Interessanterweise findet man online kaum komplette Tutorials zum Thema VLAN. Das Thema ist weder neu noch braucht es spezielles Equipment dazu. Es ist sicher ein Thema welches etwas Wissen voraus setzt jedoch sollte aus meiner Sicht jeder der ein kleineres Heimnetzwerk betreibt sich damit auseinandersetzen.
Die eingesetzte Hardware in meinem Fall: Pfsense Plus, GS728TPv2, Netgear WAC510 mit diesen Komponenten sollte doch ein VLAN ohne Probleme möglich sein. Grundsätzlich ist dies auch der Fall wenn man nur dazu eine 1:1 Anleitung hätte wäre es noch viel schöner. Wir wollten in diesem Beispiel ein VLAN machen für das Gäste WLAN Netzwerk. Falls sich einmal ein Gast einloggt im WLAN soll der Traffic separat laufen und es sollte nicht möglich sein auf die privaten Geräte zu zugreifen. Ob das heutzutage bei 4G respk. 5G noch Sinn macht, ist eine etwas andere Frage ;).
Einstellungen auf dem Netgear WAC510 (AccessPoint Mode)
Zuerst wird unter Configuration -> Wirless -> Basic eine neue SSID erstellt (Add SSID). Diese wird ganz normal eingerichtet mit Name, Passwort usw. Es sollte dann so aussehen dass ihr 2 SSID’s habt 1x SSID für interne Benutzer und 1x SSID für Gäste. Ich habe die Namen unkenntlich gemacht die Bezeichnung ist direkt inter SSID1 respk. SSID2.
Nun wird das VLAN abgefüllt, dies ist eine Zahl zwischen: 2-4090 in diesem Fall habe ich 80 gewählt als Test. Das kann in den Details abfüllen und ist ganz auf der rechten Seite.
Weiteres zum AccessPoint
Der AccessPoint ist mit nur einem Kabel direkt am GS728TPv2 verbunden und wird vom Switch mittels PoE mit Strom versorgt. Weitere Einstellungen müssen für das VLAN auf dem AccessPoint nicht getroffen werden. Achtung: Sobald das VLAN eingegeben wurde und der AccessPoint neu gestartet wurde, wird er wohl nicht mehr verfügbar sein bis alles korrekt eingestellt ist.
Einstellungen auf dem Netgear GS728TPv2
Wie bereits erwähnt führt nur ein physisches Kabel vom AccessPoint zum Switch. Auf diesem Kabel werden wir 2 Kommunikationswege haben. Eine SSID welche bereits besteht für die normalen internen Benutzer und eine zweite SSID welche für die Gäste ist. Der Traffic der Gäste soll mit dem VLAN Tag 80 gekennzeichnet werden, respk. das wird bereits gemacht wenn der AccessPoint bereits konfiguriert wurde.
Die folgenden Einstellungen müssen nun gemacht werden auf dem Switch damit das VLAN 80 auch weitergeleitet wird. In unserem Beispiel befindet sich der AccessPoint auf dem Port 7 am Switch.
Wir fügen als erstes unter VLAN-Konfiguration im VLAN Menü die VLAN-ID 80 hinzu.
Danach setzen wir die VLAN-Mitgliedschaft. Hier muss man die Ports welche man mit dem VLAN 80 austatten wird “taggen”. Das bedeutet diese müssen ein “T” erhalten. Diese Ports führen dann das VLAN 80 mit sich. Die anderen Ports welche kein “T” haben können nicht dem VLAN 80 beitreten. Hier ist mir aufgefallen dass Netgear als Standard überall “1” einsetzt als “default”. Das bedeutet standardmässig ist überall ein “1”. Mann muss auch unter “VLAN-ID” das VLAN auswählen und kann dann wieder für jedes VLAN alle Ports taggen oder eben nicht. Getaggt wird mittels einem klick auf den Port.
Nun kommt der wohl spezielle Teil der Konfiguration. Mann muss unter Port-VID-Konfiguration eine PVID eingeben als zb. 80. Warum das so ist, kann ich mir noch nicht erklären. Natürlich muss auch die “1” vorhanden sein. Denn die Konfiguration vom AccessPoint wird via dem “1” VLAN gemacht.
Einstellungen auf der Pfsense Plus respk. Pfsense Firewall
Zuerst muss unter Interfaces das neue VLAN angelegt werden (Interfaces -> Assignments -> VLANs -> Add) und als VLAN Tag wird wiederum die “80” eingegeben. Die Beschreibung kann frei gewählt werden. Die VLAN Priorität habe ich in meinem Fall einmal auf “0” gelassen.
Das Interface muss natürlich auch unter “Interface Assignments” danach aufgeführt werden. Erst danach kann den DHCP Server einrichten für dieses Interface.
Zum Schluss müssen noch die Firewall Einstellungen gesetzt werden in diesem Fall habe ich nun einfach den gesamten Traffic freigegeben. Das macht noch wenig sinn. Es sollte natürlich nicht möglich sein in andere Netze zu kommunizieren.
