FRITZ!Box 7390: IP-Client-Modus mit Gastnetz als VLAN

[direx]

Hallo,

ich habe eine gefreetzte 7390 (OS 06.83), die ich im IP-Client-Modus betreibe. Mein Setup sieht zunächst wie folgt aus:

INTERNET -> ipFire Firewall -> Managed Switch mit VLANs --> 7390 als WLAN AP/DECT-Station

Wie der Titel des Threads schon sagt, ist es mein (langfristiges) Ziel, das Gast-WLAN der Fritz!Box dazu zu überreden, den gesamten Gast-WLAN-Traffic mit einem VLAN-Tag zu versehen, sodass dieser in meiner Firewall getrennt verarbeitet werden kann. Grund dafür ist, dass ich nur ein Kabel vom Switch zur Box verwenden möchte und ich sowieso schon ein Gast-VLAN habe.

Um mich überhaupt erstmal vorsichtig an mein Ziel heranzutasten, habe ich unabhängig von irgendwelchen Bridge- und WLAN-Konfigurationen erstmal händisch ein VLAN auf dem Switch-Interface der Fritte angelegt:

vconfig add eth0 100
ip addr add 192.168.100.253 dev eth0.100
ip link set eth0.100 up

Aber bereits hier entsteht schon das erste Problem: über das VLAN-Interface geht einfach kein Traffic, weder outbound noch inbound. Auch wenn ich direkt meinen Laptop an die Fritte anschließe und dort ebenfalls das VLAN 100 mit einer statischen 100er IP konfiguriere, kann ich nicht mit der Fritte kommunizieren. Laut Wireshark wird das VLAN-Tag einfach von der Fritte abgeschnitten.

Daher meine Fragen: Mache ich irgendwas falsch, indem ich das VLAN direkt auf eth0 anlege? Ein anderes Interface ergab für mich halt erstmal keinen Sinn. Kann mein Vorhaben überhaupt funktionieren oder geht das VLAN-Tagging mit dem Switch der 7390 so generell nicht? Oder muss ich noch irgendwas in Richtung Switch-Splitting konfigurieren (wobei ich ja eigentlich nix splitten will)?

Übrigens: avm_pa hatte ich testhalber schonmal deaktiviert.

root@fritz:/var/mod/root# ip a                                                                                                                                 
                                                                                             
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue                                                                                                                                                                                                       
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00                                                                                                                                                                                                   
    inet 127.0.0.1/8 scope host lo                                                                                                                                                                                                                           
    inet6 ::1/128 scope host                                                                                                                                                                                                                                 
       valid_lft forever preferred_lft forever                                                                                                                                                                                                               
2: sit0: <NOARP> mtu 1480 qdisc noop                                                                                                                                                                                                                         
    link/sit 0.0.0.0 brd 0.0.0.0                                                                                                                                                                                                                             
3: cpmac0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000                                                                                                                                                                             
    link/ether c0:25:06:36:c4:e1 brd ff:ff:ff:ff:ff:ff                                                                                                                                                                                                       
4: adsl: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 2000 qdisc pfifo_fast qlen 32                                                                                                                                                                         
    link/[19]                                                                                                                                                                                                                                               
5: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP200> mtu 1500 qdisc pfifo_fast qlen 128                                                                                                                                                                             
    link/ether c0:25:06:36:c4:e1 brd ff:ff:ff:ff:ff:ff                                                                                                                                                                                                       
6: lan: <BROADCAST,MULTICAST,UP,LOWER_UP200> mtu 1500 qdisc noqueue                                                                                                                                                                                         
    link/ether c0:25:06:36:c4:e1 brd ff:ff:ff:ff:ff:ff                                                                                                                                                                                                       
    inet 192.168.20.254/24 brd 192.168.20.255 scope global lan                                                                                                                                                                                               
    inet 169.254.1.1/16 brd 169.254.255.255 scope global lan:0                                                                                                                                                                                               
7: guest: <BROADCAST,MULTICAST,UP,LOWER_UP200> mtu 1500 qdisc noqueue                                                                                                                                                                                       
    link/ether c0:25:06:36:c4:e1 brd ff:ff:ff:ff:ff:ff                                                                                                                                                                                                       
8: wifi0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 511                                                                                                                                                                               
    link/ieee802.11 c0:25:06:36:c4:11 brd ff:ff:ff:ff:ff:ff                                                                                                                                                                                                 
9: wifi1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 511
    link/ieee802.11 c0:25:06:36:c4:11 brd ff:ff:ff:ff:ff:ff
10: ath1: <BROADCAST,MULTICAST,UP,LOWER_UP200> mtu 1500 qdisc noqueue
    link/ether c0:25:06:36:c4:11 brd ff:ff:ff:ff:ff:ff
12: ath0: <BROADCAST,MULTICAST,UP,LOWER_UP200> mtu 1500 qdisc noqueue
    link/ether c0:25:06:36:c4:11 brd ff:ff:ff:ff:ff:ff
18: eth0.100@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue
    link/ether c0:25:06:36:c4:e1 brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.253/32 scope global eth0.100

root@fritz:/var/mod/root# brctl show 
bridge name     bridge id               STP enabled     interfaces 
lan             8000.c0250636c4e1       no              eth0 
                                                       ath1 
                                                       ath0 
guest           8000.c0250636c4e1       no

 

[Shirocco88]

Üblicherweise wird bei VLAN-Setup (im OpenWRT-Bereich usw.) zuerst der physikalische LAN-Port aus der Bridge "lan" genommen:

# /usr/sbin/brctl  show
bridge name     bridge id               STP enabled     interfaces
lan             8000.c80e1234567       no              eth0
                                                        eth1
                                                        eth2
                                                        eth3
                                                        wlan
guest           8000.c80e1234568       no
#

eine neue Bridge angelegt und der physikalische Port zugeordnet;
erst dann wird vconfig genutzt.

BTW: Hast Du SuFu hierzu im Forum schon mal angeworfen bevor Du den Thread erstellt hast, ich kann hierzu nichts in #1 finden;

 

[direx]

Hallo und erstmal danke für die Antwort.

Üblicherweise wird bei VLAN-Setup (im OpenWRT-Bereich usw.) zuerst der physikalische LAN-Port aus der Bridge "lan" genommen.

Ich glaube du hast mich falsch verstanden. Das Linux der 7390 sieht ja nur genau ein Switch-Interface (eth0). Ist aber auch nicht schlimm für mein Setup, denn wie ich bereits schrieb, möchte ich keine Ports splitten (das ist mit der 7390 wohl sowieso ein Problem), sondern ich möchte VLANs nach 802.1Q wie folgt nutzen:

• Mein normales Heimnetz liegt an (fast) allen meinen Netzwerkdosen ungetaggt an (VLAN 1).
  
• Die Fritte hängt als IP-Client ebenfalls an diesem ungetaggten VLAN, und damit auch die Bridge "lan"
• Alle anderen LAN-Ports der Fritte und das normale WLAN sollen ebenfalls an diesem VLAN (ungetaggt) hängen

Soweit ist das ja keine Magie und funktioniert natürlich out-of-the-box. Jetzt gibt mein Managed Switch aber zusätzlich noch ein getaggtes VLAN zur Box (VLAN 100). Was ich jetzt genau möchte:

• Die Fritte soll den Traffic aus dem Gast-WLAN (also der guest-Bridge) taggen (mit VLAN 100) und über die selbe Leitung wie der restliche Traffic zum Switch schicken

Bevor ich mir die WLAN und DHCP-Config vornehme, möchte ich also erstmal, dass überhaupt das VLAN-Tagging funktioniert, sonst brauche ich ja gar nicht weiter machen. Mein Problem ist aber, dass laut Wireshark der Switch der Fritte alle VLAN-Tags einfach auffrisst. Ich habe testhalber schonmal folgendes probiert:

• eth0 aus der "lan"-Bridge rausgenommen
• Sowohl VLAN 1 als auch VLAN 100 am Switch auf "tagged" gestellt
• eth0.1 zur "lan"-Bridge und eth0.100 zur "guest"-Bridge hinzugefügt

Das geht allerdings auch nicht. Im Wireshark sehe ich wieder, dass die Fritte alle VLAN-Tags verwirft und alles untagged sendet. Daher auch meine Frage: gibt es noch irgendeinen Trick, wie ich der Fritte VLANs nach 802.1Q beibringen kann? Die Hardware muss das ja irgendwie können, weil es für Entertain und VoIP auch so gemacht wird (allerdings nicht im IP-Client-Modus).

Meine Vermutung ist, dass hier irgendwie der Switch dazwischenfunkt.

BTW: Hast Du SuFu hierzu im Forum schon mal angeworfen bevor Du den Thread erstellt hast, ich kann hierzu nichts in #1 finden;

Was meinst du? Ich konnte zum Thema 802.1Q und 7390 ebenfalls nichts zufriedenstellendes finden, daher #1.

 

[direx]

Hi,

noch eine Rückmeldung von mir: ich kapituliere. Leider hilft mir freetz bei meinem Vorhaben nicht, weil die Hardware offenbar wirklich sämtliche VLAN-Tags verschlingt. D.h. der IP-Client-Modus der 7390 ist für mein Setup nicht sinnvoll.

Ich habe mein Vorhaben jetzt einfach unabhängig von freetz mit 2 Kabeln gelöst:

• Mein Gastnetz (mit ungetaggtem VLAN 100) geht direkt an LAN1
• Mein normales Netz (ungetaggtes VLAN 1) geht direkt an LAN2
• Die Box baut selbst eine "Fake-Internetverbindung" über LAN1 auf, DHCP ist fürs nicht-Gast-Netz deaktiviert
• Meine normalen WLAN-Clients bekommen ihre IP also von meiner Firewall und nutzen diese auch als Gateway (d.h. über LAN2 der Fritte ohne NAT durch die FRITZ!Box)
• Gast-WLAN-Clients hingegen bekommen von der Fritte über die interne Gastfunktion per DHCP ihre IP und werden über LAN1 in mein eigentliches Gast-Netz "genattet"

Das geht soweit, hat aber einige Nachteile:

• VoIP geht über LAN1 und damit über mein Gast-Netz
• Doppel-NAT für WLAN-Gäste (einmal an der Fritz!Box und dann nochmal an meiner Firewall)
• Die Fritz!Box vergibt die IPs fürs Gast-Netz

Ich sehe folgende theoretische Alternativen, für Leute, die es "richtig" im IP-Client-Modus machen wollen:

• Fürs Gastnetz einen Tunnel zur Firewall aufbauen (GRE oder OpenVPN) und das VPN-Interface auf der Fritte routen und per iptables isolieren
• Eine 7490 nehmen, denn dort kann man wohl einzelne Ports zu den Bridges hinzufügen. Man bräuchte zwar weiterhin 2 Kabel, aber immerhin wäre die Lösung trotzdem recht sauber.
• Einen 08/15 Billig-Plaste-Router nehmen - im Prinzip können die fast alle VLANs.
• Bei AVM beschweren, dass die Boxen keine VLANs unterstützen (sollte man in jedem Fall machen!)

Falls doch noch jemand eine Idee für mich hat - immer her damit