LW-500 anschließen und einrichten (VLANs, LEPS)

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

Antworten
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

LW-500 anschließen und einrichten (VLANs, LEPS)

Beitrag von tar »

Hallo,

bin grad über dem "Großprojekt", mein Heimnetzwerk neu mit LANCOM und dabei gleich mit VLANs usw. aufzubauen und einzurichten. Leider bin ich nicht nur LANCOM-Neuling, sondern habe mit VLANs, Routing, usw. noch nicht hantiert, aber ich hangel mich durch :D

Vorgeplänkel

Derzeit ist alles wie folgt verbunden: ISP -> Modem -> per IPOE-Bridge zum Router (1793VA) -> Switch (GS-2326) und am Switch hängen alle anderen Sachen. (nur nebenbei: das Modem fällt ab April weg...)

Angedacht hatte ich folgende Gerätezuweisung:

Code: Alles auswählen

VLAN 1: "Management"   [10.0.1.x]
- Router                10.0.1.1
- Switch                10.0.1.2
- Access Point          10.0.1.3

VLAN 2: "Fertile"      [10.0.2.x]
- Workstation           10.0.2.10
- Server                10.0.2.11 (noch nicht vorhanden)
- Laptop                10.0.2.12
- Drucker               10.0.2.20 (per WLAN)
- Scanner               10.0.2.21 (per WLAN)

VLAN 3: "Media"        [10.0.3.x]
- Wohnzimmer-TV         10.0.3.10
- Wohnzimmer-Shield     10.0.3.11

VLAN 4: "IoT"          [10.0.4.x]
- Hue Hub               10.0.4.10
- Backofen              10.0.4.20 (per WLAN)
- Geschirrspüler        10.0.4.21 (per WLAN)

VLAN 5: "Surveillance" [10.0.5.x]
- Cam Outdoor           10.0.5.10 (noch nicht vorhanden)
- Cam Indoor            10.0.5.11 (noch nicht vorhanden)

VLAN 6: "Mobile"       [10.0.6.x]
- Laptop                10.0.6.20 (per WLAN)
- Smartphone            10.0.6.21 (per WLAN)

VLAN 7: "Guests"       [192.168.10.x]
- ...                   192.168.10.xyz (per WLAN)
Nun gibt es da eine Zuordnung verschiedenster WLAN-Geräte zu unterschiedlichen VLANs. Zudem sollen alle Geräte (bis auf die im Guests-VLAN 7) unterschiedlich miteinander kommunizieren können. Ein WLC ist übrigens nicht vorhanden.

... und schon stellen sich mir folgende Fragen zum Access Point:

1. Kann ich für mein Vorhaben den AP am Switch angeschlossen lassen oder muss ich ihn zwingend direkt am Router anschließen?

2. Welche VLAN ID muss ich unter IP-Konfiguration -> Konfiguration -> LAN-Schnittstellen zuweisen?

Aktuell steht da "0" und der Switch-Port ist auf Port Type "C-port", Frame Type "All", Egress Rule "Hybrid" und PVID "1" eingestellt. Zudem sind alle VLANs am Switch-Port erlaubt. Ich bin mir unsicher, ob das korrekt ist, siehe auch 3. und 4.

3. Muss ich zwingend einzelne SSIDs je VLAN erstellen oder reichen 2 SSIDs (also 1 allgemeines WLAN und 1 Gäste-WLAN) in Kombination mit LEPS (wäre gut, da ich dann ja auf MAC-Ebene filtern und VLANs zuweisen kann)?

4. Wenn in Kombination mit LEPS: Welche VLAN ID erhält dabei das allgemeine WLAN und welche VLAN ID erhalten jeweils Profil und Benutzer?

Beim Gäste-WLAN sollte ich ja alles (die SSID, das Profil und die Benutzer) auf 7 stellen, nicht wahr?

Also auf welcher Ebene findet die VLAN-Trennung statt?

Vielen Dank!
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: LW-500 anschließen und einrichten (VLANs, LEPS)

Beitrag von tar »

Ich hab den AP mit VLANs in (vorerst) 1 SSID inzwischen eingerichtet und zwar wie folgt:
tar hat geschrieben: 09 Feb 2021, 19:301. Kann ich für mein Vorhaben den AP am Switch angeschlossen lassen oder muss ich ihn zwingend direkt am Router anschließen?
Den Access Point habe ich am Switch an einen Trunk Port mit Port VLAN ID "1" angeschlossen.
tar hat geschrieben: 09 Feb 2021, 19:302. Welche VLAN ID muss ich unter IP-Konfiguration -> Konfiguration -> LAN-Schnittstellen zuweisen?
Ich habe es auf "0" gelassen und es funktioniert - wahrscheinlich zieht/setzt er da aus mehreren Gründen automatisch die "1", bspw. weil ich im Router per DHCP über die MAC die IP für den Access Point fest ins VLAN 1 ("Management") zuweise.
tar hat geschrieben: 09 Feb 2021, 19:303. Muss ich zwingend einzelne SSIDs je VLAN erstellen oder reichen 2 SSIDs (also 1 allgemeines WLAN und 1 Gäste-WLAN) in Kombination mit LEPS (wäre gut, da ich dann ja auf MAC-Ebene filtern und VLANs zuweisen kann)?
Es reicht, wie es ausschaut, sogar 1 SSID, wenn man LEPS nutzt. Der Sicherheit wegen würde ich aber 2 SSIDs einrichten, um Gästen nicht die interne SSID preiszugeben und ggf. die Gast-SSID zu broadcasten, damit diese sich direkt einloggen können.
tar hat geschrieben: 09 Feb 2021, 19:304. Wenn in Kombination mit LEPS: Welche VLAN ID erhält dabei das allgemeine WLAN und welche VLAN ID erhalten jeweils Profil und Benutzer?
Wenn man LEPS nicht nutzt, erhält das WLAN-Netzwerk die entsprechende VLAN ID. Dann muss man allerdings für jedes VLAN ein eigenes WLAN-Netzwerk anlegen.

Wenn man LEPS nutzt, erhält das WLAN-Netzwerk ebenfalls die VLAN ID "0" (die wohl zu "1" bzw. gänzlich ignoriert wird, da man per LEPS die WLAN-Geräte im Router per DHCP auf die einzelnen VLAN-Netzwerke zuweist). Das Profil erhält auch die VLAN ID "0" und die Benutzer (= Geräte) dann endlich die ihnen zugeordnete VLAN ID. Ich nutze zudem den Whitelist-Filter, da ich alle Geräte in meinen Netzwerken "kennen" möchte und pflege dazu die entsprechenden Benutzer mit separaten Passwörtern ein. Das ist aus vielerlei Gründen sinnvoll.
tar hat geschrieben: 09 Feb 2021, 19:30Beim Gäste-WLAN sollte ich ja alles (die SSID, das Profil und die Benutzer) auf 7 stellen, nicht wahr?
Das habe ich zwar noch nicht eingerichet, aber ich mutmaße mal wild in den Raum, dass es auch hier wie folgt ist:
- ohne LEPS: VLAN-ID ins WLAN-Netzwerk
- mit LEPS: WLAN-Netzwerk "0", Profil "0", Benutzer die zugehörige VLAN ID
thalternate
Beiträge: 115
Registriert: 08 Feb 2017, 22:48
Wohnort: Rhein-Main

Re: LW-500 anschließen und einrichten (VLANs, LEPS)

Beitrag von thalternate »

Ich häng mich mal an das Thema an, da ich auch gerade einen LW-600 geholt habe und den mit (nicht ganz so vielen) Netzen einrichten will, die unterschiedliche Rechte haben und voneinander getrennt sind. Ich vermute aber gerade, dass ich ggf. meine Switches noch austauschen muss, wenn ich da VLANs einstellen muss... Das muss ich mir erstmal ansehen. Bin also an detaillierten Infos/Beschreibungen weiter interessiert.
Lancom: 1721+ VPN, 1781VA, 1793VA, 1906VA, 5×LW-600, 2×GS-2326P+, GS-2326, GS-3510XP, L-322agn, 730-4G+
AVM: 2×7580
Zyxel: Digitalisierungsbox LTE Backup
tar
Beiträge: 45
Registriert: 27 Jan 2021, 15:17

Re: LW-500 anschließen und einrichten (VLANs, LEPS)

Beitrag von tar »

Mein Netzwerk läuft mittlerweile solide. Nachdem mein Zugang bei der Telekom vorgestern eingerichtet und gestern das Kabel aufgeklemmt wurde, habe ich gestern abend auch alles komplett auf Telekom umgestellt. Es geht im Grunde alles, nur 2 Sachen sind mir noch unverständlich:

1. Kommunikation zwischen Siemens-Hausgeräten (dürfte auch für Bosch gelten) zum Smartphone (bzw. zur App) in unterschiedlichen VLANs

Diese hängt mit diversen Multicast-Settings zusammen:
- Konfiguration -> Schnittstellen -> Snooping: IGMP- und MLD-Snooping
- Konfiguration -> Multicast -> Allgemein -> IPv4-Filter-Listen
- Konfiguration -> Multicast -> IGMP/MLD -> IGMP-Proxy
- Konfiguration -> Multicast -> IGMP/MLD -> SSM-Bereich
- Konfiguration -> Multicast -> IGMP/MLD -> SSM-Quell-IP-Liste
- Konfiguration -> Multicast -> PIM -> Schnittstellen
- Konfiguration -> Multicast -> PIM -> SSM-Liste
- Konfiguration -> Multicast -> Bonjour -> Netzwerk-Liste
- Konfiguration -> Multicast -> Bonjour -> Dienste-Liste
- Konfiguration -> Multicast -> Bonjour -> Suchanfragen
- Konfiguration -> Firewall/QoS -> IPv4-Regeln -> Regeln

Ich habe alles irgendwie da eingetragen und nun kann ich per App auf dem Smartphone aus VLAN #6 die IoT-Geräte in VLAN #4 auch einrichten, finden und pflegen. Ob aber wirklich alle oder nur einige der Einstellungen dafür wirklich genutzt werden/notwendig sind, ist mir noch schleierhaft, da die Einstellung beim Übernehmen nicht augenblicklich erfolgt, sondern da irgendwelche Gültigkeitstimer laufen. Mir fehlt auch grad die Muße, da nach Einstellung jedes einzelnen Punktes testweise den Router, Access Point und/oder das Endgerät neu zu starten und dann ggf. trotzdem nochmal 30 Minuten warten zu müssen, um sicher zu gehen, ob der Punkt irgendeine Auswirkung hat.

2. Fehlerhafte Anzeige und dubioser Fehler im Log des Access Points bzgl. den Siemens-Hausgeräten

Im Log tauchen folgende Meldungen auf:

Code: Alles auswählen

Zeit                 Stufe  Nachricht
2021-03-19 23:40:31  error  lxcd[1174]: Set value [SIEMENS-SX878D26PE-68A40E...
2021-03-19 23:40:31  error  lxcd[1174]: Set value [SIEMENS-HS858GXB6-68A40E...
2021-03-19 23:40:16  error  lxcd[1174]: Set value [SIEMENS-SX878D26PE-68A40E...
2021-03-19 23:40:16  error  lxcd[1174]: Set value [SIEMENS-HS858GXB6-68A40E...
2021-03-19 23:40:01  error  lxcd[1174]: Set value [SIEMENS-SX878D26PE-68A40E..
2021-03-19 23:40:01  error  lxcd[1174]: Set value [SIEMENS-HS858GXB6-68A40E...
usw.
Ich vermute, dass er laut Log den Geräten keine IP zuweisen kann, da im Dashboard die Informationen unter "Verbundene Geräte" zu den beiden entsprechenden MAC-Adressen nicht korrekt angezeigt werden (keine Signalstärke, IP-Adressen auf 0.0.0.0, usw.). Allerdings kann ich beide Geräte per Smartphone-App erreichen und darin zeigt es mir auch die korrekte IP an usw., also muss wohl irgendwas anderes, ggf. Access Point-internes nicht funktionieren. Nun sagt mir "error lxcd 1174 set value" leider so gar nichts. Gibt es irgendeine Fehlertabelle, Hilfe, Anleitung, was hier das Problem ist und ggf. auch gleich, was da zu tun wäre?
Antworten