Inter-VLAN Traffic mit WLAN-Clients geht nicht

[Atom 2]

Hallo Forum,
ich beobachte aktuell Timeouts (und fehlende Kommunikation) zwischen unterschiedlichen VLANs - aber nur dann, wenn das Zielsystem über WLAN angebunden ist. Ausgangssituation ist wie folgt:

4 x L-322agn dual wireless R2, konfiguriert über WLC-Option auf einem 1781VA (over POTS)
5 logische WLAN-Netzwerke auf jedem L-322agn mit jeweils identer SSID für 2.4 und 5 GHz

• Betrieb mit VLAN-Betriebsart "tagged"
• SSID verbunden mit "LAN am AP"
• Datenverkehr zulassen zwischen Stationen dieser SSID

Management der LANCOM-Komponenten (und aller anderen im LAN) geht über VLAN 111
LAN-Anschluß der L-322agn (samt PoE) hängt an einem managed HP-2530-48G-PoE+ Switch, die jeweils relevanten VLANs sind je Port aktiviert (tagged)
1781VA (statische IP) mit Bonjour-Proxy (Drucker für 2 SSIDs/VLANs, Airplaygeräte für 4 SSIDs/VLANs) und SIP-Gateway (5 VoIP Telefone); außerdem Gateway, DHCP und Firewall für GUEST VLAN; VLAN Modul am 1781VA ist nicht aktiviert
Gateway, Routing, DHCP, Firewall für das interne LAN (mit VLANs) geht über eine pfSense (deren WAN-Port verwendet statisches routed /30 subnet über LAN2 des 1781VA)

Das Ergebnis eines einfachen Tests der Kommunikation (ping) zwischen beispielsweise VLAN 19 und VLAN 200 über alle möglichen Kombinationen (Ethernet/WLAN bzw. VLAN 19/200) schaut wie folgt aus (auf der x-Aches steht der Empfänger, auf der y-Achse der Sender; E steht für Ethernet-Anbindung, W für WLAN-Client):

Code: Alles auswählen

        E19   W19   E200   W200
------+-----+-----+------+------
 E19  | ok  | ok  |  ok  |  TO
 W19  | ok  | ok  |  ok  |  TO
 E200 | ok  | ok  |  ok  |  ok
 W200 | ok  | ok  |  ok  |  ok

Im Ergebnis läuft der ping zwischen Geräten in unterschiedlichen VLANs in ein timeout (TO in der Tablle) - und zwar genau dann und nur dann, wenn der Empfänger über WLAN verbunden ist. Hängt der Empfänger im LAN (über den HP-Switch) geht alles problemlos. Ebenso funktioniert die Kommunikation mit Empfängern im WLAN - unabhängig vom Anschluß des Senders - sofern sich Sender und Empfänger im gleichen VLAN befinden.

Die Firmware auf den L-322agn sowie dem 1781VA ist jeweils 10.72.0385RU5; die Vorgängerversion 10.42.1037SU10 zeigte ein identes Verhalten.

Irgendwo übersehe ich hier offenbar etwas und würde mich über Lösungs- bzw. Denkansätze von den Experten hier sehr freuen.

Danke Atom2

[Dr.Einstein]

Vermutung: (Windows) Firewall reagiert bei den Clients. Windows über WLAN hinterlegt fremde Netze als Gefahrenquelle und blockt diese ab. Schalte testweise die Firewall in deinen Clients aus und probiere erneut.

Gruß Dr.Einstein

[Atom 2]

Hallo Dr.Einstein,
danke für die rasche Antwort und die Vermutung. Das Problem hat aber mit der (Windows) Firewall (leider, weil leicht lösbar) nichts zu tun:

Die Empfänger, zu welchen eine Inter-VLAN Kommunikation nicht möglich ist, haben mit Windows nichts am Hut. Es handels sich beispielsweise um ein über WLAN angebundenes Bose Wave Soundtouch Music System IV (welches über den Bonjour-Proxy auch in anderen Netzen korrekt angezeigt und zur Auswahl angeboten wird; auch ein Abspielen mittels Airplay scheitert dort mangels Kommunikation) oder ein (ebenso über WLAN verbundenes) Apple iPad.

Beide Geräte - iPad und Bose - reagieren übrigens auch auf pings, wenn der Sender im gleichen VLAN (kabelgebunden oder über WLAN - siehe die beiden letzten Zeilen in meiner Tabelle der ping-Ergebnisse) unterwegs ist.

Danke, Atom2

[Atom 2]

Hallo Forum,
ich habe in der Zwischenzeit versucht, der Sache weiter auf den Grund zu gehen und bin auf etwas gestoßen, was zumindest für mich auf den ersten Blick nicht wirklich schlüssig ausschaut.

Ausgangspunkt meiner Überlegungen war, daß die Inter-VLAN Kommunikation (gemäß meiner Tabelle im ersten Posting) ja immer dann funktioniert, wenn der Empfänger über LAN angeschlossen ist (der Sender kann dabei über LAN, aber auch WLAN kommunizieren), nicht aber dann, wenn der Empfänger über WLAN angeschlossen ist.

Für direkt über LAN angeschlossene (idR nicht VLAN-taugliche) Empfänger zieht dann ja die im Switch eindeutig definierte PVID: Ein- und ausgehende Pakete werden immer im entsprechenden VLAN mit der für den Switch-Port definierten PVID transportiert.

Der AP hängt aber an einem (im LANCOM-Jargon) Hybrid-Port des Switches: Die Switch-Ports für die APs im HP 2530-48G-PoE+ sind nämlich so konfiguriert, daß diese Mitglied aller dort für die SSIDs verwendeten VLANs sind; zusätzlich ist die PVID "1" am Switch-Port als Default-Wert für untagged Pakete definiert und erhalten neue APs dadurch auch ihre temporäre IP-Adresse für die initiale Konfiguration über den WLC (mittels DHCP Server mit partial MAC-address match).

In der Console der WLC verwalteten APs habe ich jetzt aber unter

Code: Alles auswählen

/Status/VLAN/Port-Table

entdeckt, daß die für die unterschiedlichen SSIDs verwendeten Ports (WLAN-1, WLAN-2, WLAN-1-[2345], WLAN-2-[2345]) zwar die Port-VLAN-Id jeweils korrekt (entsprechend der definierten VLAN-ID für die jeweils zugehörige SSID) definiert haben, bei all diesen Ports aber jeweils der Tagging-Mode "Access" aktiviert ist (alle anderen Ports haben den Tagging-Mode "Hybrid" aktiviert).

Wenn ich mir in der LANCOM-Dokumentation allerdings die Bedeutung von "Access" anschaue, so steht dort folgendes:

Access (Niemals)
Ausgehende Pakete erhalten auf diesem Port kein VLAN-Tag. Eingehende Pakete werden so behandelt, als hätten sie kein VLAN-Tag. Haben die eingehenden Pakete ein VLAN-Tag, so wird es ignoriert und so behandelt, als ob es zur Payload des Paketes gehört. Eingehende Pakete werden immer dem für diesen Port definierten VLAN zugewiesen.

Ich bin versucht, daraus ableiten zu können, daß eingehende Pakete beim Empfänger landen (was auch auch im Trace bestätigt wird), ein (ausgehendes) Antwortpaket von über WLAN verbundenen Empfängern aber untagged über die LAN-Bridge zum Switch hinausgeht und damit klarerweise auch nicht mehr zum (in einem anderen VLAN situierten) Sender zurückfinden kann - was die beobachteten Timeouts beim ping erklären würde, weil beim Sender eben keine Antwort auf das gesendete ping ankommt.

Liege ich da mit meinen Überlegungen bzw. Erkenntnissen richtig oder habe ich mich da irgendwie total verrannt?

Falls ersteres zutrifft und "Hybrid" die Lösung (oder zumindest einen Versuch wert) wäre: Wie läßt sich der Tagging-Modus in den WLC verwalteten APs für die den SSIDs zugeordneten Ports auf "Hybrid" konfigurieren? Unter

Code: Alles auswählen

/Setup/VLAN/Port-Table

steht der Tagging-Mode für alle (!) Ports im übrigen schon auf "Hybrid", sodaß eine nochmalige/neuerliche Konfiguration auf "Hybrid" an dieser Stelle auch keinerlei Auswirkungen für die aktive Configuration des AP hat (zumindest ändert sich nach einem solchen Versuch im CLI unter

Code: Alles auswählen

/Status/VLAN/Port-Table

nichts).

Falls letzteres zutrifft, gibt es weitere Ideen von den Experten hier, warum die Inter-VLAN Kommunikation mit Empfängern im WLAN nicht wie erwartet funktioniert?

Besten Dank, Atom2

[Atom 2]

Hat wirklich niemand hier eine Idee, an was das Problem liegen könnte und wie das in der Folge zu beheben wäre?

Besten Dank, Atom2

[Dr.Einstein]

Du wolltest ja meine Meinung nicht hören aber hier noch einmal. Gemäß deiner Matrix

Code: Alles auswählen

        E19   W19   E200   W200
------+-----+-----+------+------
 E19  | ok  | ok  |  ok  |  TO
 W19  | ok  | ok  |  ok  |  TO
 E200 | ok  | ok  |  ok  |  ok
 W200 | ok  | ok  |  ok  |  ok

kannst du vom VLAN 19 egal ob Quelle Ethernet oder WLAN ein Gerät im WLAN VLAN 200 nicht erreichen. Andersrum kannst du aber vom WLAN VLAN 200 Gerät die Geräte im VLAN 19, egal ob Ethernet oder WLAN erreichen. Ich bleibe bei meiner Aussage, dass im Client des WLANs VLAN200 die Firewall Zugriffe aus fremden Netzen (VLAN19) verbietet oder das Routing im Client W200 falsch ist.

Mach einen WLAN-Datatrace gefiltert auf deine entsprechende Ziel IP im VLAN200.