PVLAN per Trunk an WLAN-AP

Rakor

Administrator
Teammitglied
Hallo zusammen,

folgendes Szenario:
- als Switch dient ein Cisco SG300-28 in Layer 2
- zur Trennung verschiedener Clients läuft das Ganze im Moment als ein großes private VLAN.
- als WLAN-AP kommt ein MikroTik hAP ac zum Einsatz.
- der MikroTik spannt zwei SSIDs auf die Gäste und internes WLAN voneinander trennen.
- alle Clients sollen über eine zentrale FW ins Internet kommen
- alle Clients im isolierten Bereich sollen nur ins Internet kommen, aber keine anderen Clients sehen (wie das halt so ist)
- der MikroTik kann VLANs aber keine PVLAN (in der Vergangenheit hatte ich normale VLANs verendet und die konnte ich sauber per Trunk an den MiroTik bringen).
- weitere Clients im community-VLAN sollen sich gegenseitig sehen

Grundsätzlich funktioniert das PVLAN auch soweit, ich habe nur ein Problem das Isolated und das Community an den MikroTik zu bekommen. Als ich standard VLANs gefahren bin konnte ich die einfach per Trunk rüber bringen. Nun habe ich es "behilfsweise" damit gelöst, dass ich zwei getrennte Strippen angeschlossen habe, eine vom community-Port und eine vom isolated-Port. Da der AP im Wohnbereich steht kostet das allerdings Netzwerkdosen und das tut weh....

Also wie bekomme ich die beiden PVLAN-Teile per Trunk an den MikroTik?

Ich will gerne über PVLANs die Trennung machen und nicht wieder einzelne VLANs aufbauen, da es für das Gesamtmanagement deutlich einfacher ist und ich kein Routing zwischen den Subnetzen brauche. Daher wäre es schon nett, wenn mir jemand helfen könnte... Zur Verdeutlichung ein Bildchen...

Danke
trunk.webp
 
802.1q. Ende.

"Kein Routing" ist kein Vorteil, sondern ein Nachteil, denn es bedeutet auch "Kein Filtern". Selbst wenn die Netze nie miteinander reden sollen, würde ich 802.1q nehmen. Die Limitierung, die du gerade erlebst, ist ein Hinweis, die Krücke PVLAN aufzugeben.
 
Kenn mich mit MikroTik ned so gut aus, aber sehen die Isolated-Gäste nur das Gateway nicht, oder bekommst du direkt keine Verbindung vom AP zum Switch?

der Cisco hat den "promiscious" Befehl
Code:
#switchport mode private-vlan promiscuous
welcher für das Interface "auf welchem das Gateway sitzt" (wo dein Netzwerk samt GW konfiguriert ist), benutzt werden muss; also z.B.

Code:
#interf gi24
#switchport mode private-vlan promiscious

Die Private VLANs mappst du dem Haupt-VLAN mittels add hinzu (z.B. wenn 9 dein Primary VLAN und 99 dein priv-VLAN ist):
Code:
#switchport private-vlan mapping 9 add 99
 
@TCM: Danke für dein Hinweis... Zur Not baue ich das alles nochmal um... Aber im Moment will ich das erst mal so versuchen...

@turrican: Das LAN funktioniert alles wie es soll. Alle Typen (community und isolated) kommen ins Internet. Das Gateway ist ein promiscuous-port. Soweit also alles gut. Mein Problem ist nur, dass ich an den AP die beiden VLANs (community und isolated) bringen muss. Mit normalem VLAN könnte ich es als Trunk rüber bringen und die beiden VLANs auf die beiden SSIDs aufteilen (so hab ich es früher gemacht). Ich habe es nun so gelöst, dass ich einen isolated-Port und einen community-Port am Switch an den AP bringe. Sprich für jedes VLAN ein eigenes Kabel/Port. Nur hätte ich das gerne wieder nur über ein Kabel laufen (also als Trunk), da ich die zweite Netzwerkdose über kurz oder lang wieder brauchen werde.
 
Ich hab ehrlich gesagt bislang noch nie mit "private vlans" zu tun gehabt, wäre auch nicht mein Konzept :)

Aber wenn ich das richtig gelesen hab ist doch das kernkonzept davon das man das vlan nur port-based macht, das schließt dann ja wieder nen "trunk" port der mehrere vlan tagged durchlässt aus?

Für mich als Laie mit "private vlans" klingt das wie die Quadratur des kreises - entweder du willst diese private geschichte oder halt mehrere vlans auf einen port.
 
PVLANs können schon Trunks... Nur hat ein getaggtes PVLAN-Paket eben 2 VLAN-Tags. Das primäre und das sekundäre VLAN. Ein nicht-PVLAN-affines Endgerät kann aber mit 2 Tags nichts anfangen. Das ist das eigentliche Problem. Könnte der AP PVLAN könnte ich es einfach per Trunk rüber schieben.
Ich hatte auch schon gehofft, dass ich einen Trunk machen kann in den ich nur die sekundären VLANs packe, aber das hatte nicht funktioniert. (Meine Hoffnung war, dass ich dafür einfach zu blöd war und ihr mir sagt, dass das geht... und ich einfach nur zu blöd war... ;) )
 
Kann microtik überhaupt pvlan und das auch getrunked ? Ich kenne nur Cisco catalyst die das in Kombination können.

Holger
 
Ich vermute mal, das wird wg des mikroTik APs ned gehen... wenn der das VLAN-Tag "private" ned versteht, sind alle Bemühungen sinnlos.
Wüsste ausm Stegreif ned mal, ob das mit nem Unifi-AP gehen würde.
 
verstehe den aufwand an der stelle sowieso nicht.

wenn man im wlan client isolation aktiviert koennen diese sich die wlan clients nicht sehen , dann kann man auch ein einfache
vlan zum router verwenden , so wie es schon gemacht wurde .

pvlan ist dann nicht noetig.

holger
 
verstehe den aufwand an der stelle sowieso nicht.

wenn man im wlan client isolation aktiviert koennen diese sich die wlan clients nicht sehen , dann kann man auch ein einfache
vlan zum router verwenden , so wie es schon gemacht wurde .

pvlan ist dann nicht noetig.

Wenn es nur um das WLAN ginge hast du Recht. Ich will aber auch die ganzen Dreckskisten die Internet brauchen (Spielekonsole, Blurayplayer, Streaminggedöns, etc.) gerne isolieren. Die hängen zum Teil am Ethernet. Das funktioniert mit dem Isolated-Ports wunderbar. Die sollen wiederum alle einen gemeinsamen DNS und DHCP nutzen. Dann will ich ggf. noch andere Geräteklassen separieren. Über die Promiscious-Ports kann ich genau sagen welcher Server mit welchen community- oder isolated-ports sprechen darf.
Alternativ müsste ich halt verschiedene Subnets aufmachen. Ein Routing einrichten und den DNS und DHCP über mehrere Subnets ziehen. Das geht, klar, aber die andere Struktur ist deutlich geradliniger... Es ist immerhin nur ein kleines Privatnetzwerk und kein Firmennetz. Irgendjemand muss da ja auch wieder durchblicken wenn in nem Jahr irgendwo ein Fehler passiert
 
Ich würde ja auch fast sagen, wenn ers nicht kann, dann kann ers nicht :D Zumindest fällt mir gerade auch keine Lösung ein. Was vielleicht ein Mittelweg wäre: Alles in 1 LAN und den internen Bereich mit einem VPN trennen. Dann hast du zumindest keine VLANs. Routing bleibt dir natürlich nicht erspart, aber immerhin alles schön zentral auf einem Server.

Da du etwas deinen Usecase erwähnst - und der glaub ich auch ähnlich meines Setups ist (Chromecast, TV, BluRay, ..) - hier gibt es sogar 3 VLANs - Eines für die "bösen" Geräte (also TV, Chromecast, ..), eins für mich, und eines für Gäste. Hat den Vorteil, dass ich z.b. sowohl selbst über mein internes WLAN z.b. via Handy den Chromecast / TV steuern kann, ebenso ein Gast. Auch kann man einen Share am Fileserver für Gäste freigeben, aber nicht für "böse Geräte"... Da ist man dann sehr flexibel und hat eine sehr zentrale und übersichtliche Config.

Ich hoffe ich hab deinen Usecase richtig verstanden :D. Ansonsten hilft wohl nur neue Hardware.
 
@Rakor: Mal anders gefragt - dein Router bzw die Firewall haben nicht die (bereits eingebaute) Möglichkeit des WLANs? Einfach das Guest-WLAN da aufmachen und nicht "nach hinten" durchreichen.
Im Prinzip würde für die Gäste ja ein alter WRT-54G direkt an der FW reichen, ggf liegt so einer noch irgendwo rum?

Ok, entweder besteht die Möglichkeit bei den Geräten ned oder der Funkempfang im Bereich der Gäste ist baulich nicht gegeben - sonst hätteste das vermutlich schon durchgeführt, nehm ich mal an...
 
@medV2: ja das kommt in etwa so bei mir hin. Darf ich interessehalber Fragen wie das Setup bei für genau aussieht?

@turrican: ja die Technik an sich steht im (Stahlbeton) Keller. Da kommt kein WLAN-Signal vernünftig durch. Daher habe ich den AP abgesetzt im Wohnbereich stehen. Wenn ich den direkt mit im Keller hätte wäre alles kein Problem, da ich dort ausreichend Ports habe. Unangenehmen ist ja nur die 2. Netzwerkdose die ich im Wohnzimmer damit belege.
 
hi

wenn du openbsd auf deinen router /firewall haettest , koenntest du vrf in kombination mit vlan nutzen.
so mach ich es um z.b. meine xbox vom rest des netzes ab zukoppeln.

ich hatte die situation auch mit meinen sg300-10 , wie schon gesagt , ich kenen nur catalyst die portchannel mit pvlan koennen.

manage bar bleibt es mit dokumentation ;)

holger
 
Zurück
Oben