Realisierung mehrer WLAN SSID mit eigenem Ethernet

Started by ole, May 06, 2020, 09:32:27 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
May 09, 2020, 10:36:23 PM #15 Last Edit: May 09, 2020, 10:51:48 PM by hkp
Also wenn dein Zyxel so ähnlich parametriert wird wie mein Netgear (Bezeichner in deiner Tabelle sind quasi gleich), dann dürfte das so gar nicht konfigurierbar sein. Du hast bei allen Ports als PVID =1, d.h. alle ungetaggten Pakete, die in den Switch reingehen, erhalten als Tag die 1 (VLAN1 zugeordnet). Es gibt (zumindest bei mir) pro Port genau 1 Möglichkeit, ungetaggte Pakete zu taggen: mit der PVID. Port 12 zB kann danach gar nicht ungetaggt in VLAN20 sein.
Der Trunk-Port leitet einfach ALLE VLANs weiter, Ports mit E sind dagegen NICHT in allen VLANs und würden getaggte "fremde" Pakete einfach droppen.
May 10, 2020, 06:28:20 PM #16
Mit Zyxel's Doku zu VLAN  habe ich mich nicht mir Ruhm bekleckert - das Manual hatte ich aber zuvor gefunden.

OK, nächster Versuch:



jetzt sollten zB. am Port 14 des Switch alle intern mit 30 getaggten und gerouteten Packete untagged den Switch verlassen (bzw. umgekehrt). Würde jetzt für das Netz DHCP funktionieren wäre alles gut - aber mein Client bekommt dort keine IP und hat entsprechend kein INet....

Irgendwo habe ich noch einen Knoten ...

Ungetaggte Packete bekommen durch die PVID = 1 am Port{1,3,4} automatisch die VLAN 1. Damit schieße ich mich nicht selber ab - vorher ging es ja ohne VLAN auch so. Das Management Net/VLAN ignoriere ich erst'mal bis es mit den 20er und 30er funktioniert.

Bzgl. Port 4 (Unifi AP) bekommen alle ungetaggten intern VLAN1 (da PVID=1) Zugehörigkeit, alle mit 20 und 30 getaggten Packete behalten ihre Tags und kommen so am Port rein/raus.

Der opnsense Port ist Trunk und arbeitet alle VLANS und ungetaggten Packete ab.

Quote from: hkp on May 09, 2020, 10:36:23 PM
Also wenn dein Zyxel so ähnlich parametriert wird wie mein Netgear (Bezeichner in deiner Tabelle sind quasi gleich), dann dürfte das so gar nicht konfigurierbar sein. Du hast bei allen Ports als PVID =1, d.h. alle ungetaggten Pakete, die in den Switch reingehen, erhalten als Tag die 1 (VLAN1 zugeordnet). Es gibt (zumindest bei mir) pro Port genau 1 Möglichkeit, ungetaggte Pakete zu taggen: mit der PVID. Port 12 zB kann danach gar nicht ungetaggt in VLAN20 sein.

Ich hänge mal die Bilder von den Einstellungen mit ran, evtl. habe ich auch die Tabelle falsch erstellt:



Aktueller Stand ist also, das Clients (PC) an Port 10, 12, 14 keine IP bekommen.
May 11, 2020, 10:08:57 AM #17
Hast du auf deinen VLAN Interfaces in der OPNsense den DHCP Server enabled und parametriert?
May 11, 2020, 06:05:48 PM #18
ja, DHCP ist für alle VLAN aktiviert (inzwischen habe ich VLAN10 - Management - auch aktiviert).



Die anderen Felder sind on default, dort habe ich nichts geändert.
May 11, 2020, 09:18:57 PM #19 Last Edit: May 12, 2020, 09:08:40 PM by ole
wie ich gerade gesehen habe, stimmt die Switch Portbelegung in der Tabelle nicht mit der Realität überein - ich melde mich nochmal. Sorry, aber der Zyxel hat eine un-intuitive Nummerierung und steht im Schatten ...

Ziemlich dämlich von mir - jetzt bekommen zumindest im WiFi die Clients in beiden VLAN eine IP, wenn auch kein Internet wegen der Rules. Das kommt dann hoffentlich morgen. Die Switch Ports {10,12,14} probiere ich morgen, da der andere PC okkupiert ist ...

Edit: DHCP klappt auch an den anderen Switch Ports. Da habe ich mich nicht mit Ruhm bekleckert - Sorry.

Vom PC Client geht Ping auf die Gateways 192.168.{10,20,30}.1, aber nur von dem Guest VLAN30 komme ich in das Internet. Die anderen beiden Netze scheinen aber DNS Auflösung zu haben - nslookup www.github.com gab eine public Addresse zurück. Auch erreiche ich vom VLAN20 nicht mehr meinen Docker Server. Das gleiche trifft auch auf die WLAN Clients zu. Igendwie muss ich ja auch den Zugriff auf opnsense begrenzen, aber die anderen Docker/Server zugänglich machen. Welche regel fehlt da?


Print
Go Up Pages 1 2
User actions