Problem bei der Einrichtung eines zweiten Netzwerkes

Es gibt 12 Antworten in diesem Thema, welches 1.745 mal aufgerufen wurde. Der letzte Beitrag () ist von Barney_Gumble.

    Hallo,


    ich habe ein Problem bei der Einrichtung eines zweiten Netzwerkes und damit auch beim zweiten WLan


    Folgende Situation. Ein Kulturverein betreibt hier einen Saal für verschiedene Veranstaltungen. Die wollten den Gästen WLAN anbieten. Die gesponsorte UniFi-Hardware besteht aus

    • einem USG Pro
    • zwei Unifi Switchen
    • zwei Unifi AP Pro.


    Es gibt das Default Netzwerk mit dem Adressbereich 192.168.0.0/20. Das Netz hat die Subnetzmaske 255.255.240.0 um auch bei größeren Veranstaltungen genügend Adressen zur Verfügung zu haben. Darauf setzt das WLAN auf. Das funktioniert tadellos. Der DHCP Server vergibt korrekt Adressen und der gewählte DNS Server (1.1.1.3) wird korrekt übermittelt.


    Nun sollte in zweites WLAN eingerichtet werden. Also habe ich ein Netzwerk mit folgenden Parametern aufgesetzt.


    Name test

    Typ Corporate

    VLan 20

    Gateway IP/Subnet 172.20.0.1/24

    Gateway IP 172.20.0.1

    Network Broadcast IP 172.20.0.255

    Network IP Count 254

    Network IP Range 172.20.0.1 - 172.20.0.254

    Network Subnet Mask 255.255.255.0

    DHCP Mode: DHCP Server

    DHCP Range 172.20.0.50 - 172.20.0.254

    DHCP Name Server

    DHCP Gateway IP


    Ich habe dann ein WLAN "Test" installiert und diesem Netz zugeordnet.


    Mit diesem WLan kann ich mich verbinden, bekomme aber keine IP zugewiesen. Es endet bei einer APIPA Adresse wie 169.254.31.0 oder so ähnlich. Ich habe dem IPad dann die Adresse 172.20.0.10 Gateway und DNS jeweils 172.20.0.1 manuell eingetragen. Das brachte auch keinen Erfolg. Ich komme nicht ins Internet und, was besonders merkwürdig ist, ich kann von der 172.20.0.10 die 172.20.0.1 nicht einmal anpingen.


    Ich habe dann einem Notebook die 172.20.0.10 Adresse manuell eingetragen und es mit einem Kabel an einen Port angeschlossen, dem ich im Portprofil nur das VLan 20 zugewiesen habe. Auch dann konnte ich von der .10 die .1 nicht anpingen. Internet ist dann natürlich auch kein Thema. Auf einem mitlaufenden Syslog Server taucht die Mac-Adresse nicht auf. Zufällige Hardwareadressen sind abgeschaltet. Merkwürdig ist, dass das Gerät mit der .10 IP in der Liste der Geräte auftaucht und auch dem richtigen Netzwerk (Test) zugeordnet ist. Es gibt (noch) keine von mir definierten Firewallregeln.


    Ich weiss nicht, was ich noch versuchen kann. Ich habe eine ähnliche Installation schon mehrmals gemacht. Das ging immer vollkommen reibungslos. Aber hier ist der Wurm drin.


    Hat jemand eine Idee?

    Wie sind denn deine switche eingestellt ?


    Klingt so als würden die VLANs nicht ankommen

    Mein Projekt

    Gefällt mir 2

    Bitte alle Ports vom Router, den ankommenden Switch Ports und die abgehenden Switch Port prüfen, welche Router/Switche und Accesspoints verbinden. An mindestens einem wird das VLAN 20 nicht verbunden sein.


    Die Ports sollten als natives Netzwerk das Default Netz eingetragen haben und der Haken bei Traffic Restriction sollte nicht gesetzt sein. Dann wird dein VLAN 20 dort auch getaggt übertragen und steht dann auch erst auf den Switchen und Accesspoints zur Verfügung. Fehlt das auch nur an einer Stelle wird es gar nicht oder nur teilweise funktionieren, je nachdem wo es fehlt.


    Es fehlt sozusagen mindestens ein virtuelles Patchkabel.

    Hallo,


    zuerst einmal Danke für die Antworten. Ich wüsste zwar keinen Grund, warum ein auf Werkseinstellungen zurückgesetzter Switch das Vlan nicht durchleiten sollte, aber mit dem was mir auf den ersten Blick logisch erscheint war ich schon durch, bevor ich die Frage überhaupt gestellt hatte. :smiling_face:


    Zur Eingrenzung des Fehlers sieht das doch erfolgversprechend aus. Ich teste das mal und melde mich dann wieder. Leider wird das nicht so schnell was. Die da die Schlüssel haben machen das ehrenamtlich und sind nicht immer vor Ort.

    Es geht da ja eher um die richtigen Einstellungen.


    Evtl können wir das vorher schon mal etwa eingrenzen bist du wieder vor ort bist.


    Was hast du denn auf dem Switch eingestellt nachdem du ihn zurückgesetzt hast ?

    Und wie ist das USG eingestellt ?

    Mein Projekt

    Hallo,


    Zuerst mal Danke für die Antwort.


    am Switch nichts eingestellt worden. Das war bisher ja nicht nötig. Es war ja eine absolute Basiskonfiguration. Ein Netzwerk und ein WLan darauf aufgesetzt.


    Das USG hängt an einem Glasfasermodem und hat nur die Einstellungen bekommen, die man für den PPPoE Zugang machen muss. Keine Firewallregeln, nichts, was nicht zum "Basisbetrieb" nötig wäre.


    Leider komme ich erst in 14 Tagen wieder in das Gebäude. Ich werde dann mal alles komplett zurücksetzen und von Grund auf neu aufsetzen. Bei der Konfiguration ist das wohl das einfachste.

    Zitat von Barney_Gumble

    Ich werde dann mal alles komplett zurücksetzen und von Grund auf neu aufsetzen

    Schau dir evtl das Video an. Da erklärt er gut wie man Vlans (mit Firewall Regeln dazu) einrichtet. Ob ne UDR,… als Network Controller dient ist ja egal, da die Oberfläche identisch ist


    [Externes Medium: https://youtu.be/kxHMjmqHeoQ?si=yBCGWp9zkVaxtmag]

    Zitat von Barney_Gumble

    am Switch nichts eingestellt worden. Das war bisher ja nicht nötig.

    Naja wenn du ein zweites Netzwerk angelegt hast musst du dem Port ja schon das neue Netzwerk mitteilen sonst geht er ja über das alte raus.

    Das neue Netzwerk ist tagged mit auf dem Standard Profil, bedeutend es kommt als VLAN mit, das kann der Rechner aber nicht erkennen außer du kannst ein Tag setzen.


    Normalerweise stellst du in dem fall den Switchport auf das jeweilige Netz.


    Wenn du zugriff auf den Controller hast poste gerne mal ein Screenshot aus der Netzwerk config sowie der Switch config.


    So bekommen wir das möglicherweise sogar remote hin ohne 14 Tage warten zu müssen.

    Mein Projekt

    Hallo,


    Wenn ich den Switchport auf das vlan 20 also auf das Netzwerk "Test" stelle, sendet ein an diesen Switchport angeschlossener AP nur das WLan "Test" das auf dem entsprechenden Netzwerk liegt. . Das ist ja nicht das Ziel. Das Ziel ist, dass jeder AP jedes WLan sendet. Und das ist mit dem Portprofil der Standardeinstellung gewährleitet. Zumindest habe

    Ich habe mir das eben mal bei "meinen" drei anderen UNIFI Netzwerken angesehen. Da gibt es keine erstellten Portprofile. Und so sendet jeder AP ordnungsgemäß das WLan für die Mitarbeiter, die Gäste und das IoT Netzwerk aus.


    Mir scheint die Erklärung von amaskus noch am wahrscheinlichsten. Irgendwo gehen die vLan Tags verloren. Ich habe aber keine Ahnung, wo das sein kann.


    Danke für das Hilfsangebot der Ich kann aber nicht remote auf die Geräte zugreifen. Deshalb wird das nichts. Im Moment ist da ohnehin nichts los. Also warte ich erst einmal ab, setze dann alles zurück, mache einen neuen Versuch und melde mich dann noch einmal.

    Zitat von Barney_Gumble

    Wenn ich den Switchport auf das vlan 20 also auf das Netzwerk "Test" stelle, sendet ein an diesen Switchport angeschlossener AP nur das WLan "Test" das auf dem entsprechenden Netzwerk liegt. . Das ist ja nicht das Ziel. Das Ziel ist, dass jeder AP jedes WLan sendet. Und das ist mit dem Portprofil der Standardeinstellung gewährleitet. Zumindest habe

    Ich habe mir das eben mal bei "meinen" drei anderen UNIFI Netzwerken angesehen. Da gibt es keine erstellten Portprofile. Und so sendet jeder AP ordnungsgemäß das WLan für die Mitarbeiter, die Gäste und das IoT Netzwerk aus.

    Ja für APs ist das richtig

    Wenn du aber einen per kabel angebundenen Client hast musst du das profil auf das entrechende Netz umstellen


    Zitat von Barney_Gumble

    Mir scheint die Erklärung von amaskus noch am wahrscheinlichsten. Irgendwo gehen die vLan Tags verloren. Ich habe aber keine Ahnung, wo das sein kann.

    Tritt das nur bei Kabel Clients auf oder auch bei wireless ?

    Zitat von Barney_Gumble

    Danke für das Hilfsangebot der Ich kann aber nicht remote auf die Geräte zugreifen. Deshalb wird das nichts. Im Moment ist da ohnehin nichts los. Also warte ich erst einmal ab, setze dann alles zurück, mache einen neuen Versuch und melde mich dann noch einmal.

    auf die Clients oder auch auf die Unifi Geräte nicht ?

    Mein Projekt

    Hallo,


    das wichtigste zuerst . Danke für die Antworten.


    Zitat von amaskus

    Ja für APs ist das richtig

    Wenn du aber einen per kabel angebundenen Client hast musst du das profil auf das entrechende Netz umstellen

    das habe ich gemacht. Aber es brachte eben kein Ergebnis. Wie ich weiter oben schon geschrieben habe. Selbst, wenn ich eine feste IP vergebe, kann ich das Gateway nicht einmal anpingen. Ich habe das mit meinen drei anderen Installationen verglichen bei denen jeweils mehrere Netzwerke fehlerfrei laufen. Ich habe mir zwei Installationen nebeneinandergelegt und die Werte Punkt für Punkt verglichen. Absolut identisch. Eins funktioniert seit Monaten. Eins nicht. Ich habe es unter der alten Oberfläche konfiguriert und unter der neuen. Ich habe mich per SSH eingeloggt und die DHCP Leases gelöscht. Kein Ergebnis.


    Je mehr ich darüber nachdenke umso wahrscheinlicher erscheint mir, dass das Tagging nicht ordnungsgemäß funktioniert. Nur habe ich keine Ahnung, wie das passieren kann. Um ein VLan zu erstellen, muss man es doch nur bei dem entsprechenden Netzwerk eintragen. In einem Basissetup sind doch keine weiteren Einstellungen erforderlich. Abgesehen davon, dass es keine manuell erstellten Firewallregeln gibt. Ich wüsste auf Anhieb nicht, wie und warum ich oder das System eine Regel erstellen sollte, die verhindert, dass die Clients das Gateway und den DNS Server sehen.


    Zugreifen kann ich auf die gesamte Installation nicht. Die Betreiber des Netzes möchten nicht, dass das Netz remote administriert wird. Unabhängig davon, was ich davon halte, muss ich das respektieren und immer warten, bis da mal jemand vor Ort ist und ich Zeit habe. Das macht die Angelegenheit etwas zähflüssig.

    Zitat von Barney_Gumble

    das habe ich gemacht. Aber es brachte eben kein Ergebnis. Wie ich weiter oben schon geschrieben habe. Selbst, wenn ich eine feste IP vergebe, kann ich das Gateway nicht einmal anpingen.

    Hast du beim USG lan 1 oder lan 2 gewählt ?

    Nicht, dass das Netz aus dem zweiten LAN Port ausgesendet wird der nicht angeschlossen ist.

    Zitat von Barney_Gumble

    Ich habe es unter der alten Oberfläche konfiguriert und unter der neuen.

    Bei aktuellen Network Versionen kann das problematisch werden. Die Alte Oberfläche funktioniert manchmal nicht mehr zu 100%

    Zitat von Barney_Gumble

    Zugreifen kann ich auf die gesamte Installation nicht. Die Betreiber des Netzes möchten nicht, dass das Netz remote administriert wird. Unabhängig davon, was ich davon halte, muss ich das respektieren und immer warten, bis da mal jemand vor Ort ist und ich Zeit habe. Das macht die Angelegenheit etwas zähflüssig.

    Ja das muss man respektieren. Das man dann schneller, einfacher und kostengünstiger helfen kann sehen sie meistens nicht.

    Sind teilweise dann aber auch die Kunden die RDPs offen im Netz haben um auf Daten von unterwegs zuzugreifen.

    Wir sind zum Glück zu 99% Remote aber das ist bei uns auch gar nicht anders möglich.

    Mein Projekt

    Zuerst einmal wieder Danke für die Antwort.


    Die Sache ist auf unbestimmte Zeit vertagt. Termine ausserhalb meiner Arbeitszeit waren nicht zu finden und innerhalb meiner Arbeitszeit muss ich arbeiten. Da kann ich mit Terminvorschlägen wie "Mittwoch um 10:30. Aber spätestens um 11:00 muss das fertig sein. Da habe ich etwas anderes vor." nichts anfangen.


    Sollte sich eine Lösung ergeben, poste ich sie hier. Aber wann ob und wann das sein wird, weiss ich nicht.