UXG-Lite in das VLAN Infra "schieben"?

CeeKay · November 5, 2025 at 3:36 PM

Hallo,

ich bin gerade dabei mein Heimnetzwerk "umzubauen"
Es könnte eine längere Einführung geben, da ich erstmal erklären möchte was ich habe und was ich genau machen möchte...

Ich habe eine Modem (arbeitet als Bridge, meines Internet Anbieters), dieser ist verbunden mit dem WAN Port des UXG-Lites. Der LAN Port des UXG-Lites geht auf Port 24 meines USW-PRO-POE-24 switches.

Ich habe 5 Access Points, 3x U6LR 2x U6Pro, welche am Switch Port 3,9,13,15,21 verbunden sind.

Der Unifi Controller läuft auf einem Raspberry Pi4 (192.168.178.250)

Der UXG-Lite hat aktuell die ip 192.168.178.254 (definiert über die Hostadresse im internal-LAN (VLAN ID 1).

Die USW-pro-24-poe ip 192.168.178.4 (dhcp)

AP_DG	Network	Up to date	U6 LR	6.7.31	192.168.200.25
AP_OG	Network	Up to date	U6 LR	6.7.31	192.168.200.24
AP_EG_Garderobe	Network	Up to date	U6 Pro	6.7.33	192.168.200.23
AP_EG_Wohn	Network	Up to date	U6 LR	6.7.31	192.168.200.22
AP_KG	Network	Up to date	U6 Pro	6.7.33	192.168.200.21
Gateway Lite	Network	Up to date	UXG Lite	4.3.3	192.168.178.254
USW Pro 24 PoE	Network	Up to date	USW Pro 24 PoE	7.2.123	192.168.178.4

Ich habe folgende Netzwerke angelegt.

Name	VLAN ID	Router	Subnet	DHCP
internal-LAN	1	Gateway Lite	192.168.178.0/24	Server
guest_network	99	Third-party Gateway	-	-
Infra	200	Gateway Lite	192.168.200.0/24	Server
IoT	100	Gateway Lite	192.168.100.0/24	Server
LAN	10	Gateway Lite	192.168.10.0/24	Server
Guest	50	Gateway Lite	192.168.50.0/24	Server
DMZ	150	Gateway Lite	192.168.150.0/24	Server
Admin	210	Gateway Lite	192.168.210.0/24

Wifis:

Name	Network	Broadcasting APs
fugb	Native Network	All APs
pretty fly for a wifi	Guest (50)	All APs
ShellyNet	Native Network	All APs
IoT	IoT (100)	All APs
infra	Infra (200)	All APs
dmz	DMZ (150)	All APs
admin	Admin (210)	All APs

Wobei final eigentlich nur fugb, pretty fly for a wifi, IoT übrig bleiben sollen, die anderen habe ich einfach mal eingerichtet, um mich nicht auszusperren und im zweifel an alle Geräte noch irgendwie via wifi ranzukommen...

So nun mein Problem...
Ich hätte ganz gerne - einfach aus Übung meine Geräte in verschiedenen VLANS...andere nennen es eventuell overkill oder paranoid...aber gut... ich wollte es einfach mal wissen wie das mit den VLAN Tagging, Trunk ports, etc funktioniert...und...naja aktuell scheitere ich

Also...ich hatte mir überlegt meine

- ganzen Infrastrukturellen Geräte (APs, Gateways, Switche) in ein eigenes VLAN zu schieben.

- IoT Geräte ebenfalls ins VLAN 100 (IoT) zu schieben (Divers Shellys, etc)

- Mein PI sollte final in die DMZ (VLAN150) (da ich diverse docker container habe, welche ich auch vom Internet aus erreichbar haben möchte, explizit eigentlich nur Port 443 (für einen docker container nginx-proxy-manager, 51820 (Wireguard VPN)).
- In das Admin VLAN soll eigentlich nur mein Laptop, und dieser soll in jedes VLAN dürfen.

Ich bin aktuell der Meinung, das es scheinbar garnicht vorgesehen ist den UXG-Lite in ein anderes VLAN zu schieben...seine Hostadresse kann ich ja nur via internal-LAN ändern...und für das internal-LAN kann ich widerum die VLAN ID nicht ändern...

Wie bringe ich den Switch in das 192.168.150.x Netz ohne das mein Unifi Controller (192.168.178.250) die Adoption zu den anderen Unifi Geräten verliert..?
Achso..Firewall Policies habe ich bereits angelegt.. vom "Admin" in jedes VLAN, oder hier die Auflistung:

Admin->DMZ	Firewall	Allow	All	Admin_zone	Any	DMZ_zone	Any	Any	-
	Admin->Infra	Firewall	Allow	All	Admin_zone	Any	Infra_zone	Any	Any
	Admin->Internal	Firewall	Allow	All	Admin_zone	Any	Internal	Any	Any
	Admin->IoT	Firewall	Allow	All	Admin_zone	Any	IoT_zone	Any	Any
	Admin->LAN	Firewall	Allow	All	Internal	Any	LAN_zone	Any	Any
	DMZ->Infra	Firewall	Allow	All	DMZ_zone	Any	Infra_zone	Any	temp_dmz_infra
	Infra->DMZ	Firewall	Allow	All	Infra_zone	Any	DMZ_zone	Any	Any
	Infra->internal	Firewall	Allow	All	Infra_zone	Any	Internal	Any	Any
	infra->gateway	Firewall	Allow	TCP/UDP	Infra_zone	Any	Gateway	Any	8080,3478
	infra->internal-lan	Firewall	Allow	TCP/UDP	Infra_zone	Any	Internal	Any	8080,3478
	internet-pi	Firewall	Allow	All	External	Any	Internal	2001:db8:130F:0000:0000:09C0:876A:130B (geändert) 192.168.178.250	pi external
	temp_infra->internal	Firewall	Allow	All	Infra_zone	Any	Internal	Any	Any
	temp_internal->infra	Firewall	Allow	All	Internal	Any	Infra_zone	Any	Any
	temp_internal->ioT	Firewall	Allow	All	Internal	Any	IoT_zone	Any	Any

So nun meine einfache Frage:
Wie mache ich das?

Also über eure Hilfe würde ich mich sehr freuen

**BlackSpy** · November 5, 2025 at 4:13 PM

Gar nicht. In deinem Netzwerk LAN sollte/muss müssen die UI Device in einem Netzwerk sein.

CeeKay · November 5, 2025 at 4:18 PM

Hi,

vielen Dank, aber genau das möchte ich ja erreichen, nur halt eben im VLAN200...geht das nicht?

Was ist denn dann best practice für meinen Fall?
Und...vielen vielen Dank das Du dir die Mühe gemacht hast das alles durchzulesen

DoPe · November 5, 2025 at 6:45 PM

Doch das geht. Kann aber zur Stolperfalle werden. In jedem Fall kannst Du Stress bekommen wenn sich am Controller was verändert ... Wichtig ist in jedem Fall, dass die Unifi Devices mit dem Controller kommunizieren können (Stichwort Firewall) und dass Die VLANs auch alle an den entsprechenden Ports anliegen und nicht in irgendeinem Switch blockiert werden.

Erstmal zur Frage mit dem UXG ... denke mal darüber nach welche Funktion das UXG im Netzwerk hat und wo eigentlich die VLANs "erzeugt" werden ... dann wird dir auffallen, dass das UXG in jedem VLAN drin ist (und dort eine IP besitzt), das kein Third Party Netzwerk ist. Das VLAN gibt es zwar, aber da hat die UXG kein IP Interface und ist somit dort außen vor. Du stolperst quasi darüber, dass beim UXG als IP nur die IP aus dem ungetaggten Default Netz angezeigt wird.

Warum sollen die Unifi Geräte aus dem ungetaggten Netz raus in ein anderes VLAN? Gibt es dafür einen speziellen Grund?

Die Einstellung welche Du suchst, findest Du bei den Unifi Devices. AP oder Switch anklicken. Im rechten Fenster aufs Zahnrad (Settings) und dann runter scrollen zu den IP Settings. Network Override anhaken und das VLAN welches Du als Management VLAN benutzen willst auswählen. Achtung darunter sind die IP Settings. Die dürfen natürlich nicht statisch eingestellt sein, da sich ja mit dem VLAN die IP Range ändert.

CeeKay · November 6, 2025 at 10:08 AM

Vielen Dank DoPe,

Netzwerk ist nicht mein Kerngeschäft, wollte das einfach mal als Übung nehmen mit den VLANs...

Daher dachte ich mir ja das es wie oben in meinem 1. Post beschrieben sinnvoll ist, diese VLANs zu erstellen und die Geräte dann zu „sortieren“…

Also mal abgesehen das es jetzt eine private Umgebung ist…Ist es nicht ein Sicherheitsrisiko die Infrastrukturellen Geräte im untagged VLAN zu belassen? Daher wollte ich eigentlich die Unifi Geräte alle in das „Infra 200er“ VLAN schieben..

also würdest Du für mein Setup vorschlagen, den UXG untagged im untagged VLAN 1 zu belassen? Und die anderen Unifi Geräte (APs, Switch) in das Infra zu schieben?

Aber nochmal für mich...in meinem Setup (die APs sind schon alle in VLAN200) könnte ich doch den Switch auch einfach in das VLAN 200 als nativ schieben, bzw. ich kann dort ja nur DHCP oder Static auswählen, also würde ich das für den Switch dann wie folgt machen:

und was genau passiert wenn ich bei dem UXG das Default Gateway eine andere IP Range verpassen, also aktuell 192.168.178.x neu 192.168.1.x. Da er ja die VLANs verwaltet, können ja die anderen Geräte - wie jetzt auch - normal weiter kommunizieren ohne das ich an deren Konfiguration was ändern müsste oder?

Vielen Dank schonmal im Voraus!

Gerne könnt Ihr auch ein Sinnvolles Konzept für mich erstellen, sofern ich auf dem Holzweg bin…

DoPe · November 6, 2025 at 12:53 PM

Ich glaube hier gibt es so einige Verständnisprobleme was VLANs angeht. In welchem VLAN die Infrastruktur hängt, ist für die Sicherheit fast ohne Auswirkung. Hauptsache die sind nicht im gleichen VLAN wie die normalen Geräte. Genauso wie man korrekterweise halt auch normale Geräte auf VLANs aufteilt um es sicherer zu machen. Dann muss man allerdings auch dafür sorgen, dass zum einen die Firewall wirklich den Traffic zwischen den VLANs unterbindet, der unerwünscht ist und natürlich muss die VLAN Konfiguration der LAN Ports entsprechend gesetzt werden. An Accessports für Computer und ähnlichen, hat genau das VLAN in dem der Computer betrieben wird etwas in ungetaggter Form zu suchen. Alle anderen VLANs sollten da nicht getaggt verfügbar sein ... denn man kan mit geeigneten Tools die vorhandenen VLAN IDs "auslesen" und mit einer geeigneten LAN Karte und/oder Betriebssystem einfach das VLAN wechseln.

Das UXG ist der Router aller VLANs (ausser Third Party), hatte ich doch geschrieben. Den kannst Du defacto nicht verschieben, da er in allen VLANs drin und erreichbar ist. Du kannst höchstens die IP Bereiche der VLANs verändern (im Controller nicht im UXG, denn das zieht sich nur die Konfig und setzt das dann um). Das ist dann dem UXG völlig egal und wechselt seine IPs wie konfiguriert. Was nicht einfach so wechselt sind IPs von Geräten und in Konfigurationen von Software ... heisst also man sollte drüber nachdenken wenn man IP Bereiche verändert, was da dann alles nicht geht ... neugestartet, umkonfiguriert und angepasst werden muss.

Accesspoints und Switche hängen prinzipiell auch in mehreren VLANs, die haben allerdings eine Management Schnittstelle (über die sie kommunizieren und eine IP haben) die explizit aus einem VLAN ist. Per Default ist das dann das Default LAN welches ungetaggt ist und auf Wunsch eben irgendein VLAN das dann getaggt ist (Das was man oben erwähnt umstellen kann). Bei allen anderen VLANs werden nur die Pakete bearbeitet und entsprechend der VLAN Konfiguration transparent weitergereicht.

Also alle Unifis ins gleich VLAN, welches kannst Du dir aussuchen. Das UXG ist da ehh drin und oft ist es sinnvoll auch den Controller dort reinzupacken. Ist zum einen einfach. zum anderen muss man nicht kreuz und quer zwischen VLANs kommunizieren (Firewall zu diesem Netz dicht (bis auf nen Adminzugang) und gut)

CeeKay · November 6, 2025 at 1:41 PM

Vielen Dank,

soweit verstanden, der UXG hat ja auch für jedes VLAN eine br{VLANID} und ein eht0.vlanid in der ifconfig auf dem uxg zusehen. D.h. er kommt ja eh in alle VLANs, da er ja als globale "Brücke" dient.

Allerdings nun meine letzten Verständnisfragen:

Ich möchte dem UXG gerne eine "Host address" aus dem VLAN200 geben, das kann ich allerdings ja gerade nicht, weil es ja ein VLAN 200 mit der IP Range gibt (auch wenn ich den dhcp deaktiviere, kann ich diese Adresse nicht vergeben). Also bin ich der Meinung, das der UXG nur im VLAN 1 betrieben werden kann (bzw. er seine Host address nur aus dem VLAN1 bekommt, je nachdem was man dort für eine IP eingibt, wird ja auch gleich das Netzwerk definiert (192.168.X => je nachdem welche Hostaddress man ihm gibt.)

Also habe ich aktuell zwei Möglichkeiten, entwerder ich belasse den UXG im Standard Internal-LAN und ändere die Range ab oder lasse sie halt und er hat dann halt die Host address aus eben diesem internal LAN und belasse dann ein INFRA VLAN 200 mit allen anderen Unifi Geräten
oder
Ich schiebe alle Unifi Geräte in das internal-lan (von mir aus kann ich es umbenennen), allerdings kann ich dort keine VLANID ändern. D.h. das alle untagged Pakete aber auch auf VLAN1 geroutet werden würden ?

Meinen Switch könnte ich ja in das VLAN200 schieben, indem ich folgendes einstellen würde:

oder halt alternativ eine Static IP + DNS+ Gateway geben (der Switch ist ja wie der UXG auch in jedem VLAN oder nicht) Wenn ich ja "Network Override" aktiviere, bekommt er ja in diesem fall seine DHCP Adresse aus dem 192.168.200.X VLAN. Was passiert aber wenn ich ihm eine Statische IP 192.168.200.x gebe, aber "Network Override" nicht aktiviere?

Oder vielleicht ganz anders...ist es best practice seine Management Geräte untagged zu lassen (was ja wieder dann für das Internal-lan (vlan id 1 ) sprechen würde?

Vielen Dank für deine Geduld

DoPe · November 6, 2025 at 2:34 PM

Ich glaube Du versuchst hier mehrere Dinge gleichzeitig.

Im Screenshot sagt die GUI doch klar und deutlich, die IP Range überschneidet sich mit einer existierenden. Du kannst nicht 2 VLANs die gleiche IP Range geben, auch nicht überlappend. Dann kann Routing nicht mehr Funktionieren und im schlimmsten Fall ist mehr oder weniger alles tot.

das 192.168.200.0/24 IP Netz gehört zum Infra VLAN.

Das VLAN Internal-LAN (Das ist das Default LAN) hat den IP Bereich 192.168.178.0/24

Zum letzten Mal, das UXG hat bereits in allen nich Third Party VLANs eine IP, zu ersehen in den jeweiligen VLAN Settings. Angezeigt wird immer die IP des Default LANs!

Pack alles ins VLAN1 untagged so wie es war oder pack alles in VLAN 200 mittels Override. IPs sollten immer zu den IP Settings des VLANs passen in dem das Gerät ist ... statische IPs sind tabu bei deinem rumgespiele, bis alles da ist wo es sein soll.

Der Switch ist im Management LAN also entweder in VLAN1 ungetaggt oder getaggt in dem VLAN welches mittels Override eingestellt ist. Von da holt er sich die IP oder die fest eingestellte muss dazu passen. Alle anderen VLANs sind für Switch und AP nur soweit interessant, als das die Pakete verarbeitet werden. In diesen restlichen VLANs haben Switche (von L3 abgesehen aber das sind ja quasi auch Router) und Accesspoints keine IPs ...

Schmeiss den Switch rüber in VLAN 200 ... hast Du doch bei den Accesspoints auch hinbekommen und es ist exakt das gleiche Spiel. Anschliessend lasse das so und befasse dich erstmal mit der Theorie. In deinen Ausführungen sind Dinge drin die einfach nur völlig falsch sind und ganz offenbar durch fehlendes Wissen so getroffen werden. Beispiel: "D.h. das alle untagged Pakete aber auch auf VLAN1 geroutet werden würden"

CeeKay · November 6, 2025 at 3:06 PM

also ich bedanke mich, und den Hinweis durch fehldendes Wissen - möchte ich ja garnicht abstreiten das ich die "Weisheit mit Löffeln gefressen habe"...

"In deinen Ausführungen sind Dinge drin die einfach nur völlig falsch sind und ganz offenbar durch fehlendes Wissen so getroffen werden. Beispiel: "D.h. das alle untagged Pakete aber auch auf VLAN1 geroutet werden würden""

=> streite ich auch nicht ab, allerdings verstehe ich das halt so.

Und da untagged ja aktuell auf das NATIVE VLAN geht, also VLAN1, würde ich meine Aussage schon als korrekt sehen.

das hast du ja quasi auch besätigt mit der Aussage: "Der Switch ist im Management LAN also entweder in VLAN1 ungetaggt oder getaggt in dem VLAN welches mittels Override eingestellt ist."

Aber gut, sei es drum, ich bedanke mich nochmal herzlich für deine Hilfe, Geduld und dein Verständnis

DoPe · November 6, 2025 at 6:11 PM

Vergiss diese aus dem Zusammengehangenen gerissenen KI Märchen ... da fehlt die Hälfte ohne dass es dann unterm Strich Sinn ergibt.

Da fehlt in der Betrachtung einfach mal komplett, dass auf einem Switch der mit VLANs kann, die Ports eine VLAN Konfiguration haben, wie diese gesetzt ist und was der Switch mit den Paketen dann eigentlich macht. Bei der Verwendung von VLANs gibt es kein DAS native VLAN! Das Default LAN ist untaggt weil man sonst das System gar nicht zum laufen bekommen würde ohne ein Gerät mit VLAN fähiger NIC und richtiger Konfiguration des VLANs ...

Klick mal einen Unifi Switch an und geh mal auf den Portmanager ... dann einen Port anklicken. Da findest Du jetzt natives VLAN. Das was dort ausgewählt wird ist dann entscheidend zu welchem VLAN die ungetaggten Pakete gehören, die auf diesem Port in den Switch gehen. Rausschicken tut der Switch dann auf diesem Port zum Gerät nur ungetaggte Paket die ebenfalls zu diesem VLAN gehören.

Darunter kann man die auf dem Port zusätzlichen getaggten VLANs einstellen. Block ALL -> kein getaggtes VLAN (das macht man bei normalen Endgeräten) Allow All -> alle VLANs getaggte (ausser das Native VLAN, das ist ja ungetaggt auf dem Port. Diese Konfig setzt man bei Ports zwischen Infrastruktur, also Router - Switch, Switch - Switch, Switch - Accesspoint. Und dann kann man auch das ganze mit nur einigen getaggten VLANs konfigurieren, das macht man z.B. gerne mal bei Virtualisierungshosts die nur einige der VLANs brauchen. Grund z.B. Alle VLANs teilen sich ja das Kabel und dessen Bandbreite. Da macht es wenig Sinn den unnützen Traffic der anderen VLANs wie z.B. Broadcast zum Server zu schicken, damit der die Pakete verwirft.

Kommt ein getaggtes Paket (mit seinem Zettel mit VLAN ID drauf) am Switch an, schaut der Switch was drauf steht, dann schaut er welche Ports ebenfalls zu diesem VLAN gehören. Ist auf dem "Ausgangs Port" das VLAN getaggt drauf wird das Paket auch mit Zettel weiter geschickt. Ist das VLAN untaggt auf dem Port, wird der Zettel entfernt und so nativ verschickt.

Ist das ankommende Paket ohne Zettel, dann gehört es eben zum nativen VLAN dieses Ports. Es wird dann wie oben erwähnt ohne Zettel auf den Ports rausgeschickt, die eben auch das native VLAN haben wie der Port an dem es rein kam. Muss es auf einen Port raus, bei dem das VLAN getaggt auf dem Port ist, dann wird ein Zettel dran gehängt und so rausgeschickt. Ankommende Pakete die einen Zettel haben, der zu keinem getaggten VLAN auf dem eingehenden Port passt, werden verworfen.

Das ist wichtig zu wissen. Daraus ergibt sich bei getaggten VLANs müssen die Ports auf beiden Seiten des Kabels auch als getaggte VLANS konfiguriert sein, sonst geht das Paket nirgends hin. Verbindet man ungetaggte Ports (irgendein VLAN ist meistens ungetaggt auf einem Port, auch wenn es nicht immer zwingend erforderlich ist) geht der Traffic in jedem Fall durch ... aber ACHTUNG Hat man Ports verbunden die als natives LAN jeweils ein anderes VLAN haben, dann hat man die beiden VLANs verbunden und nichts ist mehr mit Trennung, also Fehler- und Sicherheitsrelevant!

Ich hoffe Du verstehst jetzt etwas besser was da eigentlich so passiert.

CeeKay · November 6, 2025 at 8:53 PM

Vielen Vielen Dank, das ist genau solch eine Erklärung wie ich Sie gewünscht habe! Sehr gut erklärt, vielen vielen Dank, jetzt ist alles klar und logisch

UXG-Lite in das VLAN Infra "schieben"?

CeeKay November 6, 2025 at 3:08 PM

Participate now!

CeeKay November 6, 2025 at 3:08 PM

Participate now!

CeeKay November 6, 2025 at 3:08 PM