Ziel: WLAN Gastnetz separiert:

Netzwerk-Aufbau - siehe Bild.

Erster Test:

Alle hosts sind in gleichen Netz (192.168.1.x) Alle im VLAN 1 - alles Ok,
Interne WLAN-Clients erhalten eine IP und auth. sich mit dem Radius Server,
auch die WLAN-Gäste erhalten eine IP und auth. sich über den AP per WPA ...

Trennung Gast-Wlan:

am AP bekommt das Gast-WLAN die VLAN ID 2,
am Switch VLAN2 (Switching - VLAN) erstellt und Ports zugeordnet,
Die Wlan-Clients im Gastnetz bekommen so aber keine IP mehr,
da ja die LAN-Verbindung zum DHCP/DNS Server untagged ist.
Das soll auch so bleiben, der Server soll serven und nicht routen.

Im AP-Controller den DHCP-Server  aktiviert.
Erster Fehler: "IP network ist used for management"
Ok - für VLAN 2 neuen DHCP-Bereich im Netz 192.168.2.0 erstellt.

(Default Gateway: 192.168.2.254 , DNS 8.8.8.8)

Im GS510 Switch: Routing - VLAN aktiviert:
neues VLAN: ID 2
IP-Adress: 192.168.2.254/24

Nächster Fehler:
"Error: The specific Static Route can't be in the same subnet as the service/network port" ...

Den Switch von 192.168.1.17 in ein neues Netzwerk gelegt: 192.168.0.20/24.
Wiederholung Routing VLAN: ID 2 ...
IP-Adress: 192.168.2.0/24
Und eine DefaultRoute:
0.0.0.0  0.0.0.0  192.168.1.10  (Das Internet-Gateway)

Meldung: "the route will not take effect until a routing interface belonging to the same subnet as the next hop is createt and activated".

Neues VLAN für Internet angelegt - Routing VLAN:
VLAN ID: 100
192.168.1.254/24
Port 7 ist der Uplink zum Gatway mit PVID 100.
Alle ports auf diesem Switch sind erstmal Member von VLAN 100.

Auf dem Internet-Gateway 192.168.1.10:
Eine statische Route zum GS510 Switch angelegt:
192.168.2.0 zu 192.168.0.20.

Erster Test mit einem WLAN Client:
Die internen User können sich anmelden haben internet ok.

WLAN Gäste:
Erhalten ip aus dem 192.168.2.x Netz vom AP-Controller DHCP-Server,
aber keine Verbindung ins Internet mgl. !
Vom Client aus kann ich sein Gateway: 192.168.2.254 anpingen,
nicht aber das externe Gateway 192.168.1.10, oder irgendwas anderes.
Wo ist der Fehler ich sehe ihn nicht?

Routing siehe bilder

hat jemand einen Tip ?

Wieso willst Du die Switches zwischen den VLANs routen lassen? So könnte das Gast-WLAN ja wieder auf das interne LAN zugreifen und Du hättest so gut wie nichts gewonnen...

Stattdessen solltest Du auch auf dem Draytek-Router ein entsprechendes VLAN 2 mit IP-Adresse 192.168.2.10 anlegen, am besten sollte der auch den DHCP-Server für das VLAN beinhalten, der dann die 192.168.2.10 als Gateway ausgibt. Dann im Draytek-Router einstellen, dass das VLAN 2 nur auf das Internet zugreifen darf und fertig ist die Laube.

Hallo Eye-Q, danke für Deinen Beitrag,

ja genau so habe ich jetzt gelöst.
Lt. Netgear Support kann der Switch gar kein Inter-VLAN-Routing. (Obwohl es das Menü dazu gibt).