Geräte im selben VLANs teilweise nicht erreichbar

Hallo zusammen,

erstmal die Grundzüge meiner Umgebung

VLANs

10 - Server - 10.10.0.0/16

20 - Clients - 10.20.0.0/16

30 - IoT - 10.30.0.0/16

Aktuell gibt es neben dem Standard keine Firewall Regeln und somit ist jeder Traffic zwischen den VLANs erlaubt.

Für jedes VLAN gibt es ein eigenes Netzwerk.

Nun habe ich das komische Phänomen, dass Geräte die sich im selben VLAN befinden teilweise nicht erreichbar sind.

Beispiele

10.20.1.41 und 10.20.1.10 --> Können sich gegenseitig nicht erreichen

Beides Windows PCs im VLAN Clients die sich am selben Switch befinden.

10.20.1.10 --> 10.20.1.17

Die 17 ist ein Drucker welcher sich auch im Clients VLAN befindet.

Dieser ist per WLAN angebunden und vom Client 10.20.1.41 aus nicht erreichbar.

Vom USG aus aber schon

Die Probleme bestehen aber nur in der Kommunikation von Clients im selben VLAN.

Sobald sich ein Client in einem anderen VLAN befindet und die Kommunikation über das Gateway läuft funktioniert alles.

Hat Jemand einen Tipp wo ich nach dem Fehler suchen kann?

Gruß

Thomas

Zitat von gierig

Zeig bitte auf wo sich da was überlappen soll.. sehe ich nicht..

Portisolation eingeschaltet ?

Hab das Setting nicht gefunden

Wo ist das.
Wäre noch wichtig zu erwähnen, dass ich aktuell keine Unifi Switche einsetzt sondern TP-Link.

Aber alle sind managend und die VLANs konfiguriert.

Ich hab nun nochmal die komplette VLAN Konfig auf den Switchen kontrolliert und gerad gezogen.

Tatsächlich war hier noch ein Fehler bei meinem Testclient. (Wahrscheinlich ein Überbleibsel aus alten Tests)

Die Kommunikation der beiden Client innerhalb auf dem selben Switch funktioniert nun.

Den Drucker und ein paar andere Geräte im WLAN erreiche allerdings nicht.

Was mit aufgefallen ist, ist das es abhängig vom AP ist.

Ich habe zwei identische IP Kameras. Kamera 1 ist mit AP1 verbunden und Kamera 2 mit AP2.

Kamera 1 kann ich von meinem Client nicht per Ping erreichen

Kamera 2 schon.

Beide Kameras sind vom USG aus per Ping erreichbar.

Mein erster Gedanke war nun eine falsche VLAN Konfig an den Ports der APs.

Die sieht wie folgt aus.

Zentraler Switch

Unterverteiler 1

Unterverteiler 2

Unterverteiler 3

Die VLAN Konfiguration ist also für beide APs gleich.

AP1 ist ein neuer U6-Lite und AP2 ist ein UAP-AC-Lite.

Gibt es da ne Konfiguration die ich übersehe?

Okay, spannende Erkenntnis die mich kein Stück schlauer macht.

Ich habe zum testen AP2 an das Kabel von AP1 angeschlossen.

Siehe da. Alle Geräte waren erreichbar,

Dann wieder AP1 angeschlossen und es geht auch wieder?

Frei nach dem Motto "Ein Reboot tut gut".

Jemand ne Idee?

Hallo zusammen,

ich kämpfe nach wie vor mit dem Problem und habe mittlerweile ein paar Erkenntnisse.

Eventuell kann mir ja jetzt jemand weiterhelfen.

Der Aufbau der Umgebung hat sich nicht verändert und das Gerät mit dem Problem ist nach wie vor der Drucker mit der IP 10.20.1.17.

Der Fehler muss irgendwo an der ARP Tabelle liegen. Deshalb kommt der Fehler auch nur wenn sich die beiden Geräte im selben VLAN befinden. Da andernfalls der Traffic ja über das Gateway geht.

Während mein USG in der ARP Tabelle die 10.20.1.17 korrekt aufführt.

Scheint mein Client damit ein Problem zu haben.

Beim versuch die IP von meinem Client aus zu pingen (10.20.1.13) sehe ich sowohl auf dem USG als auch auf dem AP, dass ein ARP Request kommt.

USG

AP

Wenn ich die Adresse Statisch in der ARP Tabelle eintrage funktioniert alles.

Außerdem funktioniert es sobald ich den AP auf dem der Drucker verbunden ist neu starte.

Jemand eine Idee wo ich weiter suchen kann?

Danke für die Ideen.

Ich hab damit noch ein paar Tests gemacht finde aber nach wie vor kein Muster.

Ich habe nun mehrere IP Adressen in meinem Client Bereich ausprobiert.

Bei manchen kommt ein ARP Reply von den APs und bei manchen nicht. Allerdings sehe ich kein Muster wann er kommt und wann nicht.

Dann war bei meinen Tests irgendwann der Moment bei dem plötzlich alle IPs auf Ping reagiert haben die Adressen in der ARP Tabelle meines Clients auch standen.

Nach dem löschen und neu Pingen kam für die dann auch ein Reply von den Unifi Komponenten.

Und nun zu den anderen Anregungen.

Firewall auf dem Client an / doof ?

Die Clients welche Probleme machen sind meistens Geräte wie Drucker oder IP Kameras. Also nichts bei dem ich Einfluss oder Infos auf eine Firewall hätte. Wobei ich auch nicht davon ausgehe, dass diese eine haben.

Hat der Switch auf dem VLAN / PORT / Global irgendwelche ARP Spoofing / Protection / Settings.

Sind relativ Dumme TP-Links (TL-SG108E). Das einzige was ich gefunden habe und an ist wäre "IGMP Snooping" und "QoS 802.1P Based"

Beim IGMP Snooping bin ich mir unsicher ob es Probleme beim ARP Request machen könnte. Der Request als Broadcast kommt ja bei den APs und beim USG an.

Oder hat er MAC Spoofing / Protection / Settings.

Nein

Auf dem Unifi AP wie ist das WLAN zum den VLAn konfiguriert ?

Interessant sind:

„Proxy ARP“ (ggf. ausschalten)

Hatte ich auch schon im Verdacht und hab es ausgeschaltet.

„Multicast und Broadcast Control“ (aus oder MAC von Router und Drucker anderen clients eintragen)

Ist schon aus. Aber das Multicast Enhancement ist noch an

„Client Device Isolation“ (aus damit wenn an)

Ist aus