Router für VLANs nutzen. Ideen?

[mrtimN]

Erstmal ein Hallo an alle Leser.

Ich möchte zusätzlich zum Internen-WLAN ein Gast-WLAN einrichten.

Hardware:
Router: Cisco 871-SEC-K9
Switche: Netgear GS748TS (nur Layer 2)
Access Point: Cisco AP541N-A-K9

Zur Struktur:


Momentan besteht keine VLAN-Struktur und alles läuft über den Switch, sprich, 1 LAN, wo jeder jeden pingen kann. Das WLAN hängt da auch drin.
Für Gäste soll aber auch ein Internetzugang bestehen. Wichtig ist dabei jedoch, dass diese nicht(!) in die Netzwerkstruktur sehen können. Daher soll das Netz in dem Standard VLAN (VLAN1) bleiben und für das Gast-WLAN ein 2. VLAN (VLAN 10) erstellt werden.

So sollte das ganze dann aussehen:


Mit dem Switch wird das aber nicht gehen, da der ja kein Layer 3 kann. Somit also auch keine DHCP Requests aus VLAN 10 zum DHCP Server in VLAN 1 weitergeben kann.
Ist es möglich, dass ich den Router dafür nutzen kann? Bzw habt ihr eine Idee wie ich das ganze bewerkstelligen kann?

Noch wichtig zu erwähnen ist, dass die physische Anordnung der Komponenten erhalten bleiben soll.

Grüße
poisoniC

 

[SymA]

Wäre das einfachste nicht eine Fritz!Box zu nehmen die die Option für Gaste-WLan an Bord hat? Wäre der einfachste Weg

 

[mrtimN]

Ich würde das ganze gern mit der bestehenden Infrastruktur und ohne eine Fritz!Box machen.

 

[Quafe]

mhh vielleicht einfach die Gäste direkt auf dem runter der am Modem ist zu greifen lassen und von da aus den Rest sperren,

 

[DonConto]

Vergiss den Fritzbox Kram. Du hast nen Haufen cooles Zeugs. Da kann man einige schöne Sachen mit machen und man lernt was dabei ;-)

Deine Lösung sollte auch mit deiner Hardware funktionieren. Wenn du zwischen Switch und Router trunkst, kannst du entweder auf dem Router einen DHCP laufen lassen (man kann für jedes VLAN einen DHCP Pool definieren) oder eben einen Helper eintragen, der an einen anderen DHCP Server verweist.

Das sähe dann eben so aus:
SSID1+SSID2 -> Accesspoint ->Trunk->Switch->Trunk->Router

Edit: Firewall vergessen. Was ist das für eine? Kann die 802.1q?

 

[mrtimN]

@Quafe: Wie gesagt, möchte ich an der Konstellation nichts ändern.

@DonConto: Genau das wollte ich hören.
Wie genau meinst du das mit trunken? Das heißt doch so viel wie mehrere Leitungen bündeln, oder? Ich hab ja nur ein Kabel was vom AP kommt. DHCP auf dem Router fällt flach. Sonst hätte ich ja keinen DHCP-Server. Trage ich den Helper dann auf dem Router ein?

Die Firewall ist eine Fortinet FortiGate 60C. Im Datasheet hab ich auf die schnelle nichts gefunden, dass die 802.1q kann. Denke also eher nicht.

 

[DonConto]

Ich bezeichne als Trunk die Übertragung von mehreren VLANs über eine physische Verbindung - 802.1q eben. Der Begriff Trunk wird auch oft für Channel genutzt, also die Bündelung von mehreren physischen Kabeln. Da hast du recht. Liegt an meinem Cisco Alltag, dass ich Trunk immer nur für die VLAN Bündelung nutze. Alles andere sind für mich Etherchannel :-)

Wenn du einen 802.1q Trunk zwischen Router und Switch konfigurierst, solltest du auf dem Router 2 virtuelle Interface haben. Jedes Interface bekommt dann einen Helper Eintrag (ip helper-address d.h.c.p).

Wieviele Interface hat die Firewall?

Edit: Die Cisco Config müsste in etwa so aussehen. Ich hab grad keinen 871 zur Hand, von daher aus dem Kopf....

conf t
!
int fast0/1.1
encapsulation dot1q 1
description VLAN 1 LANClients
ip address 192.168.1.1 255.255.255.0
ip helper-address d.h.c.p
!
int fast0/1.10
encapsulation dot1q 10
description VLAN 10 WLANGastnetz
ip address 192.168.10.1 255.255.255.0
ip helper-address d.h.c.p
!
end
!

VLAN Nummer und IP Adressen sind natürlich nur Beispiele

 

[mrtimN]

Ok, das hab ich so weit verstanden. Das hilft mir auf jeden Fall schonmal weiter. Dankesehr.

Meinst du mit Interface auf der Firewall einfach die LAN-Schnittstellen? Wenn ja, dann sind das 5. Hier noch ein Bild:

 

[DonConto]

Die sah mir recht professionell aus. Da habe ich direkt mal geschaut und laut diesem PDF (http://www.fortinet.com/sites/default/files/productdatasheets/FGFWF60C_DS.pdf) kann sie es. Somit würde ich die VLANs auf der Fortigate verrouten. Dort kannst du dort auch prima ein Regelwerk definieren. Den Ciscorouter würde ich dann nur noch als NAT Router für's Internet nehmen.

Viel Spaß beim Frickeln :-)

 

[mrtimN]

Vielen Dank.

Wo erstelle ich dann die VLANs? Auf der Firewall direkt? Und dann Firewall -> Trunk -> Switch -> Trunk -> Access Point -> SSID1 + SSID2?
Die IP-Adressbereiche auf der Firewall festlegen und den Helper konfigurieren. Und dann einen neuen Scope auf dem DHCP-Server anlegen, wo der Helper dann draufguckt. Liege ich da soweit richtig?

 

[DonConto]

Die VLANs musst du schon auf allen Geräten anlegen. Rest vom Posting sollte so passen. Einen Helper kannst du dir natürlich für das Segment sparen, in dem der DHCP Server steht. Sonst wird der doppelt angefragt. Schau mal nach ob die Forti Helper kann. Sonst müssen wir das anders machen.

 

[mrtimN]

Ja gut, das ist mir klar. Meinte das eher im Zusammenhang mit der Adressierung.
Ich hab in der Doku nichts explizites gefunden, dass sie Helper/Relay unterstützt.

 

[mrtimN]

Ich hab nochmal genauer nachgesehen, weil ich mir nicht vorstellen konnte, dass die das nicht kann. Laut dieser Doku kann sie es. http://docs.fortinet.com/fgt/archiv...0050909_FortiGate-60_Administration_Guide.pdf (Seite 83)