WLAN (seg.)

unterteilt mit Routern, VLANs und Accesspoints

2025-06-22

Überblick
Wie stellt man mit übersichtlichem finanziellen Aufwand einer großen Zahl von Nutzern bzw. Geräten ein WLAN unter einheitlicher SSID zur Verfügung?

Problem

Wie schon im Beitrag zum WLAN mit vielen Geräten beschrieben, ist eine zu große Anzahl aktiver Geräte in einem Netzwerk mit beschränkter Übertragungskapazität problematisch (Broadcasts, Airtime, Paketverlust).

Trotzdem möchte ich der gesamten Schülerschaft eine Nutzung des Internets z.B. mit Smartphones und iPads außerhalb des Unterrichts unter einer einheitlichen SSID (hier “Smart”) ermöglichen.
Der zusätzliche Vorteil ist, dass damit die Unterrichtsnetze von solchen Geräten freigehalten werden: Sie benötigen nicht diese enge Kopplung an digitale Tafeln und Lehrer-Tablets durch Broadcasts und direkte Netzwerkverbindung.

Idee: Segmentierung (schon wieder)

Neben der Optimierung der Übertragungskapazität kommt nur die Unterteilung der Netze in Frage. Profis können dazu die Broadcasts filtern sowie Broadcast-Antworten (z.B. auf ARP-Requests) cachen und so im Großen und Ganzen getrennte Broadcastdomänen schaffen. Um dies zu erreichen hätte ich noch eine gewisse Lernkurve vor mir.

Stattdessen werden nun unter derselben SSID in Wirklichkeit verschiedene Netze verteilt, die sich aber so ähneln, dass ein Access-Point-Wechsel nicht mehr als einen ARP-Request zum Gateway kostet und dass eine neue NAT-Session erzeugt wird.

Genaugenommen basiert das Vorgehen auf der Idee, welche im Nachbarbeitrag als Denkfehler bezeichnet wurde. Hier benötigen wir die kritischen Features der Unterrichtsnetze jedoch nicht.

Realisierung

Es wurde an jedem Switch, der WLAN-APs versorgt (derzeit 5 Stück im Haupthaus) ein Router angeschlossen. Ich nenne sie Edge-Router, da sie ausdrücklich nicht zentral untergebracht sind.

Edge-Router
haben jeweils wie üblich eine WAN-Seite und eine LAN-Seite. Zwischen diesen vermitteln sie mit Hilfe von NAT. Sie managen ihr eigenes LAN mit DHCP- und DNS-Dienst. Alle Edge-Router haben auf LAN-Seite dieselbe IP-Adresse, was mangels Verbindung zu keinem Konflikt führt. Jeder vergibt IP-Adressen aus einem anderen Teil desselben IP-Adressbereich. So kann ein Client, der - ohne es zu merken - zu einem anderen Switch wechselt, seine IP konfliktfrei weiterbenutzen, bevor er bei Gelegenheit eine neue Adresse anfordert.
Die WAN-Seite
ist ein normales, für Schüler konfiguriertes VLAN 5, das über den Backbone zur zentralen Firewall geht und von dort (gefiltert) mit dem Internet kommunizieren kann. Es ist aus Sicht der Edge-Route ein normaler Internet-Uplink.
Die LAN-Seite
ist mit einem anderen VLAN 16 verbunden, welches nur noch mit den APs dieses Switches verbunden ist. Diese strahlen alle (u.a.) die SSID Smart aus und verbinden die sich dort anmeldenden Clients mit dem VLAN 16. 
flowchart BT
    
    subgraph Netzverteiler-Raum_2
        direction BT
        SW2[Switch 2] ---|VLANs
15,16,25...| AP2s[Access
Points]
        SW2 <-->|VLANs
5,16| ER2(((Edge
Router)))
        AP2s --- W2{{WLAN
Clients}}
    end

    subgraph Netzverteiler-Raum_1
        direction BT
        SW1[Switch 1] ---|VLANs
15,16,25...| AP1s[Access
Points]
        SW1 <-->|VLANs
5,16| ER1(((Edge
Router)))
        AP1s --- W1{{WLAN
Clients}}
    end
    
    subgraph SR
        direction TB
        BB[Backbone
Switch] --- FW(((Firewall))) --- I{{Internet}}
    end

    SR ===|"VLANs
5,15,25...
(ohne 16)"| Netzverteiler-Raum_1
    SR ===|"VLANs
5,15,25...
(ohne 16)"| Netzverteiler-Raum_2

Auf Ethernetebene geht jedes Paket für das Smart-Netzwerk in beiden Richtungen durch das Kabel zwischen Switch und Edge-Router, wenn auch in zwei verschiedenen VLANs. Wegen Full-Duplex muss man sich um die Datenrate keine Sorgen machen…

Vorteil & Nachteil für die User

Im gesamten Haus können z.B. Smartphones mit demselben WLAN (genauer: SSID) verbunden bleiben. Dies schließt bei uns Bereiche mit ein, in denen keine Unterrichtsnetze ausgestrahlt werden (Aula, Aufenthaltsräume).
Solange man nicht z.B. während eines Downloads herumläuft wird man keinen Nachteil bemerken.

Hintergrund: Wechselt man bei einem AP-Wechsel zu einem, der an einem anderen Switch hängt, so ändert sich der Edge-Router. Nur dieser verwaltet aber die NAT-Übersetzungstabellen, welche für diesen Client erst aufgebaut werden. Eine bestehende Verbindung bricht daher ab. I.d.R. werden abgebrochene Verbindungen jedoch im Hintergrund wieder aufgebaut. Für den Anwendungsfall einer Lernenden, die sitzend etwas recherchiert, gibt es kein Problem.

Z.B. für netzbasierte AirDrop-Alternativen wird eine direkte Netzwerkverbindung zwischen zwei Geräten erwartet. Diese ist nicht gegeben, wenn die Clients in verschiedenen LANs landen. Das ist aber bei Sprach- und Sichtkontakt eher unwahrscheinlich.

Aufwand & Details

Dieser war diesmal etwas größer, da ich fünf Router bereitgestellt und konfiguriert habe. Sie mussten in die Netzwerkverteiler gebracht, installiert und schließlich getestet werden. Die Router benötigen nur eine Ethernetschnittstelle!

Als Betriebssysteme kamen für mich OpenWRT und OPNsense in Frage - da ich beide kenne. Wegen der einfacheren Installation habe ich mich mal wieder für OPNsense entschieden, da ich genug x86-Rechner auf Vorrat hatte.

Installationsschritte:

Spezialitäten: