Posted: Tue Feb 24, 2009 23:32 Post subject: 802.1Q VLANs tagged Multi SSID Access Point
Salve zusammen,
ich weiss nicht mehr weiter, ich kann keine Regelmäßigkeit in den mir gemachten Tests finden und irgendwie will es einfach nicht klappen...
Die Posts in dem Forum hier passen auch irgendwie nicht richtig zu meiner Aufgabenstellung oder wenn heisst es leider nur "habs gelöst" und keiner schreibt wie.
Meine Aufgabe ist eigentlich relativ simpel und nachdem ich meinen WRT54GSv1.0 mit der DD-WRT-Firmware (2.4 build 9517, Vint-Image) geflasht und die Weboberfläche gesehen hatte dachte ich auch: gar kein Problem - nur eben schnell die Tags zusammenklicken, VLANs tagged auf dem Port aktivieren und gut ists...
Weit gefehlt! Ich habe nun den dritten Abend komplett versemmelt, bin schon weiter aber nicht so weit dass es funktionieren würde...
Daher meine Bitte um Hilfe hier an die Community.
Meine Netzinfrastruktur sieht wie folgt aus: Ich habe einen IPcop, der mir alle nötigen Netztrennungen vornimmt und die
Internet-Einwahl macht. Dieser geht auf meinen VLAN-fähigen Switch vom Typ HP1800-24.
Als Multi-Access-Point (und nicht als Router) soll der WRT54GS dienen. Der IPcop hat mehrere Netzsegmente, die ich mit
- VLAN internes Netz (ganz normales Netzwerk hinter meiner Firewall) - auch als "grün" bezeichnet
- VLAN Technik-DMZ (Audio-Streaming usw.) - auch als "orange" bezeichnet
- VLAN Gast-Netz - auch als "blau" bezeichnet
Auf meinem Switch sieht das folgendermaßen aus:
VLAN ID 100 = grün = internes Netz
VLAN ID 200 = rot = DSL Netz
VLAN ID 300 = blau = Gäste WLAN-Netz
VLAN ID 400 = orange = Technik-DMZ
Daneben tummeln sich noch weitere VLANs, die ich für Testsszenarien verwendet oder wenn mal ein Virenverseuchter PC vom bekannten
Was funktioniert ist die Erstellung der verschiedenen Bridges mit den DHCP-Servern. D.h. ich bekomme je nach dem in welchem WLAN
ich mich einbuche die richtige IP vom DHCP-Server auf dem WRT54GS.
br0 = standard - passiert erstmal nix mit
br1 = oranges Netz, wird gebridged auf wl0.1
br2 = blaues Netz, wird gebridged auf wl0.2
Jetzt kommt die Anbindung ans Ethernet hinzu und da hört es dann leider auf. Irgendwie habe ich das Gefühl ich mache hier etwas
falsch - ich weiss nur nicht was!
Ich habe exemplarisch alle VLANs auf den VLAN-Trunk-Port (4) gelegt und weiterhin ein VLAN (4) als untagged auf den Port3 verknüpft.
Weder mein VLAN-Tag-fähiger Server noch ich (notebook, an dem untagged Port) bekomme eine IP-Adresse zugewiesen bzw kann das Interface anpingen.
Nachdem ich den Router neu gebootet habe und es immer noch nicht ging habe ich im nvram noch folgende Werte gesetzt wie ich es in
etlichen Howtos für Tagged Pakete gelesen habe:
zunächst die beiden Ports rausnehmen mit
>> nvram set vlan0ports="1 2 5*"
danach die tags drauflegen und dann das untagged vlan definieren auf port 3:
>> nvram set vlan4ports="3 4t 5t"
>> nvram set vlan5ports="4t 5t"
>> nvram set vlan6ports="4t 5t"
>> nvram commit
Leider bringt auch dies mich kein Stück weiter. Ratlos bin ich, ehrlich.
Hat hier jemand noch eine Idee?
Ich weiss, dass in meinen Screenshots die WL0.1 und WL0.2 Interfaces nicht auf der Bridge sind, aber das ist ja auch nicht das Problem (hatte ja funktioniert).
Viele Grüße und besten Dank
Ein etwas frustrierter Bastler.
Ich kann dir leider nur sagen, daß es von der Idee her generell funktionieren sollte. Ob du aber einen Konfigurationsfehler drin hast, kann ich so auf die Schnelle nicht sagen. Bei mir hat es hier und jemand anderem dort letztendlich geklappt. Vielleicht findest du in den Beiträge ja noch die ein oder andere Idee woran es liegen könnte.
Vielen Dank für die Antwort. Leider habe ich die zwei Threads schon gelesen und der eine bringt mich nicht wirklich weiter, weil er inkonsistenzen in der GUI als Lösungsweg beschreibt und da kann ich probieren bis ich schwarz werde (3*über 8 std - ich bin schwarz) und der andere beschreibt letzten endes auch nicht genau die Konfig-Schritte.
Macht es einen Unterschied ob ich so hohe Tag-IDs habe oder eher net?
Kann ich eventuell auf ne neuere Firmware flashen ohne meinen Router zu killen? Letzteres wäre dann der absolute abschuss.
wenn du die flash-anleitung einhältst sollte es keine probleme geben beim wechsel auf eine neuere version.
vielleicht hilft es etwas, wenn du die tags veränderst. ich habe bei mir (der thread mit dem bridge-problem) keinerlei einstellungen extra für die vlan-tags vorgenommen. ich habe nur die ports in vlans verschoben, die größer als vlan 0 sind, denn ich habe gelesen, dass viele switches nicht mit einem tag 0 klarkommen. deshalb nutze ich vlan 2 und 3 für die unterteilung. pakete aus diesen beiden vlans kommen dann auch mit den tags 2 und 3 an der firewall an.
Gleiches bei mir. Da mein 3-Com Switch auch kein VLAN mit ID 0 kennt, habe ich den WAN Port auf VLAN0 gelegt.
Was mir noch auffällt - hans_m. und ich haben beide nicht die VLAN ID's geändert (wie bei dir in 100,200,300, ...). Vielleicht gibt es an dieser Stelle einen Bug in dd-wrt. Vielleicht bringt es was, es mal mit den Original VLAN-ID's zu probieren.
Wie beschrieben, gab es eigentlich nie Probleme die VLAN's über die GUI den einzelnen Ports zu zuweisen. Nach einem Reboot von dd-wrt hat das einwandfrei funktioniert. Die Herausforderung bei hans_m. war es dann nur noch die WLAN's auf die VLAN's richtig aufzuteilen und zu konfigurieren. Selbst das funktioniert bei dir ja scheinbar schon ? Das Zuordnen eines einzelnen Ports zu einem VLAN sollte da weit weniger Probleme bereiten - das war eigentlich der Vortest, bevor die WLAN's aufgeteilt wurden.
Die Sache hat sich erledigt: Linksys WRT54GS in die Ecke gefeuert, Airlive WLA-9000AP gekauft und die Sache ist gegessen. Der kann das Tagging (richtig) und schon ab Werk - war zwar nicht Sinn der Sache aber das gefrickel hat mich schon zu viel Zeit gekostet - hätte ich gleich so machen sollen.