×
We are experiencing an outage of our ReadyCloud service and are working to resolve the issue..
×
Auf Grunde der gegenwärtigen Situation mit dem COVID-19 Coronavirus erwarten wir ein ungewohnt hohes Anrufaufkommen and aus diesem Grund erhöhte Warte- und Antwortzeiten. Wir bitten um Ihr Verständnis während wir durch diesen Prozess arbeiten
×
Geplante Wartung des Community-Systems, Mitte Juli - Beiträge / Antworten werden deaktiviert. Erfahren Sie mehr.
Das Thema wurde als gelöst markiert und wegen der Inaktivität geschlossen. Wir hoffen, Du wirst Dich die Community anschließen, indem Du einen neuen Beitrag in einem geöffnet Post hinzufügen bzw. einen neuen Post erstellen wirst.
Ich habe mehrere VLAN's eingerichtet: 20, 30, 40 und 50. Der Port 8 ist mein Uplink-Port mit tagged 20, 30, 40 und 50, das gleiche hab ich auf den Ports 1 und 2 eingestellt für meine Acces Points. Für die Adminstration habe ich VLAN20 vorgesehen, was auf meinen Zyxel AP's inklusive DHCP gut funktioniert. Zur Zeit habe ich den Switch auf eine fixe IP-Adresse eingestellt. Wie bekomme ich per DHCP eine Adresse aus dem VLAN 20 zugewiesen. Stimmt meine Einstellung mit dem Tagging nicht?
ich bin der Lösung jetzt doch näher gekommen. Der Fehler lag bei mir mit der Zuordnung des Switch zum VLAN20. Meine Firewall kann nur mit dem Switch kommunizieren, wenn dies auf einem ungetaggedem Kanal geschieht. Ich hab den Switch aus dem VLAN20 raus genommen und ihn direkt mit der Schnittstelle (OPT1 bei mir WLAN) der Firewall verbunden. Somit ist er mit der Default Einstellung VLAN1 direkt (ungetagged) mit der Firewall verbunden und bekommt per DHCP seine IP und die Web-GUI ist auch von den Geräte, die am zweiten Switch angeschlossen sind erreichbar. Genau das wollte ich erreichen, dass die Administration von den angeschlossenen Geräte getrennt ist. Jetzt hab ich die AP's im VLAN20 und den Switch direkt verbunden und die angeschlossenen Geräte (verkabelt und wireless) sind auf mehrere VLAN's verteilt. Das Problem kann als gelöst markiert werden!
Ich hab aber noch eine Frage zu meinem zweiten Netzwerk-Segment: die "normalen" Geräte werden auch in verschiedene VLAN's aufgeteilt. Diese Ports werden untagged eingestellt und der PVID passend zur VLAN-Nummer eingestellt. Wie stelle ich die Verbindung zu meinen Servern (NAS) her?
Internet <-> Ethernet-Bridge vom Provider <-> OPNsense Firewall (DHCP-Server) <-> GS116Ev2 <-> verkabelte Geräte (192.168.168.100/24)
am zweiten Abgang der Firewall <-> GS108PEv3 <-> Zyxel WAC6103D-I hier sind die VLAN's angesiedelt.
Der GS108PEv3 hat eine fixe IP-Adresse aus dem Pool von VLAN20.
Der Zyxel AP bekommt eine IP-Adresse aus dem Pool von VLAN20 zugewiesen (Admin-Bereich) und verteilt WLAN_intern VLAN30 IP-Adressen und WLAN_Gast VLAN40 IP-Adressen, die er von der OPNSense Firewall bekommt.
Der Port 8 am GS108PEv3 ist getagged mit VLAN20, 30 und 40, ebenso der Port 1 (Zyxel AP). Den Port 5 habe ich untagged dem VLAN20 zugeordnet und die PVID auf 20 gestellt. Hier habe ich ein Notebook per Kabel angeschlossen (IP-Adresse wird korrekt per DHCP zugewiesen).
Mein kleineres Problem ist, dass ich per DHCP dem GS108PEv3 keine Adresse zuweisen kann.
Das echte Problem ist aber, dass ich vom Notebook aus die Web-GUI des Switch erreichen kann, vom anderen Teil des Netzwerks aber nicht. An der Firewall kann es nicht liegen, da der Zyxel AP (Web-GUI) sich problemlos erreichen läßt.
Meine Vermutung ist, dass etwas mit dem taggen von Port 8 nicht stimmt (Verbindung Firewall zu Switch). Hat die Einstellung des PVID bei getaggten Ports eine Bedeutung?
Eines hab ich noch vergessen zu erwähnen: ich habe auf Empfehlung aus der Dokumentation von OPNSense absichtlich nicht VLAN1 als administrativen Zugang gewählt, da das schon öfters zu Problemen geführt hat.
bestimmt kann ich Dir empfehlen, dort wo möglich immer statische IP-Adressen zu benutzen, weil diese dann nicht geändert werden können. Auf diese Art kannst Du eventuelle Probleme mit dem Zugang vermeiden.
Nur die Geräte, die in demselben VLAN sind, können den Zugang zum Switch haben. Was für eine IP-Adresse hat dann der Switch GS108PEv3? Kann er durch die Geräte auf "der anderen Seite" (mit dem GS116Ev2 verbunden) angepingt werden? Kannst Du mir bitte mitteilen, warum der GS108PEv3 eine dynamische IP bekommen soll?
ich bin der Lösung jetzt doch näher gekommen. Der Fehler lag bei mir mit der Zuordnung des Switch zum VLAN20. Meine Firewall kann nur mit dem Switch kommunizieren, wenn dies auf einem ungetaggedem Kanal geschieht. Ich hab den Switch aus dem VLAN20 raus genommen und ihn direkt mit der Schnittstelle (OPT1 bei mir WLAN) der Firewall verbunden. Somit ist er mit der Default Einstellung VLAN1 direkt (ungetagged) mit der Firewall verbunden und bekommt per DHCP seine IP und die Web-GUI ist auch von den Geräte, die am zweiten Switch angeschlossen sind erreichbar. Genau das wollte ich erreichen, dass die Administration von den angeschlossenen Geräte getrennt ist. Jetzt hab ich die AP's im VLAN20 und den Switch direkt verbunden und die angeschlossenen Geräte (verkabelt und wireless) sind auf mehrere VLAN's verteilt. Das Problem kann als gelöst markiert werden!
Ich hab aber noch eine Frage zu meinem zweiten Netzwerk-Segment: die "normalen" Geräte werden auch in verschiedene VLAN's aufgeteilt. Diese Ports werden untagged eingestellt und der PVID passend zur VLAN-Nummer eingestellt. Wie stelle ich die Verbindung zu meinen Servern (NAS) her?
das NAS hängt am GS116Pv2 und ich habe geplant es in das VLAN10 zu stecken. Mein Plan ist so, dass alle verkabelten Geräte inklusive NAS im VLAN10 beheimatet sind und die Firewall, der Switch sowie mein PiHole direkt mit der Schnittstelle LAN (Default VLAN1) der Firewall verbunden sind.So hätte ich dann auch eine Trennung der Geräte von der Management-Ebene.
