VLAN Isolierung ohne USG

Hallo zusammen,

unser bisheriges Netzwerk (Netgear/TP-Link Switche, drei getrennte Netzwerke, teils VLAN, teils komplett physikalisch getrennt) soll komplett mit Unifi-Komponenten vereinheitlicht/erneuert werden. Ich kannte Unifi bereits von unseren 18 APs und zwei kleineren Switchen und dachte mir das wird easy… bis ich versuchte VLANs unter Unifi zu konfigurieren:

Ich habe folgendes Testsetting (mit dem Komplettaufbau mit 12 Switchen will ich euch nicht nerven):

- Drei Netzwerke definiert:

--> default corporate Lan untagged (10.0.0.0/8), internes Lan + managment Lan (ja, soll nicht getrennt werden)

--> VLAN1 corporate Lan VLAN Tag 10 (192.168.0.0/24), offenes Lan für frei zugängliche Geräte

--> VLAN2 corporate Lan VLAN Tag 20 mit (192.168.128.0/20), WLAN + einzelne zugehörige PCs

- ein Switch, Port 1-4 default Lan zugeordnet, Port 5-8 VLAN1, Port 9-12 VLAN2 (Verbindung zum nächsten Switch würde über SFP Slot mit All-Zuordnung erfolgen, im testsetting aber weggelassen)

- An Port 1, 5 und 7 jeweils meine drei bestehenden Netze (Jeweils mit eigener Firewall, eigenem dhcp, ...)

- an Port 2, 6 und 8 jeweils ein Test-Notebook

- an Port 3 den Unifi Controller

Nach meinem Verständnis sind damit die (V)Lans getrennt, ich müsste mit jedem der 3 Test-Notebooks mich im jeweiligen Netz bewegen können und nicht auf die anderen zugreifen können. Sobald ich alle drei bestehenden Netze (je nach Kombi langen auch zwei) aufstecke crash ich aber meine live Netzwerke hintendran (nicht gut…) oder das Testsetting (im Wesentlichen scheinbar bei immer min. einem Netz das dhcp). Das ist mir völlig unerklärlich.

Natürlich bin ich schon ne weile am googeln, da wird stets gesagt die Netzte seien erst isoliert, wenn man entsprechende Firewallregeln (in Anleitungen meist mit einem USG) definiert. Das erschließt sich mir erstens nicht, denn eigentlich sollten meine VLANs doch alleine durch die Portzuweisung und VIDs ganz klar separiert sein und ich bräuchte im Gegenteil eine gemeinsame Firewall um überhaupt Traffic zwischen den Netzen zu ermöglichen. USG käme in meinem Setting ohnehin eher nicht in Frage, aber auch eine PFSense o.Ä. das übernehmen zu lassen wird schwer… die in den Netzen vorhandenen, separierten Firewalls/dhcp Server sind teilweise fest Verbunden mit den dahinterliegenden Serverlösungen. Ich müsste wenn, dann nochmal eine dazwischen schalten... das wird wieder kompliziert mit broadcasts durchlassen etc. Würde ich gerne vermeiden, mit bisherigen Netgearswitchen ging das problemlos über die Portzuordnung.

Worüber ich noch gestolpert bin:

- Bei Unifi gibt es scheinbar keine Möglichkeit festzulegen, ob die VLANs an einem Port getagged oder untagged ausgegeben werden – geht man da inzwischen davon aus, dass jedes Gerät tagged Pakete versteht? (Ich wäre mir da bei manch Uraltgeräten bei uns nicht sicher)

- in die andere Richtung habe ich keine Möglichkeit gefunden auf einem Port festzulegen, mit welchem Tag eingehende untagged Pakete versehen werden sollen (PVID)

Ich hoffe es kann mir hier jemand helfen meinen Knoten im Kopf zu lösen.

viele Grüße

Mica

Zitat von defcon

Bei Unifi ist erstmal alles offen!

Du musst explizit über die Firewall, VLAN Isolation oder Traffic Routes blocken. (ja das ist bei allen anderen genau umgekehrt.)

Du benötigst ein Gateway... egal ob Unifi oder Fremd.

beim USG ist ersteinmal offen, ja, das habe ich schon gelesen - ich verwende aber keine (netzübergreifende) Firewall (zumindest nicht direkt...) und möchte dies auch nicht tun, denn ich benötige keinerlei Verkehr zwischen den Netzen, mein VLAN soll quasi 3 aktuell physikalisch getrennte Netze ersetzen, um die Wartung zu vereinfachen und den Gerätewirrwarr zu ordnen (und Kosten zu sparen).

Zitat von DoPe

ohne einen Router, welcher Interfaces in den VLANs hat, sind die VLANs getrennt.

Das bestätigt meine Meinung, wobei es mir fast lieber gewesen wäre, wenn ich mich geirrt hätte...

Denn wo liegt dann mein Problem? Wenn ich in drei getrennte Lan/VLANs des Switches jeweils eins meiner bestehenden Netzwerke patche - dann sollte eigentlich genau gar nichts passieren.

Statt dessen zerhauts mir die dhcps der bestehenden Netze (bei default + VLAN2 bekommen die Unifi Geräte aus dem default kein dhcp mehr, bei default + vlan1 crashed ein Teil (!) der Netzinfrastruktur die ich auf VLAN1 aufgelegt habe. Nur VLAN1+VLAN2 geht ja nicht testen, weil management netz fehlt.

Ich bin da langsam echt ratlos...

Zitat von DoPe

Die Einstellungen was getagged oder ungetagged übertragen wird, kannst Du mit dem erstellen von Portprofilen im Unfi Controller regeln. Dort Profile nach Wunsch anlegen und dann den Ports der Switche zuweisen. Beim anlegen von VLANs werden da auch schon Profile erzeugt. Evtl. reichen die schon für dein vorhaben.

Danke, hatte ich sogar schon richtig eingerichtet, aber mir wurde dabei irgendwie nicht bewusst, dass dies die tagged/untagged Ausgabe an einem Port abbildet.

Etwas analoges zu einer PVID find ich hier aber nicht, oder habe ich das auch übersehen?