ComputerBase Menü
Aktuelles

VLan routing über unmanaged Switch

M

McBigBeer

Cadet 1st Year
Registriert
Juni 2022
Beiträge
12
Hi zusammen,

ich habe mir für unser Haus einen managed L2 Switch besorgt, da ich gerne perspektivisch VLans einrichten möchte für Iot-Geräte, Gäste und allgemein. Ist auch eher eine Spielerei aus Interesse als wirklich erforderlich.

Meine Geräte sind von TP-Link und werden über einen Omada SW-Controller gemanaged.

Hardware:
2x POE Access point (managed) - TP-Link EAP653
1x POE Switch (unmanaged) - TP-Link TL-SF1009P
1x L2 Switch (managed) - TP-Link TL-SG3428

Aufbau:
Access points --> Poe Switch --> L2 Switch

Problem:
Wenn ich ein V-Lan einrichte und dieses auf eine WLan SSID anwende, dann bekommen die Geräte nicht die IP-Adresse aus dem VLan DHCP Server sondern eine 164.xxx.xxx.xxx.

Vermutung:
Der unmanaged POE switch kann keine getaggten Pakete an die APs senden und daher funktioniert mein VLan über WLAn nicht.
Sobald ich die SSID ohne VLan betreibe funktioniert alles.

Liege ich mit meiner Vermutung richtig?
Wenn ja kann ich zwei POE Injektors für die APs verwenden oder brauche ich einen kleinen managed POE Switch?
 
Ich halte das für eher unwahrscheinlich. Auch die "nicht getaggten" Ethernetpakete haben ja ein VLAN Tag, es ist nur auf dem Default Tag. Ich hab hier auch ein Setup laufen, wo Pakete mit VLAN Tags über einen unmanaged Switch (TP-Link TL-SG116) laufen, und das geht problemlos.
 
Hi,
Das ist korrekt, der Switch wo die APs angeschlossen sind muss VLAN fähig sein, du muss die Ports wo die APs angeschlossen sind entsprechend Taggen damit deine Konfiguration funktioniert. Du kannst die APs mit einem POE Adapter an deinen Managed Switch anschließen und dort die Ports Taggen dann gehts.
 
Mal abgesehen vom VLAN Tagging:
Kennt denn dein DHCP Server die unterschiedlichen IP Netze und werden die unterschiedlichen VLANs auch zum DHCP Server transportiert oder über Helper Adressen dorthin geschickt?
 
McBigBeer schrieb:
Der unmanaged POE switch kann keine getaggten Pakete an die APs senden und daher funktioniert mein VLan über WLAn nicht.
Zum Vergrößern anklicken....
Es gibt leider solche und solche "dummen" Switche. Siehe auch hier (vor allem die Antwort von Robert5205):
https://community.spiceworks.com/topic/1952011-vlan-tagging-through-unmanaged-switch

Ansonsten ist der Hinweis von @DonConto auch sehr spannend. Bist du dir denn sicher, dass DHCP mit VLANs überhaupt sauber funktioniert? Ggf. mal nen Rechner an den "dummen" Switch klemmen und mit tcpdump die Pakete anschauen, die da durchrauschen. VLAN Tags sollten sich mit tcpdump recht bequem anzeigen/filtern lassen.
 
Das_Ubel schrieb:
Das ist korrekt, der Switch wo die APs angeschlossen sind muss VLAN fähig sein
Zum Vergrößern anklicken....
Nee, es reicht auch, wenn der AP VLAN fähig ist, und verschiedene VLANs auf verschiedene SSIDs mappen kann. So haben wir es im Büro mit unseren APs. Und die Switche dazwischen wissen nichts von VLAN, nur der Router.
 
Auch der Switch wo die APs angeschlossen sind ? das wäre mir neu. Wenn das geht aber sehr interessant.
 
Naja, warum soll der Switch, an dem die APs angeschlossen sind, mit VLANs arbeiten? Wenn er die Pakete untaggen soll, dann müsste er ja port-based arbeiten, was dann bedeutet, man müsste mehrere Kabel vom Switch zum AP ziehen, für jedes VLAN und jede SSID eins. Mir ist kein AP bekannt, der das so macht. Spätestens ab 3 VLANs gehen den meisten APs auch die Anschlüsse aus.

Aber ich kenne diverse APs, u.a. von TP-Link, die getaggte Pakete entgegennehmen, und dann auf die SSIDs verteilen können. Die Switche brauchen dafür keine besondere Konfiguration, denen kann das VLAN Tag egal sein, da sie die Pakete rein auf Basis der MAC Adressen weiterleiten. So ein AP ist aus Sicht der Netzwerk-Topologie ja nur ein drahtloser Switch.
 
Also gängig ist für mich nur, dass auf den APs mehrere VLANs angelegt werden. Das VLAN, in dem der AP seine IP erhalten soll, wird ungetagged gesetzt, alle anderen tagged. Das Gleiche gilt für den Switch-Port, über ein Kabel versteht sich. In jedem mir bekannten Unternehmen ist das eine Standardkonfiguration. Ich halte es auch aus Sicherheitsgründen nicht für sinnvoll, wenn dann ein unmanaged Switch wild alle VLANs durchlässt. So geht auch der Sinn der Netzwerktrennung verloren
 
DonConto schrieb:
Mal abgesehen vom VLAN Tagging:
Kennt denn dein DHCP Server die unterschiedlichen IP Netze und werden die unterschiedlichen VLANs auch zum DHCP Server transportiert oder über Helper Adressen dorthin geschickt?
Zum Vergrößern anklicken....
Das ist eine gute Frage,
um ehrlich zu sein habe ich mich auch schon gefragt wie das grundsätzlich funktioniert oder ob ich dafür noch ein Omada Gateway benötige und es deshalb nicht funktioniert.

Aber es scheint hier ja jetzt zwei Meinungen zu geben, dass der POE-Switch entweder die VLan Tags einfach mit durchschleift oder eben nicht.
 
Das_Ubel schrieb:
Ich halte es auch aus Sicherheitsgründen nicht für sinnvoll, wenn dann ein unmanaged Switch wild alle VLANs durchlässt.
Zum Vergrößern anklicken....
Naja, was heißt "wild alle VLANs durchlässt"? Er schickt die Pakete zu dem Port, hinter dem die entsprechende MAC Adresse wartet, also in dem Fall ausschließlich zum AP und nirgendwo anders hin. Es sei denn, die entsprechende VLAN ID wird auch noch von Geräten an anderen Ports genutzt, aber dann müsste man auch bei managed Switches dafür sorgen, dass der Port die Pakete durchlässt.

Außerdem sind wir hier in einem Heimnetz. Die sind die Anforderungen vielleicht nicht ganz so hart. Bemerkenswert ist hier halt, dass es nicht funktioniert. Ich hab gerade noch mal einen Test auf meinem NAS und zwei Raspis gemacht. Auf dem NAS zwei virtuelle Interfaces mit VLAN Tags eingerichtet, und auf den Raspis jeweils ein Gegenstück. Die Pakete müssen dabei einmal an zwei Switches vorbei, und einmal an 2 Switches und einer Fritzbox. Kein Problem, die Pakete erreichen immer genau ihr Gegenüber, wie geplant. Andere Knoten im Netz an den Switches sehen nichts von den Paketen (mit tcpdump bzw. Wireshark getestet). Also alles so, wie erwartet.
 
Also ich finde das sehr spannend und werde es definitiv auch mal ausprobieren.ich danke für den Input.
 
Wie ein unmanaged Switch mit VLAN-Tags umgeht ist nicht wirklich definiert. Es kann sein, dass er die Pakete ungesehen weiterleitet, inkl. Tag, aber es kann ebenso sein, dass er sie als ungültig verwirft. Man muss es mit jedem unmanaged Switch ausprobieren und wenn's klappt, dann klappt es, aber wenn nicht, dann eben nicht. Prüfen kann man das ggfs mittels WireShark.

Um auf der sicheren Seite zu sein, empfiehlt es sich natürlich, dass jeder Switch, der mit getaggten VLANs konfrontiert wird, selbst auch mit VLANs umgehen kann. Ansonsten bleibt eben nur Trial'n'Error.


McBigBeer schrieb:
Access points --> Poe Switch --> L2 Switch
Zum Vergrößern anklicken....
Nur der Form halber: Alle Switches sind Layer2, weil das nun mal die MAC-Ebene ist, auf der Switches schließlich arbeiten. Unmanaged Switches sind also stets L2 und etwas fortgeschrittene Switches mit ein bischen VLAN pipapo nennt man meistens L2+ Switches, auch wenn das keine offizielle Bezeichnung ist. L2+ aber deswegen, weil sie einen Zwischenschritt zu vollwertigen Layer3-Switches darstellen, welche neben Switching eben noch rudimentäres Routing beherrschen.

Wie sich der hier verwendete PoE-Switch - ein 08/15 L2-Switch - verhält, wenn er VLAN-Tags ausgesetzt wird, lässt sich Stand jetzt nicht beurteilen, weil meines Erachtens noch gar nicht sichergestellt ist, dass die VLANs überhaupt funktionieren. Ich würde daher erstmal das VLAN-Setup des TL-SG3428 allein prüfen.

Das heißt:

  • Port 1-10 = VLAN 10 untagged
  • Port 11-20 = VLAN 20 untagged
  • Entweder SG3428 = 2x DHCP oder an Port 1 bzw. 11 jeweils einen DHCP-Server anschließen
  • Laptop zB an Port 5, ipconfig /all --> gucken ob die richtige IP gezogen wurde
  • Laptop zB an Port 15, ipconfig /all --> gucken ob die richtige IP gezogen wurde
  • Port 21-24 = VLAN 10+20 tagged
  • AP an Port 21 --> SSID für VLAN 10 und SSID für VLAN 20
  • WLANs testen --> ipconfig /all
  • AP raus, PoE-Switch an Port 21, AP an PoE-Switch --> WLANs testen
 
McBigBeer schrieb:
Das ist eine gute Frage,
um ehrlich zu sein habe ich mich auch schon gefragt wie das grundsätzlich funktioniert oder ob ich dafür noch ein Omada Gateway benötige und es deshalb nicht funktioniert.
Zum Vergrößern anklicken....
Ich weiß nicht was das Gateway kann oder macht weil ich die Geräte nicht kenne. Aber du hast ja im Prinzip zwei unabhängige Netze und wenn dein DHCP Server nur in einem davon hängt, dann bekommen Clients aus dem anderen VLAN eben keine IP. Völlig egal was der Switch nun mit den Markierungen macht oder nicht - dein DHCP Server (was i.d.R. dein Router btw Gateway ist) muss ja beide VLANs/Netze versorgen können.

McBigBeer schrieb:
Aber es scheint hier ja jetzt zwei Meinungen zu geben, dass der POE-Switch entweder die VLan Tags einfach mit durchschleift oder eben nicht.
Zum Vergrößern anklicken....
Das mit dem DHCP ist ja unabhängig davon. Ja, es gibt Switche, die die markierten Pakete einfach durchlassen und es gibt wohl welche, die die Markierungen entfernen. Und es dürfte davon abhängen ob das Default VLAN genutzt wird oder nicht.
 
Langfristig scheint mir der TL-SF1009P sowieso keine gute Lösung zu sein, weil die zwei APs damit mit nur 100 Mbit/s an den Rest des Netzes angeschlossen sind und das zwei WiFi 6-APs doch schnell ausbremst. Ein TP-Link TL-SG100 würde als Ersatz reichen und der kann sicher mit VLANs umgehen.

riversource schrieb:
Auch die "nicht getaggten" Ethernetpakete haben ja ein VLAN Tag, es ist nur auf dem Default Tag.
Zum Vergrößern anklicken....
Das muss nicht so sein. Ist das Paket wirklich "untagged" hat es auch keinen VLAN-Header.
 
  • Gefällt mir
Reaktionen: Raijin
TheCadillacMan schrieb:
Langfristig scheint mir der TL-SF1009P sowieso keine gute Lösung zu sein, weil die zwei APs damit mit nur 100 Mbit/s an den Rest des Netzes angeschlossen sind und das zwei WiFi 6-APs doch schnell ausbremst.
Zum Vergrößern anklicken....
Da bin ich voll bei dir. Ich bin sogar der Meinung, dass FastEthernet Switches endlich mal vom Markt verschwinden sollten. Selbst wenn 100 Mbit/s im Einzelfall ausreichen mögen, beraubt man sich damit der Möglichkeit, doch mal schnellere Geräte anzuschließen, mit oder ohne PoE.


TheCadillacMan schrieb:
Das muss nicht so sein. Ist das Paket wirklich "untagged" hat es auch keinen VLAN-Header.
Zum Vergrößern anklicken....
Jep, genau das ist das Problem. Das VLAN-Tag fügt 4 Byte zum Ethernet Frame hinzu. Auch wenn diese aus Sicht eines "dummen" Switches im Datenbereich des Frames liegen, also hinter der für den Switch relevanten Destination MAC und Source MAC, kann es eben sein, dass der überlange Frame verworfen wird.

Man kann jetzt vortrefflich darüber diskutieren ob das so richtig ist oder nicht, aber zumindest mir ist kein Standard geläufig, der klar definiert wie in so einem Falle vorzugehen ist. Ich könnte mir beispielsweise vorstellen, dass es auch mit Jumbo-Frames zusammenhängt. Also dass jene Switches, die eben Jumbo-Frames unterstützen, auch mit den 4 extra Byte von VLAN-Frames umgehen können. Gegen diese Theorie spräche, dass der hier thematisierte TL-SF1009P Jumbo-Frames bis 2k unterstützt. Wenn....

.. das aktuelle VLAN-Setup denn überhaupt korrekt eingerichtet ist. Womöglich kann der PoE-Switch bei korrekter Konfiguration des TL-SG3428 nebst DHCP und allem pipapo sogar die VLAN-Tags durchreichen, aber weil da vielleicht in der Konfiguration irgendwas nicht passt, kommen bei ihm unter Umständen gar keine VLAN-Tags an, die er weiterleiten könnte... Deswegen sollten die VLANs zunächst einmal ohne den PoE-Switch getestet werden, um überhaupt die Grundfunktionalität des Setups sicherzustellen.
 
  • Gefällt mir
Reaktionen: TheCadillacMan
Danke für die vielen Antworten!
Ich werde es mal so ausprobieren wie von dir beschrieben Raijin.


Bezüglich des "TP-Link TL-SG108PE" hatte ich mich damals für den Fast Ethernet Switch entschieden, da ich eigentlich alle schnellen Geräte im Haus über Gigabit LAN angebunden habe und die APs eigentlich nicht viel liefern müssen. Mein dummer Switch hat nämlich 8 PoE Ports und ich habe noch 4 Netzwerkkameras angeschlossen. Also 6 Geräte insgesamt, da war ich dann für den Speed tradeoff bereit.

Aber sonst hole ich mir den Gigabit POE Switch einfach dazu ^^, falls es wirklich am Switch liegt und nicht an meiner Konfiguration.
 
McBigBeer schrieb:
Bezüglich des "TP-Link TL-SG108PE" hatte ich mich damals für den Fast Ethernet Switch entschieden, da ich eigentlich alle schnellen Geräte im Haus über Gigabit LAN angebunden habe und die APs eigentlich nicht viel liefern müssen.
Zum Vergrößern anklicken....
Wenn die APs "nicht viel liefern müssen" hätten es auch zwei SingleBand-APs mit Wifi 4 getan, weil die APs ja nicht nur selbst am Switch auf 100 Mbit/s beschränkt sind, sondern sich den 100 Mbit/s Uplink des Switches auch noch mit dem anderen AP teilen müssen.

Nicht ohne Grund werden einige Wifi 6 APs wie zB der EAP670 (ein Modell höher als deine) schon mit 2,5 Gbit/s Ports ausgestattet, weil sie durchaus das Potenzial haben, 1 Gbit/s auslasten zu können.


McBigBeer schrieb:
Aber sonst hole ich mir den Gigabit POE Switch einfach dazu ^^, falls es wirklich am Switch liegt und nicht an meiner Konfiguration.
Zum Vergrößern anklicken....
Das solltest du meines Erachtens auch unabhängig von der Konfiguration tun, weil du sonst nur weitestgehend nutzlose Deko unter der Decke hängen hast. Es rächt sich immer, wenn man zu kurzfristig denkt. Jetzt in diesem Moment hast du vielleicht keinen großen Bedarf an schnellem WLAN, aber das kann sich jederzeit ändern. Da ein Gigabit-PoE-Switch vielleicht 10€ kostet als deiner, ist das einfach eine Milchmädchenrechnung.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

myLooo
Kleines POE Acces Point Netz
Antworten
8
Aufrufe
716
norKoeri
N
D
POE Switch, Patchpanel, Kameraüberwachung
Antworten
11
Aufrufe
710
Raijin
Raijin
H
Extra Fritzbox Netze HINTER VLANs (Zugangsart "Anderer Internetanbieter) - (smart) managed Switch
Antworten
10
Aufrufe
755
norKoeri
N
R
Kein Inter VLAN Routing über Wifi
Antworten
10
Aufrufe
817
RobinGL
R
Bene
Kaufempfehlung 24 Port Switch mit POE
Antworten
13
Aufrufe
1.517
norKoeri
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz