Deutschsprachiges Forum

Reply
Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hi, 

 

also da ist mir jetzt nicht so klar was genau da passiert. Wer routed denn und woher kommt DHCP?

 

Die Clients müssen doch nicht in das 192.168.0.0/24er Netz oder?

Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hm... Also es ist so

Wir haben zwei ArubaAcces Points:

Mit der IP: 192.168.0.213
Mit der IP: 192.168.0.164

 

Wenn ich KEINE VLAN zuweisung mache, so bekommen alle eine IP z.B. 192.168.0.199 (mein Notebook gerade) und das Internet funktioniert.

 

Jetzt möchte ich VLANs zuweisen z.B.: 192.168.1.X für Public (Printer etc.) und 192.168.2.X für ArbeitsplatzXY. (Darf auf Public und eigenes Lan sehen und muss aber auch ins Internet).

 

Wenn ich die von dir genannte Regeln anwende und Any to Any raus nehme, geht das Internet nicht. Ich krieg die richtige IP und kann andere VLANs nicht pingen, komm auch auf das Public LAN aber kein Internet. Daher habe ich die zwei AccessPoints und 192.168.0.1 auch noch freigegeben, klappt aber trotzdem nicht, sofern die Regel drin ist 192.168.0.0/24 (deny) drin ist.

Wie müsste es am einfachsten aufgebaut werden?

Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Ah okay. 

 

Sorry das ist mein Fehler, ich habe irgendwie deine Frage nach dem Any Any allow nur halbgehangen gelesen ;)

 

Das Any Any allow muss ganzen unten verbleiben - weil das beinhaltet ja auch alle Internet Ziele, die du zulassen willst.

 

Ganz unten steht sozusagen ein implicit deny all. Das taucht da nicht auf, aber der AP wird allen Traffic verwerfen, den er nicht explizit einer Regel zuordnen kann.

 

Also brauchst du wie gehabt:

 

192.168.1.0/24 allow

192.168.X.0/24 allow

192.168.0.0/16 deny

any any allow.

 

VLAN 1 geht dann, VLAN X geht auch. Alle anderen VLANs fallen aber in das Deny. Alles was nicht 192.168.0.0 ist fällt aber ins allow ganz unten.

 

 

Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

 

Hey super, das würde klappen! Danke

 

Scheinbar hab ich aber noch ein Problem. Ich kann nur 6 DHCP Scops erstellen (sprich 6 VLANs mit DNS) und auch nur 8 VLAN Regeln.

 

Ich möchte folgendes: Wir haben ein Coworking-Space. Jede Firma / Coworker, bekommt Username+Passwort um sich im WLAN zu identifizieren. Jede Firma / Coworker, kann seine Geräte mit den gleichen Credentials am WLAN anmelden. Alle Geräte mit gleichem Username+Passwort dürfen untereinander Daten austauschen und auf den gemeinsamen Drucker zugreifen, jedoch nicht mit einem anderem Coworker / Firma. Zusätzlich, gibt es Accounts die mehr Bandbreite erhalten als andere. Untereinander darf man sich nur dann sehen, wenn beide Firmen / Coworker dem zustimmen. Ansonsten nur alles was "public" ist und in der eigenen "zone".

 

Es hätte mit VLANs und Username an VLAN zuweisen geklappt, aber ich kann nur 6 VLANs machen und hab gelesen nur 8 Regeln für die VLAN Zuweisung. 

 

Wie könnte ich dieses Ziel trotzdem erreichen? Damit alle Firmen / Coworker geschützt im LAN sind, aber mit den eigenen Geräten trotzdem was austauschen können und alle auf den Drucker kommen + Bandbreitenbeschränkung benutzerspezifisch definiert werden kann. 

 

Ich hoffe ich konnte mein Anliegen genauer erklären. Es hätte alles geklappt mit den Regeln von JPfennig, jedoch kann ich nicht mehr als 6 VLANs bzw. 8 Regeln dazu erstellen....

Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hi, 

 

das wusste ich ehrlich nicht. In diesem Fall könntest du den DHCP woanders hin legen, z.B. einen Windows Server und die VLAN Zuweisung von z.B. einem RADIUS Server machen lassen.

 

Ich vermute, dass man genügend Rollen auf dem System anlegen kann, die man dann durch den RADIUS zuweisen lassen kann. 

 

Das wäre zumindest eine Möglichkeit.

Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

hm... dann brauche ich wieder Hardware (Windows Server).

 

Gibt es eine Möglichkeit, den Traffic aller PCs oder Notebooks in eine VLAN zu schieben, in diesem VLAN den Traffic untereinander zu verbieten und alle Smartphones / iPads in das Public VLAN zu filtern? So könnt auf das Smartphone übers LAN zugegriffen werden aber nicht auf andere PCs / Notebooks. Dann müsste ich wissen, wie ich im gleichen IP-Netz die Kommunikation im LAN verbieten kann. sprich 192.168.2.33 darf nicht mit 192.168.2.34 sprechen.

 

Oder wie würdet Ihr das LAN sichern, bei 30 verschiedenen Firmen (meist Notebooks) die sich eine SSID teilen und trotzdem noch mit ihren eigenen Geräten kommunizieren sollen (wäre super). Zusätzlich müsste ich natürlich auch Bandbreitenbeschränkung machen (2 unterschiedliche Pakete ein schnelleres und ein nicht so schnelles)

Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hi,

 

ich glaube, dann wird es langsam schwer ohne weitere Geräte, aber du kannst Bridging zwischen den Usern verweigern, ich glaube bei Instant in den erweiterten Einstellungen der SSID.

 

Alternativ ACLs, Zugriff auf Default GW erlauben, Rest vom Netz Deny.

QoS geht auch in den Rollen.

 

 

Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Ist es diese Option: Deny Inter Using Bridging, wenn ich diese aktiviere, können sich die User in dieser SSID&VLAN nicht mehr sehen oder?

 

Geht das auch User-Spezifisch? Das zwei mit dem gleichen Usernamen+Passwort sich sehen dürfen, aber der Rest nicht. Mit dieser option, kann ich mein Handy nicht pingen, da im gleichen VLAN&SSID 192.168.1.X bin aber zu einem anderen VLAN+SSID z.B. Drucker geht 192.168.0.80 der Ping.

Re: Eine SSID und mehrere User und VLANs separieren

Mit der entsprechenden User-Role mit Regeln geht das.

Gruß

Jochen
Occasional Contributor II

Re: Eine SSID und mehrere User und VLANs separieren

Hey @jmuedsam

 

Wie meinst du das? Kannst du mir ein wenig nachhelfen?

Ich arbeite mit dem WebInterface und hab keine Möglichkeit gesehen einem User eine Role / Regel zuzuweisen.

 

Bitte ein wenig genauer, hab schon die ganze Doku durchsucht und bin seit Wochen dran zu testen.

 

Danke 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: