Kein Internet in neuem VLAN

Es gibt 6 Antworten in diesem Thema, welches 2.310 mal aufgerufen wurde. Der letzte Beitrag () ist von Nippy.

    Hallo zusammen,


    ich bin noch recht frisch in der Unifi Welt und habe mir ein USG geholt um damit mein Netzwerk in mehrere VLANs zu segmentieren.

    Aktuell habe ich folgende Komponenten.

    FritzBox --> Baut die Internetverbindung auf

    USG --> Sitzt zwischen meinem Netzwerk und der FritzBox (Transfernetz 192.168.0.0/24) --> NAT ist deaktiviert um ein doppeltest NAT zu vermeiden

    Mehrere managebare TP-Link Switche (alle können 802.1Q)

    Windows DC/DHCP/DNS

    Aufbau meiner Netze

    Mein "altes" Netz -192.168.170.0/24.

    Dort befinden sich folgende relevanten Geräte.

    • 192.168.170.24 - Pi-Hole
      • DNS Server der bei den Clients eingetragen ist. Ist nur fürs Filtern von Adressen da
    • 192.168.170.20 - DC / DHCP / DNS
      • Forwarder für den PiHole. --> Der eigentliche DNS Server im Netz
      • DHCP Server für 192.168.170.0/24 und später auch für die anderen VLANS
    • 192.168.170.1
      • USG --> Ist im DHCP auch als Router eingetragen

    Transfernetz - 192.168.0.0/24

    • 192.168.0.1 -> FritzBox
    • 192.168.0.2 -> USG (WAN)

    Clients - 10.20.0.0/16 - VLAN 20

    Das erste VLAN welches ich testen wollte ist für Clients und hat die Adresse 10.20.0.0/16 und die VLAN ID 20.

    Nun habe ich dieses soweit im Controller eingerichtet und als DHCP Mode "DHCP Relay" ausgewählt. Dort habe ich den DHCP 192.168.170.20 eingetragen.


    Im DHCP ist das Netz wie folgt eingerichtet.


    Was geht und was geht nicht

    Auf den Switchen habe ich an jedem Uplink Port das neue VLAN als tagged konfiguriert und bei meinem Switch hier am Schreibtisch habe ich einen Port mit dem VLAN unttaged konfiguriert.

    Wenn ich meinen Testclient anschließe funktioniert auf den ersten blick alles wie gewollt.

    Er bekommt die IP 10.20.1.0 von meinem DHCP Server. Hat als DNS ist die 192.168.170.24 hinterlegt. Gateway ist die 10.20.0.1.

    Die Namensauflösung funktioniert sowohl mit internen als auch mit externen Namen.

    Das Gateway, der DNS und die WAN Seite des USG (192.168.0.2) sind via Ping erreichbar.

    Alles was im Internet liegt aber nicht. Das USG scheint keinen Traffic dieses Netzes in Richtung WAN zu lassen.

    Wenn ich ein tracert google.de mache kommt dieser bis zum Gateway und danach ist Schluss. Eigentlich müsste als nächster Hop ja die Fritzbox kommen.



    Meine Vermutung liegt bei der Firewall. Allerdings verstehe ich es noch nicht ganz.

    Hat jemand eine Idee?


    Gruß


    Thomas

    ich würde mal klassisch auf die "rückroute" tippen, weiß deine fritzbox, dass sie die antwortpakete für das netz 10.20.0.0/16 an die usg zurückschicken muss (statische route auf der fb)? sonst schickt sie die nämlich an ihre standardroute (internet)... das ist der nachteil, wenn man doppeltes nat vermeiden will... :smiling_face_with_sunglasses:


    versuche es mal mit einer statischen route

    10.20.0.0/16 via 192.168.0.2

    auf der fritzbox...


    gruß Nils

    Perfekt und danke dir.

    Das war der Fehler.

    Nun funktioniert es wie es soll.


    Zitat von gierig

    Full Ack da:

    allerdings müsste dann bereit auf der Fritze eine route für das

    192.168.178.X existieren das zur USG (192.168.0.2) geht.

    Weil quasi Analog das gleiche.

    Ja das tut.

    Das schlimme ist, als ich es angelegt hab, dachte ich mir auch "Das muss ich dann für alle VLANs machen die Internet brauchen".

    Damit wäre der Test ob das doppelte Nat wirklich aus ist nun auch erledigt :grinning_face_with_smiling_eyes:

    Nils...


    ich weiss nicht wie ich dir Danken kann.
    Nach dieser Problemlösung habe ich jetzt etwas über 2 Jahre gesucht.
    Als deine Lösung gelesen habe, fiel es mir wie Schuppen von den Augen.

    Ich habe vor Jahren mehrere Netzwerke angelegt und auch alle in der Route der Fritte freigegeben.
    Danach sollte das Netzwerk etwas umgestaltet werden und ich wunderte mich, wieso alle neuen Netzwerke keinen Internetzugriff / Ping ins Internet bekommen haben.


    Nochmals 1000x DANKE