ReneT wrote

GS108 VLAN100 = Port 1...4 (Port 1..3 Untagged, Port4 Tagged)

GS108 VLAN1 = Port 4...8 (Port 5...8 Untagged, Port4 Tagged)

Hier liegt der Fehler. Wenn Du VLAN 1 untagged im CAP300 verwenden willst (kein »Management VLAN« im AC50 gesetzt, sofern der das hat), dann muss Port 4 ein untagged member des VLANs 1 und ein tagged member von VLAN 100 sein. Die PVID von Port 4 muss 1 sein.

Die grundsätzliche Konfiguration eines Gäste-Netzes mittels VLANs – allerdings für Omada EAPs, sollte aber auch für Auranet CAPs gelten – findest Du hier in meinem HowTo (zu »Method 2« runterscrollen. Die zwei Netze (LAN, Gäste) der KarlHeinz-Box hast schon richtig mit dem Switch verdrahtet, wobei die PVID von Port 8 auch 1 sein muss.

Ganz grundsätzlich würde ich nicht tagged und untagged traffic mischen, wenn VLANs eingesetzt werden. Das Default-VLAN 1 für untagged traffic wurde mal eingeführt, um alte Netze in VLAN-Netze migrieren zu können, ohne den Betrieb unterbrechen zu müssen.

Moderne VLAN-Netze brauchen kein Default-VLAN 1 für untagged traffic, zumal untagged frames in einem managed Switch immer auch getagged werden (eben mit VID 1, wenn das Default-VLAN die VID 1 hat).

Um nun den CAP300 über ein »tagged VLAN 1« zu managen, kann man im Controller ein »Management VLAN« setzen. Schau mal im AC50, ob der diese Einstellung kennt. Dann wäre Port 4 als tagged member korrekt. Der AC50 selbst aber wird wohl – ähnlich dem Omada Controller – keine VLAN-Tags an seinem Ethernet-Interface verarbeiten, d.h. der Switch-Port zum AC50 bleibt dann untagged mit PVID=1.

Aber ein untagged VLAN 1 sollte auch gehen und ist einfacher aufzusetzen.

Nur muss es halt durchgängig untagged sein, auch bis hin zum CAP 300 und bis zur SSID für das LAN.

ReneT wrote

Port1: VLAN 1 Untagged, PVID1 -> Fritzbox Port 1 LAN

Port2: VLAN 3 Untagged, PVID3 -> Fritzbox Port 4 GAST

Ja, so ist das richtig. Intern verteilt die FritzBox das LAN- und das GAST-Netz an ihre 4 Switch Ports sogar über VLANs. Es gibt technisch keinen anderen Weg, den LAN-Port 4 dem GAST-Netz zuzuordnen, wenn ein Switch-Chip die einzelnen Ports ansteuert. Also hat man mit der FB durchaus einen VLAN-fähigen Router, nur können die VLANs nicht frei konfiguriert und verwendet werden.

Ich fragte zum Spaß mal an bei AVM, wie man VLANs in der FB frei definieren kann und die Technik (bei der zweiten Anfrage, nachdem der Support bei der ersten Anfrage nicht wusste, was das ist) meinte dazu nur, dass sich solche »anspruchsvollen Anforderungen« mit der FB nicht umsetzen ließen.

Egal, dann zieht man halt zwei (oder wie in meinem Fall bei einem Exposed Host drei) Kabel zum Switch. So schön die FB auch ist: ein Business-Class Router ist sie m.E. nicht, dazu müsste sie deutlich mehr Funktionen bieten.

Kann ich z.B. LAN2 vom AP50 mit 192.168.179.254 auf VLAN3 setzen?

Das weiss ich nicht, da ich nie einen AC50 in der Hand hatte. Würde mich aber wundern, da der AC50 kein Router, sondern ein AP-Controller ist. Schau mal nach, ob man zwei Netze auf dem AC50 erstellen kann, um die Ports dran zu binden.

Normalerweise würde man Inter-VLAN-Routing nutzen, d.h. eine Host-Route zum AC50 für das GAST-Netz und auch eine Freigabe für den Host in der GAST-Zone mittels Firewall einrichten. Beides kann die FB nicht bzw. macht das nur intern.

Der Netgear GS108E kann meines Wissens nach auch kein Inter-VLAN-Routing, wenn ich mich richtig erinnere. Ist lange her, dass ich einen GS108E mal zum Testen hatte.

Es gibt m.E. nur zwei weitere Möglichkeiten:

1) Wenn Du im LAN keine Portalseite brauchst, könntest Du die CAPs/AC50-Verwaltung über das GAST-Netz laufen lassen, um aus diesem Netz die Portalseite erreichen zu können. Also quasi das GAST-Netz als Hauptnetz und das LAN als zusätzliches Netz aus Sicht des AC50 und mit einer VLAN-mapped SSID assoziiert. Dann müsstest Du aber auch zum Zugriff auf den AC50 das GAST-Netz nutzen und Gäste könnten ebenfalls die Web-Oberfläche des AC50 erreichen. Das will man normalerweise nicht.

2) Einen professionellen Router verwenden, um seine Netze zu routen. Dazu nutze ich einen UBNT EdgeRouter-X (49€ bei Amazon), der als Exposed Host die FB nur als Kabelmodem, nicht als Router nutzt.  Damit geht dann auch Inter-VLAN-Routing. Dieses Setup benötigt aber eine zusätzliche öffentliche IP-Adresse.

Ansonsten kann man mit der FB als Router ein AC50-Portal nur in einem der beiden Netze verwenden; nicht weil der AC50 das nicht könnte, sondern weil die FritzBox kein Inter-VLAN-Routing kann.