Unifi-Hardware hinter anderer Firewall

Es gibt 15 Antworten in diesem Thema, welches 2.529 mal aufgerufen wurde. Der letzte Beitrag () ist von DoPe.

    Hallo zusammen,


    ich hatte vorhin schonmal einen Thread aufgemacht, aber im Nachhinein zu kompliziert formuliert. Sorry dafür!


    Ich habe eine Watchguard Firebox M370, die als Gateway, DHCP- und DNS-Server fungiert.

    Auf dem eth habe ich 5 VLANS programmiert.

    1. Management, 10.10.10.0/24 (VLAN 10)
    2. Intranet, 10.10.20.0/24 (VLAN 20)
    3. Security, 10.10.30.0/24 (VLAN 30)
    4. Guest, 10.10.50.0/24 (VLAN 50)
    5. Private, 10.10.90.0/24 (VLAN 90)

    Am eth der Firewall hängt ein USW-Pro-Aggregation und daran weitere Unifi-Switche und AccessPoints.

    Ich hätte gerne VLAN 10 als Management-VLAN für alle Unifi-Geräte. Derzeit scheint das aber im Controller das „Default“-Netzwerk zu sein. Kann ich das irgendwo anpassen?

    Das VLAN 10 habe ich auf dem eth der Firewall derzeit untagged laufen. Ist das richtig? Oder sollte ich das tendenziell genauso wie die anderen als tagged Traffic ausgeben? Weil wenn meine Logik im Kopf richtig mitspielt, wird mein VLAN 10 untagged aus dem Firewall-eth doch mit Eingang in den ersten Switch zum Unifi-eigenen "Default"-Netzwerk, oder?


    Über Unterstützung und hilfreiche Tipps von Euch würde ich mich sehr freuen!


    Liebe Grüße,

    Jan

  • Zum Hilfreichsten Beitrag springen

    Moin,


    wenn du das Tagged mitgibst, sollte der Controller eigentlich wenn DHCP an ist, als IP Adresse eine Adresse aus dem VLAN 10 bekommen. Die anderen VLAN's kannst du untagged mitgeben. Eventuell kann man im Controller aber selbst das tagged vlan angeben, das weiß ich jetzt nicht.

    sugi

    Ja Du kannst bei Switchen und APs das Management Netzwerk ändern. Dazu muss aber eine Verbindung des Gerätes zum Controller vorhanden sein. Dann kannst Du das Gerät bei den Unifi Devices auswählen. Reiter Settings. Dort dann "Network Override" anhaken und das neue VLAN fürs Management auswählen. Voraussetzung natürlich das Anlegen der VLANs mit gleicher ID im Unifi Controller.


    Kannst Du ja ggf. an einem Port machen und dann umstecken.

    Zitat von sebcodes

    Moin,


    wenn du das Tagged mitgibst, sollte der Controller eigentlich wenn DHCP an ist, als IP Adresse eine Adresse aus dem VLAN 10 bekommen. Die anderen VLAN's kannst du untagged mitgeben. Eventuell kann man im Controller aber selbst das tagged vlan angeben, das weiß ich jetzt nicht.

    Bist Du gerade durcheinander gekommen mit tagged und untagged?!?

    Zitat von DoPe

    Bist Du gerade durcheinander gekommen mit tagged und untagged?!?

    Ohje, jap bin ich, meinte damit eher native vlan 10 und alle anderen tagged.

    Hey sebcodes,


    Danke für die Rückmeldung.


    Derzeit ist es umgekehrt. VLAN 10 untagged an der Firewall, die anderen alle tagged - muss ich das tauschen?

    Alle Geräte bekommen passend ihre IP vom DHCP-Server in der Watchguard.

    Allerdings muss ich bei den Uplink-Ports der Switche immer „Default“ als Native VLAN wählen - mit dem VLAN 10 als Native VLAN klappt es nicht.


    Ich hatte noch die Möglichkeit gefunden, in den Switch-Settings die Funktion „Network override“. Kann ich damit das Management VLAN neu setzen.

    Und müsste ich dann alle 5 VLANS tagged von der Firewall kommen lassen?


    Liebe Grüße und schonmal Danke Dir!

    Da hab‘ ich die Antworten vorher noch nicht gesehen. Dann war ich ja doch auf dem richtigen Dampfer!


    DoPe

    Also so wie ich es grade beschrieben habe bevor ich eure Antworten gesehen habe? Muss ich dann das „neue“ Management-VLAN auch tagged kommen lassen?


    Und muss ich dann bei den Switch Up- und Downlinks das VLAN 10 als Native VLAN angeben? Hatte irgendwo online auch gelesen, dass man das teilweise auf „None“ stellen soll..


    Danke Euch vielmals schonmal!!!

    Du kannst ein VLAN nicht als native einstellen (was untagged ist) und gleichzeitig tagged mit dazu geben.


    Du hast 2 Optionen.


    Entweder packst Du das VLAN10 als natives Netz also untagged auf die Ports zu den Unifis. Die gehen dann davon aus, dass es das Default netz ist (funktioniert dann zwar aber die VLAN IDs sind nicht so richtig sauber)


    Oder Du packst mit dem Override das VLAN 10 getaggt auf den Port. Wenn Du kein anderes VLAN untagged, also nativ mit rauflegen willst, kannst Du none auswählen.

    Also Deine erste Option habe ich mMn jetzt grade und bin damit aus den von Dir angesprochenen Gründen nicht so richtig happy.


    Ich hätte gerne die 2. Option. Darf ich das nochmal einmal zusammenfassen und Du sagst mir, ob ich es richtig verstanden habe:


    Firewall WatchGuard, eth2

    - Alle 5 VLANs tagged, keins untagged

    ->

    USW-Pro-Aggregation (vorher Network override auf VLAN10), Port 32 (Uplink)

    - Alle 5 VLANs tagged, keins untagged


    USW-Pro-Aggregation, Port 1 (Downlink)

    - Alle 5 VLANs tagged, keins untagged

    ->

    USW-Enterprise-24-PoE (vorher Network override auf VLAN10), Port 25 (Uplink)

    - Alle 5 VLANs tagged, keins untagged


    An den Enterprise-24-PoE würde ich dann an Port 1 den CloudKey anschließen. Der kriegt dann VLAN10 untagged und alle anderen tagged.


    Passt mein Gedanke so oder hast Du noch eine Änderung?


    Danke Dir soo sehr!


    Liebe Grüße!!

    Hey DoPe ,


    das hat soweit wunderbar geklappt. Die angeschlossenen Switche laufen.


    Mein Problem jetzt ist nur, dass wenn ich einen neuen Switch adopten will, ich garnicht so weit komme in der Konfiguration, das Management VLAN per „Network override“ zu ändern.

    Der Switch zieht sich vom DHCP-Server seine korrekte IP und wechselt dann sofort in den Status „Connection interrupted“ und leuchtet im Controller orange. Die Einstellungen zeigt er mir nicht mehr an.

    Der angeschlossene Port war so konfiguriert:

    Native VLAN: VLAN 10 (Management), Tagged VLANs: alle


    Nach der Adoption wollte ich das Native VLAN dann auf „None“ setzen.


    Ich habe grade schonmal gegoogelt, ob ich das Management-VLAN vielleicht per CLI ändern kann. Das scheint zu gehen, aber im Terminal zeigt er mir nach dem Befehl „Network mgmt_vlan 10“ an:

    -sh: Network: not found


    Wie adopte ich jetzt also korrekt neue Geräte in mein Netzwerk? 😄


    Freue mich auf eine (hoffentlich letzte) Hilfestellung von Dir oder allen anderen!


    Danke für die bis hierhin so gute Hilfe!!


    Liebe Grüße

    • Hilfreich

    Das Adopten und umkonfigurieren ist etwas kompliziert weil es so ein Henne - Ei Problem ist.


    Du müsstest Dir wohl ein bzw. zwei Ports fürs Adopten basteln und dann mal die Reihenfolge der Schritte testen.

    Management VLAN10 als nativ ist soweit korrekt und sollte dann den Switch als zu Adopten anzeigen mit einer IP aus dem Management VLAN. Der sollte sich dann auch Adopten lassen und grün wieder auftauchen. Der neue Switch sollte da jetzt alle Ports in Default Einstellung haben. Für Unifi ist das Default Management VLAN natürlich die 1, da das aber nativ also untagged verbunden ist, sollte das nicht stören.


    Jetzt müsstest Du das Override aktivieren und VLAN10 im Unifi aktivieren. Das sollte zur Unterbrechung der Verbindung führen. Du müsstest jetzt den Port an dem der neue Switch (am bereits vorhandenen alten Switch) dran steckt umkonfigurieren. Du kannst den natürlich auch auf einen vorbereiteten Port stecken. Da muss dann das VLAN10 unbedingt auch getaggt drauf liegen. Du könntest also einen Port vorbereiten mit nativ none und alle anderen VLANS erlauben also getaggt. Dann sollte das funktionieren. Ggf. musst DU den neuen Switch noch Neustarten falls er nicht online kommt.


    Aus diesem Grund ist es eigentlich einfacher wenn das Management VLAN nativ da ist ohne Override. Theoretisch geht auch als natives Netz zum Adopten irgendein Netz, das muss nur IPs verteilen und der Switch muss eine Verbindung zum Controller aufbauen können. Adopten geht dann aber nur über L3 Adoption also set-inform oder aber DHCP Option für den Unifi oder via DNS



    Hier hab ich das zum Beispiel auch in Verwendung. Da gibts Telefone die nix tagged können, daher ist das TKNetz da nativ und die Accesspoints sind auf Override "Unifi-Mgmt" auf das getaggte Management VLAN. Darunter wäre Allow All ok, da sind aber ca. 30 VLANs vor Ort und somit hab ich nur die beiden getaggten VLANs zusätzlich drauf, die jeweils für eine SSID des Accesspoints zuständig sind. Der ganze Zauber nur weil die Gäste gerne Kabel abziehen und irgendwo wieder reinstecken. Früher ging dann Telefon (war noch UP0) und WLAN nicht mehr ... jetzt egal was wo drin steckt.

    sugi Ich hab nochmal wegen dem Adopten nachgedacht.


    Ich hatte das Unifi default Management LAN auf einem Port als untagged und alle anderen VLANs dazu als tagged. Für das "neue Management VLAN" hatte ich ein zusätzliches VLAN angelegt. Dann normal adopted und anschliessend override. Wenn der AP dann konfiguriert wieder da ist, dann interessiert das untagged default nicht mehr und man kann den AP auf einen Port mit nativ none packen. Wichtig ist nur das alle VlLANs getaggt drauf sind.


    Das Ganze an ner UDM mit 100% Unifi Umgebung. Könnte mit extra Controller usw. etwas problematischer werden.

    Hey DoPe ,


    Danke für Deine ganze Hilfe! Wir haben das Netzwerk in der letzten Nacht umgestellt und es funktioniert alles hervorragend.


    Zitat von DoPe

    Jetzt müsstest Du das Override aktivieren und VLAN10 im Unifi aktivieren. Das sollte zur Unterbrechung der Verbindung führen. Du müsstest jetzt den Port an dem der neue Switch (am bereits vorhandenen alten Switch) dran steckt umkonfigurieren. Du kannst den natürlich auch auf einen vorbereiteten Port stecken. Da muss dann das VLAN10 unbedingt auch getaggt drauf liegen. Du könntest also einen Port vorbereiten mit nativ none und alle anderen VLANS erlauben also getaggt. Dann sollte das funktionieren. Ggf. musst DU den neuen Switch noch Neustarten falls er nicht online kommt.

    Ich habe es mit dem Adopten genau so gemacht - habe mir ein Port-Profile zum Adepten angelegt mit dem neuen Management-VLAN untagged, damit die Geräte vom DHCP die richtige IP bekommen. Dann adopted, Network override und dann das Port-Profile auf Native "none" und Management tagged gesetzt. Das war zwar bei 20 Switchen und 40 AP´s eine menge Arbeit, aber es funktioniert!


    Ich kann mich nicht genug bedanken und finde es klasse, dass es Leute wie Dich hier im Forum gibt!!


    Liebe Grüße,

    Jan

    Hey DoPe ,


    falls Du noch mitliest habe ich doch noch eine kurze Frage zur Verkabelung. Ich würde gerne einen Enterprise-24-PoE, der im Rack direkt unter dem Pro-Aggregation hängt, redundant mit DAC-Kabeln anschließen.

    Ich dachte ehrlich gesagt, ich müsste das zweite DAC-Kabel einfach nur einstecken und die STP-Erkennung erkennt es automatisch.

    Die Verbindung wird aber im Controller nur mit einem Ausrufezeichen markiert. Muss ich noch irgendwo einstellen, dass das eine redundante Verbindung ist? Muss ich die Ports auf beiden Seiten aggregaten?


    So long, Danke!

    Jan

    sugi

    Du musst an beiden Switchen jeweils 2 hintereinanderliegende Ports nutzen. Die VLANs auf allen 4 ports gleich konfigurieren.


    Dann nur eine Verbindung stecken auf dem jeweils ersten port. Dann bei beiden Geräten im Portmanager diesen ersten Port auswählen und von Switching auf Aggregation umstellen. Dann kannst du auswählen welche Ports dafür verwendet werden, da gehen immer nur die folgenden. Wenn das bei beiden eingestellt ist, kannst Du die 2 Verbindung patchen. Sollte dann als 20Gbit angezeigt werden in der Topologie.