Beiträge von gierig

Zitat von hommes

Denkfehler

Oder vor lauter Bäumen den Wald nicht sehen

Oder Freitag Abend nach dem man zugesehen wie halben Buddel Schnaps in den eignen Körper

gewandert ist un dich wunder wo der den hingeht den man sitzt ja ich hier.

A.) sein 10.40.x.x scheint das VPN Lan zu sein wenn meinst Du die 10.20.x.x

B.) Er hat viele Netze aber der UDM roputet sie auch gerne untereinander.

Den das ist eine seiner Aufgaben oder ?

Zitat von Maddeen

Irgendwas scheint in meiner UDMP falsch zu laufen. Ich bekomme meinen Mac nicht mal ins gleiche VLAN (10.1.0.xxx)

Selbst wenn ich den Port fest ins Mgmt_Vlan definiere und die IP fest setze (UDMP seitig UND Client seitig) bekomme ich immer die "bisherige" IP.

Hier Stoppen, liegen lassen einen halben Schnaps trinken (nicht die halbe Buddel, ist erst Montag)

Mit Frau, Kind, Geliebte oder der Modeleisenbahn was unternehmen und ein paar Stunden nicht

dran denken (also ans Netzt nicht an die Geliebte).

Denn Festsetzen aka von Hand vergeben und alte IP bekommen kann nicht sein.

Richtiger Port am richtigen Switch mit dem Richtigen Vlan ? Am Mac das Richtige Interface ?

WLAN oder build in oder USB oder TB) nicht verbubuchselt (passiert mir gerne)

Oder Gar ein bevorzugtes WLAN in das er immer rein hüpft obwohl Du ein anderes wolltest.

Und das ist auch kein GAST Netzwerk bei dem Isolierung Stattfindet und nicht die

IP im gleiche Netz nicht unterhalten dürfen...

Zitat von Maddeen

Auf die UDMP komme ich ohne Probleme mit der lokalen IP (10.1.0.254). Auf den Vigor (10.1.0.1) nicht.

Das erste was mir in den Sinn kommt das der Port des Vigor NICHT im gleichen VLAN ist wie die UDMP.

Das zweite ist das das Gateway des Vigor nicht / falsch gesetzt ist.

Im eignen Netz unnötig aber aus dem Client Netz unabdingbar da sonst der arme nicht weis wohin mit den Antworten.

Ich würde wenn ich nichts übersehe:

Rechner ins gleiche Vlan mit manueller IP (du erwähnenswert bereits 10.1.0.254), geht es?

Wenn Nein, Port hat das falsche VLAN Setup.

Wenn Ja, Gateway des Vigor Prüfen, müsste in Theorie die UDM IP sein (10.1.0.254?).

Grundlegende Frage: Dem WoL von deinem FOG Server kannst du die Broadcast IP mitgeben (also die x.x.x.255 bei einem /24 Netz) ?

Das wäre Grundvoraussetzung.

Möglichkeit 1:

auf deinen FOG Server je eine IP aus den betroffenen Netzen. Über Vlan bleibt es dann auch bei einem Kabel und einer Netzwehrkarte.

Bedarf dann aber VLAN unterstützen im OS/NIC/Applikation-

Möglichkeit 2:

Hast du in Prinzip im andere Beitrag gefunden. Es geht darum auf dem Router (hier UDMP) statische ARP Einträge zu machen.

192.168.1.250 -> FF:FF:FF:FF:FF:FF

192.168.22.250 ->FF:FF:FF:FF:FF:FF

X.X.X.X -> FF:FF:FF:FF:FF:FF

Für jedes Netz benötigst du eine freie IP die dann immer auf die Broadcast MAC "FF:FF:FF:FF:FF:FF" zeigt.

Die wird dann in deinem FOG Server als Broadcast IP benutzt. Da funktioniert normalerweise auf jeden Router

der auch Statische ARP Einträge zulässt.

Wie das genau auf einer UDMP geht und das auch noch nach einem Boot geladen wird....

Keine Ahnung... auf den USGX gibt die config.gateway.json dafür. UDMP unterstützt die ja nicht.

@Tuxtom007, was für eine Lösung hast du den gefunden ?

Seit gestern ist er nun da der unnötige USG, geliefert von jkasten

Aktuell mit dem WAN Interface an dem kleinen Flex mini auf dem Tisch

(Vlan only zum einem Cisco Vlan Interface für die Weite Welt)

Lan Steckt daneben auf dem nativen Vlan mit einer eignen IP

Client kann dann durch ändern des GW direkt oder über den USG geführt werden.

DPI ist nett, IPS/IDS sehe ich noch nicht die Sinnhaftigkeit.mal schauen

Überlege mir ernsthaft da Stück Korg draufzupappen als Becher wärmer...

Ich hatte Früher^TM ein ganz ähnliches Probleme.

Konnte da leider nicht runter mit dem Session refresh da der Carrier eine Mindestzeit sehen

wollte und auch Option Ping hielt er für Teufels Werk...

ursächlich war aber das der Router die NAT Tabelle für UDP schon nach 30 Sekunden

verworfen hat wenn nichts mehr drüber kam.

Timeout hoch gesetzt auf 300 Sekunden und seitdem ist Ruhe.

Hier kannst du testen und ansetzen:

Routing und Firewall -> Firewall -> Settings

bzw. auch mit oder auch ohne dem SIP Conntrack Module.

evt. reicht es das einzuschalten (scheint Default aus jedenfalls aus)

Im Grunde bleibt dir nichts anderes übrig als es auszuprobieren. Erster Test kann durchaus mit einem alten WLAN Router sein

der einfach nur sein WLAN aufspannt uns du schaust ob du ihn Empfängst. Um schon mal ein Gefühl zu bekommen. Besser natürlich

mit der Richtgen Hardware. Ev.t kannst du ihn auf den Boden Legen oder oder oder...

Zitat von hommes

ich frage mich, was da so teuer war, die Entwicklungskosten?

Günstig... hw-group.com aus Tschechien. Scheinen ihre Nische im Industrie Bedarf gefunden haben. Kleine Stückzahlen + Industrie

treiben die Preise in die Höhe. Scheint aber sein Geld mehr Wert zu als das Allnet Geraffel (link oben) das wir in der Firma in Schrank

hängen haben (was auch tut was es soll, so ist das nicht).

Kopfkratz.

Hatte es gerade einmal anders probiert im 192.168.2.0/23 die 192.168.3.250 als Gateway. und einen 192.168.2.x als Client.

Da läuft es sofort. Das wahr nicht meine Erwartungshaltung. Und nun gehst anders rum aus wie aus zauber Hand.

(wohl bemerkt ich ändere nur IP auf dem Gateway und dem Client)

Ich hatte zwischen morgen den AP gebootet (Gast habe ich nur auf einen AP gelegt) weil Kabel anders gelegt...

Aber ... keine Ahnung... bin wohl doch dumm. Oder irgendwas schief vorher durch Gast an aus und anders..

oder doch dumm...

OK in deinem alles ist im gleichen /23 Netz geht es mit der richtigen Maske auf dem Controller.

Auch sehr interessant. Denn bei separierten Netzen funktioniert das nicht. (was ich dreimal nachvollzogen

haben und das letzte mal mit Wierschrak Trace auf dem Client).

Das klingt ein wenig danach das der AP ein wenig Problemen hat beim Erreichen von Client und Portal

wenn das Gate außerhalb der aktuellen IP/24 ist. Jedenfalls bei vlan Only Netzen mit mit einem externen

Router. Bin gespannt ob das auch so ist wenn eine USG das Gateway ist. Der Gelbe Hein soll dich mal beeilen

BEI dir ist nun alles im gleichen Netz das muss nicht geroutet werden

da reichen ein paar wer hat welche IP arp requests.

Zitat von cc-computec

Das Seltsame ist nur, dass im normalen WLAN der Zugriff ins Internet auch mit der falschen Netzmaske ging.

Was soll uns das wohl sagen???

Weils dem Controller egal ist was du auf deinem VLAN Only Netz machst. Er wird dafür nicht gebraucht nicht gefragt

und nicht benutzt. Anders bei Gästeportal da ist der Controller der bereitsteller des Portals und steuert ob dein Client darf oder nicht.

Hey, Dein Problem Klingt eher danach als solltest du ein eigens Thema dafür aufmachen

Zitat von FraSka

Im Produktivnetz funktioniert der DHCP Bezug einwandfrei. Im Gastnetz leider nicht, mit einer Festen IP komme ich ins Internet.

Die Gastseite konnte nicht geladen werden, bis ich im Lancom eine FW Regel erstellt habe, die den Zugriff auf den Controller im Produktivnetz ermöglicht.

Laut Lancom Trace besteht ein DHCP Offer aber er bekommt keinen Response. Vielleicht hat jemand hier eine Idee?

Etwas undurchsichtig aber der dein Gäste Lan IMMER zugriff auf den Controller haben.Wie soll er den sonst

die ein Client die Login Seite abrufen ? Das DHCP nicht läuft ist auch ein typisches Zeichen von zu viel dicht

oder der DHCP Scope fühlt sich nicht angesprochen. In Unifi hast du das Netz als Gast angelegt, warum ?

Zitat von DoPe

Wenn das passt dann wird wohl wirklich von Ubiquiti etwas konfiguriert, was bei Superneting Netzwerken für das Problem sorgt.

Ich kann bei mir ja nachvollziehen mit einem sauber getrennten Netz

Sagen wir ich kann nachvollziehen und es scheint ein Bug zu sein. Ob wann und wie dieser

behoben oder als "by Design" deklariert wird steht aber offen. Ich werde auch nochmal testen wenn

der gelbe Weichnachtmann mit die USG bringt und UNIFI selber den Gatekeeper stellen darf.

Temporär:

Kannst du du deinem VLAN auf dem Lancom eine Zweite IP geben ?

Und einen zweiten DHCP Pool drauf lauschen lassen ?

Ich habe mal zu testen aus dem /23 zwei /24 gemacht.

und auf den gleichen VLAN Tüddeln Lassen.

Dem Vlan mitgegeben und das geht auf Anhieb.

lisa#show running-config int vl 23

interface Vlan23

ip address 192.168.3.1 255.255.255.0 secondary

ip address 192.168.2.1 255.255.255.0

ip nat inside

Leuft bei mir wie gewünscht...

Das ist zwar ein wenig BOFH und kein gutes Design. Aber du willst nicht mal Intern von Besuchern trennen

BTW:

Zitat von cc-computec

50 Zimmern eingesetzt werden soll. Und heutzutage hat ja jeder nicht nur ein Smartphone, sondern auch noch ein Tablet usw. dabei hat. Und jeder will ins Internet.

die 250 (eigentlich 253 aber runden wir ab) nutzbaren Adressen eines /24 bedeuten 5 IP Pro Zimmer.

Bei Voll belegten doppelzimmern kan jeder Hast also zwei Geräte versorgen + 1 extra.

Sollte da wirklich mehr bedarf bestehen würde ich weiter neue Nezte aufmachen

und schauen das ich die sinnvoll auf den AP verteile.

So... ich tippe fast auf ein Bug in der Firmware der AP's.

Setup:

Vlan Only Netz

Mit Passendem Gast WLAN:

Gast Settings dann Hotspot mit Portal.

Externer Router macht Gateway:

Client mit IP 192.168.2.6

Im Beispiel eine Anfrage an dict.leo.org (english Übersetzer).

Die Anfrage geht noch raus an den Router wird dann aber

vom AP selber beantwortet mir einem HTTP 302 um auf das

Portal zu verweisen. (Mac Adressen Verraten ALLES

Portal kommt alles ist gut

Client mit IP 192.168.3.6

Anfrage geht raus es kommt aber nie was zurück.

Also garnichts.

"Gute" IP dürfen DNS benutzen, die schlechten bekommen

Müll antworten von einem falschen Port zurück.

Laut Mac zwar vom Router aber vom Falschen Port.

Da Grabbelt gewaltig was an den Paketen rum.

Mein Mac Book versucht vorher noch "captive.apple.com" aufzurufen

(scheinbar ein Helfer um das login Window auch ohne Browser aufpopen zu lassen)

bei den "guten" IPs gibt es eine Antwort und die schlechten kriegen nichts zurück.

Gegen Check:

Beim WLAN den Gast Modus raus und es flutscht es mit beiden Adressen

wie erwartet.

Mal sehen ob ich die tage mal mich am Router Einklingen kann um zu sehen

on anfragen ihn erreichen oder was er antwortet in vergleich was ankommt.

+Ob das verhalten sich auch zeigt wenn ne USG/UD der gatekepper ist...

Spannend...

Hab das mit dem "Pre-Authorization Access" erstmal durchgestrichen.

Ich glaub mein test PC hat sich dabei wieder in Normale WLAN eingebucht das es noch auf autoverbunden stand. Grade kann ich es nicht nachvollziehen läuft aber trotzdem nicht wie gedacht. Wobei ich mir gut vorstellen

kann das genau dieser Part die Security Komponente in form einer USG/DM braucht.

Das mit dem nicht funktionieren Portal kann ich aber nochmal bestätigen.

Bin gespannt wenn die tage meine USG kommt ob sich das da auch so verhält wenn

der der Controller über die Netze beschied weis. und es nicht nur ein VlanOnly ist....

OK, ich habe gerade mal das Portal bei mir eingestellt. Allerdings eigens Vlan mit eignen Router. Adressen manuell vergeben.

Netz bei mir dann das 192.168.2.0/23. Portal läuft wie gewünscht so lange ich nur 192.168.2.x addy benutze, benutze ich eine

192.168.3.0/23 kein Portal Frontend mehr. Schlimmer noch hatte mit den "Pre-Authorization Access" Optionen gespielt und

hatte plötzlich Internet (dabei nur den Controller dort eingetragen)

Da scheint evt. wirklich was im Argen zu sein. Jedenfalls bei der 6.2.25

Zitat von Spacemaster

Leider kann ich da per Fernwartung

geht halt nicht alle Remote

Zitat von noexpand

Es ist schon sehr seltsam, zwei verschiedene WLANs aufzumachen, die aber auf einem einzigen Netz basieren. Das das überhaupt geht finde ich erstaunlich (und sollte Ubiquiti als Bug gemeldet werden ...)

Seltsam ja, aber es geht wirklich ohne Probleme. Du bist frei die ein paar mal das gleiche NETZ auf deine Wlans zu legen.

Habe ich Hier auch grade laufen. Schnelles Test WLAN das dann gleich wieder weggeworfen wird.

Im Hotel Betrieb mit 100 Fremden Menschen würde ich das aber auch SAUBER trennen.

@cc-computec, die Schlieren lüften sich.

Ein großes Netz für alle, und wenn du nicht irgendwo ein eine /24 Maske hast ( 255.255.255.0 ) sollte da auch klappen.

Nächster Verdächtiger ist der Router. Darf das ganze Netz Raus mir allem was dazu gehört ?

ggf. darf da wirklich nur das PNAT oder Regeln auf 192.168.222.0/24 gemünzt sind.

Schau mal ob du in den Lancom IP-Netzwerken (also nicht der DHCP teil) auch die richtigen Masken hast.

(Höchstwahrscheinlich unter IPv4->Allgemein->IP-Netzwerke) Kann mir gut vorstellen das DU das NICHT angepasst hast

auf das Größere Netzwerk.

Zitat von cc-computec

Mein Netzwerk ist so eingestellt: 192.168.222.0/23, also für ca. 500 IP-Adressen.

Jetzt habe ich zum 1. mal die IP 192.168.223.149 bekommen. Mit dieser IP funktioniert im Gastnetzwerk der Aufruf der Anmeldeseite nicht.

Solange die IP im 192.168.222.x-Netzwerk liegt, kein Problem.

Gastnetzwerk und Normales sollte unterschiedliche IP sein die sich nicht überlappen.

Oder Meine Glaskugel sagt, da fehlen informationellen über das Setup.

Sie sagt aber auch Irgendwo ist eine /24 Maske verbaut.

Das klingt jedenfalls danach wenn "es" aus dem einem geht und den anderen nicht.

Mhh mindestens in unifi2.png ist ein Port Blockt weil Spanning Tree der Meinung ist das es besser sei.

Weil ich gerade hatte (Unifi an Cisco Switch) brauchst du STP ? Wen ja hast du die Prioritäten Verteilt oder

angepasst ? Bei mir hatten die beiden die Gleiche Prio und wollen Root Bridge werden.

Der Unifi hatte auf den Streit kein Lust und hat alle Paar Minuten den Port dich gemacht.

Schneller Test ist ist einfach ausschalten auf den Unifis.

Zitat von ulli

Mein Problem ist die Zuordnung der AP (Gruppen) und deren GHz-Zuordnung. Verstanden habe ich, dass 1 AP 2x 2,4GHz und 2x 5GHz verwalten kann. Eine entsprechende Zuordnung wäre zB. die Smarthomegeräte einem AP mit 2,4 GHz zuzuordnen. Das müsste doch dann insgesamt Kapazitäten für den anderen AP freimachen. Und wozu kann ich weitere AP-Gruppen erstellen?

AP Gruppen sind nichts anderes als der Name sagt. Denke z.b an eine große Firma mit mehreren Gebäuden

Da macht es Sinn eine Gruppe "Verwaltung" zu haben wo alle AP des Verwaltungsgebäude drin sind.

Oder eine Gruppe Outdoor für alle AP draußen, oder oder oder.

Dem Wlan wird dann die Gruppe zugeordnet und schwubs sind alle AP in der Gruppe gleich konfiguriert.

Macht dann bei 2-3 AP im gesamten Setup kein Sinn die in Gruppen zu stecken. Aber eine Gruppe braucht es halt.

Ob das WLAN auf 2,4GHz oder 5 GHz oder beiden Bänder funken soll ist dann

Sache von dem Wlan und nach deinem Gusto. Auch hier musst du wissen ob deine Geräte

für das WLAN das brauchen das wollen können oder müssen.

Und damit kannst wenn es sein musst sehr fein Steuern wo welchen Wlan auftauchen soll

Du kannst Standardmäßig 4 * 2,4GHz und 4* 5Ghz Wlans pro AP anlegen.

Wenn du den Konnektivität Monitor ausschaltest (was glaube ich auch Mesh ausschaltet)

dann kannst du 8 pro Frequenz anlegen. (es sein den das sind uralt APs)