Unify-Netzwerk mit VLANs - keine IP-Vergabe vom DHCP

Es gibt 16 Antworten in diesem Thema, welches 9.602 mal aufgerufen wurde. Der letzte Beitrag () ist von gierig.

    Hallo zusammen,


    ich mache mal die Vorstellung und mein Problem in einem Post und hoffe, dass das okay ist.


    Aktuell mache ich bei einem Kunden (habe nebenberufliches Gewerbe) meine ersten USG-Erfahrungen, da die Verwandtschaft des Geschäftsinhabers Unify beschafft hat. Ich soll das Ganze in Zukunft betreuen.

    Das Netzwerk besteht aktuell aus einem USG-3P, einem US-24-250W, einem UAP-AC-LR und einem UAP-AC-M und einem CloudKey.

    Im Netzwerk sind mehrere VLANs eingerichtet, die den Netzwerkverkehr verteilen sollen. Unter anderem gibt es ein VLAN nur für WLAN-Geräte, dieses wurde auf dem Netzwerk xxx.xxx.200.0/24 eingerichtet. Über den Switch hängen an zwei Ports die oben genannten WLAN-APs und diese Ports haben als Zuweisung das 200er VLAN bekommen.


    Ich habe jetzt das Problem, dass die mobilen Endgeräte, die sich an den AP anmelden, keine IP-Adresse vom dortigen DHCP-Server bekommen und somit keinen Access zum Internet haben. Ich finde den Fehler leider nicht und wollte hiermit um Unterstützung anfragen.


    Nachfolgend ein Screenshot von der Konfiguration des VLANs:


    Wenn weitere Daten benötigt werden, lasst es mich bitte wissen und verzeiht, wenn bei meinem ersten Beitrag nicht alle Infos auf Anhieb übermittelt sind.


    Danke

    TobiLei

    Ich mache es zwar so, dass die VLAN-Nummer immer die gleiche ist, wie das Subnetz, weil ich das übersichtlicher finde, aber das muss man nicht so machen.

    Von daher sieht das erstmal in Ordnung aus. Allerdings schreibst du, dass die Ports "das 200er VLAN" bekommen. Damit meinst du dann aber das abgebildete 192.168.200.0er Netz, das auf VLAN 201 liegt, richtig?


    Hast du mal Geräte per Kabel angeschlossen? Bekommen die dann vom DHCP eine IP?


    Wie hast du denn das WLAN konfiguriert? Hast du davon auch 'nen Screenshot?

    Hallo noexpand,


    vielen Dank erstmal für deine Rückmeldung.


    Geräte per Kabel habe ich aktuell nicht an dem VLAN angeklemmt. Ich bin aktuell nicht vor Ort und das wäre auch nicht ganz einfach, dahinzukommen. Das WLAN ist eigentlich unspektakulär :



    Unter Erweitert ist nichts besonderes eingestellt.


    Welche Optionen habe ich denn noch außer vorbeifahren und Testen mit kabelgebundenen Geräten ?

    Ist es richtig. dass der Port, wo die WLAN-AP dranhängen auch auf dem VLAN 200 läuft oder muss das anders sein ?


    Danke

    TobiLei

    Update:


    Ich habe jetzt aus Verzweiflung die Ports am Switch, en denen die AP hängen, zuerst auf "All" bei den VLANs gestellt (was natürlich zum Fehler führt), dann auf das primäre VLAN, wo auch andere Geräte dranhängen und dann wieder auf das VLAN 200. Was soll ich sagen, jetzt bekommt zumindest ein angemeldetes Mobilgerät eine IP-Adresse.

    Ich weiss nun leider nicht, an was das lag, denn die Konfiguration der APs habe ich schon xmal ohne Erfolg neu gemacht.


    TobiLei

    Zitat von TobiLei

    Ist es richtig. dass der Port, wo die WLAN-AP dranhängen auch auf dem VLAN 200 läuft oder muss das anders sein ?

    In der Regel lässt man alle Ubiquiti-Geräte im Management-LAN laufen (das ist das ohne VLAN-ID). Die Ports, an denen sie angeschlossen sind, bekommen dann alle LANs. Die APs werden ja zentral vom Controller verwaltet und sind intelligent genug, die verschiedenen VLANs den verschiedenen WLANs zuzuordnen.


    Außerdem: dein "VLAN 200" ist VLAN 201 mit dem Netz 192.168.200.0. Wenn der erste Screenshot richtig ist ...

    Hi,


    bitte verzeih meine Anfängerfragen, was genau bedeutet denn "Management-LAN"? Ich habe bei den Ports des Switch die folgende Auswahl :


    (im Screenshot ist der Uplink zum USG, Port 1 gezeigt).


    Der eine Port mit dem UAP-AC-LR sieht wie folgt aus :


    Kann es sein, dass ich ein generelles Problem bei den Netzwerken habe (die Netzwerke wurden von meinem Vorgänger designed) :


    PS.: Das oben beschriebene mobile Endgerät hat nun zwar eine IP-Adresse, kann aber laut Anwender trotzdem nix im Internet machen.-


    Danke

    TobiLei

    Zitat von TobiLei

    Ist es richtig. dass der Port, wo die WLAN-AP dranhängen auch auf dem VLAN 200 läuft oder muss das anders sein ?


    In deiner Einstellung also "VLAN 201" mit dem Namen "Lan 200 Extern" wird erwartet das

    der AccessPoint auf VLAN201 "Lan 200 Extern" als Tagged (also noch im VLAN Frame zugreifen kann)

    Das WLAN oder genauer die Bridge zwischen WLAN und dem L2 Port wird als solcher konfiguriert.


    Üblicherweise sind die AP Ports im Profil ALL (alle VLAN Tages außer #1 das ist das Native)

    Oder man weiß was man tut und erlaubt nur das Nötigste oder zugewiesene.

    Hallo gierig,


    danke für deinen Post.


    Da muss ich direkt mal fragen, weil ichs nicht verstehe - wie stell ich bei UI-Geräten "tagged" bzw. "untagged" ein ?


    Ich habe mal einen der AP auf das Profil "All" umgestellt, jetzt muss ich bis morgen warten, bis wieder WLAN-Geräte zum Probieren im Netzwerk sind.


    TobiLei

    Zitat von TobiLei

    Hi,


    bitte verzeih meine Anfängerfragen, was genau bedeutet denn "Management-LAN"?

    [...]

    "LAN 1 admin" ist dein Management-LAN. Es ist dasjenige, das keinen Eintrag in der "VLAN"-Spalte hat. Du solltest dafür sorgen, dass alle Ubiquiti-Geräte eine IP aus diesem Netz bekommen (192.168.1.0/24).


    Für das tagged/untagged muss man ein bisschen ausholen.


    Wenn auf einem Port nur ein VLAN liegt, ist dieses untagged. Bspw. kannst du einem Port dein Profil "Lan 200 Extern" zuweisen, dann liegt das VLAN 201 untagged dort an. Das bedeutet, dass die IP-Pakete an dem Port zwar alle zum VLAN 201 gehören, dies aber nicht an den Paketen dransteht.


    Wenn auf einem Port mehr als ein VLAN liegt (nehmen wir mal an: Lan 200 Extern und Lan 1 Admin), kann das so nicht mehr funktionieren, weil es ja eine Unterscheidungsmöglichkeit geben muss zwischen bspw. dem Management-VLAN und dem "Lan 200 Extern". Dann ist dein Lan 1 Admin untagged und dein Lan 200 Extern tagged. Das bedeutet, die IP-Pakete aus Lan 1 Admin tragen keine Kennzeichnung (Tag), die aus Lan 200 Extern tragen jedoch eine Kennzeichnung, dass sie zu VLAN 201 gehören. An dieser Kennzeichnung können angeschlossene Geräte (beispielsweise die APs) erkennen, zu welchem VLAN die Pakete gehören.

    gierig - naja, über die Art kann man sich streiten, aber ich versteh das grundsätzlich. Wer ist denn hier der Admin und wo kann man sich beteiligen ?

    noexpand - vielen Dank für die Erklärung zu tagged und untagged


    Das WLAN funktioniert jetzt übrigens dank der Hilfe hier - vielen Dank an alle Beteiligten!

    Hi,


    ich habe aktuell quasi genau das gleiche Thema.

    Auf meinem Switch (Ubiquiti EdgeSwitch ES-24-250W, kein Unifi Produkt!) sind diverse VLANs aktiv und für diese auch DHCP.

    Im wired LAN ist alles bestens, Clients bekommen IPs aus den DHCP Pools, DNS usw., Routing läuft wie gewünscht. Top.


    Nun aber zum wireless Teil...

    Mein Unifi Controller läuft in einer Proxmox VM in VLAN20 (192.168.20.0/24 Netz).

    Aktuell hängen im diesem VLAN auch meine 3 UAP-IW-HD APs und ich bekomme bei meinen erstellten WLANs keine IP vom DHCP oder andere merkwürdige Fehler, wenn Clients sich an einem der WLANs versuchen anzumelden (z.B. "Falsches Passwort", was so auch nicht stimmt...)

    Im Unifi Controller sind "Networks" entsprechend meiner VLAN Konfig auf dem Switch angelegt und das als Typ "VLAN Only".


    Die Sache mit dem Mgmt LAN hatte ich mir auch schon mehrmals überlegt, aber es stellt mich vor das Problem, dass ich meinen Unifi Controller nicht in diesen Adressbereich bekomme.

    Der Switchport, an dem Proxmox VE über sein Mgmt Interface hängt, hat PVID 20, nicht 1. Die VM, auf der der Unifi Controller läuft, ist auf dieses Interface gebrückt und daher im Adressbereich des VLAN20 und hier mit IP 192.168.20.4. Gebe ich also dem Switchport die PVID 1, erreiche ich Proxmox nicht mehr.


    Würde ich nun die drei APs mit einer IP aus dem Mgmt LAN (192.168.1.0/24) versehen, würde ich sie ja nicht mehr über den Controller in VLAN20 erreichen, da sich das Mgmt LAN (default VLAN 1) nicht routen lässt.


    Übersehe ich da aktuell einfach mittlerweile nur was simples oder wie kann man das Thema so lösen, dass ich 1. funktionierende WLANs basierend auf meinen VLANs erhalte und 2. meine UAPs via Unifi Controller managen kann?


    Besten Dank vorab!

    Die Antwort ist "42"


    Ganz ehrlich verstehe ich nicht alles was da steht. Ein Bild oder eine Zeichnung würde ich mit hier wünschen

    oder wenigstens eine Tabellarische Aufzählung der Anordnung.


    Aber soviel:

    Wenn ich es richtig verstehe:


    Switchport an den die AP angeschlossen sind:

    Natives VLAN 20

    +taggaed VLan für jedes weitere Netzwerk/WLAN


    Im Controller:

    Das erster nicht löschbare „Corporate“ (mit der VLAN1) ist dann quasi dein VLAN 20.

    in dem also dein 192.168.20.x/24). Der Controller weis ja nicht das das Native VLAN auf dem

    Switch nicht die1 ist und merkt das auch nicht. Du solltest bloß nicht Vlan 20 hinzufügen.

    Alle andern VLAN und das WLAN Mapping wie der Rest von deinem aussieht.

    Hi,


    habs gelöst, lag einzig an der fehlenden DHCP L2 Relay VLAN Konfiguration auf dem EdgeSwitch für meine VLANs , die auch DHCP bereitstellen.

    Jetzt bekommen auch die wireless Clients über ihre SSID eine IP vom DHCP des jeweiligen VLANs.


    Nichtsdestotrotz, in dem Zusammenhang: es gibt DHCP L2 Relay VLAN noch die (optionale) Möglichkeit die Circuit-ID und Remote-ID mit anzugeben.

    Kann das jmd. einfach erklären, was es damit auf sich hat?


    Danke!

    LOL, Schön das es geht aber:

    Zitat von iHaveAstream

    fehlenden DHCP L2 Relay VLAN Konfiguration auf dem EdgeSwitch für meine VLANs

    Widerspricht das nicht dem

    Zitat von iHaveAstream

    sind diverse VLANs aktiv und für diese auch DHCP. Im wired LAN ist alles bestens, Clients bekommen IPs aus den DHCP Pools

    Oder bezog sich den nun doch auf die andere Seite der Salami Scheibe ?


    Zitat von iHaveAstream

    Circuit-ID und Remote-ID

    Damit wird „Option 82" konfiguriert. Simpelst ausgedrückt liefert der Relay Agent dem DHCP server

    weitere Informationen um ihn bzw. dem eigentlichen Client Identifizierbar zu machen wo er den steckt

    um dann eine andere Antwort zu geben.


    z.B:

    Wird gerne bei WLAN Access Points verwendet. So könntest du z.b sagen das im

    192.168.1.0/24 die ersten 100 Adressen nur über die APs im Haus1 vergeben werden

    und die nächsten 100 nur über die AP im Haus2.


    oder:


    Im Haus 2 bekommen alle über den DCHP einen anderen Boot Server für PBX oder

    einen anderen DNS, Zeitserver, Gateway oder fürs Telefon eine andere

    Voice Vlan Config. oder was man halt noch so über DHCP Verteilen kann...