Aktuelles

VLAN Configuration Aruba Instant On 1930 + AP22

Wirman

Profi
Thread Starter
Mitglied seit
30.04.2021
Beiträge
239
Hallo zusammen,

ich hänge gerade an der VLAN Configuration beim Aruba Instant On 1930 Switch.

Mein Setup:
OPNsense --- 10G DAC ---> Aruba Instant On 1930 ------ 1G PoE Injektor ----> 4x Aruba AP22

In der OPNsense sind 3 VLANs definiert:
10.0.10.1/24: HOME, Vlan-ID 10;
10.0.20.1/24: IOT, Vlan-ID 20;
10.0.100.1/24: GUEST, Vlan-ID 100.

Den Switch verwalte ich über die lokale Oberfläche, die APs erzwungenermaßen über die App.

Ich hab im Switch unter VLAN -> VLAN Configuration die VLANs mit den passenden IDs wie in der OPNsense angelegt.
Wenn ich jetzt aber in der Instant On App für meine Access Points unterschiedliche WLAN SSIDs anlege und und dort bei der VLAN Zuweisung jeweils die zugehörige ID angebe, dann bekommen die Geräte keine IP Adresse.
Wenn ich jedoch die Option NAT-Modus nehme und z.B. 10.0.10.1 als Basis IP mit 255.255.255.0 Subnetmaske wähle, dann bekomme ich eine IP.

Ist das vom Vorgehen richtig? Für was brauch ich dann die VLANs und VLAN Ids? Nur für per Kabel an den Switch angeschlossene Geräte? Was hat es mit dem Tagged und Untagged an den Ports auf sich? Ich finde da leider keine Anleitung im Internet, die ich verstehe.

Danke schon mal und viele Grüße
Wirman
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Wirman

Profi
Thread Starter
Mitglied seit
30.04.2021
Beiträge
239
Geh mit Putty über die CLI. Vergiss die GUI
Das CLI beim 1930 ist nicht aktiviert -.-

les ich mir mal durch.
Beitrag automatisch zusammengeführt:

Also was jetzt funktioniert hat, ist die VLAN IDs anzulegen und sowohl den Port, der vom Router kommt, als auch den Port zum AP auf Tagged zu setzen.
Ist das so aber richtig umgesetzt? Der Unterschied zwischen Tagged und Untagged ist mir noch nicht ganz klar.
 
Zuletzt bearbeitet:

andrer250282

Experte
Mitglied seit
05.10.2015
Beiträge
179
Bzgl Tagged und Untagged

Du hast an einem Netzwerkport drei VLANs, 10, 20 und 100.
Das Gerät an dem Port strahlt nun ein WLAN mit VLAN 100 aus, heisst grob es fischt sich alle Pakete mit dem VLAN Tag 100 raus. Jetzt kann das Gerät Multi SSID, du legst ein 2tes WLAN im VLAN 10 an.
Also eine Zuleitung mit 3 verschiedeben Netzen und der WLAN AP fischt sich die Pakete mit dem Tag 100 und das andere mit Tag 10 raus.
Tagged bedeutet das die Pakete einem getaggtem Datenstrom zugeordnet sind.

Untagged kann man pro Port nur einmal haben, bedeutet die Pakete des Untagged VLANs werden einfach so ausgegeben, da hängt z.B. dann ein PC Client dran, oder wie du es hast ein IoT Gerät.

Das ganze kann man auch mischen, bei cisco Switchen wäre das dann Portmode Trunk (alle Pakete erhalten einen entsprechenden VLAN Tag) mit Access VLAN z.b. 20. Dann könnte man einen Access Port ohne spezielle Konfiguration über das VLAN 20 erreichen, die WLANs wären trotzdem über die getaggten VLANs vom Untagged Datenstrom getrennt.

Klingt komplizierter als es tatsächlich ist :)
 

Wirman

Profi
Thread Starter
Mitglied seit
30.04.2021
Beiträge
239
Okay, ich verstehe. Das mit Tagged ist jetzt klar, mit Untagged bin ich mir aber noch nicht so sicher.
Die Default VLAN ID am Aruba Switch ist die 1. Für die VLAN ID 1 sind alle Ports untagged gesetzt.
Für die VLANs 10,20 und 100 sind nun der Port zum Router und die Ports zu den APs auf Tagged gesetzt, Was hat das Untagged für VLAN 1 nun für eine Funktion? Sollte das dann auch auf Tagged sein, oder gar auf gar nichts?
 

RedMoon

Urgestein
Mitglied seit
27.02.2005
Beiträge
1.269
Ort
50°48'49.1"N 2°28'29.1"W
sieht deine physikalische Topologie tatsächlich so aus wie du es oben beschrieben hast? Also tatsächlich alles über eine LAN Kommunikation? Ich habe gerade ein Verständnisproblem , wie dein Netz aussieht. Die APs sind schon alle an separaten LAN Ports am Switch? Und dein OPNSense hängt auch an einem separaten Port? Hast du ein Management LAN? Du musst auf jeden Fall den gesamten Kommunikationsweg der Pakete überall "durchtaggen". Ist kein Hexenwerk, aber ich kanns dir schlecht in Worte fassen.

Was hat das Untagged für VLAN 1 nun für eine Funktion
VLAN 1 ist bei den meisten Herstellern das Default VLAN. Wenn du nicht willst, dass aktive Komponenten ohne VLAN Zuweisung miteinander reden sollen (gilt nicht für normale Windows Clients), dann deaktiviere es überall, somit werden nur noch deine von dir definierten VLANs benutzt. Hat auch Sicherheitsaspekte. Man kann das bis zum Exzess treiben.
 
Zuletzt bearbeitet:

Wirman

Profi
Thread Starter
Mitglied seit
30.04.2021
Beiträge
239
Hab mich vielleicht schlecht ausgedrückt.
Also die OPNsense hängt am 10G Port mit DAC SFP+ Kabel.
Die APs hängen jeweils an einem unterschiedlichen Port des Switches, angebunden mit 1G.

Am Router gibt es das LAN Interface. Zusätzlich hab ich die VLANs 10,20 und 100 angelegt.
10: HOME
20: IOT
100: GUEST.

Das Management LAN ist kein eigenes VLAN, unter dem Interface LAN sind nur die Adressen 10.0.0.1 bis 10.0.0.6 belegt für OPNsense (1), Switch (2) und APs (3-6).

Ohne VLAN Configuration hat der Aruba Switch per default ein VLAN mit der ID 1, wo alle Ports untagged sind.
Für die VLAN IDs 10,20 und 100 habe ich jetzt die Ports der APs und den 10G Port zum Router auf Tagged gesetzt,

Ich hoffe es ist jetzt verständlich. Soll das Management LAN ein eigenes VLAN sein? da ist ja das normale LAN schon da.
 

RedMoon

Urgestein
Mitglied seit
27.02.2005
Beiträge
1.269
Ort
50°48'49.1"N 2°28'29.1"W
OK, also an dem 10GBE Port, der quasi als Uplink fungiert (so wie ich es verstehe) musst du alle VLAN IDs taggen, die an den einzelnen Ports "empfangbar" sein sollen. Die Ports zu den Access Points bekommen dann auch die entsprechenden VLANs zugewiesen, solange solange sie alle drei Netze zur Verfügung stellen sollen. Du kannst aber auch die Access Points per VLAN untereinander separieren, so dass die SSIDS auch physikalisch getrennt sind, z.B. der Access Point unten mit VLAN 200. Grafik ist nur mal so schnell zusammengschustert.

1650755025678.png






Ich würde immer sein separates Management LAN als VLAN anlegen. Hier als Beispiel VLAN 200. Dafür benötigst du an deinem Server allerdings einen separaten physikalischen NIC und bei OPNSense einen separaten virtuellen NIC. Dann solltest du dann in deinem OPNSense regeltechnisch so anlegen, dass du im Notfall aus dem Management LAN überall hinkommst. Aber auch nur du. Also ein reines VLAN für den Admin.
Ich weiß nicht was OPNSnese so alles kann, aber du solltest nach Möglichkeit die Netzsegmente zueinander mit Firewallregeln belegen, z.B. IDS, IPS etc.
 

Anhänge

  • 1650754727812.png
    1650754727812.png
    6,7 KB · Aufrufe: 15

Wirman

Profi
Thread Starter
Mitglied seit
30.04.2021
Beiträge
239
Jap, genauso wie du es in der Grafik hast, passt das. Die APs sollen schon alle VLANs haben, da ich ja überall im Haus auf jeder Etage die einzelnen Netze haben möchte. (Evtl kann ich noch IoT einschränken, aber wenn der Saugroboter in unterschiedlichen Etagen saugt, dann braucht er ja eigentlich auch überall WLAN)
Warum muss das Management VLAN über ein eigenes LAN Interface gehen? Warum kann das nicht über das vorhandene LAN Interface gehen?

Ganz beantwortet es meine Frage zum Management VLAN aber nicht, ist es jetzt sinnvoll das überhaupt anzulegen? Am LAN Interface ist ja die 10.0.0.1/24 zugewiesen und dort befinden sich der Switch und die APs. Es ist aber nicht als VLAN definiert unter dem Interface.

Oder ist es sinnvoll, unter 10.0.0.1 nur die OPNsense zu haben, und dann Switch/Aps in ein VLAN (200) zu packen?
 

underclocker2k4

Mr. Alzheimer
Mitglied seit
01.11.2004
Beiträge
20.786
Ort
Bärlin
Das ist ne Designentscheidung.
Normal will man, dass das MGMT-LAN nicht vom Nutznetz aus zu erreichen ist, bzw. maximal über die Firewall.
Damit das geht, muss das MGMT-LAN vom restlichen LAN (oder allen (V)LANs) abgekapselt sein.
Und das geht nur, wenn das MGMT-LAN ein eigenes VLAN ist, bzw. auf dem LAN kein Nutznetz ist.
 

Wirman

Profi
Thread Starter
Mitglied seit
30.04.2021
Beiträge
239
Das heißt, das management lan muss ein vlan sein, dass ich in der Firewall den Zugriff einschränken kann? Bedeutet das, dass wenn ich auf dem LAN interface den Zugriff einschränke, das automatisch auch für die vlans gilt?
Oder ich z. B. Nur darauf zugreifen kann, wenn ich meinen PC an einen bestimmten Port anstopsel?
Oder ist das dann genau das, warum ich das vlan brauche?
Es sollten halt z. B. Alle aus dem home Netz Zugriff auf den switch und die aps und die Firewall haben, aber z. B. Nicht vom Gast oder iot Netz.
 

Bob.Dig

Urgestein
Mitglied seit
10.05.2007
Beiträge
15.462
Ort
Capital City 🇩🇪
Es sollten halt z. B. Alle aus dem home Netz Zugriff auf den switch und die aps und die Firewall haben, aber z. B. Nicht vom Gast oder iot Netz.
So wie Du es schreibst, brauchst Du halt kein MGMT-LAN. Sondern dein reguläres LAN darf alles, was zu Hause auch völlig in Ordnung geht. Dass Gast und IoT nicht irgendwo hin dürfen, genau dafür setzt Du ja eine Firewall ein. Und das regelst Du auch in der Firewall.
 

RedMoon

Urgestein
Mitglied seit
27.02.2005
Beiträge
1.269
Ort
50°48'49.1"N 2°28'29.1"W
Nur um es klarzustellen: Ein Management LAN ist sinnvoll, ja, aber auch ich nutze es nicht. Ich mache mein Management meiner privaten Systeme auch im normalen LAN. In Firmennetzen, ist es aber ein Muss

In Firmen oder auch größeren LANs ist das was anderes. Zb. kommen in der Regel neue Geräte nicht sofort ins normale LAN, sondern werden erst im Management LAN "pre-konfiguriert". Manche haben auch auch ein "Labornetz" o.ä.
Ein komplett physikalisch getrenntes Management LAN ist auch dann sinnvoll, damit, wenn im normalen LAN Fehlerbetrieb herrscht, man immer noch über das Management LAN auf die Systeme kommt. Hierfür muss man aber auch einen separaten Switch hinstellen, separate Verkabelung, separate NICs etc. Sehr sinnvoll vor allem in verteilten Netzen über mehrere Gebäude oder Städte, sonst musst du ja im Notfall da hinrennen. Für diesen Zweck haben auch Enterprise-Server eine spezielle LAN Buchse, wo ein komplett separiertes Management-System läuft, z.B. iLO bei HP oder iDrac bei Dell. Aber in deinem Fall, vor allem wenn du an jede Komponente problemlos herankommst, ist ein Management-LAN nice to have. Es muss nicht sein, aber wenn du schon neu konfigurierst, dann kannst du es ja einplanen oder gleich mitmachen.... wenn du Lust hast. Wie gesagt, ich habe es mir auch gespart.
 
Oben Unten