Unifi-Hardware hinter anderer Firewall

Hallo zusammen,

ich hatte vorhin schonmal einen Thread aufgemacht, aber im Nachhinein zu kompliziert formuliert. Sorry dafür!

Ich habe eine Watchguard Firebox M370, die als Gateway, DHCP- und DNS-Server fungiert.

Auf dem eth habe ich 5 VLANS programmiert.

1. Management, 10.10.10.0/24 (VLAN 10)
2. Intranet, 10.10.20.0/24 (VLAN 20)
3. Security, 10.10.30.0/24 (VLAN 30)
4. Guest, 10.10.50.0/24 (VLAN 50)
5. Private, 10.10.90.0/24 (VLAN 90)

Am eth der Firewall hängt ein USW-Pro-Aggregation und daran weitere Unifi-Switche und AccessPoints.

Ich hätte gerne VLAN 10 als Management-VLAN für alle Unifi-Geräte. Derzeit scheint das aber im Controller das „Default“-Netzwerk zu sein. Kann ich das irgendwo anpassen?

Das VLAN 10 habe ich auf dem eth der Firewall derzeit untagged laufen. Ist das richtig? Oder sollte ich das tendenziell genauso wie die anderen als tagged Traffic ausgeben? Weil wenn meine Logik im Kopf richtig mitspielt, wird mein VLAN 10 untagged aus dem Firewall-eth doch mit Eingang in den ersten Switch zum Unifi-eigenen "Default"-Netzwerk, oder?

Über Unterstützung und hilfreiche Tipps von Euch würde ich mich sehr freuen!

Liebe Grüße,

Jan

Hey sebcodes,

Danke für die Rückmeldung.

Derzeit ist es umgekehrt. VLAN 10 untagged an der Firewall, die anderen alle tagged - muss ich das tauschen?

Alle Geräte bekommen passend ihre IP vom DHCP-Server in der Watchguard.

Allerdings muss ich bei den Uplink-Ports der Switche immer „Default“ als Native VLAN wählen - mit dem VLAN 10 als Native VLAN klappt es nicht.

Ich hatte noch die Möglichkeit gefunden, in den Switch-Settings die Funktion „Network override“. Kann ich damit das Management VLAN neu setzen.

Und müsste ich dann alle 5 VLANS tagged von der Firewall kommen lassen?

Liebe Grüße und schonmal Danke Dir!

Da hab‘ ich die Antworten vorher noch nicht gesehen. Dann war ich ja doch auf dem richtigen Dampfer!

DoPe

Also so wie ich es grade beschrieben habe bevor ich eure Antworten gesehen habe? Muss ich dann das „neue“ Management-VLAN auch tagged kommen lassen?

Und muss ich dann bei den Switch Up- und Downlinks das VLAN 10 als Native VLAN angeben? Hatte irgendwo online auch gelesen, dass man das teilweise auf „None“ stellen soll..

Danke Euch vielmals schonmal!!!

Also Deine erste Option habe ich mMn jetzt grade und bin damit aus den von Dir angesprochenen Gründen nicht so richtig happy.

Ich hätte gerne die 2. Option. Darf ich das nochmal einmal zusammenfassen und Du sagst mir, ob ich es richtig verstanden habe:

Firewall WatchGuard, eth2

- Alle 5 VLANs tagged, keins untagged

->

USW-Pro-Aggregation (vorher Network override auf VLAN10), Port 32 (Uplink)

- Alle 5 VLANs tagged, keins untagged

USW-Pro-Aggregation, Port 1 (Downlink)

- Alle 5 VLANs tagged, keins untagged

->

USW-Enterprise-24-PoE (vorher Network override auf VLAN10), Port 25 (Uplink)

- Alle 5 VLANs tagged, keins untagged

An den Enterprise-24-PoE würde ich dann an Port 1 den CloudKey anschließen. Der kriegt dann VLAN10 untagged und alle anderen tagged.

Passt mein Gedanke so oder hast Du noch eine Änderung?

Danke Dir soo sehr!

Liebe Grüße!!

Alles klar! Ich werde das nachher so ausprobieren und berichten!

Danke Dir vielmals!

Hey DoPe ,

das hat soweit wunderbar geklappt. Die angeschlossenen Switche laufen.

Mein Problem jetzt ist nur, dass wenn ich einen neuen Switch adopten will, ich garnicht so weit komme in der Konfiguration, das Management VLAN per „Network override“ zu ändern.

Der Switch zieht sich vom DHCP-Server seine korrekte IP und wechselt dann sofort in den Status „Connection interrupted“ und leuchtet im Controller orange. Die Einstellungen zeigt er mir nicht mehr an.

Der angeschlossene Port war so konfiguriert:

Native VLAN: VLAN 10 (Management), Tagged VLANs: alle

Nach der Adoption wollte ich das Native VLAN dann auf „None“ setzen.

Ich habe grade schonmal gegoogelt, ob ich das Management-VLAN vielleicht per CLI ändern kann. Das scheint zu gehen, aber im Terminal zeigt er mir nach dem Befehl „Network mgmt_vlan 10“ an:

-sh: Network: not found

Wie adopte ich jetzt also korrekt neue Geräte in mein Netzwerk? 😄

Freue mich auf eine (hoffentlich letzte) Hilfestellung von Dir oder allen anderen!

Danke für die bis hierhin so gute Hilfe!!

Liebe Grüße

Hey DoPe ,

Danke für Deine ganze Hilfe! Wir haben das Netzwerk in der letzten Nacht umgestellt und es funktioniert alles hervorragend.

Zitat von DoPe

Jetzt müsstest Du das Override aktivieren und VLAN10 im Unifi aktivieren. Das sollte zur Unterbrechung der Verbindung führen. Du müsstest jetzt den Port an dem der neue Switch (am bereits vorhandenen alten Switch) dran steckt umkonfigurieren. Du kannst den natürlich auch auf einen vorbereiteten Port stecken. Da muss dann das VLAN10 unbedingt auch getaggt drauf liegen. Du könntest also einen Port vorbereiten mit nativ none und alle anderen VLANS erlauben also getaggt. Dann sollte das funktionieren. Ggf. musst DU den neuen Switch noch Neustarten falls er nicht online kommt.

Ich habe es mit dem Adopten genau so gemacht - habe mir ein Port-Profile zum Adepten angelegt mit dem neuen Management-VLAN untagged, damit die Geräte vom DHCP die richtige IP bekommen. Dann adopted, Network override und dann das Port-Profile auf Native "none" und Management tagged gesetzt. Das war zwar bei 20 Switchen und 40 AP´s eine menge Arbeit, aber es funktioniert!

Ich kann mich nicht genug bedanken und finde es klasse, dass es Leute wie Dich hier im Forum gibt!!

Liebe Grüße,

Jan

Hey DoPe ,

falls Du noch mitliest habe ich doch noch eine kurze Frage zur Verkabelung. Ich würde gerne einen Enterprise-24-PoE, der im Rack direkt unter dem Pro-Aggregation hängt, redundant mit DAC-Kabeln anschließen.

Ich dachte ehrlich gesagt, ich müsste das zweite DAC-Kabel einfach nur einstecken und die STP-Erkennung erkennt es automatisch.

Die Verbindung wird aber im Controller nur mit einem Ausrufezeichen markiert. Muss ich noch irgendwo einstellen, dass das eine redundante Verbindung ist? Muss ich die Ports auf beiden Seiten aggregaten?

So long, Danke!

Jan