Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Es gibt 25 Antworten in diesem Thema, welches 6.446 mal aufgerufen wurde. Der letzte Beitrag () ist von Mbr74.
Ich möchte einen U6-Mesh im Garten postieren. Habe aber in den Einstellungen gesehen das ich nur 4 Wlan am AP ausstrahlen darf damit ich diesen als Mesh einbinden kann.
Momentan habe ich aber 8 Wlan. Die Roten möchte behalten.
Ich möchte nun die Clients von den Nicht mehr verwendeten Wlans in das MBR-Wlan einbinden, aber die dazu verwendeten Vlans weiter benutzen. Ist das überhaut möglich oder sinnvoll.
Nein, das funktioniert nicht. Ein WLAN arbeitet erstmal immer auf genau einem VLAN. Generell ist es auch ratsam, die Zahl der WLANs klein zu halten, weil die sich gegenseitig natürlich die Bandbreite wegnehmen.
Mehrere VLANs pro WLAN bekommst du nur mit Radius hin, da soll das möglich sein. Das ist aber "höhere Magie", damit habe ich auch noch keine Erfahrung gesammelt ...
Mehrere VLANs pro WLAN bekommst du nur mit Radius hin, da soll das möglich sein. Das ist aber "höhere Magie", damit habe ich auch noch keine Erfahrung gesammelt ...
Richtig, mit Radius kann man das lösen.
Ich habe hier 7 VLANs:
mit nur 3 SSIDs.
Ich habe dafür hier im Wiki zwei Artikel erstellt:
Wifi: UniFi Allgemein | Radius Server mit 802.1x- und MAC-Authentication im WLAN einrichten
Ethernet: UniFi Allgemein | Radius Server mit MAC-Authentication an den Switchen einrichten
Klar, MAC Adressen sind spoof-bar. Aber diese Lösung bietet so viele Vorteile, dass ich keine Möglichkeit mehr sehe, auf Radius zu verzichten. 
Zwei Baustellen habe ich hiermit noch offen:
Wenn du zu den letzten beiden Punkten etwas herausfindest, kannst du es gern im Wiki ergänzen.
Welche Geräte hast du denn im Einsatz?
UDM(-Pro/SE) kann Radius von Haus aus. Wenn du keine UDM hast, müsstest du dir bspw. einen Freeradius Server einrichten und diesen in deine Unifi Network Application einbinden.
Viele Grüße Hoppel
Auch wenn das vielleicht über Radius irgendwie machbar ist, würde ich Deine Netze noch mal durchdenken. Brauchst Du wirklich alle VLAN als WLAN ausgestrahlt?
Ansonsten wäre noch zu überlegen - musst Du alle WLAN auf allen AP´s ausstrahlen.
Wenn Du wirklich alles so brauchst, kannst Du immer noch den einen oder anderen AP zusätzlich aufhängen und dann macht jeder 4 WLAN.
Brauchst Du wirklich alle VLAN als WLAN ausgestrahlt
Das ist die Frage welche Vlans ich brauche oder möchte.
Momentane VLAN was ich verwende.
Bribstylgast --> ist für meine Frau ihr Wollstudio im Keller für Gäste wird nur am AP Keller ausgestrahlt. Wlan BrbstyleGast
Emma --> für meine Geräte meiner Tochter alle AP Wlan Emma
MBR-Gast --> für alle meine Gäste. Auch alle AP Wlan Gast
IOT --> für alle IOT Geräte. Auch alle AP Wlan IOT
Kamera --> Für meine 4 Kameras alle AP Wlan Kamera
LAN --> für alle Unifi Geräte PC, Drucker, NAS und meine Wlan Geräte Handy usw. alle AP Wlan MBR
Media --> Hier sind meine Ganzen Alexas, TV Wlan Radio, Boxen, SAT usw. alle Wlan Media
LAN --> für mein Backup NAS Wlan Netgear (Versteckt)
Möchte auch noch für meine Drucker, Unifi Geräte und WLAN MBR ein eigenes VLAN erstellen.
Diese VLANS und mit Radius für WLAN MBR verfügbar machen.
Ausser das IOT Wlan. Das soll auch sein eigenes VLAN verwenden.
Möchte auch auf 4 WLAN reduzieren. MBR-WLAN, IOT und die 2 Gäste.
Sind das zu viele VLAN, oder wie würdet ihr es handhaben.
Hier noch eine Frage?
Wenn ich die Drucker in einem eigenem VLAN habe sehe ich dann die in den anderen VLAN oder muss ich das VLAN explizit in der Firewall freischalten damit ich sie sehe in den anderen VLAN sehe.
Danke für den link im WIKI.
Wenn ich jetzt das Netzwerk auf MAC Authentifizierung umstelle mit den Zugehörigen VLAN. Muss ich hier alle Benutzer im bestehende WLAN auf einmal anlegen oder kann ich es schrittweise machen. Das heißt einen USER nach dem anderen anlegen. Oder wie soll ich am besten vorgehen.
Erstelle dir ein Wifi mit Radius MAC Auth aktiviert und ziehe einen Client nach dem anderen um.
Welche WPA Modus planst du?
Denk dran, nicht alle Clients unterstützen PMF.
Alles anzeigenDas ist die Frage welche Vlans ich brauche oder möchte.
Momentane VLAN was ich verwende.
Bribstylgast --> ist für meine Frau ihr Wollstudio im Keller für Gäste wird nur am AP Keller ausgestrahlt. Wlan BrbstyleGast
Emma --> für meine Geräte meiner Tochter alle AP Wlan Emma
MBR-Gast --> für alle meine Gäste. Auch alle AP Wlan Gast
IOT --> für alle IOT Geräte. Auch alle AP Wlan IOT
Kamera --> Für meine 4 Kameras alle AP Wlan Kamera
LAN --> für alle Unifi Geräte PC, Drucker, NAS und meine Wlan Geräte Handy usw. alle AP Wlan MBR
Media --> Hier sind meine Ganzen Alexas, TV Wlan Radio, Boxen, SAT usw. alle Wlan Media
LAN --> für mein Backup NAS Wlan Netgear (Versteckt)
Möchte auch noch für meine Drucker, Unifi Geräte und WLAN MBR ein eigenes VLAN erstellen.
Diese VLANS und mit Radius für WLAN MBR verfügbar machen.
Ausser das IOT Wlan. Das soll auch sein eigenes VLAN verwenden.
Möchte auch auf 4 WLAN reduzieren. MBR-WLAN, IOT und die 2 Gäste.
Sind das zu viele VLAN, oder wie würdet ihr es handhaben.
Hier noch eine Frage?
Wenn ich die Drucker in einem eigenem VLAN habe sehe ich dann die in den anderen VLAN oder muss ich das VLAN explizit in der Firewall freischalten damit ich sie sehe in den anderen VLAN sehe.
Ob und wieviele VLAN´s sinnvoll sind muss jeder selbst entscheiden. Aber zuviel ist halt auch nicht immer der letzter Weisheit Schluss.
Hier mal meine Gedanken zu deiner Aufteilung:
Bribstylgast würde ich entfernen und durch MBR-Gast ersetzen. Client Isolation für das WLAN aktivieren und gut ist.
Emma würde ich evt. auch auflösen und in LAN einbinden. Außer du hast spezielle Regeln für Sie aktiv.
IOT und Media würde ich zusammenlegen
LAN hier würde ich tatsächlich nur Drucker, PC, Handys etc. reinbringen.
Deine Unifigeräte sollten in der Regel per Kabel ans Netwerk angebunden sein und dann in einem eigenen Management Netzwerk hängen.
!!! Wie gesagt dass sind nur meine Überlegungen dazu und ohne deine Möglichkeiten (vor allem Richtung verkabelung) zu kennen ist das auch nur ins Blaue geschossen !!!
Bribstylgast würde ich entfernen und durch MBR-Gast ersetzen.
Das WLAN ist ein Wunsch meiner Frau, weist eh...........!!!
Ansonsten sind alle UNIFI Geräte mit Kabel angeschlossen.
Und mein NAS hängt auch noch am 4 Port der UDM.
Alle Anderen VLANS hätte ich in MBR-WLAN integriert. Nur das VLAN IOT für das WLAN IOT ist hier ja nur das 2,4 GHZ aktiviert und als Gast Netzwerk eingestellt. Client Isolation habe ich in keinem Wlan eingestellt. Gast ist ja wie Clientisolation?
Mit Radius ist es völlig egal, wie viele VLANs man hat, am Ende weist man dem Radius User lediglich eine VLAN ID zu und fertig. Wenn man dann noch clevere Firewallregeln hat, ist das eine Super Sache. Dazu gibt es hier im Wiki auch einen super Beitrag.
In das LAN würde ich wirklich nur Ubiquiti Komponenten packen. Damit das Mangement Netz der Komponenten frei von anderem Verkehr ist.
WPA2/3 ist super, wenn das bei dir sowieso schon läuft. Für Handys, Laptops, Tablets und Co würde ich auf jeden Fall ein eigenes VLAN erstellen. Drucker gehören ins IoT/NoT VLAN. Ansonsten schließe ich mich @KJL an.
Gruß Hoppel
Alles anzeigenMit Radius ist es völlig egal, wie viele VLANs man hat, am Ende weist man dem Radius User lediglich eine VLAN ID zu und fertig. Wenn man dann noch clevere Firewallregeln hat, ist das eine Super Sache. Dazu gibt es hier im Wiki auch einen super Beitrag.
In das LAN würde ich wirklich nur Ubiquiti Komponenten packen. Damit das Mangement Netz der Komponenten frei von anderem Verkehr ist.
WPA2/3 ist super, wenn das bei dir sowieso schon läuft. Für Handys, Laptops, Tablets und Co würde ich auf jeden Fall ein eigenes VLAN erstellen. Drucker gehören ins IoT/NoT VLAN. Ansonsten schließe ich mich @KJL an.
Gruß Hoppel
Das mit den Druckern in IoT ist auch ne gute Idee 
Meine Drucker ( 3 Stk.) sind alle mit WLAN verbunden. Ich hätte sie ins Normale LAN, wo auch meine Handys und PC sind gelegt. Denn wenn ich vom Handy was Drucken will brauch ich keine Firewall Regel um was zu Drucken. Oder liege ich falsch?
Der Gedanke dahinter ist halt dass Drucker einfach mit eine der größten Sicherheitslücken ist.
Im geschäftlichen Umfeld würde man die Drucker in ein eigenes Netz packen und dann die Druckaufträge über einen Printserver laufen lassen und nur die notwendigen Ports dafür freigeben.
Im privaten Umfeld seh ich das etwas weniger kritisch. Mein Drucker hängt bei mir aktuell auch noch im WLAN meiner normalen Geräte. Wenn ich mal Zeit und Muße habe und hier auch irgendwann nen kleinen Server stehen hab werd ich das vielleicht noch abändern.
Ich besitze ein Tablet welche bei Jedem einwählen ins Wlan eine Andere MAC Adresse Verwendet. Ändert nur die letzten sechs stellen. Kann ich dieses auch mit MAC Authentifizierung einbinden oder brauche ich dazu eine eigene Lösung.
Üblicherweise kann man diese privaten MAC Adressen in den Wifi Settings des Gerätes deaktivieren. Ist das bei dem Gerät nicht der Fall?
Was ist das für ein Gerät (Hersteller/Modell)?
Meine Drucker ( 3 Stk.) sind alle mit WLAN verbunden. Ich hätte sie ins Normale LAN, wo auch meine Handys und PC sind gelegt. Denn wenn ich vom Handy was Drucken will brauch ich keine Firewall Regel um was zu Drucken. Oder liege ich falsch?
Da liegst du richtig. Aber die Firewallregel dafür ist nicht wirklich schwer. Ich glaub, die war sogar auch Bestandteil des Firewallartikels hier im Wiki.
Was für Handys hast du denn im Einsatz? Wie druckst du, bspw. Apple AirPrint? AirPrint läuft bei mir über VLANs. Mein Brother Drucker ist allerdings per Ethernet verbunden, aber da auch per 802.1x Radius MAC Auth.
Was ist das für ein Gerät (Hersteller/Modell)?
Das ist ein Billig China Teil. Habe ich schon gesucht in den Einstellungen und nichts gefunden. Vielleicht kann ich noch etwas in den Entwicklungseinstellungen finden. Denke aber nicht.
Was für Handys hast du denn im Einsatz?
Keine Apple. Nur Android Oneplus und Samsung.
Drucke meistens über die App des Herstellers. Dell, Xerox und Kyocera.
Außer meine Söhne kommen und die haben nur Apple Teile und die Drucken über Airprint. Also sollen sie auch dieses können.
Das gute ist, dass du die VLAN IDs der Radius User jederzeit ändern kannst.
Du kannst die Geräte also komfortabel erstmal im selben Netz wie deine Endgeräte (Handys, Tablets, etc.) in Betrieb nehmen und anschließend wenn du mal Zeit hast, schiebst du die Drucker einfach in das andere VLAN und schaust, wie das funktioniert, baust die Firewallregeln, etc. Wenn es nicht funktioniert, änderst du die VLAN ID wieder zurück und alles ist wie vorher.
Man muss sich wirklich von dem Gedanken „ein VLAN = ein Wifi“ lösen. Vor allem wirst du eine ganze Menge Airtime sparen. Die ganzen Wi-Fi’s sorgen ja allein durch Ihre Existenz schon für Auslastung.
Gruß Hoppel
Das ist ein Billig China Teil. Habe ich schon gesucht in den Einstellungen und nichts gefunden. Vielleicht kann ich noch etwas in den Entwicklungseinstellungen finden. Denke aber nicht.
Wenn es so ein Billigteil ist, kann man sich evtl. auch einfach davon trennen… Oder du packst das Teil ins Gäste-VLAN ohne Radius MAC Auth…
Ich hätte WPA2/WPA3 genommen. Habe es momentan auch schon aktiviert und eigentlich keine Probleme. Das mit einem neuen WLAN Namen wollte ich eigentlich vermeiden. Aber wird wohl nicht anderes funktionieren. Außer ich lege mal eine Nachtschicht ein und lege alle Benutzer auf einmal an.
Du könntest natürlich auch in dem WLAN mit den meisten Clients Radius MAC Auth aktivieren. Dann würdest du dir zumindest ein Bisschen Aufwand sparen. Denk dran, du müsstest dann vorher die entsprechenden Radius MAC Auth User anlegen.
Du solltest aber in jedem Fall das WLAN verwenden, wo dir der Name am besten gefällt oder ein neues anlegen. Das wäre dann je nachdem wie du dir deine Zielkonfiguration vorstellst, ggf. das einzige WLAN, was quasi all deine Geräte zukünftig verwenden. Wenn du irgendwann einen anderen Wifi-Namen möchtest, müsstest du alle Geräte erneut umziehen…
Für alle aktuellen/zeitgemäßen Endgeräte würde ich an deiner Stelle aber ein WPA(3)-Enterprise Wifi anlegen. Das unterstützen alle aktuellen Macs, iPhones, Windows und Android Geräte. Dann kannst du jedem User in deiner Familie einen eigenen Account einrichten und die Personen können die Geräte mit diesem Account selbständig am Wifi anmelden. Alle Geräte eines Users, die WPA(3)-Enterprise unterstützen, melden sich dann mit einem Account am entsprechenden Wifi an.
Zu bedenken ist, dass du für jeden Radius MAC Client einen User anlegen musst. Heißt, du kannst zurkünftig nicht einfach nur das Wifi Passwort eingeben und fertig. Erst authentifiziert man sich am Wifi anschließend wird die MAC Adresse für die Auth am Radius verwendet.
Wenn du ein gänzlich neues Gerät am Wifi registrieren möchtest und die MAC Adresse nicht kennst, musst du die geblockte MAC Adresse entweder in den Logfiles ermitteln oder das Gerät einmalig am Gäste-Wifi anmelden und dort die MAC Adresse ermitteln.
Das ist also nicht ganz ohne.
Ich habe für die ganze Radius Thematik einen größeren Feature Request im offiziellen Ubiquiti Forum geschrieben:
Lasst gern euren Upvote da.
Ansonsten hatte ich hier hinterfragt, wie ich verhindere, dass sich ein MAC Adressen Radius User am WPA(3)-Enterprise Netzwerk anmeldet. Bisher leider ohne Antwort:
Gruß Hoppel
