Clients im Gastnetzwerk erhalten keine IPs

Es gibt 19 Antworten in diesem Thema, welches 4.365 mal aufgerufen wurde. Der letzte Beitrag () ist von KJL.

    Liebe Community,


    Gerät: Uni Ac AP Pro


    Steuergerät: Unif Application 6.5.55.0 als Controller im PC


    Kein Unfi Gateway installiert.


    Ich habe Unifi ac Ap pro. Ich habe zwei Netzwerke erstellt LAN und Gast.


    LAN wird über Radius vom DC authentifiziert. Außerdem erhält es IPs von DHCP vom Domänencontroller. Mein Domänencontroller fungiert als DHCP-Server.


    Gast-Netzwerk: Ich habe VLAnID 100 hinzugefügt, weil ich das in den Einstellungen für das drahtlose Netzwerk eingegeben haben muss, und ich habe das Gastnetzwerk hinzugefügt. Das normale LAN mit dem Unternehmen funktioniert gut, aber das Gastnetzwerk bekommt keine IP. Die Autorisierung der Gäste ist Voucher-basiert


    LAN DHCP (im Unifi Controller): Keine


    DC DHCP: 10.19.50.0/24


    Gast-Netzwerk: 172.16.0.0/24


    Wenn ich die Mac-Adresse meines DHCP-Servers prüfe und hinzufüge: Block LAN to WLAN Multicast and Broadcast Data


    Sowohl mein normales LAN Wifi als auch mein Gastnetzwerk werden nicht unterstützt.


    Ohne diese Überprüfung funktioniert mein normaler AP mit Radius-Server gut, aber der Gast erhält keine IP.


    Im Gastnetzwerk habe ich den Verkehr zu 10.19.50.0/24 und 192.168.50.0/24 blockiert.


    Screenshot hinzugefügt. Bitte helfen Sie mir.



    [IMG: https://img.community.ui.com/02c3740b-c0a7-4a6f-b846-1219de71a03f/questions/73d560bf-9f6f-4b2d-9560-cf066a3e49d7/2feeb5f9-6b79-4079-9dac-79820102758c]

    [IMG: https://img.community.ui.com/02c3740b-c0a7-4a6f-b846-1219de71a03f/questions/73d560bf-9f6f-4b2d-9560-cf066a3e49d7/f90ba66e-3d20-45f1-90a6-396e1a217d3f]


    Moin .muller

    Zitat von .muller

    Kein Unfi Gateway installiert.

    Ohne das kein DHCP


    Dein DC kann aber als DHCP auf für das Gästenetz fungieren wenn ich mich nicht irre

    Mein Projekt

    Nein, ich möchte, dass mein Gastnetz vollständig vom Hauptnetz isoliert ist. Ich möchte den Controller als mein Gast-DHCP. oder mit Dc, wie kann ich das machen?


    Dann brauchst du ein USG 3/4 / UDM / UDMP (SE) oder UDR


    Der Controller kann kein DHCP das macht das Gateway!


    Dein DC kann nur für das VLAN 100 den DHCP stellen - Läuft in der Firma bei uns genauso


    EDIT wie du den DC als DHCP anlegst muss ich mal schauen aber in der DHCP rolle legst du einen neuen Bereich an


    Hier findest du evtl mehr:https://www.virtualizationhowt…iguration-detailed-guide/


    Habe leider gerade keinen DC den ich mal zum testen nehmen kann

    Mein Projekt

    2 Mal editiert, zuletzt von amaskus () aus folgendem Grund: typo erweiterung

    Danke für die Antwort.


    Jetzt habe ich einen anderen Weg gefunden, aber es funktioniert immer noch nicht.


    Ich habe ein Gastnetzwerk in der Firewall erstellt und ein VLAN-Tag vergeben. Dafür habe ich einen Dlink-Switch verwendet. Wenn ich dasselbe VLAN-Tag in UniFI angegeben habe, erhält das Gastnetzwerk immer noch keine IP. Ich habe versucht, dass das Gastnetzwerk die IP von Pfsense bekommt, aber immer noch keine IP als Gastnetzwerk bekommt. Das normale Unternehmensnetzwerk funktioniert gut mit WLAN.

    Moin,


    Was macht der Dlink Switch genau ?

    Ist der managebar und kann mit VLAN umgehen ?


    Wenn du das Gastnetzwerk in der Pfsense erstellst musst du im Controller ein nur VLAN erstellen - Neue GUI Device Isolation / alte GUI neues Netzwerk mit option "Nur VLAN"


    und dann halt Wifi mit dem entsprechenden Netz.


    Das erstellst du nicht via Unternehmens oder Gastnetz im Controller

    Mein Projekt

    Ich kann amaskus bei allem nur beipflichten.


    Wenn es sich bei dem nicht näher benannten Switch um einen unmanaged handelt, dann kannst Du damit nichts anfangen.


    Und wenn Du kein UniFi-Gateway hast, dann musst Du im Controller die Netzwerke als VLAN-only erzeugen und die gleichen IDs vewenden wie auf Deiner Firewall (pfSense). Alle VLANs, wie Du verwenden möchtest, musst Du im Controller auch erzeugen.

    Ja, der Dlink-Switch ist L3-verwaltbar. Ich habe dieselbe VLAn-ID im Switch erstellt und 10 Ports für VLAN zugewiesen.


    Ich habe es nur mit VLAN versucht, aber das Gastnetzwerk bekommt immer noch keine IP.


    Option 1: Gastnetzwerk in PFsense und PFsense als DHCP-Server, im Controller ist DHCP nicht aktiviert. Keine IP erhalten


    Option 2: Gastnetzwerk in Pfesen DHCP Server deaktiviert, im Controller ist DHCP aktiviert, trotzdem keine IP. Danke

    Moin,


    Habe eben erst die Screenshots gesehen.


    Du musst als Netzwerk Purpose VLAN only auswählen - evtl musst du das Netz neu anlegen

    Zitat von .muller

    Option 1: Gastnetzwerk in PFsense und PFsense als DHCP-Server, im Controller ist DHCP nicht aktiviert. Keine IP erhalten

    Wenn du DHCP noch als Auswahl hast hast du vermutlich das falsche Netzwerkprofil ausgewählt.


    Zitat von .muller

    Option 2: Gastnetzwerk in Pfesen DHCP Server deaktiviert, im Controller ist DHCP aktiviert, trotzdem keine IP. Danke

    DHCP würde das Unifi Gateway machen nicht der Controller - da du keins hast geht DHCP via Unifi bei dir eh nicht

    Zitat von amaskus

    Dann brauchst du ein USG 3/4 / UDM / UDMP (SE) oder UDR


    Der Controller kann kein DHCP das macht das Gateway!

    Mein Projekt

    Zitat von amaskus

    Dein DC kann nur für das VLAN 100 den DHCP stellen - Läuft in der Firma bei uns genauso

    Nö, der DHCP-Dienst eines AD-Controller kann beinah unendlich viele Adressbereiche verwalten und auch mit getaggden VLans umgehen klick! Nur wozu braucht Ihr die immer eigentlich? Hat man eine vernünftige Netzstruktur, kommt man doch mit portbasiertern VLans aus und muss nur taggen, wenn man verschieden Bereiche z.B. über ein Backbone schicken muss. Man kann sich das Leben aber auch schwer machen :smiling_face:

    Zitat von bic

    Nö, der DHCP-Dienst eines AD-Controller kann beinah unendlich viele Adressbereiche verwalten

    Ja ich hab mich blöd ausgedrückt und meinte der DC kann in dem VLAN auch nur den DHCP machen und muss nichts anderes machen und ist nicht erreichbar :winking_face:


    Zitat von bic

    Nur wozu braucht Ihr die immer eigentlich?

    getaggte VLANs ?


    Management für den AP (Nativ) und tagged Wifi Business und Wifi Guest :winking_face: nur als Beispiel

    Mein Projekt

    Gefällt mir 1
    Zitat von amaskus

    Ja ich hab mich blöd ausgedrückt und meinte der DC kann in dem VLAN auch nur den DHCP machen und muss nichts anderes machen und ist nicht erreichbar :winking_face:


    getaggte VLANs ?


    Management für den AP (Nativ) und tagged Wifi Business und Wifi Guest :winking_face: nur als Beispiel

    Ok, einverstanden, dafür könnte man es gebrauchen, aber weitere Beispiele außer dem zwischen der Lohnbuchhaltung und dem Einkauf? Ich frage für einen Freund :smiling_face:

    Zitat von bic

    Ok, einverstanden, dafür könnte man es gebrauchen, aber weitere Baispiele außer dem zwischen der Lohnbuchhaltung und dem Einkauf? Ich frage für einen Freund

    Kein Problem :winking_face:


    Im Geschäftlichen Umfeld würde ich in etwa wie folgt unterteilen (Beispielhaft - nach dem realen Bedarf anzupassen)

    • Clients
    • Gast (Vollständig Isoliert)
    • Server
    • VoIP
    • DMZ
    • OT
    • CCTV

    Mein Projekt

    Danke 1
    Zitat von amaskus

    Kein Problem :winking_face:


    Im Geschäftlichen Umfeld würde ich in etwa wie folgt unterteilen (Beispielhaft - nach dem realen Bedarf anzupassen)

    • Clients
    • Gast (Vollständig Isoliert)
    • Server
    • VoIP
    • DMZ
    • OT
    • CCTV

    Oha, ich glaube, ich habe irgendetwas nicht verstanden :angry_face:


    Für mich waren VLans bisher immer die Möglichkeit, eine wie immer auch geartete physikalische Netzwerkinfrastuktur für mehrere, von einander getrennte idelle, daher virtuelle Netzwerke zu nutzen. Dies vor allem dann, wenn sich das physikalische Netzwerk eben nicht physikalisch trennend struktuieren lässt.


    Ein schönes Beispiel hierfür sind tatsächlich die sich auf einer Etage eines Firmengebäudes befindlichen Abteilungen Einkauf und Lohnbuchhaltung, welche über einen gemeinsamen Backbone mit dem Serveraum im Keller verbunden sind. Hier macht es dann durchaus Sinn, statt eine zusätzliche Leitung zu verlegen, zwei getrennte virtuelle Netze aufzuspannen, damit eben die Kollegen vom Einkauf sich nicht bei den Kollegen von der Lohnbuchhaltung umsehen können.


    Von daher verstehe ich auch die Ambition, ein Gästenetzwerk zu separieren (wobei auch dies Makulatur ist, denn spätestens in einem wie auch immer gearteten Konzentrator ist damit Schicht im Schacht). Für alles darüber hinaus kann ich jedoch keine Notwendigkeit erkennen, warum zum Teufel, soll ich z.B. die Server und die Clients in jeweils getrennte VLans stecken?


    Grundsätzlich halte ich es ohnehin für besser, ein vernünftig strukturiertes, dienstneutrales, physikalisches Netzwerk zu installieren. Dann kann man alles patchen und mit Hilfe eines managbaren Switch schön mit Subnetzen arbeiten, falls dies erforderlich sein sollte. Auf die Komplikation mit getaggden IP-Adressen kann man dann verzichten.


    Aber wie heißt es so schön - jedem Tierchen sein Pläsierchen :smiling_face:

    Über das Thema Netzwerkstruktur kann man ja eh diskutieren bis man schwarz ist.

    Steck 3 Netzwerkadministratoren zusammen und du erhälst mindestens 6 Netzwerkkonzepte.


    Aber Server und Clients zusammen zu stecken ist halt nen Risiko was man eingeht.

    Wird nen Client gekapert kommt er halt ohne Umwege direkt zu den Servern. Da ist es dann doch angenehmer ne VLAN Trennung zu haben über die ich Regeln kann wer wohin geht.


    Und der Kostenfaktor ist halt auch nicht zu unterschätzen. Natürlich kann ich jedes Subnet physikalisch aufbauen aber die Frage ist immer ob man das will und ob man es bezahlen kann.

    Zitat von KJL

    Über das Thema Netzwerkstruktur kann man ja eh diskutieren bis man schwarz ist.

    Steck 3 Netzwerkadministratoren zusammen und du erhälst mindestens 6 Netzwerkkonzepte.

    Naja, einen Admin, welcher die EN 50173 und die ISO 11801 nicht kennt, gehört entlassen (oder zumindest nachgeschult) - denn da gibt es eigentlich kein vertun.


    Zitat

    Aber Server und Clients zusammen zu stecken ist halt nen Risiko was man eingeht.

    Wird nen Client gekapert kommt er halt ohne Umwege direkt zu den Servern. Da ist es dann doch angenehmer ne VLAN Trennung zu haben über die ich Regeln kann wer wohin geht.

    ??? Was verstehst Du unter "gekapert"? Kommt eine Client standardmäßig im Normalbetrieb auf einen Server (ob nun mit oder ohne VLan), kommt dies auch eine Schadsoftware, welche sich (wie auch immer) auf dem Client eingenistet hat, desgleichen gilt auch für einen unautorisierten Nutzer, VLans helfen dagegen nicht die Bohne, da müssen andere Schutzkonzepte her.


    Zitat

    Und der Kostenfaktor ist halt auch nicht zu unterschätzen. Natürlich kann ich jedes Subnet physikalisch aufbauen aber die Frage ist immer ob man das will und ob man es bezahlen kann.

    Klar, die Kosten :smiling_face: Den Meter Cat7 (und die brauchts nicht mal) bekommt man unter einen Euro.. Für den Preis eines Unifi Switchs (mit welchen hier immer so rumgeschmissen wird) bekommt man dann schon 300 - 1500m von dem Zeugs. Klar wird es im Altbau schwierig, aber dann nimmt man halt das Koax (was ja üblicher Weise schon seit Jahrzehnten in den Häusern liegt) und baut mit G.hn-Modems die Verbindung zwischen den Etagen auf. Hier dann je einen 30 Euro Switch (gern gemanagt) als Knoten und fertig ist die strukturierte (Etagen)Verkabelung.


    Man kann es natürlich auch viel, viel komplizierter machen :smiling_face:

    Zitat von bic

    Naja, einen Admin, welcher die EN 50173 und die ISO 11801 nicht kennt, gehört entlassen (oder zumindest nachgeschult) - denn da gibt es eigentlich kein vertun.

    Achso ja gut dann kannste geschätzt 70-80% der aktuell aktiven Administratoren zumindest in Deutschland direkt entlassen oder deren Nachschulungen koordinieren.

    Die Theorie ist die eine Sache die notwendigen Mittel um das ganze auch sauber umzusetzen ist ne andere Geschichte.

    Fängt schon bei der Thematik an dass ein Kunde mit 10 Leuten nicht bereit sein wird den gleichen Standard zu fahren wie ein Multikonzern.

    Davon mal ab nehmen wir noch die ganzen KMU´s die Ihre IT Jahrzehnte lang stiefmütterlich behandelt haben bzw. es heute immer noch tun.

    Zitat von bic

    ??? Was verstehst Du unter "gekapert"? Kommt eine Client standardmäßig im Normalbetrieb auf einen Server (ob nun mit oder ohne VLan), kommt dies auch eine Schadsoftware, welche sich (wie auch immer) auf dem Client eingenistet hat, desgleichen gilt auch für einen unautorisierten Nutzer, VLans helfen dagegen nicht die Bohne, da müssen andere Schutzkonzepte her.

    VLAN´s gehören zum Themenbereich Netzwerksegmentierung und eine Netzwerksegmentierung ist definitiv ein Teil eines umfassenden Sicherheitskonzeptes.

    Wenn Mitarbeiterpc´s und Server sich im gleichen Netzwerk befinden hat jeder Eindringling die Chance die Server direkt anzugreifen. Ziehe ich aber zwei VLAN´s auf und lasse aus dem Mitarbeiterbereich nur die notwendigen Ports ins Servernetz zu habe ich die Angriffsmöglichkeiten auf meine Server schonmal stark eingeschränkt.


    Du hast im übrigen den gleichen Vergleich mit dem Einkauf und der Lohnbuchhaltung angeführt.


    Zitat von bic

    Klar, die Kosten :smiling_face: Den Meter Cat7 (und die brauchts nicht mal) bekommt man unter einen Euro.. Für den Preis eines Unifi Switchs (mit welchen hier immer so rumgeschmissen wird) bekommt man dann schon 300 - 1500m von dem Zeugs. Klar wird es im Altbau schwierig, aber dann nimmt man halt das Koax (was ja üblicher Weise schon seit Jahrzehnten in den Häusern liegt) und baut mit G.hn-Modems die Verbindung zwischen den Etagen auf. Hier dann je einen 30 Euro Switch (gern gemanagt) als Knoten und fertig ist die strukturierte (Etagen)Verkabelung.

    Je größer der Einsatzbereich ist umso höher werden die Kosten. In deiner Ausführung fehlt jeglicher Gedanke daran dass es auch jemand machen muss und dieser jemand bezahlt werden muss. Zusätzlich kommen noch Kosten für evt. Schlitze stemmen, Deckenpanele runterholen und wieder dran machen, etc.

    Aktuell gibt es eigentlich kaum noch Argumente die tatsächlich dafür sprechen würden jedes Netz physikalisch getrennt aufzuziehen.

    Moin,


    Zitat von bic

    EN 50173 und die ISO 11801

    Das ist OSI Layer 1 - alles was physikalisch liegt sollte danach gemacht werden.


    VLAN ist OSI Layer 2 - steht also auf einem anderen Blatt Papier was nicht gegen die EN und ISO ist.


    Wenn ich in nem Büro jetzt jeden Arbeitsplatz mit 2 LAN Anschlüssen (PC und VoIP) versehe dann bin ich mit Einbau und Messung usw am ende wesentlich über den kosten von einem Managebaren Switch in der passenden Größe. Plus die Firewall mit 10+ eth interfaces zu einem bezahlbaren Kurs will ich auch noch sehen



    Zitat von KJL

    Ziehe ich aber zwei VLAN´s auf und lasse aus dem Mitarbeiterbereich nur die notwendigen Ports ins Servernetz zu habe ich die Angriffsmöglichkeiten auf meine Server schonmal stark eingeschränkt.

    Es gibt firmen die Hosten sogar n Webserver selbst - da musst du abtrennen aber auch das würde ich nicht physikalisch machen

    Zitat von KJL

    Aktuell gibt es eigentlich kaum noch Argumente die tatsächlich dafür sprechen würden jedes Netz physikalisch getrennt aufzuziehen.

    Ich lege in meinem Haus jetzt auch nicht 5 Kabel ins Arbeitszimmer - Clients, VoIP , Homeoffice 1, Homeoffice 2, Drucker

    Vor allem wenn ich von 9-5 das für die Firma nutze und danach Privat :winking_face:


    Geht per VLAN recht einfach

    Mein Projekt

    Danke 1

    Die einzige Lösung, die ich gefunden habe, ist USG Gateway. Ich werde nächste Woche USG Gateway oder Dream Machine Pro bestellen. Ich hoffe, das hat mein Problem gelöst.

    Zitat von .muller

    Die einzige Lösung, die ich gefunden habe, ist USG Gateway. Ich werde nächste Woche USG Gateway oder Dream Machine Pro bestellen. Ich hoffe, das hat mein Problem gelöst.

    Ich hätte noch mein USG-3-P über falls du Interesse dran hast.