Gäste-WLAN mit UDM-SE ohne VLAN (da mehrere normale Switches)

Willkommen im neuen Forum!
Wir freuen uns, euch hier begrüßen zu dürfen! Uns ist bewusst, dass viele Funktionen noch nicht vollständig verfügbar sind und dass es hier und da einige Fehler gibt. Seid versichert, dass wir daran arbeiten, diese Probleme nach und nach zu beheben.
Euer Feedback ist uns wichtig, also zögert nicht, uns eure Anmerkungen und Vorschläge mitzuteilen. Vielen Dank für eure Geduld und euer Verständnis!
Viel Spaß im Forum!

Feedback Thread
Changelog Thread
Design Feedback Thread

    Hallo,

    da ich keine passende Antwort gefunden habe, mache ich nun doch mal einen Beitrag auf auch wenn ich vermute, dass dieses Thema bei einigen bestimmt schon aktuell war.

    Es geht hier um eine Installation im privaten Umfeld.


    Ausgangslage:

    DSL Modem -> UDM-SE -> diverse einfache Switches (Netgear/D-Link) -> 3x U6 Pro AccessPoint

    1 Netzwerk definiert und ebenso 1 SSID eingerichtet.


    Ziel:

    Gäste-WLAN, bei welchem die angemeldeten Clients nicht auf die anderen Clients (Kabel sowie Wireless) zugreifen können.


    Problem:

    Normalerweise würde ich jetzt ein weiteres Netzwerk mit einer VLAN ID erstellen,

    die Switche entsprechend taggen und dann sollte ja alles funktionieren.

    Jedoch hängen die AccessPoints aufgrund baulicher Gegebenheiten nicht direkt an der UDM-SE sondern zum Teil mit anderen Geräten an verschiedenen Switches.

    VLAN fällt hier somit raus, da die Switches nicht VLAN fähig sind.

    Gibt es nun eine andere Möglichkeit wie man dieses Szenario trotzdem realisieren kann?

    Ich hatte zwar ein paar Ansätze gefunden, diese basierten aber auf einer sehr alten Software des Controllers und die UDM-SE hat ja eine deutlich neuere (aktuellste) Version installiert...


    Gruß

    Jumma88

    Nein, nicht möglich. Du brauchst VLAN fähige Switche.

    Mein Netzwerk

    Internet:

    Glasfaser TNG 1 Gigabit Synchron

    Speedtest

    Unifi Komponenten:

    UCG Fiber

    USW-Lite-8-PoE

    3x USW-Flex-Mini

    UAP-AC-Lite

    2x U6-Lite

    UVC-G3-FLEX

    2x UVC-G3-Instant

    1x UVC-G4-Instant

    UVC-G5-Bullet

    Sonstige Hardware:

    QNAP TS-453a als Backup

    Thinkstation mit Unraid, VM 3CX, Pihole + Unbound, Home Assistant usw.

    PC mit Ryzen 3700x, 16GB 3200 Ram, Ati Radeon 5700X, 2x M.2 SSD und 1x SATA SSD

    Das, was jkasten sagt.

    Zusätzlich möchte ich noch behaupten, dass es auch mit der "sehr alten Software des Controller" nur dann geht, wenn du VLAN-fähige Switche verwendest.

    Korrekt

    Quote from jkasten

    Nein, nicht möglich. Du brauchst VLAN fähige Switche.

    Das verstehe ich jetzt nicht.
    Also ich habe hier eine UDM SE, die hat ein Gast-Netz eingerichtet und ich habe einen AC-Mesh AP, der über einen uralten HP-5 Port Switch im Gartenhaus angebunden ist, kann gerade mal 1 GB auf den 5 Ports. VLAN kann er nicht, dafür ist er "blind".
    Trotzdem spuckt der AP sowohl mein Home-Netz-SSID, wie die Gastnetz-SSID aus und man kann sich einwählen.
    Letztendlich macht sich doch das Gastnetz an der SSID fest und wie man sich dort anmelden kann.

    PS:Da laufen sogar 3 SSID drauf, ist ja auch noch das IOT für Bewässerung und Co.

    Man ordnet doch dem WLAN-Netz/SSID die AP zu.

    Quote from phino

    Das verstehe ich jetzt nicht.
    Also ich habe hier eine UDM SE, die hat ein Gast-Netz eingerichtet und ich habe einen AC-Mesh AP, der über einen uralten HP-5 Port Switch im Gartenhaus angebunden ist, kann gerade mal 1 GB auf den 5 Ports. VLAN kann er nicht, dafür ist er "blind".
    Trotzdem spuckt der AP sowohl mein Home-Netz-SSID, wie die Gastnetz-SSID aus und man kann sich einwählen.
    Letztendlich macht sich doch das Gastnetz an der SSID fest und wie man sich dort anmelden kann.

    PS:Da laufen sogar 3 SSID drauf, ist ja auch noch das IOT für Bewässerung und Co.

    Man ordnet doch dem WLAN-Netz/SSID die AP zu.

    WLAn Ausstrahlen ist ja auch nur die Config, das Netz geht aber über das VLAN und das braucht nun mal VLAN fähige Switche, ansonsten hat man nur das Standard native Netz.

    Mein Netzwerk

    Internet:

    Glasfaser TNG 1 Gigabit Synchron

    Speedtest

    Unifi Komponenten:

    UCG Fiber

    USW-Lite-8-PoE

    3x USW-Flex-Mini

    UAP-AC-Lite

    2x U6-Lite

    UVC-G3-FLEX

    2x UVC-G3-Instant

    1x UVC-G4-Instant

    UVC-G5-Bullet

    Sonstige Hardware:

    QNAP TS-453a als Backup

    Thinkstation mit Unraid, VM 3CX, Pihole + Unbound, Home Assistant usw.

    PC mit Ryzen 3700x, 16GB 3200 Ram, Ati Radeon 5700X, 2x M.2 SSD und 1x SATA SSD

    Ja, aber es funktioniert. ich habe nie irgendwas am Switch gemacht.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.


    ABER ich musste gerade feststellen, dass der HP J9029A ProCurve 1800-8G irgendwie VLAN-tauglich sein soll! Ich wusste noch nicht einmal, dass man den konfigurieren kann. Ich habe den schon über 10 Jahre und der wurde damals in der Firma aussortiert.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Ohne die VLANs ist das technisch gar nicht möglich, es wird immer nur das native Netz übertragen. Hast du das sicher mal getestet?

    Mein Netzwerk

    Internet:

    Glasfaser TNG 1 Gigabit Synchron

    Speedtest

    Unifi Komponenten:

    UCG Fiber

    USW-Lite-8-PoE

    3x USW-Flex-Mini

    UAP-AC-Lite

    2x U6-Lite

    UVC-G3-FLEX

    2x UVC-G3-Instant

    1x UVC-G4-Instant

    UVC-G5-Bullet

    Sonstige Hardware:

    QNAP TS-453a als Backup

    Thinkstation mit Unraid, VM 3CX, Pihole + Unbound, Home Assistant usw.

    PC mit Ryzen 3700x, 16GB 3200 Ram, Ati Radeon 5700X, 2x M.2 SSD und 1x SATA SSD

    Es kann sein das nicht managebare switche die VLAN tags einfach durchleiten und nichts mit den machen.

    Hatten wir in der alten Firma auch mal, "dummer" Netgear POE Switch und auf den APs sind auch Management, Business und Gäste angekommen.

    Manche Switche "fressen" die Tags aber auch

    Setup

    Netz 1: UXG-Pro - Aggregation Switch - Switch Enterprise 8 PoE - Switch Lite 16 PoE - Switch Lite 8 PoE - 3x Flex Mini - 3x U6 Pro - CK2+ - 2x G3 Flex - [G3 Instant] (siehe mein Projekt) | Synology DS215j

    Netz 2: WAN1 [Telekom DSL - Vigor 130] WAN2 [Telekom LTE - Netgear LM1200] - USG 3-P - AC Pro

    Area 51 [Testnetz]: USG 3-P

    Mein Projekt

    Quote from amaskus

    Es kann sein das nicht managebare switche die VLAN tags einfach durchleiten und nichts mit den machen.

    Hatten wir in der alten Firma auch mal, "dummer" Netgear POE Switch und auf den APs sind auch Management, Business und Gäste angekommen.

    Manche Switche "fressen" die Tags aber auch

    Das sehe ich auch so. Wenn es nur ein »blöder« Switch ist, dann macht er einfach nichts damit und reicht die Ethernet-Frames einfach weiter. Endscheiden ist dann ja der AP, der den Paketen dann passend zw. SSID und VLAN taggen muss.
    Allerdings wird es dann auch so sein, dass man aus dem Gast-WLAN-Netz auf andere Geräte, die an demselben »blöden« Switch hängen, zugreifen können. Das, was ja eigentlich verhindert werden soll.
    Zurzeit schwer zu testen, Gartenbewässerung ruht noch im Gartenhaus, es gibt da aktuell nur den AP.

    Ich würde es als Themenersteller ausprobieren, mit dem Hintergrund, dass an den Switchen was schieflaufen kann.

    Quote from DoPe

    Gehen tut so einiges ... manchmal und vielleicht.

    Sauber ist es aber wirklich nur mit VLAN fähigen Switchen.

    Die Frage lautete aber:

    Quote

    VLAN fällt hier somit raus, da die Switches nicht VLAN fähig sind.
    Gibt es nun eine andere Möglichkeit wie man dieses Szenario trotzdem realisieren kann?

    Und darauf ist die Antwort, ja, es gibt eine andere Möglichkeit.

    Guten Abend,

    bevor hier jemand etwas schreibt, was dann falsch verstanden wird oder es ausartet, fasse ich mal die letzten 13 Postings so zusammen:

    Ja, ohne VLAN-fähige Switches kann es funktionieren - muss aber nicht. (Anm. d. Red.: Außerdem wird das spannend bei der Fehlersuche. Viel Glück! #96Hours)

    Mit VLAN-fähigen Switches (gleich welcher Hersteller) wird es ganz sicher funktionieren. Am einfachsten natürlich mit UniFi-Switches, da das dann auch alles über den Controller verwaltet werden kann.

    Ich wünsche einen schönen Abend.

    Die Client Isolation kannst Du zusätzlich anstellen, bzw. die wird vorausgewählt. Die verhindert, dass Clients innerhalb einer SSID auf einem Access Point untereinander kommunizieren können. Ist eine WLAN-Funktion.

    Wichtig für ein Gast WLAN ohne VLAN sind diese 3 Punkte:

    WiFi Only

    1. Go to UniFi Network > Settings > WiFi.
    2. Select or create a WiFi SSID.
    3. Enable Hotspot Portal > Captive Portal.

    https://help.ui.com/hc/en-us/artic…Captive-Portals

    Wenn man das so konfiguriert, dann werden Clients in der Gast SSID vom LAN ausgeschlossen und dürfen nur mit dem Internet kommunizieren. Der AP erstellt dazu ACL auf L2 mit ebtables, auf der Ethernet-Schnittstelle vom AP. Diese filtern einfach auf der L2 Bridge allen Traffic Richtung private IP-Netze, so wie wenn man z.B. mit Switch ACL filtert. Dadurch kann der Gast in der gleichen Broadcast Domain wie die eigenen Geräte sein, und trotzdem keinen Schaden im LAN anrichten.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login