Genau das hatte ich ja schon mal probiert, mit dem Ergebnis, dass der AP nicht provisioniert hat. Hab das aber auch nicht weiter verfolgt. Ich habe einfach alle VLANS, die ich benötigte auf den Uplink-Port geschaltet und dann den AP dran gehangen. Der AP wusste nicht, wo er hin soll und hat nicht provisioniert. Standardmäßig will er ja ins Management-LAN, aber das ging dann ja nicht mehr. Wie würde ich jetzt den AP dazu bekommen, sich in einem der bereitgestellten VLAN's anzumelden?
Beiträge von cosmos
-
-
Ok danke, genau solche Schlösser habe ich mir bestellt. Was meinst du mit Switchportgruppen genau? Wie müsste es aufgebaut sein, damit es am Ende funktioniert?
-
Guten Morgen in die Runde,
wir haben gerade unsere U6 LR's geliefert bekommen. Einige von denen werden in einem zumindest teilweise öffentlich zugänglichen Bereich (bei Veranstaltungen zumindest) angebracht werden. Nun frage ich mich, wie ihr die entsprechenden LAN-Ports vor unbefugtem Zugriff schützen würdet. Zwei der AP's hängen dazu auch nicht direkt an den großen 24er Switchen, sondern an jeweils einem USW-Lite, an dem mehrere VLANS-zugänglich sein müssen. Auf dem AP selber müssen außerdem mehrere SSID's gesendet werden. Ich möchte einfach nicht, dass jemand das Netzwerkkabel vom AP aus dem Switch zieht und dann direkt im Management-LAN landet. Irgendwie war ich der Meinung, dass man das "einfach" über Zugriffsregeln hinkriegen könnte. Aber je mehr ich mich mit der Thematik beschäftige, umso mehr stelle ich fest, dass das nicht so einfach geht. Erstelle ich z.B. eine MAC-Whitelist, können sich nur die anmelden, die auf der MAC-Whitelist stehen. Nur den z.B. AP auf die MAC-Whitelist setzen, reicht dann nicht, dann kann sich kein Client mehr im Gast-WLAN anmelden usw. Ich habe mir jetzt erstmal ein paar LAN-Locks bestellt (nicht von Panduit , die sind ja abartig teuer...). Doch ich frage mich, ob es nicht doch eine softwareseitige Lösung gibt. Auch wenn mir die LAN-Locks für meinen Zweck schon reichen würden, scheint mir das prinzipiell nicht zu Ende gedacht. Gibt ja etliche, die z.B. UAP's im Hotel betreiben oder sogar draußen. Ubiquiti platziert seine Produkte in solchen Einsatzszenarien. Wie kriegen die es hin, dass sich niemand so leicht Zugriff in Bereiche verschaffen kann, wo derjenige nicht hin soll?
-
Hi, wir haben hier UDM-Pro und zwei USW-Pro 24 POE über LWL verbunden. Die zwei 24er Switche stehen über 100m auseinander und das klappt völlig problemlos und zwar einfach so, ohne irgendwas einstellen zu müssen. Ich tippe auf ein mechanisches Problem - entweder sind die Stecker nicht richtig eingerastet oder das Kabel defekt. Wir benutzen übrigens die Ubiquiti-Transceiver und normale LC-LC-Kabel.
-
Müsste funktionieren, wenn das Gerät, welches aus allen Netzen von deinem Admin-PC aus erreichbar sein soll allgemein auf Pakete antworten darf. Sicherer wird es natürlich, wenn du es auf die Ports und Protokolle beschränkst welche du benötigst.
Hier hätte ich ja auch wieder eine Regel für den "Drucker" nur mit der Ausnahme, dass es nur für hergestellte Verbinden gilt und dieser dann eben an alle antworten kann. Auf jeden Fall schonmal einfacher.
-
Bei mir ist das aber so, habe nix anderes gemacht und meinem Admin Rechner für alle VLAN freigegeben, nix anderes. Kann mit dem Rechner auf alle IP's in allen VLAN zugreifen und zB unsere beiden Server bedienen.
Wenn ich natürlich direkt Versuche von einem der Server auf meinen Admin Rechner zuzugreifen, geht nicht da nicht erlaubt
Ich glaube dir das auch. Ich frage mich halt noch, was muss ich einstellen, damit es genau so klappt, dass der Client auf eine erlaubte eingehende Verbindung antwortet, ohne dass für diesen Client eine spezielle Erlaubt-Regel definiert wird?
-
BlackSpy Das ist im Grunde genommen ja auch logisch. Ich bin nur irgendwie davon ausgegangen, dass die Firewall weiß, dass die Antwort zu einer Verbindung gehört, die ja erlaubt ist und somit die Antwort auch erlaubt. Das ist nicht so. Die letzte Firewall, dich ich eingerichtet habe, war eine Software-Firewall auf einem Windows-Rechner vor fast 20 Jahren. Da muss ich mich erstmal wieder in die ganze Materie einfinden. Unifi ist ohnehin etwas speziell.
Hallo, darf ich fragen wie die Regeln für den Drucker aussehen, ich bekomms nicht hin. Mein Netzwerkdrucker soll im Managemet Netz bleiben, aber aus den anderen Netzen erreichbar sein (Air Print und LAN).
Ich habe zwei Regeln "Erlauben" erstellt. In meinem Fall dann mit fester IP (weil ich dachte, dass meine Probleme von der MAC-Adresse herkommen). Admin darf in das Netz, in dem der Drucker steht (für jedes Netz dann eine Regel) und Drucker darf in das Netz, in dem der Admin ist (für jedes Netz eine Regel). Ich musste allerdings den Drucker nochmals manuell mit der IP neu hinzufügen. Das klapp eigentlich soweit.
-
Hi, ich habe gestern auch noch ein bisschen rumgespielt und es ist bei mir, so wie du JS86 es beschreibst. Sobald man den Zugang in beide Richtungen blockt, muss man auch in beide Richtungen Ausnahmen festlegen. In meinem Fall habe ich erstmal die Block Office zu Privat rausgenommen. Ergebnis: Funktioniert. Dann habe ich die wieder reingenommen und zusätzlich dem (privaten) Drucker erlaubt ins Office zu funken. Ergebnis: Funktioniert. Im Grunde würde mir dieses Wissen schon reichen, um das zu verwirklichen, was ich haben möchte. So viele Clients gibt es jetzt auch nicht, auf die ich aus anderen Netzbereichen zwingend zugreifen möchte. Trotzdem frage ich mich, ob man dem Teil nicht irgendwie erklären kann, dass wenn eine erlaubte Verbindung aus einem ansonsten Geblockten VLAN entsteht, der entsprechende Client auch antworten darf, ohne für diesen eine spezifische Regel gesetzt zu haben.
-
JS86 Der Admin-Rechner steht in allen möglichen VLAN's. Ich bin nämlich der Einzige hier, der je nach Aufgabe durch die VLAN's wandert und deshalb möchte ich in der Lage sein, von jedem VLAN auf ein anderes zugreifen zu müssen ohne das LAN wechseln zu müssen. Abends bin ich z.B. im Privat-VLAN unterwegs und tagsüber im Office-VLAN oder auch im Techniker-VLAN, dass wir für Veranstaltungen brauchen, wo ein reiner Gastzugang nicht ausreicht, aber doch vom Rest des Netzwerkes separiert werden soll. Wie gesagt, hab das ganze jetzt erstmal mit Privat und Office probiert. Zum Test wollte ich von Office auf meinen Privat-Drucker zugreifen. Ging nicht. Die Einstellungen wie oben unter Option 3 beschrieben habe ich natürlich schon so übernommen. Zum Aufbau: Es gibt folgende LANs: Management-LAN (default), VLAN-Privat, VLAN-Office, VLAN-VoIP, VLAN-Technik und VLAN-Gast und natürlich WAN und WAN2, aber das ist ja jetzt eigentlich auch egal. Reicht das erstmal als Info?
-
Also verbuche ich das einfach mal unter bug. Danke für die Hilfestellung!
-
Hallo BlackSpy,
danke für den Tipp mit den Gruppen. Das wird mich wohl auch zum Ziel führen. Und vielleicht werde ich es am Ende auch genau so machen. Trotzdem frage ich mich, warum mir die Firewall nicht den Zugang anhand der MAC-Adresse gestattet, obwohl ich dem System an erster Stelle gesagt habe, dass es genau das tun soll. Möchte das halt einfach verstehen.
-
Hi,
schieb das Thema nochmal an. Keiner eine Idee? Komme da leider nicht weiter. Theoretisch sollte es ja funktionieren. Irgendwo werde ich aber wohl einen Fehler gemacht haben. Nur wo? -
Hi, hab gerade den falschen Screenshot hochgeladen. Deshalb jetzt nochmal ;-). Erstmal danke für die Antwort und den Link. Die Gruppenregel werde ich mir mal merken. Ich hatte eigentlich vor, die VLANs einzeln voneinander zu trennen. Das ist natürlich deutlich aufwändiger. Zum Anfang hatte ich es heute nur mit Office und Privat probiert. Oberflächen aufrufen im jeweils anderen VLAN ging nicht mehr. Pingen ging immer noch und anhand der MAC-Adresse konnte ich nicht ins andere LAN. Hier ist der richtige Screenshot.
-
Hallo zusammen,
vorab erstmal sorry, dass ich euch hier jeden Tag mit einer Frage bombardiere. Aber das System ist neu und ich bastel im Moment jeden Tag dran rum und so kommt eben jeden Tag auch irgendwas, was nicht klappt, wie ich es will, bzw. verstehe ich das ein oder andere Verhalten meines Systems auch nicht so ganz. Wie auch immer: Natürlich habe ich die Suchfunktion bemüht, aber auf die Schnelle keine befriedigenden Antworten gefunden. Daher stelle ich sie jetzt hier.
Ich war heute dabei, die VLANs voneinander zu isolieren. Das hat soweit geklappt. Ich konnte danach keine Geräte in anderen VLANs mehr über die IP aufrufen und auf deren Oberfläche zugreifen. Soweit so gut. Ich konnte sie aber weiterhin anpingen. Warum geht das? Und wie kann ich es verhindern? Anschließend habe ich versucht mir als Admin anhand der MAC-Adresse meines Rechners Zugriff zu einzelnen VLANs aus anderen VLANs heraus zu verschaffen. Das sollte doch eigentlich klappen. Die Erlauben-Regel habe ich dann natürlich in der Rangfolge nach oben gezogen. Leider hat der Zugriff so nicht funktioniert. Was habe ich falsch gemacht?
Vielleicht hat ja jemand eine Idee.
Euch allen eine schönen Abend! -
Alles klar! Dann hoffe ich mal, dass es bei guten Performance bleibt.
Lieben Gruß!
-
Wäre natürlich cool. Ein wenig skeptisch bin ich ja noch. Wie kommt denn so ein "Lerneffekt" zustande? Gehört habe ich noch nie davon.
-
Danke für die Rückmeldungen. Interessanterweise habe ich heute (bis jetzt zumindest) einen ganz guten Empfang im Arbeitszimmer. MacBook ist auch konstant am unteren AP angemeldet. Einige Steckdosen hängen zwar immer noch am oberen AP (warum auch immer), aber das ist mir eigentlich egal. Hoffe mal, es bleibt so stabil. Bzgl. des Hochfahrens im Arbeitszimmer: Das hatte ich gestern schon probiert. Hat sich am unteren AP angemeldet und wurde dann an den oberen übergeben und hing dann dort fest.
-
Hi, hab eine UDM-Pro hier, die alles übernehmen sollte.
-
Guten Morgen,
ich habe hier seit ein paar Tagen zwei UAP Wifi 6 Lite im Einsatz (wenn verfügbar sollen noch einige LR's dazu kommen). Diese befinden sich in unserer Wohnung. Einer hängt in der oberen Etage, einer in der unteren Etage. Beide sind zentral an der Decke platziert. Soweit bin ich ganz zufrieden. Die Wireless-Steckdosen z.B. sind durchweg erreichbar, was vorher mit den Fritz-Produkten eher ein Glücksspiel war. Wie auch immer: In meinem Arbeitszimmer, welches an einer Außenecke der Wohnung liegt, ist der Empfang nach wie vor bescheiden. Obwohl auf dem MacBook voller Empfang angezeigt wird, tut sich mitunter gar nix. Wechsel ich dann die Position und bewege mich ein paar Meter im Raum, ist alles wieder gut. Da ich erst in ein paar Wochen einen LAN-Anschluss im Arbeitszimmer gelegt bekomme, wollte ich den WLAN-Empfang optimieren. Auf der Map ist mir dann aufgefallen, dass sich mein MacBook durchweg mit dem AP in der oberen Etage verbunden hat. Auch bei fast allen Wireless-Steckdosen war das so. Ich habe dann die Signalstärke von automatisch beim oberen auf mittel und beim unteren auf hoch gestellt. Jetzt verbindet sich das MacBook zwar öfter mit dem unteren AP, aber halt auch noch ziemlich oft mit dem oberen, der ja weiter weg ist. Band Steering ist auf ausbalanciert gestellt, ansonsten sind alle Einstellungen Standard bzw. automatisch. Wie ist das Verhalten zu erklären, bzw. was kann ich tun, um den Empfang in meinem Arbeitszimmer zu optimieren? Über Ideen und Vorschläge würde ich mich freuen.
-
Das Gesamtpaket aus Funktionalität, Zusammenspiel der einzelnen Komponenten, Übersichtlichkeit und für das Gebotene dann letztlich auch der Preis hat mich meine Entscheidung Pro-Unifi fällen lassen. Angefangen hats übrigens damit, dass mir ein Freund die UAP's empfohlen hat...
