VLAN mit Tagging auf der eth Seite

[dj_eike]

Hallo RalfFriedl,
bis auf deinen ersten Satz (den ich nicht verstehe), erzählst du mir nichts neues. Klar kann ich mir Brücken brauen und alle mögliche hin und her bridgen.
Wenn ich den Split-Modus verwende, könnte ich das Webinterface fest auf eth3 basteln und entferne es aus der lan-Bridge. WLAN und die restlichen LAN-Ports bridge ich zusammen.
In dieser Konstellation muss ich aber zwei LAN Kabel zur Box legen (einmal eth3 für das Web-Interface und eine und anderes Kabel für den Kunden-Verkehr, der vom WLAN über die Bridge an die restlichen Ports abgeführt wird).
Damit wäre das Web-Interface sogar physikalisch (!!) vom WLAN getrennt. ^^

Um keine zwei Kabel legen zu müssen, kommen hier wieder getaggte Pakete ins Spiel. Könnte die Box im Split-Modus Tagging, würde ich eth0.5 eine IP zuweisen, mit der ich die Box weiterhin erreichen kann. eth0.10 würde ich
der lan-Bridge hinzufügen, um den WLAN-Traffic im VLAN 10 einzufangen. Dahinter kommt ein VLAN-fähiger Switch und schon hat man eine absolut sichere Trennung von Management und Kundentraffic.
Ich hoffe, ich konnte einigermaßen beleuchten, was mein Ziel an der Sache ist.

Viele Grüße

Eike

 

[RalfFriedl]

In dieser Konstellation muss ich aber zwei LAN Kabel zur Box legen (einmal eth3 für das Web-Interface und eine und anderes Kabel für den Kunden-Verkehr, der vom WLAN über die Bridge an die restlichen Ports abgeführt wird).
Um keine zwei Kabel legen zu müssen, kommen hier wieder getaggte Pakete ins Spiel.

Das könnte man so deuten, dass die Box auf Internet über LAN und nicht über DSL konfiguriert ist, was aus den vorherigen Beiträgen nicht so deutlich wurde. Da die Box sowieso nur 100MBit/s kann, wäre das einfachste, zwei Adapter zu besorgen, mit denen man ein zwei 4-adrige Verbindungen über ein 8-adriges LAN Kabel nutzen kann.

Der Switch in den Boxen hat 4 Ports, die nach hinten herausgeführt sind. Er hat außerdem einen Port, der mit der CPU verbunden ist. Der Switch ist außerdem VLAN fähig. Am Port zur CPU wird VLAN verwendet. Je nach der VLAN Kennung, mit der die CPU sendet, landen die Pakete auf der entsprechenden Portgruppe. Vermutlich hängt es damit zusammen, dass keine VLAN Kennungen nach draußen kommen.

Im Kernel danach zu suchen, ob und wo man das ändern kann, ist mit Sicherheit aufwendiger, als die oben angesprochenen Adapter zu besorgen. Alternativ könntest Du eine VPN Verbindung aufbauen und den Zugriff nur über dieses VPN zulassen.

 

[dj_eike]

Ja das stimmt, dass ich den IP-Client Mode verwende, hatte ich nicht erwähnt. Sorry dafür. Die Boxen sollen nur als WLAN-Accesspoint dienen und keine Routing-Aufgaben übernehmen.
Der angesproche Adapter kann in meinem Fall nicht zum Einsatz kommen, da die Adern 4,5 und 7,8 bereits - wie drücke ich es aus - für "manuelles" Power over Ethernet Verwendung finden.. ;-)
Schön wäre ein Kernel für die Box, der alle Ports des Switches in eine Trunk-Modus versetzt. So könnte man seine Interface eth0.5, eth0.10, usw anlegen und und der Switch arbeitet mit Trunk-Ports
und kennt quasi jedes VLAN an jedem Port. - Naja ich denke das Wunschkonzert ist hier vorbei.

Inzwischen kann ich verstehen, warum sich keiner mit dem VLAN Tagging auseinander setzen will...
Ich werde wohl auf Alternativprodukte von tplink umsteigen. Die können von Natur aus Multi-SSID und VLAN.

Trotzdem danke für deine Erklärung. Wie die CPU in der Box mit dem Switch kommuniziert, war mir bisher nicht so klar.