Netzwerke und Profile

Moin. Normal gibt man die Gateway Adresse an: 192.168.2.1/24 in diesem Fall.

Für die anderen Fragen braucht´s mehr Infos über Dein Netzwerk-Setup.

Zitat von Naichbindas

Ich kann keine weiteren Netzwerke anlegen. Wenn ich unter Netzwerke ein neues anlegen will, das nenne ich zum Beispiel "Test" und die IP 192.168.2.0/24 nehme, Vlan ID 10, dann auf Speichern gehe dann kommt die Meldung das diese IP kein gültiges Subnetz sei und das Netz wird nicht angelegt.

Zitat von Peterfido

Moin. Normal gibt man die Gateway Adresse an: 192.168.2.1/24 in diesem Fall.

Für die anderen Fragen braucht´s mehr Infos über Dein Netzwerk-Setup.

Damit dürfte 1. klar sein. Du musst an der Stelle Deine Gateway-IP angeben, nicht die Netzwerkadresse. Diese (GW-IP) muss natürlich nicht die erste verfügbare im VLAN sein, sollte es aber, damit das Gateway bei einer möglichen Vergrößerung des VLANs nicht auf einmal "irgendwo mittendrin" liegt.

Zitat von Naichbindas

Und mein zweites Problem ist, wenn auf Profile gehe, dort auf Switchports, dort kann ich nix auswählen.

Weder Profilname noch ob POE, Natives Netzwerk, Tagged Netzwerke und so weiter.

Könntest Du hierzu einen Screenshot posten?

Falls ich Dich dennoch richtig verstanden habe: Du kannst erst Switch-Ports mit Profilen versehen, wenn Du mehr als eines hast. Dafür brauchst Du aber mindestens ein weiteres VLAN, und das konntest Du bisher nicht anlegen.

Zitat von Naichbindas

Und zu guter Letzt: wenn ich IPv6 einrichten will wähle ich ja im Netzwerk "Präfix-Delegierung" aus und unter "IPv6 Präfix-Delegierungsschnittstelle" ist WAN ausgewählt.

Trotzdem kommt die Meldung immer um DHCPv6 nutzen zu wollen muss eine "IPv6 Präfix-Delegierungsschnittstelle" konfiguriert sein.

Hierzu kann ich mangels Kenntnis keine Aussage treffen. Irgendwo muss der Prefix delegiert werden. Das hatten wir hier aber in einem anderen Thema schon - habe ich zumindest so in Erinnerung. Ich habe es aber wegen IPv6 für mich "ausgeblendet".

Meine erste Empfehlung bzgl. der VLAN-IDs ist: +10. Es wird empfohlen als erste eigene VLAN-ID die 10 zu verwenden.

Es gibt ja keine technische Abhängigkeit zum IP-Adressraum.

Was kannst Du denn da nicht wählen? Oben ist PoE/PoE+ ausgewählt und unten als natives Netzwerk Drucker - Heimnetzwerk (4).

Oder lässt Du Dir nur die Konfiguration des Netzwerkes Drucker - Heimnetzwerk (4) anzeigen? Dann ist das das VLAN, welches Du unter Settings --> Networks (classic UI) erstellt hast. Anzeigen heißt nicht ändern und die aufgeführten Einstellungen kannst Du auch für die VLANs nicht (via GUI) anpassen. Ich weiß aber auch nicht, ob das überhaupt möglich und nötig ist. Wenn Dir das Profil, welches beim Erstellen des VLANs automatisch erzeugt wurde nicht passt, dann musst Du eben ein neues erzeugen. Unterhalb der Liste ist der Knopf dafür. Aber mach' es Dir selbst nicht zu kompliziert.

Was möchtest Du denn ändern?

Wie Du Dir vorstellen kannst kenne ich bei Weitem nicht alle Videos, welche über die Konfiguration von VLANs im UniFi-Umfeld berichten.

Wenn es aber so ist wie Du beschreibst, dann stimme ich dem zu, dass das erste neue VLAN die ID 10 haben sollte. Das spart ärger und kostet nix.

Zu der Konfiguration den VLANs: wenn es sich auch hier wie von mir beschrieben verhält, dann kannst Du hier nur gucken, aber nicht anfassen (ändern), da es sich hierbei um das Profil zum VLAN handelt.

Wenn Du die Einstellungen im Profil anpassen möchtest, dann musst Du Dir eben - wie oben geschrieben - ein neues mit / nach Deinen Wünschen erstellen. Aber: KISS (Keep It Simple and Small). Ich würde den Aufwand nicht betreiben, zumal mir nach wie vor der Nutzen nicht klar ist.

Schau' Dir mal RE: VLAN hinter Sophos zum Thema tagged / untagged an.

Zitat von Naichbindas

Das mit dem einrichten habe ich jetzt auch hinbekommen. Nur was mir nicht ganz klar ist, muss ich unter Domainname was eintragen und wenn ja was muss da rein? Und was muss bei DHCP Unifi Controller rein ? (Dhcp Option 43 wird aktiviert)

Hier (Domain Name) bist Du fast frei in der Wahl. Die angegebene Domain sollte nicht auch im Internet existieren, denn diese wäre dann nicht mehr zu erreichen, z.B. home.com. Die Idee dahinter ist, dass ein Host, z.B. razor, den dort benannten Domain Name als "Suffix" erhält und das System dann THEORETISCH unter razor.home.local zu erreichen wäre - WENN, ja WENN das mit dem DNS sauber funktionieren würde bei UniFi --> ein pi-hole ist eine echte Alternative . Bei mir ist das Feld für die DHCP-Option 43 mit DHCP Network application beschrieben. Ich habe das in allen meinen VLANs leer gelassen, da ich mir dabei nicht sicher bin und alles (auch?) so funktioniert. Auch das I bringt mir nicht mehr Weisheit. Vielleicht muss man die IEEE oder eine andere Institution bemühen auf der Suche nach einer Antwort - Google reicht wahrscheinlich auch.

Zitat von Naichbindas

Ach und noch was. Das LAN Netzwerk wa ja von anfang an vorgegeben ist von Hause aus, die sol ich laut Anleitung nur nutzen um Unifi Geräte ein zu binden also Geräte, und Endgeräte kommen dann nicht in das Netzwerk sondern in meine neu erstellten Netzwerke (VLAN).

Sollte ich dann dieses Netzwerk auch eine VLAN ID vergeben oder brauches dieser nicht ?

Die WAN Anschlüsse sollen ja keine VLAN ID bekommen, das wurde mir schon im Forum mitgeteilt.

So habe ich es auch gemacht: hier befinden sich nur mein USG, der Controller (CloudKey), meine Switches und der AP.

Dem default-LAN kannst und brauchst Du keine VLAN-ID mitgeben, denn die ist schon vorbelegt - überlicherweise mit dem Wert 1. C.I.S.C.O. und andere namhafter Hersteller machen das auch so.

An den WAN-Anschlüssen können meines Wissens nach nur IDs vergeben werden, wenn diese auch die PPPoE-Einwahl übernehmen, sollten aber ENTWEDER im Modem ODER im Gateway gesetzt sein. Beide Stellen KANN gehen, keine Stelle wird NICHT gehen.

Zitat von Naichbindas

Zu guter letzt. Habe ich zum Beispiel ein Netz wo meine PC´s drinn sind, und eines für unsere Drucker.

Jetzt gehe ich von meiner UDM Pro mit einem Netzwerkkabel runter zu meinen Eltern und habe dort unten nur einen einfachen 4 fach 1GB Switch drann. Daran sind dann der PC und der Drucker. Wie bekomme ich das hin und was muss ich wie einstellen um den Drucker ins Drucker netzwerk zu bekommen und den PC in das PC Netzwerk, weil es geht ja nur eine Leitung nach unten.

Dafür gibt es VLAN-TRUNKs - UiFi nennt das Switch Port Profile. Damit diese aber funktionieren braucht es immer einen VLAN-fähigen - managebaren - Switch. Sobald auf der Strecke zum Endgerät ein unmanaged Switch installiert ist, hast Du an diesem Switch und auch an allen nachgelagerten nicht mehr die Möglichkeit mit VLANs umzugehen. Wenn der Switch zu / bei Deinen Eltern das nicht kann, dann kannst Du auch nur ein Neztwerk (VLAN) an dem 4-Port-Switch zur Verfügung stellen. Anders geht es nicht.

Einen wunderschönen guten Abend Naichbindas ,

es freut mich zu hören, dass es mir gelungen ist, die eine oder andere Wissenslücke zu schließen. Sehr gern.

Du hast ganz recht: beide Bilder sind für unterschiedliche Anwendungsfälle.

Im ersten Bild bekommt ein Client innerhalb "seines" Netzwerkes / VLAN eine IP-Adressreservierung. Das bedeutet, wenn immer sich der Client im entsprechenden Netzwerk / VLAN befindet bekommt er dieses Adresse. Da dieses Verfahren wie üblich auf der MAC-Adresse basiert, wäre es bei einem halbwegs aktuellen mobilen Gerät sinnvoll, die "private MAC-Adresse" zu deaktivieren, denn sonst meldet sich der Client ja immer mit einer anderen MAC und diese "Regel" funktioniert dann natürlich nicht. Bei meinen mobilen Geräten habe ich keine Reservierung vorgenommen. Meine Hardware / VMs bekommen auch immer "ihre" Adresse, da sie nicht lange genug aus sind (Lease Time).

Im zweiten Bild ist es so, dass Du den Netzwerkport entsprechend konfigurierst. Hier stellst Du ein, in welchem Netzwerk / VLAN ein angeschlossener Client sein soll. Hier könntest Du nun auch einen normalen (unmanaged) Switch anschließen und alle angeschlossenen Geräte sind dann im gleichen Netzwerk / VLAN. Das kann natürlich mit der Adressreservierung zusammen gemacht werden. Allerdings ohne RADUIS und die entsprechende Konfiguration (war in einem anderen Threat oder gar im wiki schon Thema) ist der Client erstmal in dem Netzwerk "gefangen", welches am Port konfiguriert ist. Das hat höchste Präzedenz - ohne RADIUS.

Hallo Naichbindas ,

wenn Du an einem Port einen Client betreibst und möchtest, dass dieser in einem bestimmten VLAN ist, dann solltest Du den entsprechenden Port auf das gewünschte VLAN stellen, denn sonst könnte man ja einfach am Client "umschalten" und wäre dann in einem Netz, in dem man nicht sein sollte. Auch deswegen sind Switches im Normalfall auch nicht für jedermann zugänglich.

Das Profil ALL (oder ein vergleichbares selbst erstelltes) sollte nur an den Up- und Downlinks (gilt auch für Access Point) zwischen Switchen anliegen, damit an beiden Seiten des Kabels mit VLANs (weiter)gearbeitet werden kann. Sonst hast Du den Fall wie zu Deinen Eltern: ein unmanaged Switch verhält sich wie ein Client und stellt nur ein NETZWERK / VLAN zur Verfügung.