Hallo zusammen,
unser bisheriges Netzwerk (Netgear/TP-Link Switche, drei getrennte Netzwerke, teils VLAN, teils komplett physikalisch getrennt) soll komplett mit Unifi-Komponenten vereinheitlicht/erneuert werden. Ich kannte Unifi bereits von unseren 18 APs und zwei kleineren Switchen und dachte mir das wird easy… bis ich versuchte VLANs unter Unifi zu konfigurieren:
Ich habe folgendes Testsetting (mit dem Komplettaufbau mit 12 Switchen will ich euch nicht nerven):
- Drei Netzwerke definiert:
--> default corporate Lan untagged (10.0.0.0/8), internes Lan + managment Lan (ja, soll nicht getrennt werden)
--> VLAN1 corporate Lan VLAN Tag 10 (192.168.0.0/24), offenes Lan für frei zugängliche Geräte
--> VLAN2 corporate Lan VLAN Tag 20 mit (192.168.128.0/20), WLAN + einzelne zugehörige PCs
- ein Switch, Port 1-4 default Lan zugeordnet, Port 5-8 VLAN1, Port 9-12 VLAN2 (Verbindung zum nächsten Switch würde über SFP Slot mit All-Zuordnung erfolgen, im testsetting aber weggelassen)
- An Port 1, 5 und 7 jeweils meine drei bestehenden Netze (Jeweils mit eigener Firewall, eigenem dhcp, ...)
- an Port 2, 6 und 8 jeweils ein Test-Notebook
- an Port 3 den Unifi Controller
Nach meinem Verständnis sind damit die (V)Lans getrennt, ich müsste mit jedem der 3 Test-Notebooks mich im jeweiligen Netz bewegen können und nicht auf die anderen zugreifen können. Sobald ich alle drei bestehenden Netze (je nach Kombi langen auch zwei) aufstecke crash ich aber meine live Netzwerke hintendran (nicht gut…) oder das Testsetting (im Wesentlichen scheinbar bei immer min. einem Netz das dhcp). Das ist mir völlig unerklärlich.
Natürlich bin ich schon ne weile am googeln, da wird stets gesagt die Netzte seien erst isoliert, wenn man entsprechende Firewallregeln (in Anleitungen meist mit einem USG) definiert. Das erschließt sich mir erstens nicht, denn eigentlich sollten meine VLANs doch alleine durch die Portzuweisung und VIDs ganz klar separiert sein und ich bräuchte im Gegenteil eine gemeinsame Firewall um überhaupt Traffic zwischen den Netzen zu ermöglichen. USG käme in meinem Setting ohnehin eher nicht in Frage, aber auch eine PFSense o.Ä. das übernehmen zu lassen wird schwer… die in den Netzen vorhandenen, separierten Firewalls/dhcp Server sind teilweise fest Verbunden mit den dahinterliegenden Serverlösungen. Ich müsste wenn, dann nochmal eine dazwischen schalten... das wird wieder kompliziert mit broadcasts durchlassen etc. Würde ich gerne vermeiden, mit bisherigen Netgearswitchen ging das problemlos über die Portzuordnung.
Worüber ich noch gestolpert bin:
- Bei Unifi gibt es scheinbar keine Möglichkeit festzulegen, ob die VLANs an einem Port getagged oder untagged ausgegeben werden – geht man da inzwischen davon aus, dass jedes Gerät tagged Pakete versteht? (Ich wäre mir da bei manch Uraltgeräten bei uns nicht sicher)
- in die andere Richtung habe ich keine Möglichkeit gefunden auf einem Port festzulegen, mit welchem Tag eingehende untagged Pakete versehen werden sollen (PVID)
Ich hoffe es kann mir hier jemand helfen meinen Knoten im Kopf zu lösen.
viele Grüße
Mica