This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

AP10, VLAN benötigt?

Hi,

ich steh mal wie so oft auf dem Schlauch[:)].
Ich habe mir ein, wie in einem anderen Thread schon erwähnt, einen AP10 zugelegt. Den habe ich zu Test- und Versuchszwecken zu Hause aufgestellt.
Ich habe 2 SSID's konfiguriert, eine für Privat die andere für Gäste. Die beiden Netzt sollen natürlich getrennt sein. Wie auch schon erwähnt läuft das Privatnetz per Bridge to AP LAN. Für Gäste habe ich die seperate Zone konfiguriert. Entsprechend auch DHCP, DNS, NAT und Firewallregel. Jetzt frage ich mich aber, ob die Netzt jetzt tatsächlich voneinander getrennt sind und wozu es die Möglichkeit des VLAN-Taggings gibt? Könntet ihr mich von der Denkblockade erlösen?

MfG Shadowmaker

This thread was automatically locked due to age.

0 mod2402 over 10 years ago

Hi shadowmaker,

im Normalfall brauchst du eigentlich kein VLAN Tagging. Letztendlich ist es aber abhängig davon wie der Switch konfiguriert ist an den der AP hängt. Da du von zuhause redest wirst du wohl kaum einen Switch verwenden der VLAN's taggen kann. Untagged VLAN's wirst du sehr wahrscheinlich auch nicht konfigurieren können. Von daher ist der Traffic nicht wirklich richtig getrennt. Auch wenn die UTM den schon trennt.

IP technisch ist er auf jeden Fall getrennt. Mit der Ausnahme Broadcast [;)]

In größeren Umgebungen kann es aber durchaus Sinn machen. Ich bevorzuge aber soweit es geht immer untagged VLAN's zu verwenden. Diese sind einfacher zu verwalten.

Wenn du VLAN Tagging aktivierst, muss der Switch das auch unterstützen. In komplexen Umgebungen mit sehr hohen Sicherheitsstandards werden durchgehend getaggte VLAN's verwendet.

VG
mod
Cancel
Vote Up 0 Vote Down

Cancel
0 PaulKuepper over 10 years ago

Hallo zusammen,

ich möchte mich der Frage anschließen und erweitern…..

Wie werden denn die verschiedenen SSIDs an/durch eine Sophos gebracht?
Bisher bin ich davon ausgegangen, das es über V-LAN´s realisiert wird.

Jedenfalls ist das so bei unseren alten W-LAN Adaptern, die mit getaggten
V-LANs an einem Switch hängen. Bis auf das Konfigurationsnetz (lokales LAN),
das ungetagged (z.b.V-LAN1) ist, liegen alle anderen SSIDs mit unterschiedlichen
getaggten V-LANS am Switch - (Hybride Modus)

Der Versuch an der Sophos getaggte und ein ungetagtes Netze am selben
Interface zu konfigurieren schlug fehl. Auch wird eine Sophos AP am Switch nicht
gefunden wenn das Verbindungsinterface zum Switch getagged ist.

Wie löse ich denn diese Konfiguration mit Sophos und getaggten Switchen ?

Könnt Ihr mich Erleuchten…. -[:)], Wo liegt mein Gedankenfehler ?

LG
Paul Küpper
Cancel
Vote Up 0 Vote Down

Cancel
0 scorpionking over 10 years ago
Die UTM kann auf einem Interface nur entweder getaggte VLANs oder keine. Ungetaggt kennt sie nicht.

Die Kommunikation zw. UTM und den APs läuft bezüglich der getrennten Zonen über eine Art SSL-Tunnel. Also abgeschottet vom physikalischen Netz.

Wenn du einen Sophos AP in einem getaggten VLAN betreiben möchtest, musst du ihn erst in einem ungetaggten Netzwerk konfigurieren und das Tagging aktivieren. Danach einfach ins getaggte VLAN hängen.
Alternativ kannst du natürlich auch nur die Verbindung zw. Switch und UTM taggen und dem Port, an dem der AP hängt, das VLAN ungetagged zuweisen.
----------
Sophos user, admin and reseller.
Private Setup:

XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)

UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
Cancel
Vote Up 0 Vote Down

Cancel
0 K.N. over 10 years ago

Nur der Form halber: Untagged kann jede(r). Aber bei der UTM muss man sich eben entscheiden.
Cancel
Vote Up 0 Vote Down

Cancel

AP10, VLAN benötigt?

Submitted a Tech Support Case lately from the Support Portal?