Mehrere WLAN´s und mehrere Netze einrichten, Gastnetz einrichten, Verständnisprobleme

Es gibt 3 Antworten in diesem Thema, welches 5.063 mal aufgerufen wurde. Der letzte Beitrag () ist von usr-adm.

    Servus zusammen,


    ich möchte mehrer WLAN´s aufmachen die unterschiedliche Netze und unterschiedliche DHCP Server verwenden. Das sollte ja eigentlich nicht so schwer sein, aber irgendwie bekomme ich es mit den Unifi´s nicht gebacken. Wird wohl irgend ein Verständnisproblem sein, vielleicht könnt ihr mir auf die Spünge helfen.


    Das Netz sieht so aus.

    Als Router für den Internetzugang wird eine FB7590 genutzt. Als exposed host hängt an der FritzBox eine Sophos UTM SG-125 auf der das interne Netz, VOIP Netz, VPN, etc.pp. konfiguriert ist. Soweit läuft alles und muss auch so bleiben.

    Als WLAN-Lösung haben wir 8 UAP-AC-Lite Accesspoints die an zwei US-16-150W POE Switchen hängen. Konfiguriert wird alles über einen UCK-G2 Cloud Key. Eine USG-3 wäre auch noch vorhanden, ich weiß aber nicht ob wie die überhaupt benötigen da die Sophos ja alles macht was firewall und routing anbelangt.


    Derzeit hängen die Accesspoints und der ClodKey an den beiden Switchen die über Glas miteinander verbunden sind. Ein Switch ist weiterhin einfach mit einem anderen Switch im internen Netz verbunden und kommt darüber raus ins Internet.


    Das funktioniert so weit ganz gut fürs interne Netz. Aber ich bekomme es nicht hin weitere Netze einzurichten die dann auch den Weg raus ins Internet finden. In der Sophos habe ich da testweise auch mal kurz alles aufgemacht und mir die Logs angesehen um sicherzugehen das die nichts blockt.


    Also Wunsch wäre es folgende WLAN-Netze einzurichten:

    • Internes Netz 10.x.x.x
    • Gastnetz mit Captive Portal 192.168.10.x
    • Gastnetz ohne Captive Portal 192.168.20.x
    • FFW Intern 192.168.50.x
    • FFW Gast ohne Captive Porrtal 192.168.60.x


    Das interne Netz und das FFW intern kommen von der Sophos. Hier macht sie Sophos DHCP, DNS, Firewall

    Die ganzen Gastnetze könnte ich auch über die Sophos realisieren, da die aber untereinander keine Verbindung haben sollen/dürfen müssen die eigentlich nur einen Weg raus ins Internet haben. Evtl auch über einen eigenen Port auf der Sophos.


    Also

    • Sophos internes LAN <> Internes WLAN
    • Sophos FFW LAN <> FFW internes WLAN
    • Sophos Gast <> Gast-WLAN ohne captive portal
    • Sophos Gast <> Gast-WLAN mit captive portal
    • Sophos Gast <> FFW Gast-WLAN ohne captive portal


    Kann ich das so machen?

    Wie muss ich das anschließen/konfigurieren? Evtl. mit den drei Netzen von der Sophos evtl. mit VLAN´s direkt auf den Switch?

    Braucht es die USG3 überhaupt? Ich meine ich habe mal gelesen das es die USG braucht um zB mehrere DHCP´s einzurichten?


    Wie muss ich das mit den verschiedenen Netzwerken einrichten? Weiter Netzwerke verlangen bei der Unifi ja anscheinend immer ein VLAN.

    Ich habe es bei dem Unifi Controller leider noch gar nicht hinbekommen ein weiters Netz dann ins Internet raus geroutet zu bekommen. Da scheint es irgendwie am meisten zu haken.


    Ich hoffe ich konnte mein Problem genau erklären und ihr habt ein paar Tipps für mich wie ich das ganze ans Laufen bekomme.

    Vielen Dank schon mal.

    Nocki.

    Update bei Post #4


    Entweder Sophos oder USG.


    Auf der Sophos erstellst Du Deine Netzwerke + DHCP + DNS + Firewall und evtl. Deine VLANs.


    Auf dem Cloud Key bzw. im UniFi-Controller erstellst Du unter "Netzwerke" Deine Netzwerke vom Typ "Nur VLAN" (siehe nächster Schritt) mit den IDs von der Sophos bzw. die die Du verwenden möchtest.


    Anschließend WLANs erstellen und die passenden Netzwerke/VLANs auswählen.


    Auf den Switchen entsprechend Deine VLANs konfigurieren.


    Wenn Du bei "Drahtlos-Netzwerke" > WLAN > VLAN "LAN" wählst, muss der Switch-Port "untagged" im gewünschten VLAN konfiguriert sein und Du brauchst Deine Netzwerke unter Netzwerke nicht konfigurieren. (Der AP befindet sich im Netz vom VLAN)


    Wenn Du bei "Drahtlos-Netzwerke" > WLAN > VLAN "xxx" wählst, muss der Switch-Port "tagged" konfiguriert werden. (Der AP kann mehrere SSIDs in unterschiedlichen VLANs ausstrahlen und kann z.B. selber in einem Management Netzwerk sein.


    Info:


    Viele Funktionen vom UniFi-Controller, wie z.B. DHCP kannst Du nur in Verbindung mit dem USG nutzen.

    Ohne USG kommen DHCP und Firewall von der Sophos.

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs

    5 Mal editiert, zuletzt von usr-adm ()

    Gefällt mir 1

    Ich habe das jetzt mal so weit versucht. Auf der Sophos habe ich eine neue Schnittstelle Art: Ethernet-VLAN erstellt und ihr die VLAN-ID 50 gegeben. Dazu dann noch einen DHCP Server für die NIC eingerichtet. Auf dem Cloud-Key habe ich ein neues Netzwerk "Nur VLAN" FFW-Netz mit der VLAN-ID 50 erstellt. Auf dem Switch habe ich dann einem Port dem Switchport-Profil "FFW-Netz" zugeordnet. Den Port der Sophos habe ich mit dem entprechenden Port am Switch verbunden.

    Die Ports am Switch an denen die Accesspoints hängen sind auf Switchport-Profil "All" gestellt da diese ja die verschiedenen WLAN´s aussenden sollen.

    Bei Drahtlosnetzwerke habe ich ein vorhandenes auf das Netzwerk "FFW-Netz" gestellt. Eine VLAN-ID kann ich dort aber nirgends eingeben.

    Wenn ich mich jetzt mit dem WLAN verbinde bekomme ich keine IP, da stimmt noch etwas nicht.


    Ein neues WLAN-Netz einrichten klappt leider auch gerade nicht da ich unter "Erweiterte Optionen / Broadcasting AP´s" keine AP´s mehr auswählen kann. Den Haken bei "All AP´s kann ich nicht setzen weil das Feld ausgegraut ist. Wenn ich auf "Anzeigen" gehe werden mir zwar alle AP´s angezeigt und es ist auch vor jedem AP ein Haken, es ist aber alles ausgegraut und ich kann nichts an oder abhaken. Und Speicherm lässt es sich auch nicht da er eben mindestens eine AP-Group benötigt.

    Wie ich überhaupt einzelne AP-Gruppen erstellen kann hat sich mir leider auch noch nicht erschlossen. Ich kann da keine einzelnen Gruppen abspeichern. Auch bei den Vorhandenen WLANS bei denen ich die Haken bei All-AP´s setzen kann, sind unter alle AP´s anzeigen die Haken ausgegraut.


    Ich habe den Cloud Key und alles eben noch mal upgedatet und neu gestartet, hat aber leider nichts geholfen.

    Als erstes nochmal zur Info: Die gesamte Netzwerkkonfiguration findet auf der Sophos statt, der Cloud-Key ist (nur) für die Integration der APs und die Erstellung der SSIDs zuständig.


    Ich kenne die Sophos nicht im Detail, versuche es also allgeminverständlich zu erklären.


    Auf der Sophos Deine Netzwerke erstellen und Deine Einstellungen, wie DHCP, DNS, etc., konfigurieren.


    Sagen wir WAN=ETH0, Privat=ETH1, WLAN=ETH2, IoT=ETH3, Gast=ETH4 (Hier müssen, bei diesem Setup, keine VLANs konfiguriert werden, diese kommen erst auf dem Switch ins Spiel.)


    Deinen Switch mit 3 bzw. 4VLANS konfigurieren:

    Privat=VLAN1 (Default), WLAN=VLAN20, IoT=VLAN30, Gast=VLAN40


    Port 1 = untagged in VLAN1 (Privat)

    Port 2 = untagged in VLAN20 (WLAN)

    Port 3 = untagged in VLAN30 (IoT)

    Port 4 = untagged in VLAN40 (Gast)


    Die Ausänge (ETH1-ETH4) von der Sophos mit den passenden Ports auf Deinem Switch (Port 1-4) verbinden.


    Wenn Du jetzt weitere Ports entsprechend der VLANs untagged konfigurierst, sollten Deine Netzwerke funktionieren und Adressen vom DHCP bekommen und anhand der Firewall-Regeln miteinander kommunizieren dürfen.

    Port 24 wird tagged in allen VLANs und mit Deinem nächsten Switch verbunden, der entsprechend konfiguriert wird.


    Als nächstes kommt die Konfiguration des Cloud Key:


    Der Cloud-Key kommt untagged ins das Netz Privat (VLAN1).


    Unter Netzwerke die Netzwerke erstellen (Nur VLAN):

    WLAN=VLAN20

    IoT=VLAN30

    GAST=VLAN40


    Dein Privates Netzwerk bleibt einfach VLAN1 bzw. LAN auf dem CK.


    Anschließend unter Drahtlose-Netzwerke die SSIDs erstellen:


    SSID: Privat, WLAN, IoT, Gast


    Bei "Network" wählst Du das passende Netzwerk, was eigentlich nur die VLAN-Auswahl ist. Privat bleibt "LAN".


    Jetzt kannst Du auf Deinem Switch die Ports für die APs konfigurieren.


    z.B.

    Port 10: untagged in VLAN 1 und tagged in allen anderen VLANs


    untagged, damit der AP gefunden wird und tagged, damit er alle SSIDs in das entsprechende VLAN legen kann.


    Bei diesem Setup kannst Du Sicher sein, dass erstmal alles funktioniert und auf allen Ports dein Privates Netz vorhanden ist, wenn nicht anderes konfiguriert wird. Dies ist zwar nicht optimal, aber der erste Schritt, bis alles funktioniert. Man könnte dies noch mit einem Management-Netzwerk optimieren, wäre jetzt aber erstmal zu kompliziert.


    Du solltest auf jedenfall auf dem CK das "neue Benutzerinterface" deaktivieren. Warum All APs ausgegraut ist, kann ich Dir gerade nicht sagen. Unter der Liste gibt es in der "alten" Benutzeroferfläche aber den Punkt "Create New AP Group". Evtl. alles auf Werkseinstellung setzen und von vorne beginnen.

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs

    2 Mal editiert, zuletzt von usr-adm ()