Gast-Netzwerk verliert Internetzugang

Hi,

wir haben von Anfang an Probleme mit dem Gastnetzwerk und dem Gästeportal gehabt. Das lief immer für ein paar Tage und war dann nicht mehr erreichbar. Als Folge hatten wir das Portal ausgeschaltet und ganz normal die WPA-Personal Passworteinstellungen übernommen. Das lief anfangs auch ganz ordentlich. Leider gibt es momentan keine Internetverbindung aus diesem Netzwerk heraus. Das Gast-Wlan ist mit dem Gast-Vlan verbunden, welches wiederum als Gast-Netzwerk eingerichtet ist. Ansonsten sind die Einstellungen Standard, so wie sich auch bei den anderen Vlans sind und funktionieren. Ich habe das Gast-Vlan und das Gast-Wlan schon neu aufgesetzt: Keine Verbesserung. Irgendwo ist der Wurm drin und ich weiß nicht wo...

Zitat von hama19

Na wenn Du das nicht weißt - wer dann?

Ich würde sagen, dann muss es auch gehen, nachdem was Du schreibst.

Was soll ich darauf antworten? Frage ja nicht zum Spaß.

Zitat von hama19

Oder Du lässt uns auch mal auf Deine Config schauen

Das werde ich später noch machen. Ist aber "out of the box" ein Standard-Gastnetzwerk. Vielleicht habe ich ja trotzdem irgendwo einen Haken übersehen. Manchmal wird man ja betriebsblind.

Zitat von hama19

Was mich wundert - Du schreibst es lief anfangs - was wurde am Netzwerk gemacht?

Ins blaue geraten - an der Firewall was eingestellt?

Firewall wurde bei Ersteinrichtung eingestellt und dann nicht mehr angerührt. Entweder dürfte es dann nie gehen oder eben immer. Das macht mich ja so ratlos...

Zitat von hama19

Das war ja auch mit einem Augenzwinkern versehen, das wir leider keine Glaskugel haben und wir zum Analysieren ein paar mehr Infos brauchen als die Aussage " Das Gäste-WLAN funktioniert nicht". Sorry, wenn wir uns da Missverstanden haben.

Alles klar. Wenn man genervt ist, kommt Ironie in schriftlicher Form manchmal nicht so rüber. Zumindest bei mir scheint das wohl so zu sein. Habs jetzt aber verstanden.

Hier mal ein wieder mal frisch aufgesetztes Gast-VLAN, das keinen Internetzugang ermöglicht. Traceroute geht nur bis zur .1. Das wars. Wenn ich im dazugehörigen Gast-Wlan ein anderes VLAN zuordne, läuft der Internetzugang einwandfrei. Es muss also am VLAN liegen.

Zitat von jkasten

Standardmäßig nimmt er die 2.

Die .1 ist doch das Gateway. Weiter kommt er nicht. oder was meinst du mit der 2?

Zitat von jkasten

Habe aber auch schon gelesen das Unifi mit einstelligen VLANs nicht so klar kommt.

Hatte schonmal die 10 probiert. Keine Verbesserung.

Sorry, hatte alte Screenshots eingefügt, deshalb jetzt nochmal neu. Anderes VLAN geht. Wechsel von Gast auf Unternehmen geht auch. Firewall-Settings für Gast-LANs sind default. Echt kurios. Aber danke fürs Mitdenken. Vielleicht finden wir den Fehler ja noch...

Habe auch gerade nochmal das Gast-VLAN auf einen Port am Switch gelegt und mein Notebook drangehängt. Es kriegt eine ordentliche IP-Adresse, Internet geht aber nicht. Werde es jetzt einfach mal mit einem Neustart versuchen. Sag ich meiner Mutter auch immer...

Leider auch nichts gebracht. Wäre ja auch zu einfach gewesen.

Für heute ist jetzt Feierabend. Habe jetzt übergangsweise aus dem Gastnetz ein Unternehmensnetz gemacht und das in der Firewall gegen die anderen Netze abgesichert. Wir brauchen das nämlich fürs Wochenende. Möchte natürlich trotzdem gerne wissen, warum das Gastnetzwerk mit Gasteinstellungen nicht funktioniert. Vielleicht hat ja noch jemand eine Idee.

Zitat von hama19

Ich habe auch noch mal Deine ganzen Einstellungen durchgeschaut und habe bei mir auch ein wenig rumprobiert, aber ich kann das nicht nachvollziehen. Was mir aufgefallen ist, bei mir fehlt die Regel 3008. Die kann ich auch nicht zuordnen, hast Du noch irgendwas aus der Gaststeuerung aktiv? Oder irgendwas anderes was mit Autorisierung zu tun hat?

Das wäre ein Ansatzpunkt.

Vielleicht hat ja noch jemand eine Idee?

Hi, sorry für die späte Antwort. Wir hatten hier über das Wochenende eine Veranstaltung, bei der ich rundum eingebunden und bei der auch das neue "Unternehmens-Gast-Netzwerk" genutzt wurde. Lief natürlich problemlos. Ist schon irgendwie komisch. Ich habe nochmal alle Einstellungen geprüft. Die Regel 3008 wurde automatisch vom System erstellt. Ich habe also jetzt nochmal ein Gast-VLAN erstellt und, siehe da, die 3008 ist nicht mehr da. Da ich auch vorher schon mehrfach ein neues Gast-VLAN angelegt habe, ist ja die Frage, warum die Regel 3008, die irgendwie seltsam scheint, jetzt plötzlich nicht mehr da ist. Die einzige Sache, die mir einfällt, die ich geändert habe, ist, dass ich in der Gaststeuerung die Gastrichtlinien deaktiviert habe, die ich versehentlich noch aktiviert hatte (hatte das bis dahin nur in den Einstellungen für Drahtlos-Netzwerke deaktiviert). Ansonsten habe ich keinerlei Änderungen durchgeführt. Spaßeshalber habe ich die Gastrichtlinien wieder aktiviert und ein neues Gastnetz angelegt und auch hier ist die 3008 nicht mehr automatisch vom System erstellt worden. Warum auch immer das so ist, weiß ich nicht. Jedenfalls ist das eine sehr aufmerksame Beobachtung gewesen und möglicherweise liegt genau hier der Fehler. Wir haben hier gerade noch eine Veranstaltung, in der das Gast-WLAN gebraucht wird, aber sobald die gleich fertig sind, werde ich das mal umstellen, also das GAST-Wlan mit dem neuen Gast-VLAN verbinden und schauen, ob es jetzt passt. Bin gespannt wie ein Flitzebogen.

Was ich jetzt schonmal festgestellt habe, ist, dass die 3008 direkt mit der Aktivierung der Gastrichtlinien in der Gaststeuerung zusammenhängt. Ich hatte die LAN-Eingehend-Seite in der Firewall aktualisiert und erst dann wurde die 3008 angezeigt. Lässt sich reproduzieren. Trotzdem scheinen wir hier etwas auf der Spur zu sein...

Konnte jetzt ein bisschen rumspielen. Es ist so, dass sobald in der Gaststeuerung die Gastrichtlinien (bzw. das Gastportal aktiviert) sind, die Regel 3008 in der Firewall gesetzt wird. Internetzugang ist dann nicht mehr möglich, wenn das Häckchen bei "Gastrichtlinien anwenden" in den Drahtlos-Netzwerk-Einstellungen nicht gesetzt ist. Hat man aber sowohl in der Gaststeuerung und in den Drahtlos-Netzwerk-Einstellungen das Gastportal aktiviert, kommt man über das Portal ins Internet. Mein Fehler war also, das Gastportal nicht auch zusätzlich in der Gaststeuerung zu deaktivieren. Ist es dort aktiviert, wird dieFirewall-Regel 3008 gesetzt (allow authorized and drop unauthorized), die auf die Autorisierung durch das Gastportal abzielt, diese aber nicht bekommt und so den Internetzugang blockiert. Es tut also genau das, was es tun soll. Das doppelte Häckchensetzen in zwei verschiedenen Untermenüs ist natürlich etwas verwirrend, aber so ist es halt. Jedenfalls ist mein Fehler gefunden. Dir hama19 vielen Dank für deinen Einsatz. Der Hinweis auf die Regel 3008 war für mich der entscheidende Hinweis. Das Thema ist damit für mich gelöst.

P.s.: Zur Info: Das Gastportal ist im Grunde klasse, kommt bei uns aber nicht damit zurecht, wenn mehrere Leute gleichzeitig versuchen, sich anzumelden. Daher habe ich das abgestellt. Eigentlich schade, denn so ein Gastportal finde ich grundsätzlich klasse.