Meerdere VLANs over 1 poort - Serversoftware en clouddiensten

maandag 4 november 2013 16:38

Acties:

Verwijderd

Topicstarter

Zie huidige setup netwerk & VLANs:

Afbeeldingslocatie: http://imageshack.us/scaled/thumb/191/uz84.png

VLAN 1 = internal lan & internal wifi
VLAN 12 = public wifi
Access points: Netgear WNDAP 360
Switches: HP Procurve 1910G 24

We hebben 4 netgear access points geplaatst die allemaal 2 SSIDs uitzenden: internal & public.
De APs hebben maar 1 lan poort, wat wil zeggen dat we meerdere VLANs over 1 outlet moeten sturen en dus ook over 1 switchpoort.

Het internal wifi netwerk werkt overal perfect.
Echter het public netwerk werkt enkel op de 10.0.0.237 (NG Receptie)
Als ik hiermee verbinding maak, krijg ik een IP adres van de public range en krijg ik internet toegang.
Ik kan eveneens pingen naar de gateway.

Echter wanneer ik connecteer met het public wifi netwerk, op 1 van de 3 andere access points, krijg ik een IP, maar geen internet toegang. Ik kan van deze access points ook niet pingen naar de gateway.

DHCP settings public netwerk:
AP 1: 10.10.10.10 -> 10.10.10.39 (deze is diegene die werkt)
AP 2 10.10.10.40 -> 10.10.10. 69
AP 3 10.10.10.70 -> 10.10.10.99
AP 4 10.10.10.100 -> 10.10.10.129

Normaal zou je DHCP forwarding moeten gebruiken, maar de netgear access points ondersteunen dit niet.
Ik heb dit nagevraagd bij netgear, in principe is dit een quick & dirty fix, maar zou moeten werken.

Ik zit me al uren suf te zoeken waarom er geen internet toegang is op het public wifi netwerk op die andere 3 access points... ?!

Uiteraard kan ik op de access points een VLAN id toekennen aan een SSID, wat wel cool is

config van zowel access points als switches zijn identiek...

iemand een idee waar ik over kijk?

maandag 4 november 2013 16:47

Acties:

Linke Loe

Wat je er niet bij vertelt is wat voor switches je hebt...

Ik heb hier op kantoor een soortgelijke situatie met Cisco WAP200 access points en Cisco 2960 switches. De beide SSID's zijn getagged in het betreffende VLAN en de switchports waar de access points op gepatcht zijn, staan in trunk mode, voor deze VLAN's. De gateway voor het publieke Internet zit in een access port voor het publieke VLAN, omdat ik deze niet keihard in een VLAN kan zetten.

maandag 4 november 2013 17:31

Acties:

Verwijderd

Topicstarter

Staat er wel bij, bovenaan: hp procurve 1910.
Is dus blijkbaar geen alleenstaand geval

maandag 4 november 2013 19:35

Acties:

Linke Loe

Oh, sorry... Even overheen gelezen.

HP hanteert een andere terminologie dan Cisco, maar de opzet zal hetzelfde blijven: zet een VLAN tag op de SSID's, zet de switchports waar de access points op zitten tagged in de betreffende VLAN's en de Internet gateway untagged. Zorg in jouw geval voor DHCP relay, als je DHCP requests wil routeren naar een ander VLAN.

maandag 4 november 2013 20:33

Acties:

pablo_p

Volgens mij heb je geen DHCP forwarding nodig, als je daarmee bedoeld dat je een DHCP server in een extern subnet wilt gebruiken. Als je binnen het VLAN/broadcast domain van het publieke internet 1 DCHP server plaatst (het makkelijkst is als dat de default gateway is, als ik het goed begrijp is dat de firewall), kan die aan alle clients achter de verschillende APs een IP adres uitdelen.

De APs hebben dan geen IP interface nodig in het publieke VLAN en dat is simpeler en veiliger.

Ik heb thuis een publiek subnet dat ik op meerdere APs ontsluit, het AP verzorgt alleen de bridging tussen wired en wireless, maar weet niets van IP adressen of subnets af.

maandag 4 november 2013 20:59

Acties:

Linke Loe

pablo_p schreef op maandag 04 november 2013 @ 20:33:
Ik heb thuis een publiek subnet dat ik op meerdere APs ontsluit, het AP verzorgt alleen de bridging tussen wired en wireless, maar weet niets van IP adressen of subnets af.

In dit geval gaat het niet om 1 netwerk op meerdere access points, maar om access points die meerdere netwerken aan kunnen bieden. Er worden dus twee SSID's uitgezonden door ieder access points. Deze SSID's worden door middel van een VLAN tag van elkaar gescheiden. Op die manier kan een gast, die alleen maar Internet nodig heeft, nooit de rest van de netwerkomgeving bereiken.

maandag 4 november 2013 22:28

Acties:

pablo_p

Linke Loe schreef op maandag 04 november 2013 @ 20:59:
[...]

In dit geval gaat het niet om 1 netwerk op meerdere access points, maar om access points die meerdere netwerken aan kunnen bieden. Er worden dus twee SSID's uitgezonden door ieder access points. Deze SSID's worden door middel van een VLAN tag van elkaar gescheiden. Op die manier kan een gast, die alleen maar Internet nodig heeft, nooit de rest van de netwerkomgeving bereiken.

Ik heb het misschien niet duidelijk genoeg aangegeven, maar ik heb thuis 3 SSIDs, waarvan er 1 voor guest access waarmee ik dus vrij Internet aanbiedt aan buren en bezoekers. Deze hebben dan zeker geen toegang tot mijn Interne VLANs, die zijn goed afgeschermd. Ik heb 2 Cisco 12xx en 1 OpenWRT accesspoints, die alle(e)n bridgen tussen de 3 VLANs/SSIDs. Wireless clients krijgen IP adressen van mijn firewall, de APs zijn transparant en stateless en dat is een design filosofie die ik ook in grote omgevingen gebruik, functies helder scheiden.

maandag 4 november 2013 22:43

Acties:

Jeroen_ae92

Waarom zou je voor alle guest wifi's gedeelde scopes maken? 1 scope is toch voldoende? Je hebt immers ook maar 1 router waar het dhcp request vandaan komt.

Dus, eerst alle guest scopes wegmikken en er 1 behouden... Ik denk dat dat je issue al verhelpt.

U+

dinsdag 5 november 2013 08:17

Acties:

Verwijderd

Topicstarter

hmm, dus de DHCP van de AP's verwijderen en de Firewall als DHCP laten dienen..
Kan ik proberen.

Verder nog een tip van iemand anders, is wel een drastische wijziging:

"Voor zover ik kan zien, gebruik je untagged en tagged gemixed. Dat moet je ten alle tijden proberen vermijden.
Zelfs nog beter, dump dat untagged vlan 1 maar volledig als je kan, want dat geeft je niet alleen security risks maar ook nachtmerries zoals deze.

Wat ik zou doen, is 2 aparte vlans (allebei TAGGED!) opzetten. Beide vlans op alle switches en op alle trunken activeren. Ik weet niet hoe die HP's werken, maar op Cisco's moet je soms een vlan manueel toevoegen om het te activeren. En een vlan is ook pas actief als minimaal 1 interface up is binnen het vlan.

Zorg ook dat het netwerk (uw Network layer ) ook alleen actief is binnen het desbetreffende vlan. Dus op een Cisco ASA is dat een subinterface in vlan 12 met netwerk X en een subinterface in vlan 11 (vb.) en netwerk Y.

Untagged en tagged mixen is een no-no . Enfin, smijt om te beginnen dat untagged vlan er al eens af "

dinsdag 5 november 2013 11:33

Acties:

CyBeR

💩

Meh, niks mis met tagged en untagged mixen. Als je niet snapt hoe dat werkt en er problemen mee krijgt ben je gewoon een prutser.

Verder klopt het idee wel: maak twee VLANs, zorg dat die op al je switches beschikbaar zijn en zet ze beide tagged op de poorten naar je AP's. Wijs ze daar toe aan je SSID's. Zet DHCP uit op al je AP's en laat dat centraal gedaan worden door wat ik aanneem is je firewall.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 8 november 2013 16:33

Acties:

WhizzCat

www.lichtsignaal.nl

Untragged vlan alleen voor je management gebruiken (en bij voorkeur niet vlan 1 ... ).

Verder met Cyber, zo doen wij het hier ook met 800+ accesspoints en HP switches (wel wat groter, maar ach

).

Scheelt ook een hoop beheer met tagged en untagged vlans, alles naar je wifi is altijd tagged. Handig als je b.v. nog eens een nieuw ssid wil maken of firewalling tussen vlans of weet ik veel wat

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

vrijdag 15 november 2013 09:41

Acties:

bigfoot1942

Ik heb geen idee waarom je aan DHCP forwarding op je accesspoints denkt te moeten doen, en hoe je denkt aparte ip-ranges per accesspoint te kunnen gebruiken als je hele public netwerk in één en hetzelfde VLAN zit?