internet kommt?

 

[Noxrider]

Um welche Hardware geht es hier?

Besitze den Vigor 2952 Dual Wan Router, sg300 switche, wap371 cisco wireless accesspoint.

An dem Vigor hängt eine direkte Standleitung und vor dem Vigor hängt nochmal ein Speedport der Telekom, welcher für unser VDSL ist. (192.168.2.1)

Ob über Standleitung oder VDSL ins Internet mit dem Gästenetz ist erstmal egal. Hauptsache Internet für Guests .

 

[Raijin]

Wie schon gesagt, prüfe die Default Routen. Anschließend musst du schauen ob der Vigor das Gast-Subnetz auch auf einen WAN-Port weiterleitet und zudem auch korrekt via masquerade NATtet. Die Firewall im Vigor muss natürlich auch so konfiguriert sein, dass das Gast-Subnetz bzw. -VLAN überhaupt ins Internet darf.

Du musst eben Stück für Stück den Weg verfolgen. Die Daten müssen also vom Gast-Endgerät erstmal zum Gast-Gateway (vermutlich 192.168.3.1) und von dort dann eben an WAN1/2. Die Antwort nimmt dann denselben Weg wieder zurück.

 

[Noxrider]

Okay, nehmen wir an die Standleitung (WAN1) besitzt ein Gateway von 194.xxx.xxx.xxx und das Gäste Wlan Gateway ist 192.168.3.1 muss ich dann eine statische Route von 192.168.3.1 zu 194.xxx.xxx.xxx definieren?

 

[martinallnet]

Hier sollte eine Masquerade-Regel ausreichen, hat es zumindest für das getrennte Management-Netz an meinem MikroTok Routerboard.

 

[Noxrider]

Ich werd mir das am Montag nochmal anschauen. Selbst nachdem ich eine statische Route aus dem 192.168.3.0 Netz ans Wan1 Gateway gesetzt habe ging es nicht. Eine Inter Lan Route geht, aber das will ich ja nicht sollen ja getrennte netze sein.

 

[Ic3HanDs]

Bekommen deine Clients in dem Gast-Netz denn neben der IP auch ein Gateway sowie DNS Server?
Normalerweise sollte es reichen wenn dein Router eine Default Route hat und alle Netze kennt (Lan & Gast) und eben für jedes Netz das Gateway stellt.

 

[Datax]

Wie ist denn der genaue aktuelle Stand bei deinem Vorhaben?

Habe es bisher so verstanden, dass die Clients aus dem Gastnetz (noch) nicht ins Internet kommen.

Ist das richtig?

Dazu könntest du einmal folgendes überprüfen:

1. Bekommt ein Client aus dem Gastnetz eine korrekte IP-Konfiguration?
Spricht, bekommt er eine IP-Adresse + Subnetzmaske + Gateway aus dem 192.168.3.0/24er-Netz per DHCP?
Falls ja, dann ist hierbei schon mal alles in Ordnung. Falls nicht, dann solltest du die Konfiguration des
DHCP-Servers für das Gastnetz auf dem Vigor-Router überprüfen. Natürlich kannst du hier auch
übergangsweise mit einer manuell vergebenen IP-Konfiguration am Client arbeiten und dich später um die Konfiguration des DHCP-Servers kümmern.

2. Falls der Client eine passende IP-Konfiguration bekommt, dann wäre die nächste Frage, ob der Client sein Gateway (vermutlich dann die 192.168.3.1) erreichen kann oder nicht. Das könntest du mit dem ping-Befehl überprüfen (ping 192.168.3.1 per Eingabeaufforderung bzw. CMD).

3. Falls das Gateway auf den Ping-Befehl antwortet, dann ist dieses schon mal erreichbar. Dann könntest du einmal überprüfen, ob du eine IP-Adresse im Internet per Ping-Befehl erreichen kannst. Du könntest dazu beispielsweise die 8.8.8.8 anpingen (ein DNS-Server von Google). Bekommst du eine Antwort von der 8.8.8.8 zurück oder nicht? Falls keine Antwort zurück kommt, dann könntest du mal die 192.168.2.1 anpingen. Falls diese nicht antwortet dann kann es sein, dass dein Vigor-Router das Gastnetz nicht per Masquerading (NAT) mit seiner eigenen IP-Adresse aus dem 192.168.2.0/24er-Netz maskiert. Dann müsstest du also mal schauen, ob in den Masquerading/NAT-Einstellungen des Vigor-Routers das Gastnetz auf die IP-Adresse des Vigor-Routers im 192.168.2.0er-Netz nattet.

Wenn du es geschafft hast, dass die 192.168.2.1 (der Speedport-Router) antwortet, dann könntest du erneut testen, ob du Webseiten aufrufen kannst. Falls das immer noch nicht geht, dann überprüfe mal die DNS-Auflösung, also ob du beispielsweise per "nslookup www.google.de" die entsprechende IP-Adresse geliefert bekommst. Falls die DNS-Auflösung nicht funktioniert, dann auch mal die Konfiguration des DNS-Proxys auf dem Vigor-Router überprüfen.

4. Natürlich sollte auch an ggf. vorhandene Firewall-Funktionen des Vigor-Routers gedacht werden. Für den Aufruf von Webseiten müssen zumindest die TCP-Ports 80 und 443 in Richtung Internet für das Gastnetz erlaubt sein. Außerdem sollte der DNS-Proxy des Vigor-Routers Anfragen aus dem Gastnetz entgegennehmen (akzeptieren) und entsprechend auch verarbeiten und beantworten, damit die Clients aus dem Gastnetz die Hostnamen von Servern im Internet auflösen können.

Gruß, Datax

 

[Noxrider]

Danke für deine Mühe! Ich werde die Schritte mal so abarbeiten und sehen was dabei rauskommt.

 

[Noxrider]

Der Client bekommt das richtige Gateway nämlich die 192.168.3.1, sowie eine IP-Adresse 192.168.3.11 (DHCP) allerdings kann ich das Gateway nicht pingen.

 

[Noxrider]

 

[Raijin]

Bitte mal folgende Kommandos ausführen und hier posten:

1) ping 192.168.3.1
2) ping 8.8.8.8
3) tracert 8.8.8.8

 

[Noxrider]

So sieht das ganze aus

 

[Raijin]

Tja, dann sieht es so aus als wenn etwas mit dem (V)LAN nicht so ganz stimmt. Wenn das Gateway schon nicht erreichbar ist, dann man natürlich auch dahinter nichts erreichen. Theoretisch könnte es zwar sein, dass der Vigor einfach nicht auf Pings reagiert, aber offenbar routet er ja auch nicht korrekt. Ich tippe daher stark auf die VLAN-Konfiguration.

 

[Noxrider]

Tja, dann sieht es so aus als wenn etwas mit dem (V)LAN nicht so ganz stimmt. Wenn das Gateway schon nicht erreichbar ist, dann man natürlich auch dahinter nichts erreichen. Theoretisch könnte es zwar sein, dass der Vigor einfach nicht auf Pings reagiert, aber offenbar routet er ja auch nicht korrekt. Ich tippe daher stark auf die VLAN-Konfiguration.

bin das VLAN nochmal durchgegangen und finde da keinen Fehler. Und wenn ich im 192.168.1.0 Subnetz bin kann ich den Vigor (192.168.1.1) anpingen