VLAN für AccessPoint (pfSense)

[manu24078]

Hallo zusammen!


Ich nutze einen pfsense Router (default Einstellungen) sowie einen TPLink SG108e (manged) Switch auf welchem bereits ein AccessPoint angesteckt ist und mit den default Einstellungen per DHCP Adressen im Bereich 192.168.31.10 - 192.168.31.191 vergibt. Ich möchte nun einen zweiten AccessPoint welcher auf Port 8 vom Switch angeschlossen ist verwenden und per DHCP Adressen im Bereich 192.168.20.10 - 192.168.20.191 an die verbunden Geräte vergeben. Ich habe dafür ein Interface auf der pfsense eingerichtet welches den VLAN TAG 20 besitzt und dafür eigentlich nur die Schnittstelle aktiviert sowie eine fixe IP 192.168.20.1 /24 vergeben. Danach habe ich für das Interface einen DHCP Server welcher ebenfalls wieder aktiviert wurde erstellt und eine Address Pool Range von 192.168.20.10 - 192.168.20.191 angegeben.


Am Switch (TL-SG108E) habe ich folgende Einstellungen vorgenommen:
802.1Q VLAN - VLAN ID 20 Member Ports 8(AccessPoint) und 5(pfSense) Tagged, alle anderen Untagged.

Auf dem AccessPoint habe ich soweit nicht wirklich etwas geändert, also auf "Smart IP(DHCP)" eingestellt gelassen- dieser sollte ja per DHCP die Adresse bekommen.

Sollten diese Einstellungen soweit reichen dass der AccessPoint auf Port 8 eine 192.168.20.XXX Adresse bekommt oder liege ich
damit komplett falsch? In meinem Fall erhält dieser nämlich nach wie vor eine IP Adresse im Bereich des Default VLAN's (192.168.31.XX).

Danke fürs Lesen und die evtl. Hilfe

 

[der-graph]

Hallo, du musst den Port 8, an dem der AP hängt, auf untagged für VLAN 20 setzen, sofern du mittels AP-Konfiguration nicht auf tagged Pakete reagierst. Der Switch entfernt dann die Markierung für VLAN 20 und bietet das VLAN 20 (und nur dieses) als unmarkiertes "Netz" am Port 8 an.
Der AP ist damit in diesem VLAN.

Mittels tagged kannst du mehrere VLANs an einem Port haben, aber das Gerät dahinter muss diese auswerten können (zB die pfsense). Ansonsten reagiert es nur auf die untagged Pakete an diesem Port (es geht nämlich auch untagged ein Netz + weitere getagged). Hoffe das hilft dir schon mal.

 

[manu24078]

Hallo der-graph,

danke für die rasche Antwort.

Port 8 ist jetzt auf "Untagged" aber der AP bekommt nach wie vor eine Adresse im .31.XX Bereich.

Würden evtl. Screenshots der Konfigurationen helfen?

 

[Raijin]

Wie ist denn pfSense mit dem Switch verbunden? VLANs müssen natürlich durchgängig sauber konfiguriert werden bis hin zur pfSense, sofern selbige nicht ausreichend physische Schnittstellen hat.

Spoiler: Beispiel mit physischen Schnittstellen @ pfSense

TL-SG108E
+-(P1 @ VLAN 10 U)----- (eth0 ohne VLAN) pfSense mit DHCP für Subnetz#1
+-(P2 @ VLAN 10 U)----- Gerät in Subnetz#1
+-(P3 @ VLAN 20 U)----- (eth1 ohne VLAN) pfSense mit DHCP für Subnetz#2
+-(P4 @ VLAN 20 U)----- Gerät in Subnetz#2
...
U = untagged

Spoiler: Beispiel mit VLANs @ pfSense

TL-SG108E
+-(P1 @ VLAN 10+20 T)----- (eth0 @ VLAN 10+20 T) pfSense mit DHCP für Subnetz#1 und #2
+-(P2 @ VLAN 10 U)----- Gerät in Subnetz#1
+-(P3 @ VLAN 20 U)----- Gerät in Subnetz#2
...
U = untagged
T = tagged

Vereinfacht kann man sagen, dass Endgeräte an untagged Ports angeschlossen werden und Geräte der Infrastruktur, die ihrerseits mit VLANs umgehen können, um sie weiterzuleiten (zB weiterer VLAN-Switch oder ein VLAN-AP) an tagged Ports hängen. Ich empfehle die Lektüre der recht anschaulich erklärten VLAN-Grundlagen.

 

[manu24078]

Hallo Raijin,

danke für die Antwort.

Die pfSense ist in meinem Fall eine Zotac ZBOX mit 2x LAN Anschlüssen wofür einer für das WAN Interface und einer für das LAN Interface (Switch) genutzt wird.

Ich werde mir noch einen Blick in die "VLAN-Grundlagen" gönnen, anscheinend bin ich wirklich noch etwas zu grün hinter den Ohren für diese Konfig

 

[Raijin]

Dann wäre Variante 2 der Weg, den du gehen musst. Wenn der AP ebenfalls VLANs unterstützt und für jedes eine eigene SSID verteilen soll, musst du ihn an einen Switch-Port anschließen, der ebenso konfiguriert ist wie der Port zur pfSense, also mit allen VLANs tagged.

Die pfSense ist in meinem Fall eine Zotac ZBOX mit 2x LAN Anschlüssen wofür einer für das WAN Interface und einer für das LAN Interface (Switch) genutzt wird.

Als Router sind Modelle mit 3 oder mehr Netzwerkschnittstellen besser geeignet, wenn man mehrere lokale Netze aufbauen möchte. Bei zwei VLANs und mäßigem Traffic ist das noch ok, aber wenn's mehr wird, kann der physische Port an seine Grenzen kommen, weil sich die VLANs den Port letztendlich teilen müssen.

 

[norKoeri]

WLAN-Access-Point

Welcher überhaupt (Hersteller, Modell)? Manche bieten Multi-SSID bzw. direkt VLAN-Unterstützung, d.h. Du müsstest im Switch gar nicht erst die Tags entfernen.

TP-Link SG108e

Bei vielen Switchen ist auch einfach die Bedienung so grauenvoll, dass es ein Ratespiel ist. Anstatt groß in etwas hineinlesen, würde ich Port-Mirroring anwerfen und mit Wireshark überprüfen (und solange herumklicken, bis es passt). Oder direkt einen Switch nehmen, mit ordentlicher Web-Oberfläche … also den Zyxel GS1200-8. Brauchst Du Stromversorgung über PoE? Dann wäre das der Zyxel GS1200-8HPv2 …