Unifi AP im VLAN - Clients bekommen keine IP

Es gibt 10 Antworten in diesem Thema, welches 403 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

  • Hallo zusammen,


    habe bei einem Kunden folgendes Problem.


    Fortigate 60F als Gateway dort sind folgende VLANs konfiguriert:

    VLAN 1 = Intern 192.168.1.0/24

    VLAN 5 = Wohnung 1 192.168.5.0/24

    VLAN 6 = Wohnung 2 192.168.6.0/24


    Aufgrund der weitläufigen Gebäudestuktur wird das ganze über drei Switche und LWL-Strecken geleitet (2x Unifi, 1x TP-Link)


    Am USW-24 ist ein CloudKey2+(VLAN1) als Controller installiert.

    Am letzten Switch dem USW-24 POE sind zwei Unifi U6+ AP angeschlossen.


    Port 1 = Native VLAN 5 alle anderen werden geblockt. Der AP holt sich per DHCP von der Fortigate eine IP-Adresse aus dem 192.168.5.xx Bereich. Inform Adresse wurde per SSH auf die des CloudKeys gesetzt und wird auch dort verwaltet.


    Port 2 = wie Port 1 nur VLAN 6


    PROBLEM: Clients die sich auf dem AP's anmelden bekommen per DHCP keine IP-Adresse zugewiesen. Wenn ich meinen Laptop anstatt des AP's an Port 1 hänge bekommt er eine IP-Adresse zugewiesen.


    Wenn ich z.B. an Port 1 Native VLAN1 und Tagged VLAN5 einstelle dann funktioniert es einwandfrei.


    Würde das VLAN1 aber ungerne über Port 1 leiten da die Bewohner der Wohnung sich dort mit einem Switch zwischenhängen könnten und dann im Internen LAN "surfen"


    Für einen Tipp was ich falsch mache wäre ich sehr dankbar.

    Anbei noch eine kleine Skizze…


    Gruß David

  • Was fürn internes LAN? Das VLAN 1 ist eigentlich als Management LAN vorgesehen.

    Also da die Switche und APs rein. Mach feste IPs. DHCP aus. Und am besten das Gateway und Internet dicht für alle nicht von Dir verwendeten IPs.


    Das sollte den Spaß am rumgestöpsel vermasseln. Alternativ die Verkabelung entsprechend physisch sichern.

  • Da es eh "nur" um 2 Wohnungen mit deren Vlan/Wlan geht. Wieso nicht dem Wlan direkt das Vlan zuweisen? sobald er sich anmeldet im Wlan, ist er dann im zugewiesenen Vlan drin

  • Bis auf das das default VLAN 1 will AP alle anderen Netze als Tagged sehen und Bridged in das Netzwerk

    das auf den das WLAN konfiguriert ist.


    In den AP einstellungen ggf. das MGNT VLAN umstellen dann braucht es auch kein VLAN1 native auf dem Port.

    Nennt sich in der aktuellen Version "Network Override".




    +1 Für technische Zeichnung statt Text of wall

    -1 für Private Flag zusammen mit "beim Kunden" das beißt sich :smiling_face:

  • Danke für eure Hilfe:


    Das mit dem „Network Override“ funktioniert leider auch nicht.

    Im VLAN1 sind aus alten Zeiten noch weitere Clients deswegen ist das mit dem DHCP aus und blockieren nicht so einfach möglich.

    Werde mir wohl die Mühe machen müssen das Management-VLAN (1) und die anderen Clients im VLAN 1 in zwei getrennte VLANs zu packen und dann das Management VLAN für alle nicht bekannten Geräte zu blocken.


    Danke

  • Werde mir wohl die Mühe machen müssen das Management-VLAN (1) und die anderen Clients im VLAN 1 in zwei getrennte VLANs zu packen und dann das Management VLAN für alle nicht bekannten Geräte zu blocken

    Wenn du es sauber machen willst, ist das der beste Weg, nur die Netzwerkgeräte in dem Management-VLAN und alles andere raus in ein eigenen VLAN.


    Ich baue gerade mit einem Bekannten ein Netz in seinem Haus für 10 Wohnung, da haben wir das selbe Thema.
    Jede Wohnung hat eigenes VLAN und darauf auch ein WLAN und das Managementnetz für die AP's und Switch ist geblockt gegen fremde MAC-Adressen.
    Allerdings hilft das auch nicht gegen Leute, die es drauf anlegen, die MAC-Adressen kann man faken. Wir haben dem Management-Netz daher noch den Internetzugriff massiv eingeschränkt.

  • Managementnetz für die AP's und Switch ist geblockt gegen fremde MAC-Adressen.

    Trägst dann jedes neues Gerät nach, oder wie machst das?


    Hab hier mal gelesen, dass wenn man einem Port die MAC des AP´s zuweist, dann kann sich mit dem AP nichts mehr verbinden (äusserst bescheiden umgesetzt)


    Überleg auch grad was ich mach, da ein AP im Garten hängt. Zwar versteckt, aber man weiß ja nie.

    Zwei Setups mit UDMP und UDR

  • Ja wird auch wohl das beste sein.


    Da fällt mir noch was ein: Kann man nicht eine Benachrichtigung (E-Mail, Push etc.) verschicken falls ein AP getrennt wurde?

    Würde man in meinem Fall ja zumindest mitbekommen das jemand daran rumgefummelt hat.

  • Bei sowas kann man kreativ sein.


    Sowas in der Art haben wir auch schon gemacht. Apartments ... je ein VLAN mit Netzwerkports und WLAN.

    Da hatten wir vorher immer das Problem dass die AP und Telefon abgezogen haben und dann alles falsch wieder zusammen gesteckt.


    Ich habe dort für die Unifi Geräte ein getaggtes VLAN gemacht (also auch die Override Funktion genutzt). Auf sämtlichen LAN Buchsen das VLAN für die IP Telefone untaged nativ, das Appartment VLAN und das getaggte Unifi VLAN gepackt. Jetzt können Sie umstecken wie sie wollen.


    Die Netze sind untereinander geblockt. Die TK-Anlage ist in einem anderen VLAN und nur genau dorthin darf das Telefonnetz kommunizieren. Alles mit statischen IPs, ist ja sehr übersichtlich ... kein DHCP an und Gateway ist dicht.

  • Trägst dann jedes neues Gerät nach, oder wie machst das?

    Nein, da sind ja nur die Switch und Access-Points drin und die Anzahl ist statisch, da wird sich nur was ändern, wenn einer defekt ist und ausgetauscht werden muss.
    Betrifft ja auch nur das Management-Netz.

    Muss dazu sagen, das wir kein Unifi-System nutzen, sondern TP-Link OMADA + ner separaten Firewall und die Firewall den MAC-Filter in der jeweiligen VLAN-Konfig hat.

    Die Konfig ist am Ende so:

    - Firewall hängt im Keller, die verwaltet pro Wohnung ein VLAN mit /24 IP-Netz

    - dahinter hängt ein "Core-Switch"

    - von dort geht in jede Wohnung ein LWL-Kabel, dort ist das Management-LAN + das jeweilige VLAN drauf

    - in der Wohnung hängt dann der Switch worauf u.a. auch die AP's angeschlossen sind per PoE.

    Selbst wenn sich der Mieter vor dem Switch auf die LWL-Leitung hängt, kann er zwar das Management-LAN sehen, aber kommt nirgendwo hin, weil er keine IP-Adresse bekommt und auch kein Internetzugriff hat ( kein DHCP aktive darin ). Er kann sich nur in seinem VLAN austoben.

    Wir wollten die AP's erst zentral an einem Switch im Keller hängen, haben das aber aufgrund des Verkabelungsaufwandes verworfen. Außerdem haben wir auf Gäste-WLAN verzichtet.

  • Hab hier mal gelesen, dass wenn man einem Port die MAC des AP´s zuweist, dann kann sich mit dem AP nichts mehr verbinden (äusserst bescheiden umgesetzt)

    Technischer Standard, WLAN ist nicht anderes als Ethernet over AIR. Ein APO nichts anders

    als eine L2 Bridge zwischen Kabel und Luft. Ne MAC Adresse wird also 1 zu 1 durchgereicht.


    Klar HPE, Cisco und consorten haben sowas wie einen Surogate Agenten für die

    AP's der nach der 802.1x Anmeldung von AP den Port ganz aufmachen kann,

    das lassen die sich aber auch fürstlich bezahlen. Die machen dann aber auch echtes

    802.1x und kein MAB (MAC Authentication Bypass)


    Denn Authentifizierung mit MAC Adresse ist eigentlich nur ein Fallback

    System für Geräte die 802.1x nicht unterstützen. die werden dann üblicherweise

    aber erst recht in ein anders VLAN gesperrt.