VLAN-Verschiedene Subnetze im WLAN

Änderungsstand: 2021-02-18

Alter Stand! Hier verwendete ich noch Netgear-Switches. Mittlerweile verwende ich 3x USW-8-60W. Das geht dort viel einfacher zu konfigurieren. Der nächste Guide wird’s richten 🙂 .

Info: Es handelt sich bei dieser Konfiguration um ein VLAN-WiFi-Netzwerk, mit eigenem Subnet, welches auf alle AP’s angewandt wird. 2 meiner AP’s wurden (momentan) mittels zusätzlichem Switch an den ersten Hauptswitch angebunden. Ein AP befindet sich an Switch 3. Das Bild 2 ist dann später der finale Stand, ohne meinen „Zusatzswitch“. Meine jetzt gezeigte Konfiguration bezieht sich auf Bild 1, allerdings ohne Link Aggregation. Diese Funktion verwende ich derzeit nicht. Wenn man das Prinzip des VLANs verstanden hat, hat man auch im späteren Verlauf keine Probleme, dies umzustellen.

Wer kein(e) USW(s) oder VLAN-fähige Switch(es) besitzt, kann hier eigentlich aufhören. Es sei denn, man liest gern. Funktionieren wird das definitiv, ohne die Geräte, nicht. Dafür macht es auch, wie im vorherigen Guide beschrieben, das Gästenetzwerk im selben IP-Bereich, mit der Option „Gastrichtlinie“. Dort können ebenfalls die Gäste NICHT auf das Heimnetzwerk zugreifen. Aber sicherer fühlt man sich, wenn die IP-Bereiche getrennt voneinander laufen 🙂 .

Ich lege ein weiteres Netzwerk an, welches die Rolle des WLAN im späteren Verlauf, wenn Switches und UAP konfiguriert wurden, übernimmt. Das ist wichtig zu erwähnen, weil sich der IP-Adressbereich der AP’s ändern wird und ALLE erstellten WLAN-Netze diesen IP-Bereich verwenden! Dieser IP-Bereiche unterscheidet sich vom IP-Bereich des eigenes Heimnetzwerkes. Voraussetzung hierfür ist mind. ein USW oder ein VLAN-fähiger Switch – je nach Bedarf, natürlich auch mehr. Verwendet man mehrere Switches, sollten diese auch VLAN beherrschen, es sei denn, man verwendet, wie in meinem Beispiel, einen Switch, hinter einem VLAN-Switch, der nur für z.B. AP’s zuständig ist bzw. keine weiteren VLANS durchreichen muss, wie im Bild 1 (PoE Switch am ersten VLAN-Switch) zu sehen. Ich habe zwar kein USW aber meine Netgear-Switches können alle VLAN.

Zuerst die Konfiguration meiner Switches:

Ich werde später in der USG ein VLAN mit der ID „VLAN10“ erstellen. Die Konfiguration der Switches wähle ich immer als Erstes, damit später nicht die UAP’s, bei der Provisionierung, in Fehlermeldung gehen. Ich erwähne noch zur Vollständigkeit, dass meine UAP’s per DHCP eingebunden sind. Weiterhin ist die etwas andere Konfiguration des dritten Switches der aufgespielten Softwareversion geschuldet, die in der Menuführung leicht abweicht.

Switch 1 – Switch an USG

Port1 (g1) = USG | Port6 (g6) = Verbindung zum zweiten Switch | Port 8(g8) = Verbindung zum separaten Switch, wo 2 AP’s betrieben werden.

  • Netgear GS108T (Software: 5.4.2.30, Englisch)
  • Gui des Switches öffnen
  • „Switching“ wählen
    • „VLAN“ wählen
      • „VLAN-Configuration“ wählen
        • VLAN-ID: 10
        • VLAN-NAME: VLAN10
        • VLAN Type: Static
          • „ADD“ klicken
          • VLAN wird erstellt
      • „Advanced“ wählen
        • „VLAN-Membership“ wählen
          • VLAN ID: 10 wählen
          • Den kleinen Pfeil vor Port klicken
          • Ports wählen:
            • Port 1 „T
            • Port 6 „T“ wählen
            • Port 8 „U“ wählen
        • APPLY klicken
      • Folgendes nicht vergessen, da die ersten 2 AP’s, wenn auch durch einen weiteren Switch, angebunden sind !
        • „Port PVID Configuration“
          • „g8“ selektieren
          • PVID Configured: 10
        • APPLY

Dieser Switch ist nun konfiguriert. Man muss beachten, dass nun Port 8 auf VLAN-ID 10 eingebunden ist. Das heißt, dass der zusätzliche Switch, welcher an Port 8 angeschlossen wurde, nur VLAN 10 beherrscht. Das ist wichtig, falls man noch andere Geräte an genau diesem zusätzlichen Switch anbinden möchte. Ich verwende dort allerdings nur die beiden AP’s.

Switch 2 – Verbindung von Switch1 zu Switch3

Port8 (g8) = Verbindung zum ersten Switch | Port5 (g5) = Verbindung zum dritten Switch. Dieser Switch leitet das VLAN10 nur zum Switch 3 durch.

  • Netgear GS108T (Software: 5.4.2.30, Englisch)
  • Gui des Switches öffnen
  • „Switching“ wählen
    • „VLAN“ wählen
      • „VLAN-Configuration“ wählen
        • VLAN-ID: 10
        • VLAN-NAME: VLAN10
        • VLAN Type: Static
          • „ADD“ klicken
          • VLAN wird erstellt
      • „Advanced“ wählen
        • „VLAN-Membership“ wählen
          • VLAN ID: 10 wählen
          • Den kleinen Pfeil vor Port klicken
          • Port wählen:
            • Port 5 „T
            • Port 8 „T
        • APPLY klicken

Mehr ist hier nicht zu beachten, da dieser Switch das VLAN nur durchreicht.

Switch 3 – Hier ist ein UAP angebunden

Port1 (g1) = zu Switch 2 | Port7 (g7) = Anschluss des AP. Das ist mein letzter Switch im Netzwerk, an dem mein dritter AP angebunden wurde.

  • Netgear GS310TP (Software: 1.0.1.2, Deutsch)
  • Gui des Switches öffnen
  • „Switching“ wählen
    • „VLAN“ wählen
      • „VLAN-Konfiguration“ wählen
        • VLAN-ID: 10
        • VLAN-NAME: VLAN10
        • .
          • „Hinzufügen“ klicken
          • VLAN wird erstellt
      • „Erweitert“ wählen
        • „VLAN-Mitgliedschaft“ wählen
          • VLAN ID: 10 wählen
          • .
          • .Port wählen:
            • Port 1 „T
            • Port 7 „U“ wählen
        • Übernehmen klicken
      • Folgendes nicht vergessen, da ein AP an diesem Switch angebunden ist!
        • „Port-PVID-Konfiguration“
        • „g7“ selektieren
        • PVID: 10
        • VLAN-Mitglied: 10
        • „Übernehmen“ klicken

Die Switches wurden nun eingerichtet und sind Betriebsbereit.

Jetzt die Konfiguration am USG:

Als Erstes erstelle ich ein normales Netzwerk, mit einer eigenen VLAN-ID. Ich verwende hierbei wieder das klassische Menu:

Neues Netzwerk erstellen:

  • „Einstellungen“
    • „Netzwerke“
    • „Neues Netzwerk erstellen
    • “Name: VLAN10 (kann auch klausdieter heißen 🙂 )
    • Verwendung: Unternehmen
    • Netzwerkgruppe: LAN
    • VLAN: 10 (hier ist die zu verwendete Zahl, außer 1, 2,3 und 4089 (jeweils bei Verwendung eines Netgear-Switches), egal, darf aber noch nicht verwendet sein)
    • Gateway IP/Subnetz: 10.0.0.1/24 „DHCP-Bereich aktualisieren“ klicken
    • Domainname: Frei lassen oder localdomain oder was man selbst wünscht
    • IGMP Snooping: OFF (ich teste noch (ON), da ich keine USW habe, es aber trotzdem, mit den Netgear’s, zu funktionieren scheint)
    • DHCP-Modus: DHCP-Server
    • DHCP-Bereich: 10.0.0.6 – 10.0.0.254 (oder diesen Bereich nach eigenen Vorstellungen anpassen bzw. einschränken, wie z.B. 10.0.0.51 – 10.0.0.100)
    • DHCP UniFi Controller: Die IP-Adresse des Unifi Controllers
    • DHCP Guarding: OFF (ich teste noch mit ON (10.0.0.1), da ich keine USW habe, es aber trotzdem, mit den Netgear’s, zu funktionieren scheint)
  • SPEICHERN

Optional: Benutzergruppe erstellen (mit Benutzergruppen kann man sehr einfach Bandbreitenlimits setzen):

  • „Einstellungen“
    • „Benutzergruppen“
      • „Neue Benutzergruppe erstellen“
        • Name: Gast-WLAN
        • Bandbreitenlimit (Download): 400KBit/s (wenn nicht gewählt, ist die volle Bandbreite verfügbar)
        • Bandbreitenlimit (Upload): 400KBit/s (wenn nicht gewählt, ist die volle Bandbreite verfügbar)
      • SPEICHERN

Wurde das erledigt, erstelle ich 2 neue Wireless-Netzwerke. Eines für die Familie und eines für Gäste:

  • „Einstellungen“
    • „Drahtlos-Netzwerke“
      • „Neues Drahtlos-Netzwerk erstellen“
        • Name/SSID: Familie
        • Aktiviert: Häkchen rein
        • Sicherheit: WPA Personal
        • Sicherheit: WLAN-PASSWORT (ich verwende 16 Zeichen)
        • Gastrichtlinie: Nicht aktiv!
        • Network: LAN
        • „Erweiterte Optionen“
        • Multicast-Verbesserung: AUS (ich teste derzeit mit ON)
        • PMF: Disabled (ich teste derzeit mit Required)
      • SPEICHERN

Dieser Zugang wird, obwohl ein anderer IP-Subnet-Bereich vergeben wird, komplett auf das LAN, ohne Einschränkungen, Zugriff gewährt. Möchte man gewisse Sachen differenzieren, empfehle ich ein weiteres WLAN-Netzwerk zu erstellen und diverse Firewallregeln daraufhin an zu wenden. Ich mag es lieber getrennt und damit zu experimentieren 🙂 .

  • „Einstellungen“
    • „Drahtlos-Netzwerke“
      • „Neues Drahtlos-Netzwerk erstellen“
        • Name/SSID: GästeWLAN
        • Aktiviert: Häkchen rein
        • Sicherheit: WPA Personal
        • Sicherheit: WLAN-PASSWORT (ich verwende 16 Zeichen)
        • Gastrichtlinie: Häkchen rein
        • Network: LAN
      • „Erweiterte Optionen“
        • Benutzergruppe: Gast-WLAN (siehe oben erstellte Benutzergruppe oder Default, wenn keine Benutzergruppe angelegt wurde)
        • Multicast-Verbesserung: AUS (ich teste derzeit mit ON)
        • L2 Isolation: Häkchen rein
        • PMF: Disabled (ich teste derzeit mit Required)
      • SPEICHERN

Die Provisionierung dauert jetzt etwas, da nicht nur das USG sondern auch die AP’s provisioniert werden. Sämtliche WLAN-Geräte bekommen jetzt eine IP aus dem Subnet-Bereich 10.0.0.0/24 zugewiesen.

Nun noch die Gaststeuerung einrichten, damit aus dem Gäste-WLAN kein Zugriff auf meine LAN-Netzwerke erfolgen kann. Nur Internet ist erlaubt:

Achtung! Der Unifi-Controller muss ab jetzt immer an sein, damit das funktioniert.

  • „Einstellungen“
    • „Gaststeuerung“
      • Gastportal: aktivieren
      • Authentifizierung: Keine Authentifizierung (das WLAN-Passwort des Gäste-WLAN greift trotzdem)
      • „Zugriffskontrolle“
      • Zugriff vor der Anmeldung: Keine Einträge
      • Beschränkungen nach der Anmeldung:
        • 192.168.1.0/24 (IP-Subnet des LAN)
        • 192.168.178.0/24 (IP-Subnet meiner zweiten Fritz!Box, an LAN2)
        • 192.168.200.0/24 /IP-Subnet der ersten Fritz!Box, an WAN)
      • ANDERUNGEN ÜBERNEHMEN

Erklärung zu „Beschränkungen nach der Anmeldung“: Ich habe insgesamt 4 Subnetze eingerichtet. Auf 3 Subnetze soll nach der Anmeldung im WLAN des Gäste-Accounts kein Zugriff ermöglicht werden. Hat man nur ein LAN eingerichtet, reicht der IP-Bereich des eingerichteten LAN. Extra Firewallregeln werden bei dieser Konfiguration nicht benötigt.

Erstelle eine Website wie diese mit WordPress.com
Jetzt starten