Access point met Gastnetwerk SSID in ander VLAN

Ik ben er gister aardig mee aan het knoeien geweest, en ben twee keer op het punt geweest dat ik mijn Switch heb moeten resetten omdat mijn hele netwerk "kapot" was. Ik heb een klein beetje ervaring met VLANs in combinatie met Tomato Firmware op een Asus Router.

Op dit moment zit ik in het scenario dat de Webinterface van mijn Accesspoint niet meer te bereiken is omdat ik daar VLAN ID 2 als Management VLAN ID had ingesteld. Maar omdat ik net iets te weinig van VLAN Switches snap en welke poorten ik moet Taggen en welke niet is het me niet gelukt om weer toegang te krijgen tot de Webinterface van mijn Accesspoint.

Allereerst de hardware die ik gebruik:

• Router: pfSense Router (zelfbouw) met een Intel Pro/1000 PT Dual Port Netwerkkaart
• Switch: TP-LINK TL-SG108E
• Accesspoint: EnGenius EAP900H

De EnGenius EAP900H heeft de mogelijkheid om per SSID een VLAN Tag op te geven. Mijn GastNetwerk had ik VLAN Tag 2 gegeven (omdat standaard VLAN 1 voor de rest van mijn netwerk gebruikt zal worden, tenminste dan was mijn idee).

In pfSense had ik een VLAN interface aangemaakt op basis van VLAN 2 op het LAN netwerk. En aan die interface had ik een DHCP server in de 192.168.1.x range gekoppeld:


Toen kwam het lastige/probleem: de Switch. Want zonder werkte het duidelijk niet, het Gastnetwerk kreeg gewoon een IP adres van mijn Prive DHCP server (range 10.0.0.x).

Zo ziet de Management Interface van mijn Switch eruit:

Ik had bij VLAN "2" ingevuld en bij Name "Gast". Vervolgens heb ik verschillende combinaties geprobeerd.
Eentje die het beste leek te werken was Tagged Ports: 2 (daar zit de Accesspoint op) en Untagged Ports: 1 (daar komt de pfSense Router op binnen). Dit zou er voor zorgen dat Poort 2 alleen toegang zou hebben tot het internet. Ook had ik bij het tabje PVID de PVID Tag van Port 2 op "2" gezet. Dat was gelijk ook het punt dat ik niet meer bij de Webinterface van de Accesspoint kon wat achteraf wel logisch is .

En het uiteindelijke resultaat op het Gastnetwerk was zelfs toen nog niet goed want ik kreeg nog steeds een verkeerd IP adres.

Na vele pogingen heb ik maar bedacht eens wat hulp in te roepen van een ervaren mede-Tweaker die wel kennis van VLANs heeft. Want dit gaat zo niets worden

Weinig animo zo te zien . Niemand die zijn/haar handen hier aan durft te branden?

Jeroen_ae92 schreef op zondag 30 augustus 2015 @ 10:01:
Volgens mij ben je er bijna. VLAN2 op pfsense, vlan2 op de switch als tagged (geen PVID).

Maar is er binnen pfsense wel een dhcp scope aanwezig voor vlan2?

Ja DHCP server staat aan en gekoppeld aan de VLAN 2 interface met de 192.168.1.x range.

Thralas schreef op zondag 30 augustus 2015 @ 10:01:
Schroom vooral niet om ook een tekening van je netwerksetup te maken, incl. VLAN assignments zoals jij ze voor ogen had. In verhalende vorm is het lastiger om je netwerksetup te ontrafelen.

Heb ik ook aan zitten denken, maar volgens mij is mijn setup niet zo complex dat er een tekening nodig is.
Router > Switch > Accesspoint (met twee SSIDs waarvan er 1 op een VLAN zit)

Thralas schreef op zondag 30 augustus 2015 @ 10:01:
Volgens mij zit hier de crux. Dit gaat nog over VLAN 2 op je switch? Je maakt hier een denkfout.

Wat je daar hebt gedaan is, vanuit VLAN 2 gezien, VLAN 2 tagged richting je AP te zetten (goed) en untagged richting je router (fout!)

Je wilt je VLAN 2 taggen richting zowel AP als router, dan heeft pfSense het guest AP op z'n GUEST interface.

Ja volgens mij zit het probleem op dit moment in de Switch. Aangezien zowel pfSense (Router) en de Accesspoint beide goed lijken te staan. pfSense heeft een losse "virtuele" Netwerk Interface op de LAN interface gebaseerd op VLAN 2. En de Gast SSID van de Accesspoint heeft ook VLAN 2 als Tag.

Wat je dus met je laatste zin zegt is dat ik zowel Poort 1 en 2 als Tagged moet selecteren in VLAN 2? En de PVID daar moet ik niets mee doen zoals Jeroen_ae92 zegt?

Is het dan niet zo (begin het denk ik langzaam een beetje te begrijpen) dat ik dan de Webinterface van de Accesspoint opnieuw niet meer kan benaderen vanaf de rest van het netwerk? Omdat die poorten niet in VLAN 2 zitten?

Het enige doel is dat de Gast SSID van de AccessPoint met VLAN 2 doorkomt in de pfSense Router. Ik heb het idee dat als ik de Accesspoint in VLAN 2 zet, ik op dat moment de gehele Accesspoint in een aparte VLAN zet in plaats van alleen die Gast SSID. Is dat te bereiken?: Alleen de VLAN tag van de Gast SSID doorgeven aan de Router zonder de gehele Accesspoint in VLAN 2 te zetten en af te sluiten van de rest van het netwerk

Het is gelukt! Bedankt Jeroen_ae92 en Thralas! Hij kreeg netjes een IP uit de juiste range dus alles werkte zoals de bedoeling was.

Ik moest alleen in pfSense nog wat Firewall rules toevoegen aan de Guest Interface, aangezien daar standaard niets in staat bij het aanmaken van een nieuwe interface. En zonder PASS rules blokkeerd hij alles, waardoor ik nog geen internet had op het Gastnetwerk Dus na het toevoegen van de juiste rules en nog een rule om verkeer naar mijn Prive netwerk range te blokkeren was alles perfect.

Uiteindelijke settings van de switch zijn nu Poort 1 en 2 op Tagged in VLAN 2. In je (Thralas) laatste reactie begreep ik dat alleen Poort 2 voldoende zou moeten zijn omdat Poort 1 al in het Default VLAN zou zitten, maar krijg je dan niet dat VLAN 2 geen Internettoegang heeft? VLAN 2 zou niet bij de Untagged poorten van VLAN 1 moeten kunnen toch? Of is dat juist het idee van Untagged?