Hallo zusammen,
Nachdem mein letztes Problem ( http://www.lancom-forum.de/topic,10597, ... erver.html ) hier wunderbar gelöst wurde bin ich leider schon wieder mit dem nächsten hier zu Gast.
Ich möchte neben unserem intern genutzten WLAN-Zugang auch einen für Gäste einrichten. Da wir viele kleine Filialen mit Switches, die nicht VLAN-fähig sind, besitzen bin der Anleitung unter http://www2.lancom.de/kb.nsf/1275/1CD5D ... enDocument so weit wie möglich gefolgt. Die Anschaffung von VLAN-fähigen Switches wäre für uns nicht lohnenswert.
Die grundlegendste Frage: Sind Gastnetze in mehreren per VPN angebundenen Filialen überhaupts möglich wenn ich die AccessPoints mit dem Controller steuere?
Da die Anleitung nur für einen Accesspoint geschrieben ist habe ich versucht die einzelnen Schritte auf den Controller umzusetzen. Bei Punkt 1 scheitere ich schon wenn ich das interne Netz auf der Schnittstelle von LAN-1 auf BRG-1 umstelle. Dann ist der Controller nicht mehr erreichbar. Wenn ich auf LAN-1 bleibe und nur für das Gastnetz BRG-2 nehme komme ich mit diesem Schritt weiter.
In der Port-Tabelle habe ich dann dem WLC-TUNNEL-2 die Bridge-Gruppe BRG-2 zugewiesen.
Mein internes Netz funktioniert nach wie vor wunderbar und in den Logischen WLAN-Netzwerken (SSIDS) habe ich ein Gastnetz angelegt. Wenn ich nun in den Logischen WLAN-Netzwerken den Punkt "SSID verbinden mit" von "LAN am AP" auf "WLC-TUNNEL2" umstelle finden es die WLAN-Clients nicht einmal mehr. Liegt hier schon mein Denkfehler oder ist das ganze noch verzwickter?
Fragen über Fragen, hat das schon einer von euch hinbekommen? Danke für jeden kleinen Denkanstoß schon mal im Vorraus!
Stefan
Gastnetz mit dem WLAN-Controller
Moderator: Lancom-Systems Moderatoren
-
snow-white
- Beiträge: 19
- Registriert: 07 Jan 2011, 10:52
....das könnte jeder, der eine Frage hat!xexex hat geschrieben:Wäre es für dich nicht eigentlich viel einfacher sich dafür einen Config Ticket zu holen und sich die Konfiguration von einem Lancom Techniker erledigen zu lassen?
Am besten also das Forum schließen?
Mir konnte bei einem Problem nur die Kombi aus Ticket und Forum helfen
Gruss
Ralph
Lancom 1781A, WLC 4006+ (12er Option), 1511, L-310agn, L-320agn, L-322AGN, L-451agn, ES-2126+,
LCOS immer aktuell
LCOS immer aktuell
Ja ich weiß dass das eine sehr komplizierte Anfrage ist. Das mit dem Ticket habe ich mir auch schon gedacht, wollte aber davor natürlich hier mal um Rat fragen. Könnte ja sein dass jemand schon mal vor dem Problem gestanden hat.xexex hat geschrieben:Wäre es für dich nicht eigentlich viel einfacher sich dafür einen Config Ticket zu holen und sich die Konfiguration von einem Lancom Techniker erledigen zu lassen?
Ich glaube auch dass die Lösung in gar nicht allzu weiter Ferne liegt, der Weg der Anleitung muss irgendwie modifiziert werden. Leider hat keiner meiner Versuche zum Erfolg geführt.
Vielleicht weiß ja noch jemand was...
Danke!
-
Dr.Einstein
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
WLC-Tunneling ist ja recht neu und ich habe bis jetzt nur einen Kunden mit Public Spot + WLC Tunnel gehabt und es hat funktioniert.
Grundsätzlich habe ich zwei IP-Netzwerke am WLC eingerichtet. Eins für das Management mit der BRG-1 und eins für Public Spot mit WLC-Tunnel xy, getrennt durch Schnittstellentags. Dem WLC-Tunnel xy habe ich keine BRG-Zuordnung gegeben.
In der Public Spot SSID ist "SSID verbinden mit WLC Tunnel xy" drin, VLAN untagged, in den phy. Einstellung VLAN untagged aber VLAN Modul aktiv.
Im Public Spot Modul dann nur den WLC-Tunnel xy ausgewählt für die Authentifizierung. Das wars grob gesagt.
Mit dem Tunnel bin ich aber recht unzufrieden, die Bandbreite ist gegen 0 selbst mit für Deutsche Verhältnisse hohem Upload. Und auch die Antwortzeiten gehen logischerweise deutlich in die Höhe.
Am besten wäre ein Kombination aus WLC mit gemanagten APs, zentrale Public Spot Auth. / Content Filter jedoch danach lokaler Internetausstieg. Keine Ahnung ob und/oder wie man sowas einstellen kann.
P.S.: Denk unbedingt daran, dass die APs auch die 8.5 als Software haben, sonst beherrschen die kein Tunneling und die SSID wird abgeschaltet.
Gruß Dr.Einstein
Grundsätzlich habe ich zwei IP-Netzwerke am WLC eingerichtet. Eins für das Management mit der BRG-1 und eins für Public Spot mit WLC-Tunnel xy, getrennt durch Schnittstellentags. Dem WLC-Tunnel xy habe ich keine BRG-Zuordnung gegeben.
In der Public Spot SSID ist "SSID verbinden mit WLC Tunnel xy" drin, VLAN untagged, in den phy. Einstellung VLAN untagged aber VLAN Modul aktiv.
Im Public Spot Modul dann nur den WLC-Tunnel xy ausgewählt für die Authentifizierung. Das wars grob gesagt.
Mit dem Tunnel bin ich aber recht unzufrieden, die Bandbreite ist gegen 0 selbst mit für Deutsche Verhältnisse hohem Upload. Und auch die Antwortzeiten gehen logischerweise deutlich in die Höhe.
Am besten wäre ein Kombination aus WLC mit gemanagten APs, zentrale Public Spot Auth. / Content Filter jedoch danach lokaler Internetausstieg. Keine Ahnung ob und/oder wie man sowas einstellen kann.
P.S.: Denk unbedingt daran, dass die APs auch die 8.5 als Software haben, sonst beherrschen die kein Tunneling und die SSID wird abgeschaltet.
Gruß Dr.Einstein
snow-white hat recht, es funktioniert mit Layer-3 Tunneling. Der Lancom-Support hat mir hier durch ein Ticket das ich beim Kauf des Controllers mitbekommen habe super geholfen!
Hier die Einstellungen:
Das interne WLAN-Netz bleibt bei der SSID-Verbindung auf "LAN am AP", das Gastnetz kommt auf "WLC-TUNNEL-2". Unter den IP-Netzwerken wird dem Gastnetz natürlich auch die Schnittstelle WLC-TUNNEL-2" zugewiesen, aber keine VLAN-ID! Sämtliche DNS-Anfragen müssen weitergeleitet werden an den DNS-Server des WLAN-Controllers. in den DHCP-Netzwerken aktiviert man den DHCP-Server für das Gastnetz, lässt aber alle anderen Einstellungen auf 0.0.0.0.
Zum Schluss erstellt man in der Firewall noch zwei Regeln:
- Quelle "Gast", übertragen, Ziel "Adresse des WLC"
- Quelle "Gast", zurückweisen, Ziel "INTRANET"
Das sollte es gewesen sein. Wenn ich etwas übersehen habe ist es der Tatsache geschuldet, dass die Einstellungen durch den Lancom Support schon am Donnerstag getätigt wurden und ich erst heute zum Verfassen komme. In der Zeit vergisst man doch so einiges wenn man es nicht selbst durchgeführt hat
Gruß,
Stefan
Edit: Natürlich habe ich etwas vergessen
In der Port-Tabelle müssen sowohl LAN-1 (oder anderer LAN-Anschluss, je nachdem wo ihr den Controller verbunden habt) als auch WLC-TUNNEL-2 der Bridge Gruppe 2 zugewiesen werden.
Hier die Einstellungen:
Das interne WLAN-Netz bleibt bei der SSID-Verbindung auf "LAN am AP", das Gastnetz kommt auf "WLC-TUNNEL-2". Unter den IP-Netzwerken wird dem Gastnetz natürlich auch die Schnittstelle WLC-TUNNEL-2" zugewiesen, aber keine VLAN-ID! Sämtliche DNS-Anfragen müssen weitergeleitet werden an den DNS-Server des WLAN-Controllers. in den DHCP-Netzwerken aktiviert man den DHCP-Server für das Gastnetz, lässt aber alle anderen Einstellungen auf 0.0.0.0.
Zum Schluss erstellt man in der Firewall noch zwei Regeln:
- Quelle "Gast", übertragen, Ziel "Adresse des WLC"
- Quelle "Gast", zurückweisen, Ziel "INTRANET"
Das sollte es gewesen sein. Wenn ich etwas übersehen habe ist es der Tatsache geschuldet, dass die Einstellungen durch den Lancom Support schon am Donnerstag getätigt wurden und ich erst heute zum Verfassen komme. In der Zeit vergisst man doch so einiges wenn man es nicht selbst durchgeführt hat
Gruß,
Stefan
Edit: Natürlich habe ich etwas vergessen
In der Port-Tabelle müssen sowohl LAN-1 (oder anderer LAN-Anschluss, je nachdem wo ihr den Controller verbunden habt) als auch WLC-TUNNEL-2 der Bridge Gruppe 2 zugewiesen werden.