Gast WiFi netwerk via VLAN's

03 feb 2018, 23:32

Ik heb ook wat advies nodig in de wereld van de VLAN's

Situatie:

FritzBox 7490 op VDSL2 waarop 2 gescheiden WiFi netwerken (lokaal netwerk 192.168.11.0/24, gast netwerk 192.168.179.0/24).
De FritzBox is zo ingesteld dat het Gast netwerk ook op LAN4 komt (dus LAN1-3 = lokaal netwerk, LAN4 = gast netwerk).
Achter de FritzBox staat een managed switch (192.168.11.10), merk: HP PS1810-8G
Deze switch bevat op dit ogenblik geen vlans (alles VLAN1?).
Achter de switch staan 3 AP's (Buffalo WZR-1750DHP) met Firmware DD-WRT v24-sp2.
Deze staan ingesteld als AP en switch. Geen vlans geconfigureerd.
In het netwerk staan een 15-tal clients bedraad aangesloten (printers, laptops, PC's, server, NAS) en een 10-tal draadloos (smartphone, i-phones, macbooks).

Probleem:
Met de FritzBox en de 3 AP's is er goed WiFi bereik over het ganse gebouw op het lokale netwerk, maar het gast netwerk (voor bezoekers) is alleen beschikbaar op de FritzBox (en niet op de AP's).

Als ik het goed begrijp zou ik met VLAN's het volgende kunnen doen:

- Ik verbind LAN1 (lokaal netwerk) en LAN4 (gast netwerk) van de FritzBox met de managed switch (vb: poort 1 en 2), waarbij ik het gast netwerk in een ander vlan steek.
- In de Buffalo AP's (DD-WRT) activeer ik een 2de SSID, die voor het gast netwerk bedoeld is (De AP's zijn met 1 kabel verbonden, die dus beide vlan's moet bevatten.

Moeten die AP's direct met de eerste switch verbonden worden (vb poort 3-4-5), of mogen die gewoon op het netwerk komen?
Laten gewone switchen (die geen vlans ondersteunen) de paketten met vlan tag ongehinderd door?
Hoe moet ik een en ander instellen?

PS
Als ik een Fritz!Repeater aansluit, kopieert de Repeater de volledige WiFi (beide SSID's en passphrases), en is dus ook op de Fritz repater het gescheiden gast netwerk aanwezig. Nochtans staat de repeater gewoon op het LAN.
Hoe zou dat werken? De FritzBox ondersteunt - out of the box - geen vlans.

Ik denk dat ze een soort tunnel maken, waarbij de pakketten voor het gast netwerk "verpakt" zitten in de lokale paketten en dus via het normale LAN gerouted worden (proprietary protocol van AVM?).

SpecialK · 04 feb 2018, 11:30

philippe_d schreef:Laten gewone switchen (die geen vlans ondersteunen) de paketten met vlan tag ongehinderd door?

Dat hangt er blijkbaar vanaf welke switch. Sommige switches trekken zich er niks van aan en laten het pakket MET VLAN tag gewoon door, anderen zouden blijkbaar de CRC verkeerd berekenen. Ik vraag me wel af waarom, want de CRC wordt berekend op het volledige pakket dus een VLAN tag is eigenlijk gewoon 4 extra bytes aan data. Proberen dus.

philippe_d schreef:Ik denk dat ze een soort tunnel maken, waarbij de pakketten voor het gast netwerk "verpakt" zitten in de lokale paketten en dus via het normale LAN gerouted worden (proprietary protocol van AVM?).

Zou het zo complex zijn? Unifi blokkeert gewoon alle IP trafiek naar private ranges in het guest netwerk. Dus als jij als guest probeert naar 192.168.1.2 te verbinden zal dat geweigerd worden.

ubremoved_539 · 04 feb 2018, 12:07

philippe_d schreef:De FritzBox ondersteunt - out of the box - geen vlans.

Vergeet het dan al maar... zonder een deftige router met VLAN support kan je dit niet correct oplossen.

Edward Valckx · 04 feb 2018, 21:37

r2504 schreef:
philippe_d schreef:De FritzBox ondersteunt - out of the box - geen vlans.
Vergeet het dan al maar... zonder een deftige router met VLAN support kan je dit niet correct oplossen.

Dat is wat kort door de bocht hoor... Aangezien beide netwerken hier via een aparte ethernet poort naar buiten komen, kunnen we het toch oplossen.

Ik heb thuis een soortgelijke configuratie (maar dan met pfSense ipv een Fritz!Box). Als die Buffalo WAPs toelaten om hun guest SSID op een apart VLAN te plaatsen, dan is dit perfect mogelijk.

Je switch kan er dan bijvoorbeeld zo uit zien:

- poort 1 = naar LAN1 van de Fritz!Box (main netwerk)
- poort 2 = naar LAN4 van de Fritz!Box (guest netwerk)
- poort 3 = naar Buffalo WAP 1
- poort 4 = naar Buffalo WAP 2
- poort 5 = naar Buffalo WAP 3

Stel dat je op de Buffalo WAPs VLAN50 instelt voor de guest SSID, en geen tag voor de main SSID.

Met een Miktotik switch (ben ik vertrouwd mee, maar zal bij HP wel soortgelijk zijn), doe je dan het volgende:

Maak de volgende interfaces aan:
- poort 1 untagged
- poort 2 untagged
- poort 3 untagged
- poort 3 VLAN50
- poort 4 untagged
- poort 4 VLAN50
- poort 5 untagged
- poort 5 VLAN50

En vervolgens maak je tweede bridges (dat is een soort van interne switch) aan:

- bridge "bridge-main" en plaats hier de volgende interfaces in: (poort 1 untagged) + (poort 3 untagged) + (poort 4 untagged) + (poort 5 untagged)
- bridge "bridge-guest" en plaats hier de volgende interfaces in: (poort 2 untagged) + (poort 3 VLAN50) + (poort 4 VLAN50) + (poort 5 VLAN50)

(kan dus al met bvb een Mikrotik hEX Lite van minder dan 40,- euro

philippe_d schreef:Als ik een Fritz!Repeater aansluit, kopieert de Repeater de volledige WiFi (beide SSID's en passphrases), en is dus ook op de Fritz repater het gescheiden gast netwerk aanwezig. Nochtans staat de repeater gewoon op het LAN.
Hoe zou dat werken? De FritzBox ondersteunt - out of the box - geen vlans.

Je kan perfect op éénzelfde netwerk 2 aparte IP ranges hebben, daar heb je geen VLANs voor nodig (zo is de Fritz!Box bvb ook altijd bereikbaar op 192.168.178.254, werk IP je ook ingesteld hebt). En via de firewall kunnen ze de ongewenste traffiek tussen beide blokkeren.

ubremoved_539 · 04 feb 2018, 22:22

Edward Valckx schreef:En vervolgens maak je tweede bridges (dat is een soort van interne switch) aan
(kan dus al met bvb een Mikrotik hEX Lite van minder dan 40,- euro

Bridges zijn voor zover ik weet niet meteen te vinden in managed switches... een Mikrotik hEX Lite is trouwens een router (dus dan ben je alsnog een router aan het gebruiken om je tekortkomingen op te lossen in je FB).

Edward Valckx · 04 feb 2018, 23:38

We weten allemaal al dat je geen fan bent van Fritz!Boxen, r2504...

mailracer · 05 feb 2018, 06:19

Zoals ik het begrepen heb :

De instelling Pvid geeft aan dat de betreffende packets op die poort die vlan meekrijgt. Als hier een toestel aangesloten is dat geen vlan meestuurt, dan dien je deze untageed aan te vinken. Geeft je toestel wel één vlan mee, dan vink je tagged aan.

Vlans die niet over die connectie mogen gaan vink je aan als not a member,

Als je een connectie hebt tussen twee managed switchen, dan dien je deze poorten in vlan 1 te houden pvid = 1 maar dien je de vlan die erover gaat te Taggen, en dat kunnen er meerdere zijn. dit noemen ze een trunk.

Standaard staan managed switchen op vlan 1 en untagged, wat zoveel wil zeggen dat alles vlan 1 meekrijgt. Unmanaged switchen geven hier meestal geen crc fout mee.

Als je AP hebt met unmanached switch functie, dan werken die in de vlan waarom ze zijn aangesloten op de main-switch. Zowel WiFi als poorten.

Maar Als je op je ap verschillende ssid en vlan kunt aanmaken, dan verwacht ik ook dat je de netwerkpoorten een pvid en een tag kunnen meegeven.

ubremoved_539 · 05 feb 2018, 09:49

Edward Valckx schreef:We weten allemaal al dat je geen fan bent van Fritz!Boxen, r2504...

Wat heeft dit te maken met fan zijn... Fritz!Boxen zijn leuke dingen maar missen gewoon VLAN mogelijkheden.

Ik ga ook geen telefonie proberen met een Mikrotik... want dat is dan weer een feature die daar mist.

Als je je moet verlagen tot dergelijke opmerkingen ben je trouwens ver van objectief bezig.

05 feb 2018, 11:43

@mailracer
Dank voor de uitleg over managed/unmanaged/tagged/untagged/Pvid ....

@r2504
Ik ben volledig met jou eens dat de FritzBox tekortkomingen heeft, onder andere VLAN mogelijkheden (toch niet met de originele firmware).
In dit geval wordt de FritzBox gebruikt als VDSL2 modem+router+AP (vervangt 3 toestellen in de vroegere set-up), en vooral voor de telefonie (VoIP + DECT).

De FritzBox heeft 2 gescheiden subnets (LAN op poort 1-2-3 en Guest op poort 4)
In de bestaande opstelling staat er direct achter de FritzBox een 8-poorts managed switch met VLAN mogelijkheden, daarmee denk ik de tekortkomingen op te lossen met de bestaande hardware.

@edward
bedankt voor de uitgewerkte uitleg, daarmee ga ik eens aan de slag.
Poort 6-7-8 op de switch (waarop apparaten hangen voor het normale LAN) laat ik dus ook "untagged"

Ik tracht dus best eerst te kijken of ik op de Bufallo DD-WRT een "VAP" kan aanmaken (virtual acess point") voor de Guest WiFI (dit krijgt dan interface wl0.1 en wl1.1 (5.0 GHz en 2.4 GHz), en deze VAP kan bridgen met VLAN50?

ubremoved_539 · 05 feb 2018, 12:57

philippe_d schreef:De FritzBox heeft 2 gescheiden subnets (LAN op poort 1-2-3 en Guest op poort 4)
In de bestaande opstelling staat er direct achter de FritzBox een 8-poorts managed switch met VLAN mogelijkheden, daarmee denk ik de tekortkomingen op te lossen met de bestaande hardware.

Zolang je LAN en Guest op een aparte poort kan krijgen van je FB is het prima... deze kan je dan via een managed switch in een andere VLAN stoppen (eentje in de LAN VLAN, de andere in de Guest VLAN)... en op de switch poorten van je AP's heb je dan gewoon een trunk (een deftig AP zal steeds de Guest in een aparte VLAN zetten).

philippe_d schreef:en deze VAP kan bridgen met VLAN50?

Je hoeft helemaal niets te bridgen (uiteindelijk doet je FB dit met z'n twee aparte poorten).

Edward Valckx · 05 feb 2018, 13:43

r2504 schreef:Als je je moet verlagen tot dergelijke opmerkingen ben je trouwens ver van objectief bezig.

Was jouw eerdere opmerking (over de Fritz!Box) "geen deftige router" of "Vergeet het dan al maar" misschien wél objectief, en niet "niveau verlagend"?

In plaats van te helpen zoeken naar een oplossing, vond je het nodig om al meteen te zeggen dat het niet kan, en tegelijkertijd de Fritz!Box wat denigrerend te benoemen.

ubremoved_539 · 05 feb 2018, 13:57

Edward Valckx schreef:Was jouw eerdere opmerking (over de Fritz!Box) "geen deftige router" of "Vergeet het dan al maar" misschien wél objectief, en niet "niveau verlagend"?

Een Fritz!Box is nu éénmaal gericht op consumenten... dat is hun eigen positionering van het toestel. Vind je dat niveau verlangend dan ga je bij Fritz!Box zelf moeten klagen vrees ik. Een Mikrotik richt zich op een heel ander publiek en heeft daarom ook andere features aan boord.

Edward Valckx schreef:In plaats van te helpen zoeken naar een oplossing, vond je het nodig om al meteen te zeggen dat het niet kan

Ik geef ook maar reacties op basis van de kennis die ik heb (en dat is dat een FB geen VLAN ondersteuning heeft)... sorry dat ik ook niet alwetend ben (en dat een FB z'n Guest netwerk op een andere poort kan zetten). Blijft bij dat laatste nog steeds de vraag hoe dit intern geimplementeerd is en er geen potentieel risico is.

Edward Valckx schreef:de Fritz!Box wat denigrerend te benoemen.

Soms heb ik de indruk dat sommigen hier met hun modem of welk toestel dan ook getrouwd zijn... zo emotioneel

mailracer · 05 feb 2018, 17:10

Zolang de AP's die de TS bezit niet over een vlan functie bezitten, zal het toch nooit gaan. Het is niet omdat er daar twee vlan op aangeboden word, dat daarom de switch in het AP weet wat ermee te doen, tenzij deze managed ermee overweg kan.
De netwerkpoorten op het AP dienen op de vlan van het bedrijf te staan, terwijl een 2e SSID op de quest vlan moet komen. Toch ?

Als je router de VLan er niet kan aan toevoegen omdat het maar een consumentenmodel is, dan kan je dat nog altijd laten doen door een managed switch.

Sinna · 05 feb 2018, 18:08

Philippe heeft aangegeven dat er DD-WRT op de AP's draait. Met enige chance kan je daar VLAN's op determineren. TomatoUSB doet het alvast wel (hier twee herflashte toestellen staan, maar het merk ontgaat me momenteel).

Aanvulling: 't Zijn Belkins.