Wifi voor gasten gescheiden van bedrijfsnetwerk - Netwerken

dinsdag 29 juli 2014 16:09

Acties:

@ Your Service

Topicstarter

Mensen,

Vooropgesteld, ik ben geen netwerkman.. maar wel degene die hier het dichtste bij in de buurt komt, vandaar dat e.e.a. op mijn bordje terecht is gekomen. Maar ik heb jullie hulp nodig, heb het idee dat ik er bijna ben.. maar mis net dat laatste beetje kennis om tot het gewenste resultaat te komen.

Goed, zoals bij zoveel bedrijven is hier ook de wens ontstaan om een apart gastennetwerk over Wifi aan te bieden. Dit gastennetwerk moet afgesloten zijn van het bedrijfsnetwerk.
Vlan's it is was mijn eerste gedachte.

Zo gezegd zo gedaan:
Er waren hier al AP's, deze geconfigureerd als volgt:
SSID1: Bedrijfsnaam (en deze gezet op VLAN 2)
SSID2: Bedrijfsnaam_gast (en deze gezet op VLAN 3)

Switch Hp1810 v2 24 poorts
3 VLANS aangemaakt, VLAN 1 is de default:

Afbeeldingslocatie: http://tweakers.net/ext/f/p91122noaeaSO7GBCSAdhlgo/thumb.png

Configuratie poorten:

VLAN1:

Afbeeldingslocatie: http://tweakers.net/ext/f/I3Dm8uOj8opDLCm4DROEHa7n/thumb.png

VLAN2:

Afbeeldingslocatie: http://tweakers.net/ext/f/b7wAsQV5695rS8TisSqmkmik/thumb.png

VLAN3:

Afbeeldingslocatie: http://tweakers.net/ext/f/rBHFQ35ApmqZxfPRD7IkzVVL/thumb.png

VLAN99:

Afbeeldingslocatie: http://tweakers.net/ext/f/GU5Pbib8n7FLg8D5w4u9WFyK/thumb.png

Trunk configuratie:

Afbeeldingslocatie: http://tweakers.net/ext/f/v45NdaXzmuqnyXZ65v6HXUC9/thumb.png

Maar jullie raden het vast al wel.. het werkt niet

Op poort 24 zit LAN2 van de router, en het is dus de bedoeling dat wanneer met verbinding maakt met het gastennetwerk men via LAN2 van de router naar buiten gaat.

Dit is nog geen productieomgeving. Het is een nieuwe switch die ik aan het configureren ben. Poort 1 zal gebruikt worden voor LAN1 van de router.

Wie kan mij het (laatste?) stapje in de goede richting geven?

vuurwerk - vlees eten - tuinkachel - bbq - alcohol - voetbalwedstrijden - buitenfestivals - houtkachels

dinsdag 29 juli 2014 16:11

Acties:

GH45T

VLAN's zijn leuk, maar er zal tussen gerouteerd moeten worden en het liefst doe je dat op je firewall.

dinsdag 29 juli 2014 16:12

Acties:

garriej

Ik las ondertieten.

In de switch als een vlan tagged is hoe word deze dan aangegeven> met U(wat mij untagged lijkt) of E(want mij exluded lijkt). volgens mij heb je dus gewoon geen vlan draaien op je switch.

dinsdag 29 juli 2014 16:16

Acties:

St@m

@ Your Service

Topicstarter

garriej schreef op dinsdag 29 juli 2014 @ 16:12:
In de switch als een vlan tagged is hoe word deze dan aangegeven> met U(wat mij untagged lijkt) of E(want mij exluded lijkt). volgens mij heb je dus gewoon geen vlan draaien op je switch.

T=Tagged
U=Untagged
E=Excluded

Ik ben zo onderhand de weg helemaal kwijt..

[ Voor 7% gewijzigd door St@m op 29-07-2014 16:18 ]

vuurwerk - vlees eten - tuinkachel - bbq - alcohol - voetbalwedstrijden - buitenfestivals - houtkachels

dinsdag 29 juli 2014 16:18

Acties:

garriej

Ik las ondertieten.

Ja dat dacht ik al inderdaad, ff goed kijken hoor. Heb vorig jaar op een stage nagenoeg het zelfde moeten doen, maar ben het even een beetje kwijt.

edit: Je wilt dus 3 vlans?

1 voor het bekabelde verkeer
2 voor wifi
3 voor klanten wifi

ik ben het echt helemaal kwijt, denk dat ik je niet kan helpen haha.

[ Voor 36% gewijzigd door garriej op 29-07-2014 16:19 ]

dinsdag 29 juli 2014 16:21

Acties:

PerfectPC

zoals eerder aangegeven moet er nog tussen de verschillende vlan's gerouteerd worden (en best ook gefirewalled anders was het een maat voor niets...) vergeet ook de basic services per vlan niet (dns, dhcp ...)

hoe heb je alles aan mekaar gekoopt? ik zie een aggregated poort trk1 over poorten 22 en 23 die vlans 1, 2 en 3 tagged en 99 untagged heeft, maar waar gaat die naartoe? waar is je AP op aangesloten, en waar je router/firewall?

dinsdag 29 juli 2014 16:22

Acties:

St@m

@ Your Service

Topicstarter

GH45T schreef op dinsdag 29 juli 2014 @ 16:11:
VLAN's zijn leuk, maar er zal tussen gerouteerd moeten worden en het liefst doe je dat op je firewall.

Oh god

Volgens mij moet wat men hier wil toch wel op deze manier te doen zijn?
Ap's zitten op poort 22 en 23 en aan de hand van de connectie met het SSID wordt het doorgestuurd naar of VLAN 2 of VLAN 3

garriej schreef op dinsdag 29 juli 2014 @ 16:18:
Ja dat dacht ik al inderdaad, ff goed kijken hoor. Heb vorig jaar op een stage nagenoeg het zelfde moeten doen, maar ben het even een beetje kwijt.

edit: Je wilt dus 3 vlans?

1 voor het bekabelde verkeer
2 voor wifi
3 voor klanten wifi

ik ben het echt helemaal kwijt, denk dat ik je niet kan helpen haha.

Nee, ik wil 2 VLAN's
De default daar kan ik niets mee heb ik begrepen op het internetz..
1 VLAN voor het bedrijfsnetwerk (al dan niet via Wifi) en 1 gastennetwerk, alleen access mogelijk via de AP's.

PerfectPC schreef op dinsdag 29 juli 2014 @ 16:21:
zoals eerder aangegeven moet er nog tussen de verschillende vlan's gerouteerd worden (en best ook gefirewalled anders was het een maat voor niets...) vergeet ook de basic services per vlan niet (dns, dhcp ...)

Wat moet er gerouteerd worden dan? Daar is die trunk toch voor?
Devices op VLAN2 krijgen gewoon de services van de daarvoor bedoelde servers. Devices op VLAN3 moeten het krijgen van de router.

hoe heb je alles aan mekaar gekoopt? ik zie een aggregated poort trk1 over poorten 22 en 23 die vlans 1, 2 en 3 tagged en 99 untagged heeft, maar waar gaat die naartoe? waar is je AP op aangesloten, en waar je router/firewall?

LAN1 van de router komt op poort 1 van de switch
LAN2 van de router komt op poort 24 van de switch
Op poort 2 t/m 21 komen de servers en andere switches
Poort 22 en 23 zijn voor de AP's

[ Voor 65% gewijzigd door St@m op 29-07-2014 16:26 ]

vuurwerk - vlees eten - tuinkachel - bbq - alcohol - voetbalwedstrijden - buitenfestivals - houtkachels

dinsdag 29 juli 2014 16:26

Acties:

GH45T

Ja, maar waar moet je verkeer van VLAN2 of VLAN3 dan heen? Een VLAN is een netwerk in je netwerk en daar zal dus ergens routering of layer-3 switching voor plaats moeten vinden. Daarnaast dus firewalling aangezien je VLANs maken anders nog geen zin heeft.

In het kort;
VLANs aanmaken op switch en router/firewall
VLAN trunk aanmaken tussen switch en router/firewall
VLAN's untagged aanmaken op poorten naar de accesspoints
routering en firewalling instellen op je router/firewall zodat het verkeer naar je internet verbinding mag. Tevens zoals door PerfectPC aangegeven dien je ook voor DHCP en DNS te zorgen, anders werkt je guest netwerk nog niet zoals je wil.

dinsdag 29 juli 2014 16:31

Acties:

plizz

Kan je op de AP niet meerdere SSID uitzenden? Zodat je maar 1 poort hoeft te gebruiken.

dinsdag 29 juli 2014 16:33

Acties:

PerfectPC

St@m schreef op dinsdag 29 juli 2014 @ 16:22:
Oh god
Volgens mij moet wat men hier wil toch wel op deze manier te doen zijn?
Ap's zitten op poort 22 en 23 en aan de hand van de connectie met het SSID wordt het doorgestuurd naar of VLAN 2 of VLAN 3

Nee, ik wil 2 VLAN's
De default daar kan ik niets mee heb ik begrepen op het internetz..
1 VLAN voor het bedrijfsnetwerk (al dan niet via Wifi) en 1 gastennetwerk, alleen access mogelijk via de AP's.

Wat moet er gerouteerd worden dan? Daar is die trunk toch voor?
Devices op VLAN2 krijgen gewoon de services van de daarvoor bedoelde servers. Devices op VLAN3 moeten het krijgen van de router.

LAN1 van de router komt op poort 1 van de switch
LAN2 van de router komt op poort 24 van de switch
Op poort 2 t/m 21 komen de servers en andere switches
Poort 22 en 23 zijn voor de AP's

sorry man, maar nu ga ik toch effe op de grond rollen hoor...
ik vrees dat je best externe hulp inschakelt, nu heb je er echt abstracte kunst van gemaakt.

zoals eerder gesteld:
- op je firewall moet je 2 interne netwerken aanmaken (bedrijf en guest)
- hiervan vertrek je ofwel met een vlan trunk naar je switch ofwel met 2 aparte poorten ingesteld in het juiste netwerk/vlan
- je AP's sluit je ook aan op poorten met een vlan trunk (geen link aggregation zoals je nu hebt gedaan!)
- en op je AP's configureer je een ssid per vlan
- verder zorg je voor de juiste firewall rules en routing op je firewall en zorg je voor dhcp en dns in elk vlan

[ Voor 24% gewijzigd door PerfectPC op 29-07-2014 16:34 ]

dinsdag 29 juli 2014 16:43

Acties:

Dennism

GH45T schreef op dinsdag 29 juli 2014 @ 16:26:
Ja, maar waar moet je verkeer van VLAN2 of VLAN3 dan heen? Een VLAN is een netwerk in je netwerk en daar zal dus ergens routering of layer-3 switching voor plaats moeten vinden. Daarnaast dus firewalling aangezien je VLANs maken anders nog geen zin heeft.

In het kort;
VLANs aanmaken op switch en router/firewall
VLAN trunk aanmaken tussen switch en router/firewall
VLAN's untagged aanmaken op poorten naar de accesspoints
routering en firewalling instellen op je router/firewall zodat het verkeer naar je internet verbinding mag. Tevens zoals door PerfectPC aangegeven dien je ook voor DHCP en DNS te zorgen, anders werkt je guest netwerk nog niet zoals je wil.

Volgens mij moet hij het in de situatie die hij aangeeft anders doen, Poort 1 untagged Vlan 2 (Router Lan-1-bedrijfsnetwerk), Poort 22,23 Tagged VLAN 2 en 3 (AP's), Poot 24 untagged Vlan 3 (Router Lan-2-Public Wireless) en dan zorgen dat de router DCHP en DNS doet op Lan2.

Trouwens eens met bovenstaande dat wanneer mogelijk het verstandig is er een expert naar te laten kijken. Kan je een boel tijd, frustratie en daarmee mogelijk ook geld schelen.

[ Voor 7% gewijzigd door Dennism op 29-07-2014 16:48 ]

dinsdag 29 juli 2014 16:58

Acties:

St@m

@ Your Service

Topicstarter

Dennism schreef op dinsdag 29 juli 2014 @ 16:43:
[...]

Volgens mij moet hij het in de situatie die hij aangeeft anders doen, Poort 1 untagged Vlan 2 (Router Lan-1-bedrijfsnetwerk), Poort 22,23 Tagged VLAN 2 en 3 (AP's), Poot 24 untagged Vlan 3 (Router Lan-2-Public Wireless) en dan zorgen dat de router DCHP en DNS doet op Lan2.

Dit klinkt een heel stuk logischer voor mijn beleving

En dat is ook wat ik bedoel

Ik kan nu niet meer checken of dit gaat werken, maar dit is wat ik morgenmiddag even ga nakijken.
Ik moet dus gewoon niet trunken, maar de poorten met beide VLAN's taggen.

Wat moet ik doen met poort 2 t/m 21 op VLAN2? Ook untagged?

Trouwens eens met bovenstaande dat wanneer mogelijk het verstandig is er een expert naar te laten kijken. Kan je een boel tijd, frustratie en daarmee mogelijk ook geld schelen.

Ach ja.. het is rustig.. tijd zat.

Mocht dit niet werken zal ik beginnen met de hele ingewikkelde oplossing

[ Voor 10% gewijzigd door St@m op 29-07-2014 17:09 ]

vuurwerk - vlees eten - tuinkachel - bbq - alcohol - voetbalwedstrijden - buitenfestivals - houtkachels

dinsdag 29 juli 2014 17:11

Acties:

Dennism

Ook untagged inderdaad als ze maar in 1 vlan praten.

woensdag 30 juli 2014 09:03

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > NT

Tijd voor een nieuwe sig..

woensdag 30 juli 2014 09:09

Acties:

GH45T

Dennism schreef op dinsdag 29 juli 2014 @ 16:43:
[...]

Volgens mij moet hij het in de situatie die hij aangeeft anders doen, Poort 1 untagged Vlan 2 (Router Lan-1-bedrijfsnetwerk), Poort 22,23 Tagged VLAN 2 en 3 (AP's), Poot 24 untagged Vlan 3 (Router Lan-2-Public Wireless) en dan zorgen dat de router DCHP en DNS doet op Lan2.

Trouwens eens met bovenstaande dat wanneer mogelijk het verstandig is er een expert naar te laten kijken. Kan je een boel tijd, frustratie en daarmee mogelijk ook geld schelen.

Hij kan het nog veel eenvoudiger doen. Standaard staat alles op VLAN1, waarom hij zijn interne bedrijfsnetwerk op VLAN2 wil hebben ontgaat mij ook een beetje. Dus eigenlijk hoeft hij enkel VLAN3 aan te maken op de switch, dit VLAN untagged op de poort van het Guest wifi accesspoint instellen en dan blijven er 2 opties over:
- VLAN trunk waarin VLAN1 untagged en VLAN3 tagged naar de router gaan
- Géén VLAN trunk maar een aparte fysieke switchpoort welke untagged VLAN3 verkeer naar de router stuurt.
Hoe dan ook zal St@m een apart subnet in moeten stellen voor het Guest netwerk op de router en daar DHCP, DNS etc. op draaien en routing/firewalling regels aan moeten maken.

Edit: En eens over het inschakelen van experts als St@m niet begrijpt hoe het nu werkt. Het is tenslotte wel je beveiliging waar je het over hebt. Als je Guest netwerk fijn toegang verleend tot je complete interne netwerk dan kun je redelijk in de problemen komen..

[ Voor 9% gewijzigd door GH45T op 30-07-2014 09:11 ]

woensdag 30 juli 2014 12:00

Acties:

Dennism

Klopt, zo kan het inderdaad ook. Is denk ik ook de meest gebruikte configuratie. Ik was alleen uitgegaan van de situatie zoals hij het had uitgedacht.

Ik zie nu trouwens ook dat hij ergens aangeeft dat je niets kan met het default vlan. Dit is in ieder geval bij HP switches niet zo, daar kun je het default vlan prima gebruiken. Misschien dat hij om deze misvatting het wired bedrijfsnetwerk gedeelte in Vlan 2 wil zetten.

woensdag 30 juli 2014 15:55

Acties:

St@m

@ Your Service

Topicstarter

Mag ik u allen danken voor de input, en dan vooral Dennism die mij het juiste kleine zetje gegeven heeft. Alles werkt zoals ik in mijn hoofd had

Waarom een extra VLAN2, omdat ik de misvatting had dat ik moest trunken en je niet kan trunken met je default VLAN1 (met de vorige DELL switch, assumption is the mother.. nouja, je kent het wel)

En dus geen centje pijn

Inschakelen van de expert(s) van het forum was voldoende!

Hoe dan ook zal St@m een apart subnet in moeten stellen voor het Guest netwerk op de router en daar DHCP, DNS etc. op draaien en routing/firewalling regels aan moeten maken.

Ja, op de LAN2 van de router dus

Maar dat wist ik al wel en probeer ik je al de hele tijd te vertellen

[ Voor 5% gewijzigd door St@m op 30-07-2014 15:58 ]

vuurwerk - vlees eten - tuinkachel - bbq - alcohol - voetbalwedstrijden - buitenfestivals - houtkachels

donderdag 31 juli 2014 13:03

Acties:

Dennism

Mooi dat het gelukt is!