Gast-WLAN mit VLAN in existierendem Netz, keine Verbindung möglich

Es gibt 1 Antwort in diesem Thema, welches 2.191 mal aufgerufen wurde. Der letzte Beitrag () ist von vieledinge.

    Hallo zusammen,


    ich kämpfe hier grad mit einer Sache und weiß nicht so wirklich weiter.


    Folgender Aufbau:

    Ein bereits existierendes Netzwerk (z.B. 10.10.10.0/24) mit einer UTM (nicht UniFi), die leider keine WLAN-Verwaltung hat.

    Wir haben nun UniFi APs verbaut und auf einem Windows-Gerät den Controller installiert. Nun wird ein Gast-WLAN mit Segregation (explizit gewünscht, Trennung durch Regeln alleine genügt nicht), die einzige Möglichkeit hier ist natürlich eins mit VLAN. Ich hatte hier die 172.16.0.0/16 und VLAN 99 vorgesehen.

    Nun geht das ja offenbar nur, wenn ein USG vorhanden ist. Wir haben also ein USG besorgt, aber jetzt kriege ich das partout nicht so hin wie gewollt. Die USG soll NICHT die primäre UTM ersetzen, sondern lediglich im Netzwerk hängen und die für das Gast-WLAN benötigten Funktionen bereitstellen (z.B. DHCP). Wie kann man das umsetzen? Ich kriege das Gast-WLAN zwar eingerichtet, aber die Anleitung die ich dafür gefunden habe ist von 2016, das ist leider nicht mehr aktuell. Ich bekomme keine Verbindung ins Internet (nicht mal für den im Netzwerk festgelegten Gateway, auch nicht mit fester IP), und auch kein DHCP.


    Grüße

    Irolan

    N'Abend,


    ist das Thema noch aktuell? Wir haben das erst neulich ähnlich durchgespielt.


    • Unifi-WLAN ohne USG, Gateway ist ne Sophos UTM,
    • Unifi-WLAN-Controller läuft auf ner Linux-VM
    • Gäste-WLAN soll komplett in eigenes VLAN
    • Die Switche müssen managbar sein, d.h. man muss den Ports VLANs zuordnen können.
    • Basis-VLAN 10 (in Deinem Beispiel 10.10.10.0/24), da laufen standardmäßig alle Geräte drin, incl. des Unifi-WLAN-Controllers und der WLAN-AP. Die Ports auf den Switchen sind physisch dem VLAN 10 zugeordnet (untagged).
    • Gäste-VLAN 20, alle Switch-Ports, an denen WLAN-AP hängen, müssen zusätzlich das VLAN 20 zugeordnet bekommen (tagged). Gleiches gilt für die Ports zum Gateway.
    • Auf dem Gateway haben wir auf dem physischen Port ins LAN eine zweite virtuelle Netzwerkschnittstelle für das VLAN 20 definiert. Dort gibt man das entsprechende VLAN-TAG mit an und die macht auch Gateway, DHCP und DNS im VLAN, in deinem Beispiel mit 172.16.0.0/16.
    • Auf dem Unifi-WLAN-Controller muss man ein Netzwerk VLAN (oder Gäste-VLAN, falls das Gast-Portal genutzt werden soll) definieren, wo man ebenfalls das VLAN 20 zuweist.
    • Die Netzwerk-Definition weist man dann im Gäste-WLAN zu. Das wars eigentlich schon, wenn man KEIN Gäste-Portal nutzt. Die WLAN-AP können über das VLAN 20 kommunizieren und schicken den Gast-WLAN-Traffic entsprechend getaggt ins Netz. Der Gateway kann damit umgehen, entsprechend routen und macht DHCP und DNS im VLAN 20. Die AP und der Unifi-Controller müssen dazu garnicht in dem VLAN hängen, die verteilen nur die entsprechenden Konfigurationsinformationen.


    Bisschen fummeliger wirds, wenn auch das Gäste-Portal genutzt werden soll. Das hat zwei Nachteile:


    • Im Controller (oder im Portal?) muss der Hostname oder die IP angegeben werden, auf der das Portal erreichbar sein soll. Die IP muss natürlich im VLAN 20 liegen und dort erreichbar sein.
    • Damit das Portal im VLAN 20 erreichbar ist muss es einen Netzwerkverbindung in dem VLAN haben.


    Wir haben das so gelöst, dass wir auf dem WLAN-Controller einen zweiten Netzwerkport eingerichtet haben, der direkt ins VLAN 20 geht und auch eine 172er Adresse hat. Bei uns (Controller virtuell) haben wir das im VM-Host entsprechend konfiguriert (VLAN 20 getaggt) und der physische Anschluss auf dem Switch muss natürlich auch noch zusätzlich ins VLAN 20 getagged gesetzt werden. Bei einem physischen WLAN-Contoller würde ich eine zweite Netzwerkkarte einbauen und diese dann am Switch diesen Port das VLAN 20 auf untagged konfigurieren.


    Damit hat der WLAN-Controller das zweite Netzwerkbeinchen auf alle Fälle im Gäste-VLAN und das Portal ist damit dort erreichbar.