Deutschsprachiges Forum

Reply
Occasional Contributor II
Posts: 26
Registered: ‎04-05-2016

iAP mit Gast, IP vom VC, Nat in ein anderes VLAN?

[ Edited ]

Hi@all,

ich hätte da mal eine Frage ob das geht.

Normalerweise wird ja bei einem iAP das Gastnetz mit IP-Verwaltung vom Controller (172.-IP) per NAT in das Untag. VLAN vom AP verbunden. Kann man das auch so einstellen (FW-Regel, oder....), dass der IP-Pool für das Gastnetz wieder der iAP verwaltet (also auch wieder der 172.-IP-Pool) aber diese SSID dann in ein tag-VLAN am AP ausbucht

z.B.

VLAN 10 = unt am SW-Port für iAP für Mana.

VLAN 20 = tag. am SW-Port für Gastnetz

am iAP wird ein GAST-SSID erstellt mit IP-Verwaltung vom iAP, das dann per NAT den traffic in das VLAN20 ausbucht.

Dazu müsste ja der iAP im VLAN 20 eine IP bekommen (wegen dem NAT). Hier finde ich aber nix. Oder geht das auf ein anderen weg / Fragen?

Ein schönen Tag noch

tom

Aruba Employee
Posts: 46
Registered: ‎12-29-2010

Re: iAP mit Gast, IPvom Controller, Nat in ein anderes VLAN?

Grundsätzlich ja, geht sowas.

 

Im Gast SSID configuration, VLAN - statt "Virtual Controller Assigned", wählt mann "Network Assigned", danach der gewünschte VLAN eintragen.

 

Voraussetzung das IAP hat das Gast VLAN auf E0 trunk.

 

Datenverkehr wird wie gewohnt über den user-role, spricht captive-portal, und danach post-auth Rolle.

 

Funktioniert genau wie jeden anderen SSID, nur das default user-rolle muss captive-portal redirect, usw.. machen, und meistens danach wird ein "post-auth" rolle zugewiesen.

 

Mann kann auch das default Gast "magic" VLAN IP addresse ändern.

 

Instant User Guide circa Seite 217

"Configuring the Default DHCP Scope for Client IP Assignment"

 

Shawn Adams
Aruba Networks Customer Advocacy
Occasional Contributor II
Posts: 26
Registered: ‎04-05-2016

Re: iAP mit Gast, IPvom Controller, Nat in ein anderes VLAN?

Danke Shawn,

ich hab selber mal ein wenig Probiert und gelesen. Hab es mit dem Lokal-DHCP versucht. Geht ganz gut so. Einfach ein Pool angelegt, der dann in der SSID die Client versorgt. Dort kann man ja auch das VLAN angeben, in der diese SSID ausgebucht werden soll. Im VLAN habe ich dann ein DHCP-Laufen. Somit bekommt der WLAN-Client vom iAP eine IP und wird aber per NAT in das VLAN verbunden. Ich finde das eine ganz guten weg, um den internen IP-Bereich zu "verschecken". Nur den DNS muss man angeben.

 

Weist Du ob es vielleicht hierzu bei Aruba/HPE ein Plan gibt, in den iAP ein DNS-Relay -Funktion einzubauen. Also das der WLAN-Client die DNS anfragen an den iAP schickt und der sie weiterleitet?

Aruba Employee
Posts: 46
Registered: ‎12-29-2010

Re: iAP mit Gast, IPvom Controller, Nat in ein anderes VLAN?

Versuch mal das DHCP scope zu editieren, der IAP IP addresse (client default GW) als DNS server einzutragen.

 

IAP selbst ist ein DNS "proxy". Wenn ein VPN-NG Tunnel verwendet wird, kommt auch "enterprise Domain" im spiel, was für Gastnetz ein strategisch entscheidung ist - DNS anfragen  nach Domäne übers Tunnel oder NAT geleitet werden sollen.

 

Es wäre eventuel optimal ein support case aufmachen mit Netzskizze und IAP tech-support, das wir ein komplettes Bild  von Anforderungen und gewünschte Design haben.

 

Shawn Adams
Aruba Networks Customer Advocacy
Occasional Contributor II
Posts: 26
Registered: ‎04-05-2016

Re: iAP mit Gast, IPvom Controller, Nat in ein anderes VLAN?

Hi,

ich hab nochmal ein wenig getestet. Wie gesagt, ziel sollte es sein, eine SSID auszustrahlen für die der AP DHCP macht. Diese IP sollte dann in ein von mit vorgegebenes VLAN per NAT übersetzt werden. Was ich jetzt aber sehe ist, das wenn ich mit dem DHCP Lokal-Pool arbeite und dort das VLAN angebe (in der der Traffice eigentlich gehen soll), der Traffic aber nicht dort ausgebucht wird sondern im Untag. -Vlan. Der Client bekommt zwar eine IP aus dem Pool, der Traffic geht aber über VLAN 1 und nicht über VLAN 18

Occasional Contributor II
Posts: 26
Registered: ‎04-05-2016

Re: iAP mit Gast, IPvom Controller, Nat in ein anderes VLAN?

Hi,

die Frage ist also erstmal, geht das Überhaupt. Kann man eine SSID erstellen, in der der AP die IP-Adressverwaltung macht (DHCP) und dieser Traffic nicht über das Untag-VLAN geht, sondern über ein anderes VLAN per tag ( also ein AP mit einem Port)?

Search Airheads
Showing results for 
Search instead for 
Did you mean: