[Problem] be.ip Plus Gast-WLAN Konfiguration VLAN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

maxel.sh

Neuer User
Mitglied seit
1 Okt 2017
Beiträge
47
Punkte für Reaktionen
2
Punkte
8
Moin zusammen,

in der Vergangenheit konnte ich schon viel lernen von Eurem Forum. Danke dafür. :)

Aktuell stehe ich vor einem neuen Problem und benötige mal etwas Hilfe.

Ich möchte in einem Gebäude zwei SSIDs aussenden (z.B. "WLAN-intern" und "WLAN-Gast"). Alle angeschlossenen LAN-Teilnehmer und die Teilnehmer im "internen" WLAN sollen im internen Netzbereich 192.168.0.XXX miteinander kommunizieren können. In einem anderen Netzbereich (z.B. 192.168.20.XXX) sollen alle Teilnehmer laden, die sich mit dem "Gast" WLAN verbinden.

Folgende Hardware steht zur Verfügung:
- be.ip Plus
- WLAN AP W10001n
- WLAN AP W20003ac-ext

Das habe ich schon probiert:
- ein VLAN mit der ID 20 erstellt auf Basis der Schnittstelle br0 (IP 192.168.20.1) (Die neue Schnittstelle heißt br0-2)
- einen DHCP Pool erstellt und der Schnittstelle br0-2 zugewiesen: 192.168.20.10 - 192.168.20.254 (DNS-Server: 192.168.20.1)
- Mit dem Wizard im WLAN-Controller zwei SSIDs erstellt und nur dem "WLAN-Gast" die VLAN-ID 20 zugewiesen und die anderen APs damit Konfiguriert.
- Der Switch mit den beiden WLAN-APs ist über LAN2 verbunden

Mit dem "internen" WLAN kann ich mich verbinden und bekomme auch eine IP-Adresse zugewiesen. Mit dem "Gast" WLAN kann ich mich auch verbinden, ich erhalte aber einfach keine IP-Adresse.

Jetzt weiss ich nicht mehr so recht weiter und hoffe, dass Ihr mir vielleicht helfen könnt.

Viele Grüße aus SH
Max
 
Spontane erste Frage:
Ist br0-2 als vertrauenswürdig oder nicht eingestuft in der Firewall?
 
Moin,
danke, dass du dich dem Thema annimmst. ;-)

Unter LAN > IP-Konfiguration > Schnittstellen --> bro-2: Dort steht unter Grundlegende IPv4-Parameter bei Sicherheitsrichtlinie "vertrauenswürdig"

Ich habe unter "Firewall" keine weiteren Einträge angelegt. Muss ich da noch etwas eintragen?

VG Maxel
 
Annehmen ist zuviel gesagt. Das mit der FW-Konfi war eine erste Idee. Wenn "vertrauenswürdig", dann ist erstmal alles erlaubt. Weitere Regeln sind nicht erforderlich.
Ich stochere also erstmal im Nebel ;( Speziell die VLAN-Konfi in Verbindung mit dem WLC hab ich komplett anders gelöst.
Ein paar Screensshots könnten mglw. helfen.
 
Ich gehe mal davon aus, das auf der be.IP plus der WLAN Controller läuft? In diesem Fall verwaltet der WLC auch das VLAN und da liegt das Problem. Jedes VLAN was der WLC nicht kennt, wird (zur Sicherheit) in der Firewall blockiert.
Die Lösung: Jedes VLAN muss im WLC als SSID konfiguriert werden. Man kann dann die SSID deaktivieren.

Übrigens: Es gibt im WLAN - Assistenten eine Funktion zur Erstellung eines GAST - WLAN. Damit macht die be.IP plus das alles automatisch und schränkt auch die Gast-Rechte über die Firewall ein.
 
@Kalle2006: Ich bin immer wieder beeindruckt davon, wie detailliert Du die be.ip kennst und freue mich wirklich sehr, dass Du Dein Wissen auch bereitwillig mit anderen Leuten teilst! Dafür wollte ich mich einfach mal bedanken! Ich selbst beschäftige mich erst seit ein paar Wochen mit der be.ip und wäre - wegen der meines Erachtens eher dürftigen Dokumentation von bintec - ohne Leute wie Dich definitiv nicht weiter gekommen. Woher weißt Du das alles? Learning by doing? Oder hast Du einen direkten Draht zu bintec? Ich selbst betreue die Anlage nebenbei "ehrenamtlich" für eine Arztpraxis und würde daher gerne noch mehr darüber lernen/lesen...

Beste Grüße und einen schönen Tag

Thorsten
 
Ich finde es auch super, dass es Foren gibt in denen andere Leuten helfe. :D Von Bintec kommt da leider nicht viel...

Diese Funktion zum Erstellen des Gast-WLANs habe ich nicht im Menü gefunden. Meinst du damit die Option, dass ich beim Anlegen der SSID ein VLAN zuweisen kann? Das habe ich zumindest so gemacht mit der ID20. Unter WLC --> Wizard wird auf der rechte Registerkarte auch das VLAN samt IP-Adressbereich angezeigt. Ich mache nach her mal ein paar Screenshots. Vielleicht hilft das.

VG Max
 
  • Like
Reaktionen: weißnix_
Mit welcher Firmware Version läuft denn die be.IP plus? Ich meine den Menupunkt: Assistenten -> WLAN.
 
Moin Kalle,
  • die be.IP und die APs laufen mit der aktuellen Firmware:
  • be.IP Plus: Release 10.1. Rev. 27 Patch 3
  • WLAN APs: Release 10.1. Rev. 21 Patch 3
Ich habe jetzt mal mit dem Assistenten ein Gast-WLAN erzeugt. Daraufhin hat die be.IP auch ein eigene VLAN (ID3), eine DHCP Bereich und eine Firewallregel erstellt. Das WLAN wird auch ausgesendet. Wenn ich mich aber damit verbinde bekommt der Rechner trotzdem keine IP... Ich frage mich allmählich, ob da irgendwo ein generelles Problem besteht, wenn es selbst mit dem Assistenten nicht funktioniert....

Ist es vielleicht noch Wichtig, dass die be.IP noch keine Internetverbindung über WAN hat. Ich habe alles erstmal zu Hause aufgebaut, bevor ich das wo anders probiere....

Wie @weißnix_ geschrieben hat, habe ich hier noch ein paar Bilder angehangen:

Vielleicht fällt Euch beiden ja etwas auf?

Vielen Dank soweit für Eure Unterstützung

Max
 

Anhänge

  • 1_neues_wlan.PNG
    1_neues_wlan.PNG
    51.9 KB · Aufrufe: 30
  • 1-1_neues_wlan_kein_Internet.PNG
    1-1_neues_wlan_kein_Internet.PNG
    90.5 KB · Aufrufe: 24
  • 2_als_vlan_registriert.PNG
    2_als_vlan_registriert.PNG
    46.8 KB · Aufrufe: 22
  • 3_firewall.PNG
    3_firewall.PNG
    70.2 KB · Aufrufe: 24
  • 3_neues_VLAN.PNG
    3_neues_VLAN.PNG
    60.7 KB · Aufrufe: 22
  • 4_neuer_IP-Pool.PNG
    4_neuer_IP-Pool.PNG
    62.1 KB · Aufrufe: 23
Kannst Du mal die Details zu br0-1 zeigen (die Lupe)?
Und was verbirgt sich hinter dem ind er Firewall zugelassenen Dienst (Firewall-->Dienste)
Eventuell mal explizit den Zugriff von br0-1 auf DHCP/Lan_Local erlauben
 
Moin,

anbei drei Bilder. Dieser Dienst "wlan-guest-local-access" ist eine Service Gruppe. Was sich dahinter verbirgt, habe ich nicht herausgefunden. Weißt du wie? Ich habe in den Firewallrichtlinien mal bei Dienst any eingegeben. Es hat aber trotzdem nicht funktioniert.

VG Max
 

Anhänge

  • br0-1.JPG
    br0-1.JPG
    122.7 KB · Aufrufe: 22
  • firewall_1.JPG
    firewall_1.JPG
    97.2 KB · Aufrufe: 23
  • firewall_2.JPG
    firewall_2.JPG
    172.6 KB · Aufrufe: 19
bei br0-1 interessiert vertrauenswürdig oder nicht.
Den Inhalt der Dienstegruppe kannst Du normal unter Firewall-->Dienste ansehen.
 
Bei bintec läuft der Support über die Fachhändler, und der Fachhändler kann dazu dann auch ein Support Ticket aufmachen.
 
Verstehe. Und wie kommt der Nicht-Fachhändler an mehr Informationen? Hier im Forum? :D
 
Über seinen Lieferanten. Wer bei "Kistenschiebern" kauft, hat dann ein Problem. Bei den Kistenschiebern gehört es zum Konzept das sich die Kunden anderweitig helfen lassen.
 
  • Like
Reaktionen: Tom7320 und Kostenlos
Meine erste be.ip für die genannte Arztpraxis ist von der Telekom. Musste gerade etwas schmunzeln bei dem Gedanken "Telekom" und "FACHhändler" in einem Satz zu schreiben... :D
Wenn man die Antworten der "Telekom Hilft" Mitarbeiter dort liest wird schnell klar, dass dort auch nicht die Expertise sitzt, die man bräuchte, um etwas komplexere Fragen zu beantworten.
 
Die br0-1 stand auf „nicht vertrauenswürdig“. Das habe ich dann mal in vertrauenswürdig umgeändert. Es funktioniert aber trotzdem nicht. Bei "wlan-guest-local-access" handelt es sich um eine Gruppe mit folgendem Inhalt:

  • dhcp
  • dns
  • echo-req-ipv6
Ich habe die alte Konfiguration mal gesichert und alle APs und den Router zurückgesetzt. Dann über den WLC alle APs eingebunden und eine SSID (intern) erstellt. Dann habe ich über den Assistenten ein Gast-WLAN (extern) erzeugt. Zunächst konnte ich mich mit verschiedenen WLAN-Geräte verbinden, und alle haben auch eine eigene (getrennte) IP bekommen. Alles war so, wie ich es haben wollte. Und dann (ohne, dass ich irgendetwas verändert habe) funktionierte bei einem erneuten Verbinden nichts mehr. Die Geräte haben keine IP mehr bekommen. Trotz ändern der Grundlegenden IPv4 Parameter auf "vertrauenswürdig", funktioniert es nicht. Irgendwie habe ich das Gefühl, dass das ganze System total instabil läuft....
 
Das Gast-WLAN wird als nicht vertrauenswürdig konfiguriert, das ist richtig. Es gibt ja in der Firewall dann die entsprechenden Regeln.
Hast du das ganze mit externen AP oder dem internen WLAN getestet? Versuch's erstmal nur mit dem internen, und füge dann den externen Slave-AP hinzu.
 
Okay, also die be.IP noch mal zurückgesetzt. Dann mit dem WLC ein internes und mit dem Assistenten ein externes WLAN erzeugt. Nur mit der be.IP klappt das super. Jetzt habe ich den W1001n über den WLC als Verwalteten AP hinzugefügt. Das erste Gerät ist über die be.IP verbunden - alles gut. Das zweite Gerät ist (zufälligerweise) über den W1001n verbunden. Das erhält aber keine IP-Adresse. Sobald sich das zweite Gerät (zufällig) über diw be.IP verbindet, funktioniert es wieder. Also war deine Überlegung richtig. ;-) Aber woran kann das liegen? Firewall? Das würde auch erklären, warum es beim vorherigen Versuch mal funktioniert hat und mal nicht...
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 841 (Mitglieder: 57, Gäste: 784)

Neueste Beiträge

Statistik des Forums

Themen
246,037
Beiträge
2,244,846
Mitglieder
373,434
Neuestes Mitglied
der_c
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück