Erfolgreich VLAN Umsetzung möglich nur mit UCK und 2 Switches?

Es gibt 10 Antworten in diesem Thema, welches 4.797 mal aufgerufen wurde. Der letzte Beitrag () ist von BavariaR.

    Bevor ich mir überhaupt den Kopf zerbreche wie man das ganze einrichtet wollte ich die Experten mal fragen ob man rein mit Switches und Cloud Key separate VLANS umsetzen kann in Unifi ohne dass dafür ein UDM benötigt wäre. Ich habe ein Vigor 2960 der mit VLAN auf Routing und Port ebene klar kommt was ich jetzt noch will ist den Switches mitzuteilen welcher Access Port in welches VLAN gehört plus tagging und welche Ports als Trunk Ports zwilchen Unifi Switches fungieren und ggf auf uplink zum Router.


    Es muss so robust sein dass wenn ich ein Client in ein Port einstecke der zu einem dedizierten VLAN gehört dieser dann durch andere Unifi Switche geroutet wird zum Router wo er von dem korrekten Subnetz ein IP Adresse bekomme etc..


    Habe versucht zu suchen auf Unifi Dokumentation aber nicht konkretes gefunden weil die immer von heiler Welt alles Unifi ausgehen... kann mir jemand sagen ob das geht und ggf Dokumentation oder Youtube Videos empfehlen wo ich verstehe was ich konfigurieren muss


    Konkret möchte ich alle außen Kameras in ein separates VLAN bringen damit niemand mit Zugang zu LAN Kabel außen auf mein Kern Netz zugreifen kann. Also UNVR und Kameras in eigenes VLAN und Zugriff von Kern Netz auf Kamera VLAN aber nicht umgedreht.

    Sowas hatte ich gehofft aber war plötzlich nicht sicher weil das Haupt Lan was standardmäßig angelegt ist, dem kann man z.B keine VLAN ID zuordnen, nur neue LAN's kann man damit versehen. Ich finde es auch schade dass es keine allgemeinen Beschreibungen von Unifi gibt wie das VLAN Konzept funktioniert E2E betrachtet, alles ist nur punktuell beschrieben wenn überhaupt aber nicht im Kontext. Muss man sich alles mühselig durch herumexperimentieren aus den Finger saugen oder auf erfahrenen User hier hoffen.

    Ich will wie gesagt nur meine externen LAN Anschlüsse auf ein gesondertes und abgesichertes VLAN setzen aus dem Standard LAN soll man aber drauf zugreiben können. Der Router kann VLAN und auch Routing zwischen den VLANs... nach ANlage von neuem LAN CAM mit VLAN 20 hat Unifi auch auf Switch Ebene wurde ein "Inter VLAN ROuting" Netz erstellt ohne dass ich das gewesen wäre mit Addresbereich 10.255.253.1/24... wo steht beschrieben zu was das gut ist?

    Ich verstehe weniger von der Frage als vorher :smiling_face:


    Zitat von BavariaR

    nach ANlage von neuem LAN CAM mit VLAN 20 hat Unifi auch auf Switch Ebene wurde ein "Inter VLAN ROuting" Netz erstellt ohne dass ich das gewesen wäre mit Addresbereich 10.255.253.1/24... wo steht beschrieben zu was das gut ist?


    Was genau hast du wie verbaut und eingestellt ? (Netzdiagram währe fein) Was für Switches hast genau ?

    Ist mir noch nicht untergekommen das Unifi selber ein Netz anlegt. Schon garnicht eins mit IP wenn kein L3 Device wie

    UCK/UDM vorhanden ist. Hast evt. ein USW Pro Model das L3 beherrscht also einen router eingebaut hat ?


    Die Ip wird bei Unifi im dem Fall benutzt um von dem Switch nach draußen zu kommen über ein Thirdparty Router (also in der Doku)

    siehe hier. Aber von automatisch anlegen steht da auch nicht aber bei den ganzen nicht sauber

    dokumentierten Geschichten würde es mich nicht wundern.

    Zitat von gierig

    Aber von automatisch anlegen steht da auch nicht aber bei den ganzen nicht sauber

    dokumentierten Geschichten würde es mich nicht wundern.

    Danke für den Link, genau in der Dokumentation steht dass dieses VLAN 4040 Netz automatisch angelegt wird wenn man ein Switch zum "VLAN ROuter" auswählt...

    Zitat
    Once the network with a UniFi switch set as the gateway router is created, an additional network is created automatically with the Inter-VLAN routing name. This network is used to route the traffic between the UniFi OS Console and UniFi switch with L3 Routing enabled. The network is assigned the 10.255.253.0/24 IP range and uses VLAN4040. The UniFi OS Console and UniFi switch will automatically create the necessary routes reach the networks present on the switch (including the default gateway route).

    Na ja gelesen habe ich da was aber verstanden habe ich nicht alles.

    Ich will eigentlich nicht dass die Switche anfangen Routing aufgaben zu übernehmen also habe ich als Routing Instanz erst mal beim anlegen der zusätzlichen Netze die Namen der switche rausgenommen. Soll alles hoch bis zum Router und der entscheidet basierend auf feinere Regeln welcher Verkehr wie miteinander reden darf. So ein Hilfs VLAN 4040 ist mir suspekt :smiling_face:


    Zudem habe ich jetzt noch ein potenziell ungewünschten Nebeneffekt erkannt von Unifi Switches die L3 Funktionen haben, das Thema DHCP. Ich Blick nicht mehr richtig durch wer jetzt die Adressen vergibt in den einzelnen Subnetzen (Einstellung DHCP Server). Standard mäßig schein die Konfiguration so zu sein dass auch Unifi in der Adressvergabe mitwirkt so sieht es für Basis Netz aus, welcher Switch... wahrscheinlich der an dem der client angeschlossen ist, wie wir das zwischen 2 Switchen koordiniert keine Ahnung.... möchte ich aber nicht.


    Experimentiere jetzt mit DHCP Relay und hoffe dass ich die Switche dazu zwingen kann sich in der IP Adresse vergabe rauszuhalten und das dem Router zu überlassen.

    Zitat von BavariaR

    Ich will eigentlich nicht dass die Switche anfangen Routing aufgaben

    Genau das ist das was eigentlich alle anderen wollen wenn sie sich einen L3 Switch kaufen. Vlan Traffic auf den Switches halten

    damit Server Vlan und Clients VLANS schön miteinander Sprechen können und die Leitung zum Router (also UDM/USG) frei bleibt.


    Wobei Unifi da wohl eigne Vorstellungen über die Umsetzung hat....


    Zitat von BavariaR

    nicht mehr richtig durch wer jetzt die Adressen vergibt in den einzelnen Subnetzen

    Jedes Netz das ein Gateway hat (also alles außer Vlan Only) hat „seinen“ DHCP server da sitzen wo auch

    das Gateway Interface ist. Bei aktiven L3 also auf dem Switch sonst auf der UDM.


    Schau mal hier da sind die typischen Probleme gelistet mit alternativen Lösungen direkt auf der Switch Konsole

    Ja so ganz aktuell ist die Beschreibung in den Forum unter dem Link nicht mehr weil mittlerweile tatsächlich eine Option DHCP Relay aufgetaucht ist in den Switch Konfigurationen. Auch wenn ich dir recht gebe dass man bei einem L3 switch gerne davon profitiert dass traffic lokal gehalten wird wenn große Mengen geschaufelt werden, um Konfigurationen einfach zu halten ist es für mich besser alles an einer zentralen Stelle (Gateway Router) zu machen. Dort entscheide ich welche VLANs wie miteinander kommunizieren.


    Was ich aber nicht störender finde ist dass Default mäßig jeder switch auch ein DHVP Server zu sein scheint... das ist doch irre, wenn ich mehrere Switches in Kaskade nutze blickt man ja nicht mehr durch wer welche Adresse vergeben hat für welches VLAN... Habe mal überall die DHCP Relay Funktion aktiviert... hoffe dass das klappt.


    Eigentlich ein Unding dass es keine ordentliche Dokumentation des ganzen gibt

    • Offizieller Beitrag

    Hallo BavariaR ,

    mir hat die Überschrift gefallen, daher habe ich nochmal alles gelesen, konnte aber die wichtigste Frage für mich nicht beantworten:
    Welche UniFi-Switche hast Du im Einsatz und möchtest Du mit dem Vigor 2960 verbinden?

    Habe einen USW-Pro48 per Gigabit Ethernet mit Vigor Router verbunden über den ich den gesamten Traffic fahre inklusive VLAN 20 für Kamera Netz. Der USW-Pro ist mit einem USW Pro 24 PoE per DAC 25G verbunden auch gesammter Traffic.


    Einige Ports speziell auf PoE Switch habe ich in das VLAN 20 Netz gelegt. DHCP habe ich auf beiden Switches per Relay auf den Vigor geroutet. Scheint jetzt zu gehen.


    Auf dem Vigor habe ich firewall regeln erstellt dass alle in das VLAN 20 rein kommen aber keiner aus VLAN 20 netz woanders hin außer Internet.