Geräte werden falschen VLAN's zugeordnet

Das Default VLAN ist eigentlich nur für die Unifi Geräte gedacht und hat sehr oft kein WLAN. Das aber nur am Rande weil es eher eine Sicherheitsfrage ist.

VLAN IDs würde ich prinzipiell keine einstelligen verwenden, da Unifi das eine oder andere für bestimmte Dinge selbst nutzt, wenn diese Dinge angeschaltet werden. Ich weiß wenn man ein neues VLAN hinzufügt, schlägt Unifi das selbst so vor, genauso wie die IP Netze einfach hochgezählt werden.

Kann es sein, dass Du evtl. den gleichen WLAN Schlüssel für das Smarthome und Default WLAN nutzt? Die Benennung der SSIDs ist zumindest mal unglücklich. Nicht dass da nur irgendwelche Geräte mit den Leerzeichen nicht klar kommen und Teile der SSID abschneiden und so durch den gleichen Key ins falsche WLAN wandern. Schau doch mal in der Clientliste nach, mit welcher SSID und welchem VLAN die Clients verbunden sind.

Quote from sunzi

Ok aber im Nachgang kann ich es wohl nicht mehr ändern, lässt mich gerade nicht. Hatte mir damals keine Gedanken gemacht da es so eingestellt war.

Das solltest du aber machen, ich hab schon bei einigen Bekannten erlebt, das geanu das zu gang merkwürdigen Effekten im Netz führte.
Da hilft nur VLAN löschen und mit ID 10 und höher neu anlegen.

Die Empfelung keine ID von 2-9 zu nutzen, würde mal im Unifi-Forum geschrieben, aber warun die das nicht bis heute ordentliche dokumentieren und die Software es verhindert, ist mir bis heute schleierhaft.

Quote from sunzi

Das kann ich schrittweise umstellen, nur stellt sich mir die Frage warum lief es bisher ohne Fehler und jetzt nicht mehr. Die SSID ist seit mind. 4 Jahren gleich. Plötzlich "springen" Geräte hin und her.

Leerstellen und Namen immer vermeiden, das macht immer Probleme, weil jedes Betriebssystem damit anders umgeht, wenn dann mache "_" oder "-" dazwischen.

Quote from Tomcat

Das solltest du aber machen, ich hab schon bei einigen Bekannten erlebt, das geanu das zu gang merkwürdigen Effekten im Netz führte.
Da hilft nur VLAN löschen und mit ID 10 und höher neu anlegen.

Die Empfelung keine ID von 2-9 zu nutzen, würde mal im Unifi-Forum geschrieben, aber warun die das nicht bis heute ordentliche dokumentieren und die Software es verhindert, ist mir bis heute schleierhaft.

Leerstellen und Namen immer vermeiden, das macht immer Probleme, weil jedes Betriebssystem damit anders umgeht, wenn dann mache "_" oder "-" dazwischen.

Ich habe das mal auf die schnelle rausgesucht, hab dabei noch was gelernt:

🧠 Warum VLAN-IDs 2–9 in UniFi problematisch sein können

1️⃣ Historische Default-Annahmen in UniFi (Legacy-Ballast)

UniFi ist über viele Jahre gewachsen. In frühen Versionen galten implizit:

• VLAN 1 = Native / Management
• VLAN 2–9 = „interne“ oder reservierte Bereiche
  • Testnetze
  • frühe Guest-Netz-Implementierungen
  • temporäre WLAN-Mapping-IDs

Diese Reservierungen waren nie sauber spezifiziert, existierten aber faktisch im Code. Später wurden sie „freigegeben“, ohne dass alle internen Abhängigkeiten vollständig entfernt wurden.

➡️ Ergebnis:
Bestimmte Codepfade behandeln niedrige VLAN-IDs anders als höhere, ohne dass dies heute noch sichtbar ist.

2️⃣ WLAN ↔ VLAN Mapping nutzt interne Indizes

In UniFi wird ein WLAN intern nicht direkt mit einer VLAN-ID verknüpft, sondern häufig über:

• SSID-Index
• Network-Index
• dynamische Mapping-Tabellen

Bei VLAN-IDs < 10 kann es zu:

• Index-Kollisionen
• falschen Lookups
• inkonsistentem Re-Apply der Konfiguration

kommen, insbesondere bei:

• AP-Reboots
• Channel-Roaming
• Band Steering
• Fast Roaming (802.11r)

➡️ Das äußert sich dann als „springende“ Clients.

3️⃣ Client-seitiges Caching + AP-seitiges Re-Tagging

Viele Clients (Android, iOS, Windows, IoT) merken sich:

• BSSID
• VLAN-Zuordnung
• Security Context

Wenn UniFi im Hintergrund:

• WLAN neu provisioniert
• VLAN-Mappings kurzzeitig verliert
• mehrere APs leicht unterschiedliche States haben

dann kann bei niedrigen VLAN-IDs ein Fallback auf Default-Netze passieren.

➡️ Effekt:
Geräte wechseln scheinbar zufällig das Netzwerk.

4️⃣ Keine harte Validierung = bewusste Designentscheidung

Warum verhindert UniFi das nicht einfach?

Drei Gründe:

🔹 Abwärtskompatibilität

Es gibt:

• alte Installationen
• Provider-Deployments
• tausende Setups mit VLAN 2–9

Eine Sperre würde bestehende Netze „sprengen“.

🔹 Multi-Vendor-Neutralität

IEEE 802.1Q erlaubt VLAN 1–4094.
UniFi darf offiziell keine IDs ausschließen, ohne sich selbst zu widersprechen.

🔹 „Works most of the time“

Aus UniFi-Sicht:

• 90 % der Nutzer haben keine Probleme
• die restlichen 10 % sind komplexe Setups
  (viele APs, VLANs, Fast Roaming, IoT)

Solche Randfälle landen selten in offizieller Doku.

5️⃣ Warum das Problem oft erst nach Jahren auftaucht

Das erklärt exakt die Beobachtung:

• Jahrelang stabil
• dann plötzlich instabil

Typische Trigger:

• UniFi OS / Network App Update
• neues AP-Modell
• neue Client-OS-Version
• Aktivierung von WPA3, 802.11r, Band Steering
• Umstellung auf Wi-Fi 6/7

➡️ Alte Konfiguration + neue Features = undefiniertes Verhalten.

✅ Best Practice (bewährt & reproduzierbar)

Was sich in der Praxis bewährt hat:

• VLAN 1: Management (oder bewusst leer)
• VLAN ≥ 10: produktive Netze
• klare Nummernlogik:
  • 10–19: Management / Infra
  • 20–29: Clients
  • 30–39: IoT
  • 40–49: Gäste
• SSID-Namen:
  • keine Leerzeichen
  • keine Sonderzeichen
  • nur a-z, 0-9, _ oder -

🧩 Fazit

Das Verhalten ist kein Mythos, sondern das Resultat aus:

• historisch gewachsenem Code
• fehlender strikter Validierung
• komplexem WLAN-VLAN-Mapping
• modernen Roaming-Mechanismen

UniFi dokumentiert es nicht, weil es:

• offiziell „nicht verboten“ ist
• nur unter bestimmten Bedingungen auftritt
• schwer reproduzierbar ist

Aber:
Wer VLAN-IDs ab 10 verwendet, vermeidet eine ganze Klasse subtiler Fehler.

In einer reinen Unifi Umgebung sollte man die VLAN ID eigentlich problemlos ändern können, hab ich schon mehrfach gemacht. Wichtig ist halt, das wirklich alle Infrastruktur Links (Router-Switch, Switch-Switch, Switch-AP) beidseitig auf nativ: Default und getagged Allow All steht. Dann sollte das reibungslos gehen. Das würde ich wohl als erstes angehen.

Kommt da irgendeine Fehlermeldung oder was bedeutet "Es lässt sich gerade nicht ändern"?

Die Idee mit einer fehlerhaften SSID Verarbeitung einiger Clients kann man also streichen, da keine identische Verschlüsselung genutzt wird. War auch nur so eine Idee und gehört oder gesehen habe ich sowas auch noch nicht, was aber ja in der IT Welt nichts heißt ... Ich sag nur Exoten.

Die SSIDs sind nicht optimal benannt, aber die Clients scheinen zumindest erstmal keine Verbindungsprobleme zu haben, was ja dann meist das Resultat wäre. Würde ich dann nach den VLANs in Angriff nehmen, nach und nach. Da kann man ja prima parallel eine neue SSID aufspannen und dem VLAN zuweisen und die alte SSID löschen, wenn alle Clients umgezogen sind.

Quote from ꧁𓊈𒆜 ƁєηLυє 𒆜𓊉꧂

Wer VLAN-IDs ab 10 verwendet, vermeidet eine ganze Klasse subtiler Fehler.

Jau, das ist die Kurzfassung des ganzen.

Aber ne gute Infoquelle hast gefunden , einige interessanter Sachen drin.

Ich hab die Probleme bei mir nie gehabt, weil ich direkt aufgrund der Infos damals mit VlanID ab 10 gestartet bin und auch aufgrund meiner Tätigkeit als Admin das Problem mit Leerzeichen in Namen zu genüge kenne.

Ich hab gerade mal bei mir geschaut, ich kann die VLAN-ID ändern und auch den VLAN-Namen, aber ich muss dazu sagen, ich verwalte meine VLAN's nicht mit einem Unify-Router sondern ne externen Firewall, Unifi ist dann auf "Third-party gateway" eingestellt und nutzt das nur für die Switchport-Profile usw.

Die Geräte sollten problemlos die VLAN IDs anpassen können. Was nur nicht passieren darf, ist dass irgendwo die neue ID nicht übertragen wird, weil man die getaggten Netze auf Custom mit eigener Auswahl begrenzt hat, was ja hier und da durchaus legitim ist.

Quote from sunzi

Das Feld mit der ID, um sie zu ändern ist schlichtweg ausgegraut, ich kann gar nichts eingeben. Eingeben schon, sobald ich aus dem Feld gehe steht wieder die alte ID da. Als Admin bin ich in der Konsole eingeloggt.

Nur ne Vermutung: löschen mal das VLAN aus der WLAN-Konfig raus, und versuche dann die ID zu ändern.

Wenn das nichts funktioniert, würde ich die VLAN löschen und neu erstellen, weil die Clienst must du eh manuell dem neuen VLAN bzw. WLAN dazu zuweisen.
Zwei VLAN mit selben IP-Range wird vermuttlich nicht funktionieren - dann kannst di 5 Min Aufwand direkt machen.

2 VLANs mit gleichem IP Subnet gehen nicht. Der IP Bereich hat nichts mit der LaN ID zu tun. Kann man beides frei konfigurieren. Das VLAN darf halt kein "Auto Range irgendwas" Haken haben, dann macht Unifi das ja automatisch und die zählen einfach nur beides hoch.

Zwei oder mehr SSIDs in ein VLAN hängen, geht problemlos.

Ja genau so. Und dann ist hoffentlich der VLAN Spuk der WLAN Clients auch beendet.

Moin,

Verstehe ich das richtig, es geht nur um die Vlan ID , nicht die IP Range oder?

Habe meine IDs alle geändert (jeweils ne Null dran)

Ja, nur die VLAN IDs
Starte zur Not einmal alle Komponenten durch, falls da irgendwas nicht sauber provisioniert wird.