suche Hilfe bzw Support - bei Fragen/konfiguration zu AP mit getrennten SID und Vlans - bzw Konfiguration Unifi controller/ Aruba Switch 1930 Layer2+

Galaxie024

Kann ich nur relativ allgemein beantworten, da ich die Oberflächen nicht alle kenne. Es handelt sich hier aber einfach mal um 802.1Q VLAN. Notfalls damit mal vertraut machen. Das ist keine Zauberei und auch nichts brandneues, dementsprechend gibts im Netz genug Infomaterial dazu.

zu 1. Du benötigst im Switch 2 (V)LANs, einmal das was schon da ist und wo das Management drauf läuft (vermutlich auch ID 1) dann ein zweites mit ID20 anlegen.

Uplink Port (Router-Switch) sowie (Switch-AP) diese Ports müssen untagged das VLAN 1 und tagged das VLAN 20 konfiguriert bekommen.

Ein Port an dem ein PC o.ä. angeschlossen werden soll, wird untagged VLAN 1 für Büro oder VLAN20 für Gast zugewiesen tagged nichts dazu.

Mehr kann ich dir dazu nicht sagen, da ich die Oberfläche nicht kenne.

zu 2. Am Controller hast Du von Haus aus das Default Netz mit der VLAN ID 1 -> entspricht dann dem was an Port1 für das Büro Netz anliegt... also ungetagter Traffic. Hier sollten sich dann auch die Accesspoints tummeln.

Zusätzlich legst Du im Controller noch ein Third Patry Gateway VLAN an mit der VLAN ID 20, also dem Gastnetz entsprechend. Jetzt musst Du dann nur noch eine WLAN SSID für das Default Netz also das Büro anlegen. Das gleiche dann nochmal für das Gastnetz also VLAN ID 20.

Mehr ist für die Funktionalität auf Unifi Seite nicht zu tun. bestenfalls noch WLAN Feintuning.

zu 3. Die Netze sind bereits durch das VLAN an sich getrennt. Es muss nur in der Firewall dafür gesorgt werden, dass Zugriffe zwischen den Netzen nur so erlaubt sind, wie es gewünscht ist, bei Firmen und Gast LAN also in der Regel überhaupt kein Zugriff. Das ist Sache des Fremdgateways.

Klar man kann auch an der Firewall 2 Ports nutzen und dann am Switch ebenfalls 2 Ports zum einspeisen der beiden Netze. Das hat aber eigentlich allerhöchstens den Vorteil, dass die Bandbreite eines Ports nicht für beide Netze geshared wird. Da wohl keinerlei VLAN Routing stattfindet wird die Bandbreite allerdings auch nur Richtung Internet genutzt und sollte normalerweise reichen. Nachteil es werden mehr Ports benötigt.

Und wo hängt es? Wo kommst du nicht weiter? Die Beschreibung von oben passt 1zu1 zu dem jetzt.

Wenn an der Firewall nativ das VLAN 1 rauskommt, also das Büro Netz und als Tagged Netz das Gast Netz dann musst du das entsprechend am Port des Switches so einstellen - nativ VLAN1 also Büronetz und tagged VLAN 20 also das Gastnetz. Beim AP ebenso. Nativ muss das Büronetz sein weil dort die Verwaltung des APs läuft und tagged bekommt er zusätzlich das VLAN 20 wenn er ein Gast WLAN erstellen soll. Am AP Selbst brauchst du nichts weiter machen. Nur am Switch.

Der Aruba Switch muss eben so - wie auf der Firewall - auf dem Port wo die Firewall angeschlossen ist das VLAN 20 Tagged haben. Und entsprechend auch der Port wo der Unifi Switch dran ist.

Untagged = das Netzwerk kommt dort blanko raus. Gerät einstecken - du bist in dem Netzwerk das dort als Untagged eingestellt ist.

Tagged = das Netzwerk kommt zusätzlich aus dem Port raus/rein. Das was eingesteckt ist muss aber ebenso die Konfig "tagged IDxx" haben damit das VLAN da auch weiter kommt. Anonsten ist es "unsichtbar"

Du steuerst damit also einfach nur wie wo welches Netzwerk langgeht und wie gekennzeichnet. Wenn du bspw. VLAN20 untagged auf einem Port einstellst und steckst ein PC rein ist er direkt im Gast Netz, ist VLAN1 untagged und VLAN20 tagged eingstellt und du steckst den selben PC wieder ein ist er im Büro Netz und sieht vom Gast Netz garnichts. Erst dann wenn man die Netzwerkkarte vom PC einstellt und der sagt mach VLAN 20 tagged sieht er das Gastnetz.

Standardgemäß ist jedes Gerät erstmal VLAN1 untagged - egal ob Switch, Firewall, AP, PC.

Summa Sumarum:

Büronetz = VLAN1

Gast= VLAN20

Firewall Port1 - Unttaged VLAN 1 & tagged VLAN 20
Aruba Switch - Port in der Firewall steckt - untagged VLAN 1, tagged VLAN 20

Aruba Switch - Port in dem der Unifi Steckt - unttaged VLAN 1, tagged VLAN 20

Unifi Switch - Port der zum Aruba geht - untagged VLAN 1, tagged VLAN 20

Unifi Switch - Port an dem der AP Steckt - untagged VLAN 1, tagged VLAN 20

Wichtig beim Unifi - die erstellten Netzwerke halt entsprechend einstellen bzgl. DHCP - also bei dir immer "Gateway eines Drittanbieters". Denke mal die Firewall macht DHCP im Gast Netz?

Falls es immernoch Probleme / Unklarheiten gibt - fang einfach mal an! Und mach uns Screenshots was du wie wo eingestellt hast von den einzelnen Punkten. Gehe im Kopf immer die einzelnen Schritte druch - Paket kommt vom Gast Netzauf den AP geht über das Kabel in den Anschluss in dem switch, von dort ... bis zur Firewall. Der Weg muss logisch nachvollziehbar sein

Aktualisier dein Controller mal ... die Profile sind veraltet und die GUI auch. Mach das zuerst, sonst hat das nicht viel Sinn .. da hat sich einiges getan!

und Feherlsuche bei sowas veraltetem ist auch Blödsinn.

Wer macht denn DHCP für das Gast Netz?

Wie ist das Wifi Profil für das Gast Netz?

Warum ist der Port für den AP Orange? 100mbit? da passt doch was nicht.

Am AP musst du nix machen, der muss einfach nur die wifis ausstrahlen

BTW.: klar wäre es besser das Gast Netz auf der Firewall auf Port 3 zu legen - sonst müssen die 2 Netze sich den einen Port teilen und somit die verfügbare Bandbreite darüber. Ändert an der Konfig ja nicht viel, du musst nur den Port 3 FW --> Port Switch untagged VLAN20 machen.

Dann nochmal die Ports kontrollieren, das muss funzen. Nach dem Update sieht ja gerad das Thema VLAN Konfigurieren auf den Switchen anders aus.

Ansonsten hätte ich morgen auch mal Zeit zum drauf schauen bei Bedarf.