Das Stichwort heisst VLAN Trunking (802.1q) zwischen Deinem Switch und dem Router, so dass beide VLANs über einen Ethernetlink transportiert werden.
[Dabei aufpassen, bei 802.1q zwischen verschiedenen Herstellern kann es zu 'Verwechselungen' kommen, einige 'taggen' (markieren) alle VLANs, einige taggen das default VLAN nicht. ]

Steht der Trunk, hast Du beide VLANs durchgängig in Deinem Netz, dann muss der Router jeweils ein separates Interface in jedes VLAN haben, um dort das Default-Gateway (üblicherweise die x.x.x.1) bereit zu stellen. Du brauchst dann zwei verschiedene IP Subnetze, z.B. 192.168.1.0/24 und 192.168.100.0/24.

Die Config Deines Routers (bzw. die Firewalleinstellungen zwischen den Interfaces) bestimmen dann, ob von einem ins andere VLAN geroutet werden kann, oder nur von den VLANs auf das WAN Interface.

Im Netzwerkjargon bezeichnet man einen solchen Router auch manchmal als 'Router-on-a-stick', da er mehrere logische (VLAN) Interfaces auf einem physikalischen Link hat.

Ok, da hab ich mal wieder was zu lesen.

Zum Verständnis, mein Switch ist unmanaged, allerdings kann ich den AP auch am Router direkt anschließen, jetzt muss ich aber erstmal lesen.

Ah, ich hatte 'TP-Link kann VLAN' falsch als den Switch interpretiert. Bei nochmaligem lesen ist es klar.
Wenn Du den zweiten Access Point direkt im Router einsteckst, brauchst Du auch kein Trunking (es sei denn der TP-Link soll über zwei verschiedene SSIDs beide, das Gast und das HeimLAN aufspannen).

Bei nur Gast-WLAN auf dem TP-Link brauchst Du kein VLAN auf dem TP-Link, denn er hat ja nur das eine Netz. Allerdings musst Du an Deinem Router eine Möglichkeit finden, den Port, auf dem der TP-Link WAP steckt als separates Interface zu konfigurieren, mit einer IP Adresse, etc.
Bei vielen Heimroutern ist es so, dass sie ein extra Interface (oftmals auch als ein spezieller Ethernet Port) als WAN Port haben, aber alle anderen Ethernet Ports (z.B. die restlichen vier) als kleiner eingebauter Switch verschaltet sind. Logisch ist dann da drauf ein Bridge-Interface, dass dann das Routing übernimmt.
Ist die Frage, ob/wie das bei dem Cisco aussieht...

Eine Möglichkeit evt. ein zusätzliches VLAN auf dem Router anzulegen (das brauchst Du ja wahrscheinlich nur lokal dort, also kein Trunking), dann einen der vier(?) Switchports speziell nur diesem VLAN zuordnen (die anderen bleiben alle im Default VLAN, damit Dein Heimnetz noch funktioniert), und dann musst Du rausfinden, ob Du ein neues logisches Interface (zum Beispiel ein weiteres Bridgeinterface, oft br1 oder so was) auch in das VLAN stecken kannst für das Routing.

[... das muss für einen, der nicht täglich mit Netzwerken zu tun hat schwierig klingen, aber wenn Du Fragen hast, stell sie einfach...]

Also der TP-Link AP stellt beide SSIDs bereit.

Am Accesspoint kann ich die Schnittstellen der verschiedenen SSIDs Vlans zuweisen.


Im Anhang ein paar Screenshots von der ganzen Geschichte.

Was ich jetzt gemacht hab, ein VLAN mit ID = 12 erstellt im Router, da das Inter VLAN Routing deaktiviert, nach meinem Verständnis müsste man ja jetzt vom einen VLAN nicht mehr ins andere kommen.

Und dann im AP die Schnittstelle vom gast-wlan auf das Vlan 12 gelegt.

Aber ich komme immernoch vom Gast-Wlan ins normale Netz

getrenntes Gast-Wlan einrichten (mit VLAN etc)

Hast du evtl
Nur das das vlan Routing vom
Guest ins local wlan unterbunden und somit Routest du noch ins LAN?

Welche Netze hast du konfiguriert, Poste mal deine IP Topologie

ich hatte mal einen Linksys/Cisco Router der das von Haus aus konnte,
war bloß eine Option für "Gast-WLan" zu aktivieren und dann das WLan nach belieben zu konfigurieren.

Die (aktuellen) FritzBox Modell können das auch von sich aus.

@JMA, so einfach gehts natürlich nicht.

Allein deswegen weil das WLAN von zwei APs aufgespannt wird, einer im Keller, einer im OG, beide senden mit der gleichen SSID auf unterschiedlichen Kanälen, der Client nimmt sich den mit dem stärksten Signal.


Was ich jetzt hin bekommen habe:
Im Cisco-Router/AP im Keller habe ich das Gast-WLAN dem VLAN #12 zugeordnet, und selbiges wird dann aufs WAN geroutet, funktioniert auch perfekt.

Was jetzt noch fehlt ist dass das Netzwerkinterface vom TP-Link AP auf das VLAN #12 geht, das bekomm ich aber irgendwie nicht hin.

Im Anhang mal die Einstellungen.
ath.0.1 ist das Interface von der Gast-SSID

Der Plan ist folgender:
ath.0.1 geht auf die bridge br12, von da aus vlan12 und von da aufs normale Netzwerk, aber iwie steig ich da nicht so ganz durch.

Vlr habt ihr den ultimativen Tipp.

Mit der aktuellen Config komm ich ganz normal ins komplette Lan, also auch der Teil der nicht erreichbar sein sollte.

Was soll man denn als IP-Adresse bei Bridge1 eintragen?

Ich hab ja auch keinen konkreten Vorschlag für deine Konstellation gemacht, sondern nur erwähnt wie es bei MIR möglich wäre.

Ich kenn das schon, hilft mir aber nicht wirklich weiter.

Also nach meinem Verständnis und dem Tipp (ganz am Ende der Seite) der wie folgt lautet:
müsste ich folgendes machen.

vlan1 den Tag 12 zuweisen.
Eine Bridge erstellen, die hat den Namen br12, dann der bridge br12 das vlan1.10 zuordnen, und ath0.1 (das ist bei mir die Schnittstelle der Gast-SSID) ebenfalls der br12 zuweisen.

Nur was muss ich bei der Bridge br12 für eine IP-Adresse angeben? 0.0.0.0 darf man nicht, das sei nicht erlaubt wird mit einer Meldung angezeigt und die 0 wird durch eine 1 ersetzt ...


Wenn ich das so mach, und mich in das Gast-WLAN einlogg bekomm ich aber keine Adresse vom DHCP mehr (das VLAN12 hat im Router einen eigenen DHCP-Server)

Dein Gast VLAN muss ein eigenes IP Subnetz haben. Oben hatte ich ein Beispiel, wenn Dein Hausnetz z.B. die 192.168.1.0/24 ist, nimmt Du einfach ein anderes, z.B. die 192.168.100.0/24.
Wenn ich es richtig verstanden habe, versuchst Du gerade, dass Routerinterface in diesem VLAN einzurichten, das wäre dann die 192.168.100.1, Subnetzmaske 255.255.255.0 (entspricht dem /24). Sollte das gehen, würde ich mal im Guest WLAN einen Rechner mit einer statischen Adresse versehen (z.B. die 192.168.100.55, einfach irgendeine aus dem Subnetz) und schauen, ob Du von dem die 192.168.100.1 (also den Router) anpingen kannst. Damit funktioniert schon mal die lokale Verbindung.
Was dann noch fehlt ist, dass Dein Router auch im Guest WLAN Adressen per DHCP für dieses zweite Subnetz verteilt.

Edit: Ah Moment, sehe gerade, die Seite die Du verlinkt hast ist ein DD-WRT, also Dein Access Point. Das was ich oben geschrieben habe, bezog sich auf den Router.
Sofern Dein Access Point noch seine Adresse im Heimnetz hat, und auch weiterhin über diese konfigurierbar bleibt (durch den .1q Trunk), braucht der Access Point keine zweite Adresse aus dem Gäste Subnetz. Er kann (und das ich ja auch richtig so) nur aus dem Heimnetz administriert werden).

Das was du oben geschrieben hast funktioniert zum Glück seit gestern Abend schon

Ich hab im Moment die zwei WLANs mit verschiedenen SSIDs am laufen, also das vom router als guest-router, und dass vom AP als guest-ap.

Wenn ich in das vom Router geh funktioniert alles, also ich bekomm eine IP aus einem eigenen Subnetz dafür und ich hab keinen Zugriff auf den Rest es Netzwerks, aber aufs Internet.

Worum es mir jetzt nurnoch geht ist, wie ich den Accesspoint in das VLAN bekomme.

Im Moment habe ich folgendes erreicht:
Wenn ich mich in das guest-ap dann kann ich nichts anpingen, also auch nicht die IP-des TP-Link AP im OG, und der Router im Keller ist auch nicht erreichbar, genausowenig wie heise.de.

Im Anhang die Einstellungen, aber irgendwas fehlt noch.

Fehlt jetzt die Verbindung von dem der bridge1 im TP-Link AP zum eigentlichen ethernet Port (eth0) hinzufügen?
Ich mein ich hab das schon mal probiert und anschließend ging garnichts mehr.


Nach meinem Verständnis fehlt irgendwie die Verbindung zum physiklaischen Netzwerk.