TL-SG1016PE plus EAP - Guest VLAN Tagging
Hi,
sorry for anyother VLAN set-up question but I have not found an approproiate answer in this forum after searching.
I currently use the TL-SG1016PE and three EAP225 V3 for wireless network. The connection is set up as follows:
Router (and DHCP server) -> TL-SG1016PE -> Port1
TL-SG1016PE -> EAP1 -> Port 2
TL-SG1016PE -> EAP2 -> Port 3
TL-SG1016PE -> EAP3 -> Port 4
I have two SSIDs set up in Omada Controller, one for the internal network and one for the Guest network.
I now wanted to set a seperate VLAN for the Guest network SSID.
On the TL-SG1016PE I have enabled 802.1Q VLAN. Then I added a new VLAN 9. For VLAN 9 I have set Port 1 as tagged and Port 2, 3 and 4 as untagged.
VLAN 1 stays untouched.
In Omada controller I assigned VLAN 1 to the Internal SSID and VLAN 9 to the Guest SSID.
So far so good I thought. But now the Guest network does not have Internet access anymore. Where is my mistake?
Thanks for your help
- Copy Link
- Subscribe
- Bookmark
- Report Inappropriate Content
Powerauditor wrote
So far so good I thought. But now the Guest network does not have Internet access anymore. Where is my mistake?
Difficult to say, since most important information is missing from your post: Is the router VLAN-aware? Did you create two subnets on your router and assigned them to the VLANs?
- Copy Link
- Report Inappropriate Content
Hi,
the router is a Fritzbox 7490. I do not think that it is VLAN aware. At least I never found a feature to assingn subnets to VLAN in it's menü.
- Copy Link
- Report Inappropriate Content
Powerauditor wrote
Hi,
the router is a Fritzbox 7490. I do not think that it is VLAN aware. At least I never found a feature to assingn subnets to VLAN in it's menü.
According to an answer from AVM support given to me in 2017, the Fritz!Box does not support »such a sophisticated feature« as they call it.
It's a SOHO device, not a business-class device.
You could enable the guest network function in Fritz!OS and connect the assigned port from FB (LAN port 4 IIRC) to the untagged switch port 2. Assign switch port 2 to VLAN 9 (only), set its PVID to 9. Ensure to remove this switch port from default VLAN 1. Connect one of the LAN ports 1 to 3 of the FB to untagged switch port 1, assign it to VLAN 1, set its PVID to 1, too.
Set all ports for EAPs to tagged ports of VLAN 1 and VLAN 9 to use Multi-SSID. Set the ports PVIDs to VLAN 1.
Note: I'm not sure whether ports can be removed from default VLAN 1 on TL-SG1016PE. See the first thread in this forum for information why a fixed default VLAN 1 is (or in case of TL-SG108E: was) a bad idea.
If ports can't be removed from VLAN 1, use VLAN 2 or any other VLAN ID (except 9) for the internal network. In this case, don't use VLAN 1 for anything other except probably for the PVIDs of trunk (tagged) ports. Spreken Sie deutsh?
- Copy Link
- Report Inappropriate Content
Yep, ich sprech Deutsch :-)
Danke für die Erläuterung. Ich habe soetwas schon befürchtet mit der FritzBox. Dachte e sgibt vielleicht doch eine andere Lösung.
- Copy Link
- Report Inappropriate Content
Powerauditor wrote
Yep, ich sprech Deutsch :-)
Danke für die Erläuterung. Ich habe soetwas schon befürchtet mit der FritzBox. Dachte e sgibt vielleicht doch eine andere Lösung.
In dem Fall gibt's keine andere Lösung, da die EAPs bei Multi-SSID-Betrieb tagged packets mit jeweils der VLAN ID senden, die den SSIDs zugeordnet sind. D.h. alle Switch-Ports, an denen EAPs hängen, müssen Trunk-Ports (tagged) sein.
Stelle Dir einfach vor, Du hättest zwei Subnetze, zwei SSIDs, pro Netz einen eigenen EAP, einen eigenen Switch (dazu denken im Bild unten) und einen eigenen Router:
Jetzt willst Du die zwei SSIDs auf einem EAP zusammenfassen, nur eine Leitung zu nur einem Switch und nur einen Router nutzen. VLANs erlauben genau das, aber müssen spätestens im Router (oder wie in der vorhergehenden Antwort vorgeschlagen im Switch) wieder in zwei Subnetze aufgedröselt werden:
VLANs sind eigentlich relativ einfach, wenn man sich vorstellt, dass jedes VLAN immer auch ein eigenes Subnetz ist, zumindest wenn man es korrekt aufsetzen mag.
Das Problem mit einem festen, unveränderbaren Default-VLAN 1 ist das, dass man Ports nicht aus diesem rausnehmen kann und somit (untagged-) Pakete aus den Subnetzen immer auch in's Default-VLAN/-Subnetz leaken können. Abhilfe: Das Default-VLAN gar nicht nutzen, ausser für PVIDs, die untagged traffic dann im Switch einfach verwerfen.
Mittels PVID an untagged ports bestimmt man dann, welchem VLAN die eingehenden Pakete an diesem Port zugeordnet werden. Bei Trunk-Ports braucht's das nur für untagged Pakete, die die EAPs aber nicht senden im Multi-SSID-Betrieb, sofern man jeder SSID eine VLAN ID zuweist.
Es brauchte eineinhalb Jahre Überzeugungsarbeit, bis TP-Link im TL-SG108PE/108E/105E das Default-VLAN konfigurierbar machte. Da gab's einige Nutzer, die das auch für den TL-SG1016E/PE wollten, aber ich habe nicht weiter verfolgt, ob TP-Link die Firmware für diese Switche auch gefixt hat. Falls ja, könnte die gefixte Firmware-Version auch V2 oder V3 sein, die sich mglw. auch auf V1- respektive V2-Hardware installieren lässt, so geht das wenigstens bei den zuerst genannten 5- und 8-Port-Switches.
Die Fritz!Box ist also das kleinste Problem, denn die beherrscht ja wenigstens zwei Subnetze: das normale LAN und ein Gästenetz. Brauchst dann halt nur 2 Datenkabel zwischen FB und Switch und korrekte PVIDs im Switch, so dass die VLAN-Zuordnung im Switch erfolgen kann.
- Copy Link
- Report Inappropriate Content
R1D2 wrote
Powerauditor wrote
Yep, ich sprech Deutsch :-)
Danke für die Erläuterung. Ich habe soetwas schon befürchtet mit der FritzBox. Dachte e sgibt vielleicht doch eine andere Lösung.
In dem Fall gibt's keine andere Lösung, da die EAPs bei Multi-SSID-Betrieb tagged packets mit jeweils der VLAN ID senden, die den SSIDs zugeordnet sind. D.h. alle Switch-Ports, an denen EAPs hängen, müssen Trunk-Ports (tagged) sein.
Stelle Dir einfach vor, Du hättest zwei Subnetze, zwei SSIDs, pro Netz einen eigenen EAP, einen eigenen Switch (dazu denken im Bild unten) und einen eigenen Router:
Jetzt willst Du die zwei SSIDs auf einem EAP zusammenfassen, nur eine Leitung zu nur einem Switch und nur einen Router nutzen. VLANs erlauben genau das, aber müssen spätestens im Router (oder wie in der vorhergehenden Antwort vorgeschlagen im Switch) wieder in zwei Subnetze aufgedröselt werden:
VLANs sind eigentlich relativ einfach, wenn man sich vorstellt, dass jedes VLAN immer auch ein eigenes Subnetz ist, zumindest wenn man es korrekt aufsetzen mag.
Das Problem mit einem festen, unveränderbaren Defaut-VLAN 1 ist das, dass man Ports nicht aus diesem rausnehmen kann und somit (untagged-) Pakete aus den Subnetzen immer auch in's Default-VLAN/-Subnetz leaken können. Abhilfe: Das Default-VLAN gar nicht nutzen, ausser für PVIDs, die untagged traffic dann im Switch einfach verwerfen. Mittels PVID an untagged ports bestimmt man dann, welchem VLAN diese Pakete zugeordnet werden. Bei Trunk-Pors braucht's das nur für untagged Pakete, die die EAPs aber nicht senden im Multi-SSID-Betrieb.
Es brauchte eineinhalb Jahre Überzeugungsarbeit, bis TP-Link im TL-SG108PE/108E/105E das Default-VLAN konfigurierbar machte. Da gab's einige Nutzer, die das auch für den TL-SG1016E/PE wollten, aber ich habe nicht weiter verfolgt, ob TP-Link die Firmware für diese Switche auch gefixt hat. Falls ja, könnte die gefixte Firmware-Version auch V3 sein, die sich mglw. auch auf V2-Hardware installieren lässt, so geht das wenigstens bei den zuerst genannten 5- und 8-Port-Switches.
Die Fritz!Box ist also das kleinste Problem, denn die beherrscht ja zwei Subnetze - das normale LAN und ein Gästenetz. Brauchst dann halt nur 2 Datenkabel zwischen FB und Switch.
Danke, eigentlich logisch wie Du es beschreibst. Dann muss ich wohl mal die Fritzbox austauschen und vorläufig damit leben das mein Gäste Netzwerk nicht über VLAN getrennt ist.
Leider hat TP-Link bei dem 16 Port Switch nicht die Firmware angepasst. Das Gerät ist auch immer noch V1. Eventuell kommt mal eine neue Version und hat sich entschieden keine Arbeit mehr in die V1 zu stecken.
- Copy Link
- Report Inappropriate Content
Powerauditor wrote
Danke, eigentlich logisch wie Du es beschreibst. Dann muss ich wohl mal die Fritzbox austauschen und vorläufig damit leben das mein Gäste Netzwerk nicht über VLAN getrennt ist.
Wieso? Die FB kann doch zwei Netze. Zwei separate VLANs ohne zwei separate Subnetze ergibt keinen Sinn, zumindest nicht in Setups für ein vom LAN separiertes Gästenetz mit Multi-SSID EAPs.
Und ein Subnetz über zwei VLANs ist ein »VLAN für Arme« mit der selben Broadcast-Domain, also eben gerade nicht vollständig isoliert voneinader. Probiere doch mal das Setup mit Zuordnung der VLANs im Switch und zwei Datenkabeln zwischen Switch und FB. Dann hast eine saubere Trennung der beiden Netze.
Oder willst Du nur zwei SSIDs im selben Subnetz, eine SSID für Gäste und eine für's interne Netze, aber Zugriff von allen Clients in's selbe Netz?
- Copy Link
- Report Inappropriate Content
R1D2 wrote
Powerauditor wrote
Danke, eigentlich logisch wie Du es beschreibst. Dann muss ich wohl mal die Fritzbox austauschen und vorläufig damit leben das mein Gäste Netzwerk nicht über VLAN getrennt ist.
Wieso? Die FB kann doch zwei Netze. Zwei separate VLANs ohne zwei separate Subnetze ergibt keinen Sinn, zumindest nicht in Setups für ein vom LAN separiertes Gästenetz mit Multi-SSID EAPs.
Und ein Subnetz über zwei VLANs ist ein »VLAN für Arme« mit der selben Broadcast-Domain, also eben gerade nicht vollständig isoliert voneinader. Probiere doch mal das Setup mit Zuordnung der VLANs im Switch und zwei Datenkabeln zwischen Switch und FB. Dann hast eine saubere Trennung der beiden Netze.
Oder willst Du nur zwei SSIDs im selben Subnetz, eine SSID für Gäste und eine für's interne Netze, aber Zugriff von allen Clients in's selbe Netz?
Ja, hast Du auch wieder Recht. Irgendwie hatte ich die Vorstellung ich bekomme die saubere Trennung hin ohne einen weiteren Port am Switch zu belegen.
Würde bei deiner vorgeschlagene Lösung noch die Gästeanmeldung über Portal (Voucher) funktionieren?
- Copy Link
- Report Inappropriate Content
Powerauditor wrote:
Ja, hast Du auch wieder Recht. Irgendwie hatte ich die Vorstellung ich bekomme die saubere Trennung hin ohne einen weiteren Port am Switch zu belegen.
Das würde die VLAN <-> LAN-Zuordnung im Router erfordern. Du kannst natürlich einen billigen Router mit OpenWRT verwenden, um als »exposed host« die FB zu umgehen bzw. nur als DSL- bzw. Kabelmodem zu nutzen und dann die Zuordnung auf diesem Router vornehmen. Dafür bräuchtest entweder eine öffentliche IP oder schließt ihn an das LAN der FB an, was dann den Nachteil von double-NAT hat. In beiden Fällen kommt man mit einer Verbindung zum Switch aus.
Würde bei deiner vorgeschlagene Lösung noch die Gästeanmeldung über Portal (Voucher) funktionieren?
Ja, Omada-Portale würden auch weiterhin funktionieren. Das FB-Gästenetz lässt aber nur Mail und Web zu, wenn ich das richtig erinnere und ich weiss nicht mehr, ob man das ändern kann oder die FB auch noch eine Portalseite anzeigt - ich nutze eigene Router an meinem Anschluss und die FB nur als Modem und Heizung für'n Rechnerraum.
- Copy Link
- Report Inappropriate Content
Information
Helpful: 0
Views: 2890
Replies: 9
Voters 0
No one has voted for it yet.