Gäste-VLAN mit Ubiquiti, Netgear und VF-Station

S

Smarthomie

New member
Hallo,

ich begreife VLANs irgendwie nicht, glaube aber, dass ich damit folgendes Problem lösen kann:
Einige WLAN-Teilnehmer ("Privat") sollen auf das NAS+Internet zugreifen dürfen, andere WLAN-Teilnehmer ("Gast") sollen nur auf das Internet zugreifen dürfen.

Das Netzwerk besteht aus:
1. VF-Station- Internet-Zugang
2. Netgear GS724Tv4 - verbindet VF-Station (Port 1), Ubiquiti-AP (Port 2), NAS (Port 3)
3. Ubiquiti WLAN AP
4. NAS

(Der tatsächliche Setup ist natürlich umfangreicher (Privater Desktop-PC, zwei statt einem AP, Drucker.....), aber für mein Problem möchte ich es exemplarisch einfach halten.)

Der Ubiquiti hat zwei WLANs konfiguriert, denen ich jeweils intern ein "Netzwerk" zugeordnet habe:
1. WIFI "Privat" mit Netzwerk "privat"
2. WIFI "Gast" mit Netzwerk "gast"

Den Netzwerken habe ich in der Ubiquiti-Umgebung jeweils eine VLAN ID zusortiert:
1. "privat" = VLAN ID 1
2. "gast" = VLAN ID 2

Wie muss ich nun die VLAN-Config auf dem Netgear vornehmen, damit die Szenarien oben funktionieren?
1. Unter "Switching->VLAN->Advanced->VLAN Configuration" habe ich zusätzlich zum VLAN 1 noch VLAN 2 angelegt.
2. Unter "Switching->VLAN->Advanced->VLAN Membership" habe ich
2a. zu VLAN ID 1 Port 1-3 auf "U" (untagged) gesetzt.
2b. zu VLAN ID 2 Port 1 und 2 auf "T" (tagged) gesetzt und Port 3 leergelassen.

Wenn ich mich mit meinem Laptop mit WLAN "Privat" verbinde, klappt alles.
Wenn ich mich mit meinem Laptop mit WLAN "Gast" verbinde, sagt er "Verbindung fehlgeschlagen" bzw stellt keine WLAN-Verbindung her.

Was mache ich falsch?
Kann ich mit dem Setup überhaupt mein Ziel erreichen?
Können VLAN 1 und VLAN 2 dasselbe IP-Subnetz verwenden?

Ich freue mich auf Hilfe und Aufklärung!
Danke,
Smart Homie
 
Endgeräte also z.B. Laptops können in der Grundeinstellung nichts mit VLAN-Tags anfangen.
Du musst, wenn Du in das Gästenetz willst, das Laptop in einem Port stecken, der VLAN 2 "u" (untagged) bereitstellt.

VLAN-Tagging wird in der Regel nur von Endgeräten mit erweiterten Einstellungen im LAN-Treiber bzw. aktiven Netzwerk-Komponenten, Switchen, Routern, AccessPoints usw. unterstützt.

Smarthomie schrieb:
Können VLAN 1 und VLAN 2 dasselbe IP-Subnetz verwenden?
Zum Vergrößern anklicken....

Theoretisch können sie das ja; aber dann macht es keinen Sinn. Weil Du dann zwischen beiden VLANs bridgen müsstest und dann hast DU effektiv keine zwei VLANs mehr. :D VLANs trennen das Netz auf Layer 2, da geht man in der Konsequenz auch von einer Trennung aus Layer 3 aus (anderes IP Subnetz).
 
Wie geschrieben, stecke ich den Laptop in keinen Port, sondern verbinde mich über WLAN. Und der Ubiquiti-AP unterstützt ja die Vergabe von VLAN IDs je nach WLAN-SSID.

Zu den IP-Netzes:
Idee ist, dass ich folgende IP-Zuweisung habe:
1. 192.168.0.1 - Internet-Uplink-Router und DHCP-Server
2. 192.168.0.2-192.168.0.99 - DHCP-Pool für alle DHCP-Clients in beiden WLANs
3. 192.168.0.100 - NAS mit fester IP

VLAN ID 1 erreicht somit nur 192.168.0.1-192.168.0.99. VLAN ID 2 erreicht auch 192.168.0.100.
 
Das funktioniert so nicht. Also man kann es hinbekommen, aber das wird nicht das was DU willst.
Einfacher wird es mit getrennten VLANs und getrennten IP-Subnetzen - das ist auch das Vorgehen, das man bei Gastnetzen verwendet.

Beispiel:
VLAN 1 - Heimnetz - 192.168.0.1 - .255
VLAN 2 - Gastnetz - 192.168.2.1 - .255
Du brauchst dann noch einen Router, der zwischen beide Netze zwar ins Internet rauslässt, aber keine "Verbindung" zwischen VLAN 1 und VLAN 2 zulässt.
 
Ist das Problem nicht in ähnlicher Weise wie hier lösbar? Wenn man das Gastnetz vom Router über einen der vier LAN-Anschlüsse herausleiten kann und das Hauptnetz über einen anderen, dann macht der Netgear-Switch das tagging und der Accesspoint empfängt vom Switch getaggte VLANs. Einfach gedanklich die Devolos durch die APs ersetzen, dann sollte sich das Problem doch vergleichbar lösen lassen (die Devolo sollten zwei VLANs durchleiten, hier sollen zwei VLANs von den APs in getrennte WLAN-Netzwerke übergeben werden).
 
Stationary schrieb:
Wenn man das Gastnetz vom Router über LAN herausleiten kann
Zum Vergrößern anklicken....
Dazu habe ich nichts in der Anleitung dieses SoHo-Provider-Routers gefunden; er behauptet zwar ein Gast-WLAN zu können, aber ich habe in der (Kurz-)Anleitung nichts dazugefunden, dass man dieses Gast-WLAN auch auf einem der LAN-Ports mappen könnte. Somit kann man das Gast-WLAN nicht bis zum Ubiquiti AP bringen... sondern nur die VF-Station könnte es aussenden.
 
Barungar schrieb:
Dazu habe ich nichts in der Anleitung dieses SoHo-Provider-Routers gefunden; er behauptet zwar ein Gast-WLAN zu können, aber ich habe in der (Kurz-)Anleitung nichts dazugefunden, dass man dieses Gast-WLAN auch auf einem der LAN-Ports mappen könnte. Somit kann man das Gast-WLAN nicht bis zum Ubiquiti AP bringen... sondern nur die VF-Station könnte es aussenden.
Zum Vergrößern anklicken....
Das ist korrekt. Die VF-Station bietet kein Gast-LAN.
 
Schade, das mit Gäste-LAN ist also eher (zumindest im Homebereich) eine Fritzbox-„Spezialität“.
 
Moinsen,
mal ganz simpel gedacht: wo steht denn deine VF Box als erster Router (mit GastWLAN aber ohne GastLAN)?
Hintergrund meiner Frage:
wenn das (Gast)WLAN der VF Box aus den Alltagsräumen erreichbar (Lage, WLAN Stärke/Qualität) ist, warum dann das Gast WLAN überhaupt über den unifi/ubiquity Router führen? Du kannst doch dann die VF Box das Gast WLAN anbieten lassen, alles hinter dem 2. Router ist dann dein ganz privates Netz (mit ggf. eigenen VLANs). Beide berühren sich dann erst auf der VF Box...und du sparst dir das Gast WLAN bei den "privaten" VLANs komplett...
 
Zuletzt bearbeitet:
the other schrieb:
Moinsen,
mal ganz simpel gedacht: wo steht denn deine VF Box als erster Router (mit GastWLAN aber ohne GastLAN)?
Hintergrund meiner Frage:
wenn das (Gast)WLAN der VF Box aus den Alltagsräumen erreichbar (Lage, WLAN Stärke/Qualität) ist, warum dann das Gast WLAN überhaupt über den unifi/ubiquity Router führen? Du kannst doch dann die VF Box das Gast WLAN anbieten lassen, alles hinter dem 2. Router ist dann dein ganz privates Netz (mit ggf. eigenen VLANs). Beide berühren sich dann erst auf der VF Box...und du sparst dir das Gast WLAN bei den "privaten" VLANs komplett...
Zum Vergrößern anklicken....
Richtige Idee, aber auch richtige Frage. Es geht um ein mehretagiges Haus, in dem es mit zwei Ubiquitis schon in einigen Ecken eng wird.
Zudem möchte ich, nachdem ich das Thema begriffen habe, ein drittes VLAN für alle SmartHome-Geräte nutzen, damit ein verseuchter Windows-PC im privaten LAN mir nicht mein Licht ein- und ausschalten kann.
 
Barungar schrieb:
Das funktioniert so nicht. Also man kann es hinbekommen, aber das wird nicht das was DU willst.
Einfacher wird es mit getrennten VLANs und getrennten IP-Subnetzen - das ist auch das Vorgehen, das man bei Gastnetzen verwendet.

Beispiel:
VLAN 1 - Heimnetz - 192.168.0.1 - .255
VLAN 2 - Gastnetz - 192.168.2.1 - .255
Du brauchst dann noch einen Router, der zwischen beide Netze zwar ins Internet rauslässt, aber keine "Verbindung" zwischen VLAN 1 und VLAN 2 zulässt.
Zum Vergrößern anklicken....

Kannst Du mir noch erklären, warum sich zwei VLAN nicht ein Subnetz teilen können? Letztlich greifen doch Clients beider VLANs auf denselben DHCP-Server meines Internet-Routers zu. Und der weiss nichts von VLANs.
Oder brauche ich für jedes VLAN einen eigenen DHCP-Server?
 
Moinsen,
es sind zwei (virtuell) getrennte Netze, daher haben die dann auch unterschiedliche IP Bereiche. Sonst wäre es ja immer noch EIN Netz.
Der dhcp Server (einer reicht) muss eben die Möglichkeit bieten, auf verschiedenen (virtuellen) Interfaces seinen Dienst zu tun. Also je nach Adressbereich die IP zu verteilen.
So regelt dann ein dhcp server für VLAN 1 zb 192.168.1.0/24, für VLAN 2 zB 192.168.2.0/224 usw. Diese Netze sind zunächst völlig isoliert. Erst durch das Anlegen von Regeln können Zugriffe von zb VLAN 6 auf VLAN 3 ermöglicht werden. Das ist ja die Idee dahinter. ;)
Nachteil: du brauchst einen Router der das kann oder aber einen switch, der Routing auf Layer3 Ebene beherrscht und eben auch mit solchen Regeln (ACLs) zurecht kommen kann.
Mit einer Fritzbox als Router kannst du zB einfach (auch per LAN) zwei getrennte Netze anbieten. Mit der VF box nicht. Da du ja eh schon unifi Produkte hast...die bieten ja durchaus auch so etwas an, also eine Router mit einfacher Firewall (für die Regeln u.a) sowie VLAN-Fähigkeit.
 
Es macht keinen Sinn ein IP-Subnetz über zwei VLANs zu strecken. Das ist "pervers" (!) Ich sagte man kann sowas machen; aber man macht es nicht. Es gibt viele Dinge die man tun kann, die aber keinen sinnvollen Nutzen ergeben. Ein IP-Subnetz über mehrere VLANs ist eines dieser Dinge.
 
Moinsen,
und spätestens dann:
Smarthomie schrieb:
Es geht um ein mehretagiges Haus, in dem es mit zwei Ubiquitis schon in einigen Ecken eng wird.
Zudem möchte ich, nachdem ich das Thema begriffen habe, ein drittes VLAN für alle SmartHome-Geräte nutzen, damit ein verseuchter Windows-PC im privaten LAN mir nicht mein Licht ein- und ausschalten kann.
Zum Vergrößern anklicken....
würde ich eh sagen, schau dich mal langsam nach einem besseren Router um (oder hol dir einen weiteren). Die VF Boxen, die ich bisher bei Bekannten gesehen habe, waren...äh, nunja...super für ne 3 Zimmer Wohnung, nur 3-4 Clients, 1-2 Personen.
Wenn du da mit mehreren Subnetzen arbeiten willst (IoT, Gast, privat, ...), dann kommst du eh nicht weiter mit dem Ding.
Ich bin gerade zu faul, um herauszufinden, ob dein switch auf Layer3 routen kann...gerade für den Anfang ist aber oft eine VLAN fähige Routerlösung angenehmer zur ersten Konfiguration und den ersten Schritten.
jm2c
:)
 
the other schrieb:
Moinsen,
und spätestens dann:

würde ich eh sagen, schau dich mal langsam nach einem besseren Router um (oder hol dir einen weiteren). Die VF Boxen, die ich bisher bei Bekannten gesehen habe, waren...äh, nunja...super für ne 3 Zimmer Wohnung, nur 3-4 Clients, 1-2 Personen.
Wenn du da mit mehreren Subnetzen arbeiten willst (IoT, Gast, privat, ...), dann kommst du eh nicht weiter mit dem Ding.
Ich bin gerade zu faul, um herauszufinden, ob dein switch auf Layer3 routen kann...gerade für den Anfang ist aber oft eine VLAN fähige Routerlösung angenehmer zur ersten Konfiguration und den ersten Schritten.
jm2c
:)
Zum Vergrößern anklicken....
Da habe ich nicht viel Chance, da es ja gleichzeitig das Kabelmodem ist.
 
Moinsen,
Deswegen ja auch der Tip, sich dann einen 2. (besseren) Router zu besorgen.
Den klemmst du dann hinter deine vf Box. Der 2. Router macht dann dahinter dein eigentliches Heimnetz auf, inklusive VLANS (die du ja scheinbar brauchst), dhcp, dns, einfache Firewall, vpn...je nach Wunsch, Notwendigkeit, Zeit und Geld.
;)
 
Ich glaube, ich verstehe es langsam (Danke allen hier).

Es müsste mit meinem Hardware-Setup dann so aussehen:
1. VF Station stellt DHCP-Server für den Standard-VLAN ID 1 mit 192.168.0.1/24.
2. Die Ubiquitis stellen den DHCP-Server für VLAN ID 2 mit 192.168.1.1/24.

Jetzt muss nur noch der Netgear Managed Switch dem VLAN ID 2 erlauben, den Port 1 und dort 192.168.0.1 als Default gateway ins Internet zu erreichen.

Bisher hatte ich geglaubt, die "DHCP Relay"-Funktion der Ubiquitis sei die Lösung für DHCP in VLAN 2. Aber das wäre nur sinnvoll, wenn die VLANs sich einen IP-Bereich teilen würden.
 
the other schrieb:
Moinsen,
Deswegen ja auch der Tip, sich dann einen 2. (besseren) Router zu besorgen.
Den klemmst du dann hinter deine vf Box. Der 2. Router macht dann dahinter dein eigentliches Heimnetz auf, inklusive VLANS (die du ja scheinbar brauchst), dhcp, dns, einfache Firewall, vpn...je nach Wunsch, Notwendigkeit, Zeit und Geld.
;)
Zum Vergrößern anklicken....
Diese Rolle hatte ich dem Netgear GS724T (v4) zugedacht. Das ist zwar "nur" ein Managed Switch. Aber der kann auch eine Menge. Nur habe ich bisher halt das ganze Thema "untagged" und "tagged" VLANs nicht ausreichend verstanden gehabt.
 
the other schrieb:
Moinsen,
und spätestens dann:

würde ich eh sagen, schau dich mal langsam nach einem besseren Router um (oder hol dir einen weiteren). Die VF Boxen, die ich bisher bei Bekannten gesehen habe, waren...äh, nunja...super für ne 3 Zimmer Wohnung, nur 3-4 Clients, 1-2 Personen.
Wenn du da mit mehreren Subnetzen arbeiten willst (IoT, Gast, privat, ...), dann kommst du eh nicht weiter mit dem Ding.
Ich bin gerade zu faul, um herauszufinden, ob dein switch auf Layer3 routen kann...gerade für den Anfang ist aber oft eine VLAN fähige Routerlösung angenehmer zur ersten Konfiguration und den ersten Schritten.
jm2c
:)
Zum Vergrößern anklicken....
Um das Layer-3-Routing komme ich doch auch ohne "VLAN-fähige Routerlösung" nicht herum, oder?
Ziel ist ja, dass beide VLANs (und wie ich jetzt verstanden habe: beide Subnetze) dasselbe Default-Gateway als Internet-Uplink nutzen.
 
Moinsen,
Ungefähr...:)
Deine vf box macht einfach so weiter...sie verteilt zb 192.168.1.0/24. Selber hat sie die 192.168.1.1, darn wird der 2. Router an dessen WAN Port angeschlossen, welcher von der vfbox zb die 192.168.1.2 bekommt.
Der 2. Router baut auf seinem einen LAN port dein Heimnetz mit dem Bereich 10.0.1.0/ 24 auf.
Darauf laufen dann ggf vlans mit zb 10.0.2.0 /24, 10.0.3.0/24 usw.
An den Router dann einen VLAN fähigen switch, diesen ebenfalls analog mit den VLANS bekannt machen. Dann die APs ebenfalls, hier die vlans mit den ssids vertraut machen. Fertig.
Im Daumenkinoschnelldurchlauf... :)

Und ja, irgendwas muss das Routing auf Layer 3 dann können. Aber eben für den VLAN Standard 802.1Q.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 147 (Mitglieder: 8, Gäste: 139)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
5.614
Beiträge
55.175
Mitglieder
5.463
Neuestes Mitglied
Stefano

Teilen

Zurück
Oben