Beiträge von gierig

Zitat von swag

Sprich Clients können beliebige Vlans über ein WLAN nutzen

Nope. WLAN ist quasi Ethernet over the Air, aber ohne die Möglichkeit ein VLAN ID mitzugeben

Das passiert technisch erst im AP wo das das WLAN ans Kabel Ethernet gebridged wird.
Dan dann natürlich in ein Beliebiges vorhanden VLAN. Tricks wie die Private Share Key sorgen bei der Anmeldung eines Clings dazu

das DIESE Mac die sich da grade anmeldest auf VLAN X gemoppt wird.

Es ist nicht möglich über ein WLAN genauer einer SSID noch genauer eine MSSID verschiedene VLAN zu führen

nicht vorgesehen nicht eingebaut gibts nicht

Das Mesh geraffelte funktioniert genau so. Es gibt ein Hidden WLAN PRO SSID wo sich die AP verbinden.

Alles mit den gleichen einstellungen...Damit alle SSIDs im gleichen "Luft Ethernet"... das tatsächliche VLAN wird

wider an dem mit dem Kupfer Kabel gebridged.

Zitat von phino

Gerade noch mal recherchiert, die Mini-Serie hat da Probleme mit VLAN, da geht nur ALL oder ein VLAN.

Ja der Mini ist ein wenig beschnitten, aber ein problem ? Genau richtig als "Access" Switch wo die Ports

genau ein VLAn raushauen und dan Port dann den plink macht. Als das was du zu 90% eh macht überall anders.

Oder hast genau du daheim Einen Switch an einem swichhängen und erlaubst nur genau ie VLAN die du benötigst ?

Bzw ein VLAN Fähiges Gerät das du nur mit VLAN 1,5, Drölf und 14 Versorgen willst ?

Zitat von Naichbindas

Dazu sind dann nur meine zwei Regeln bisher die nur dazu dienen eine Verbindung zum Gateway herzustellen, sonst bekonnt das Netzwerk erst garkeine IP Adresse und eine damit das Internet erlaubt ist was über External geht.

und genau die sorgt so wie du sie gezeigt hast dafür das du auf ALLES auf dem gatway zugreifen kannst aus dem VLAN. Also auch auf die Gateway IP der anderen Netze.

Zitat von Naichbindas

Das kann ich mir nicht vorstellen.

Ich sprach vom DNS, und es ist sei wie ich es Beschrieben habe. Hier extra getestet...Das auch ohne jeglichen Palast oder anderen Kram.

Aktuell finde ich das alles noch recht Wackelig, darf es aber auch bei einer EA so sein

Zitat von Naichbindas

Moin, diese Regel ist eigentlich erstmal ganz banal.

Die dan ALLES erlaubt was UNifi Denkt das es Gateway ist damit also auch andere IP...

Un wenn die Oben steht ist alles darunter eh egal...

Diese

erlaubt dan NUR DHCP...

Sollte so auch mit DNS gehen, geht aber nicht. Jedenfalls wenn der gerne AD Blocker an ist

dazu muss aktuell das 203.0.113.0/24 nach external erlaubt sein (IP is internal einer der DNS der a intern läuft)

Da scheint das System noch nicht zu wissen das die IP zum Gatway gehört....

GANZ Schneller TEST:

Zone TEST mit meinen TEST VLAN Drinnen:

TEST -> Gateway Erlaube DHCP

TESR -> External erlaube Object HTTP (port 80 undo 443)

TEST -> External erlaube DNS

Fertig, Das Vlan darf raus und Nirgendwo anders hin oder

auf das gateway zugreifen.

Mysteriös finde ich aber das ich DNS nach External Freigeben mus erstmal für alles sonst funktioniert der interne Nicht

Gefühlt fehlen da intern die Gruppen für die ganzen Internen DNS Geschichten die UNIFI intern macht.

Da ist noch viel Potenzial nach oben...

Zitat von Naichbindas

Habe ich dich da richtig verstanden?

Bin mit A.) selber nicht 100% sicher.. weil auch noch nicht getestet B.) weis ich grade nicht ob ich dein Gedanken nachvollziehen kann und sich verstehe was wohl auch in Abhängigkeit mit A.

Wie sieht den deine "gatway Erlaubt Regel" aus ? Erlaubt diese ggf schon den zugriff auf die anderen IP ?

Mus mal schauen ob ich zum Wochenende mal dazu komme das Mal selber für mich zu testen...

Falsche Zone ?

Sprich das ist nur für den Traffic FÜR das Gateway. Also im Grunde

Webinterface..Daten von den AP/Switchen/Cams etc...

Wenn deine anderen VLAN in der Zone Internal sind.. dann eine reglen von

IOT nach Internal und dann verbieten..

Zitat von Berding IT

Ich habe zwar keinen PC angeschlossen aber das VLAN auf dem Switch habe ich so eingestellt das sich der eine IP zieht, dies passiert auch.

Hätte hätte habe ich, so eingestellt.. aber testen nein liebe nicht wo kommen wir da hin.

Wiso sieht er sich den nunmal doc eine IP ? Irgendwas vermisse ich hier oder verstehe es nicht.

Warum nicht testen mit einem PC ?

Sonst "sonder VLANund Port" Config ? Grade im VOIP Umfeld Telefone sind da Mahnmal Arsch weil sie

allerlei Kram unterstützen und minntet zu flexibel sind.

z.B LLDP aktiviert auf den Ports und Telefon will nen "VoiceVlan" sehen das es nicht gibt auf dem Port ?

Weil es LLDP bevorzugt ? So viele Möglichkeiten.....

Zitat von joerg2503

Habt Ihr da Ideen?

Pro WLAN nur ein VLAN. fällt mir ein als erstes ein. Du kannst nicht Multiple VLAN über das gleiche WLAN führen.

Sprich für jedes VLAN braucht du ein eignes WLAN.

Was dann natürlich schnell and ie Grenzen Stößt (max 4 WLAN pro Band ihn Mensch betrieb, als max 4 * 2,4 und 4*5ghz wenn man die trennt)

mit den üblichen "jetzt habe ich soviel WLAN das alles langsam wird" weil die Zeit on Air nunmal mit allen geteilt wird)

Das nächste währe dann Falsche config an den Ports der Switche, falsche VLAN Config und sowas.

Zitat von Sandra_Z

10.0.0.1/20 Class A-Netztwerk

Classless Inter-Domain Routing (CIDR) wurde 1993 eingeführt und auch davor gab es schon Netzwerkmasken.

Klassen waren ein Thema als es noch keine Netzwerkmasken gab. Das ist eine Historische Benennung von Dingen

die eigentlich nur noch von alten weiße Männern mit Lehrauftrag in Berufsschulen genutzt werden weil

sie niemals ihre Scripte erneuern.

und btw. A-Class währe dann auch 255.0.0.0 als Maske.

ein /20 Netz währe 255.255.240.0. Du hast ein mit der Angabe 255.255.255.240 ein /28

geschaffen das wie oben ja schon steht nur 14 Host beinhaltet.

Das klingt wie ein Typischer Vertipper den man gerne macht weil dreimal "255." aus dem muscle memory

so niedergetippt werden.

Schau dir alle Stellen mit netz Config nochmal in ruhe an ob die Masken Stimmig sind.

Zitat von Macfms

Nein, das könnte es sein, denn ich glaube es hat noch funktioniert, bis ich wegen meinem Telefon das doppelte NAT deaktiviert hab. Was ist ein Exposed Host?

Exposed Host ist eine bei AVM eine Default Weiterleitung von allen nicht Definierten Ports auf ein Ziel.

Also Quasi eine Port Weiterleitung für alles. Wird gerne Benutzt wenn hinter der AVM weitere Router sind damit

man den AVM nicht mehr anfassen muss für sowas weil ja schon alles auf den Nächsten Router geleitet wird.

Je nach PAT (also dein NAT) müssen Routing auf der AVM BIX zum Ziel netz extendieren und ggf Dort die

Weiterleitung auch auf das Ziel und nicht dem Unifi eingerichtet sein. Weil direkt erreichbar und das Ziel ggf auch direkt

Antwortet + es müsste auch reglen extendieren die von WAN zum Lan den traffic erlauben, weil ja sonst

keine Verbidung von außen zugelassen wird auf dem Unifi.

Zitat von Macfms

Es ist noch zu erwähnen, dass sie über den Port 447 zu erreichen ist, was ich bei der UDM als PortForward Regel drin hab.

An/auf/in der AVM Box hast du auch eine Weiterleitung des Ports auf die UDM WAN IP bzw. diese als Exposed Host eingerichtet ?

Um Multicast Zu Routen bedarf es dinge wie eignen IGMP / PIM hilft aber auch nicht viel wenn Beide Seiten da was "hinschicken" wollen.

Das geht dann nur mit Techniken wie einer L2 Bridge (GRE Tunnel) die dann ggf über einen VPN Tunnel aufgespannt wird.

Sitemagic wird das garnicht können, und Unifi Selber hat auch so da keine Optionen für.

Weil das sind alles L3 Tunnel.

Würde dann Massiven an UNifi vorbei bedeuten, bzw. extra Hardware / Firewall / VPN wie ne PF Sense auf beiden

Seiten die einen L2 tunnel aufbauen.

Denn will man aber eigentlich auch nicht, weil du dann die L2 Domain an zwei Standorten hast und dir andere Probleme

einhandelst.

Warum Überhaupt ? Also Warum auf eine KNX line entfernt zugreifen wollen ? Ich mein wenn ich nen Schalter hier drücke will ich bestimmt

nicht das am ende der welt das Klo Licht angeht Auch will ich nicht im Dunklen Sitzen weil Internet grade doof ist am Standort weit weg von mir.

Nachtrag:

Ohne in der KNK Welt zuhause zu sein aber konnten die Üblichen IP Gateways nicht auch eine "Menge" an Unicast Verbindungen ?

War doch dafür da um Visualisierung Display anzuhängen oder ?

Woher sollen wir wissen was du machst... kennst du die IP oder nicht ? Hat dein NAS die oder nicht ?

Zusammenschalten ? Nur die NAS Seite ? Und kein LAG / Bonding / Etherchannel auf Switchseite ?

Dann hast du deinen Fehler..

Rechner Schnappen zum Port gehen einstöpseln und schauen on du dann in deinem VLAN Kommunizieren kannst.

Da "deine Telefone" wohl keine IP bekommen, dürfte ein Rechner ja auch keine bekommen in dem VLAN.

Dann halt schauen ob Ports richtig in VLAN sind, die Uplink die nötigen VLAN Erlauben, etc...

Das sind so die Klassiker.. Trunk zum Nächsten Switch oder zum AP wurde dann das nötige VLAN vergessen

weil man das so in den 80er gelernt hat nur VLAN auf den Punks zu erlauben die da auch gebraucht werden...

Weitersuchen ? Also es muss nicht unbedingt ein Fremd DHCP sein du kannst auch selber irgendwo die selbe IP

zweimal festvergeben haben

Just mein Two Cent für die Mathe Fraktion.

Achtung hat leichte Klugscheißer Mentalitäten aber was gesagt werden muss wird gesagt

<Klugscheißer Modus >

Ein POE Port (802.3af) stellt 15,4 Watt am Port zu Verfügung, davon darf sich ein Gerät 12,94 Watt können.

Ein POE+ Port (802.3at) stellt 30 Watt zu Verfügung, davon darf sich ein Gerät dann max 25,5 Watt können

Ein POE++ (802.3bt) bei unifi dann 60Watt mit max. 51Watt fürs Gerät.

Die jeweilige Differenz ist dabei die Opfergabe (aka Verluste) im Netzwerkkabel für die erlauben 100 Meter gerechnet.

Es ist aber deswegen mit 15 Watt Pro AP6 Pro zu rechnen.

macht dann 38 U6Pro für den "Sichern Betrieb".

</Klugscheißer Modus >

Alles andere (also ein paar mehr) geht üblich, wenn nicht alles gleichzeitig Strom bekommen und nicht jeder AP

am Anschlag läuft (Hunderte von Clients die gleichzeitig die Kiste zum glühen bringen).

Deine 15 Ap sollten OHNE Probleme Anständig laufen.

Ports richtig eingestellt, POE and, VLAn Richtig, Uplink zum Controller auch richtig VLAN ?

Weise Dauer LED Heißt eigentlich auch The device is ready for adoption. Sollte Richtig sein.

Controller Halbwegs Aktuell (neuer als 6.1) ?

Einzelner AP am Switch macht schon Ärger ?

Es gab mal ne Doofe Charge von den U6Pro, die wollen wirklich nur mit einem STP Kabel (kein Schirm am Stecker, bzw. Plastik Stecker).

Das ist verkehrt. Das bedeutet das nur weitergeleitet wird wenn die

Anfrage VON der IP kommt.. Kommst sie aber nicht sie kommt von extern und wird nur

Über die Ip geleitet. Das sollte also auf "ALL" stehen und nicht Limit

+

Oder bekommt der UNFI immer die gleiche IP auf die du weiterleitest ?

ggf hier Auf den dem WAN auf feste IP stellen...

HDD noch gut ? Die machen von dann und wann mal einen langsamen tot und die HDD wird nur von Protect benutzt alles

andere ist auf einen Internen Flash Speicher..

Sonst mal die Arbeit gemacht und Protect entfernen und neu installieren ? Ggf Backup einspielen oder deine zoo von null

neu konfigurieren ? (Achtung CAM vorher rausschmeiße sonst an den Cams reset knöpfe gedrückt werden

nicht jeder mag Leitern um die Jahreszeit :.-))

Zitat von columbo1979

Wie müsste ich die Regel anpassen, damit auch die Gegenrichtung dich ist?

Sagte ich ja VON Internal NACH External sonst gleich.

Zitat von columbo1979

Bedeutet, ich kann die IP und diese genannten MAC Adressen nicht im Netzwerk finden.

Weitersuchen. Der Router denkst sich das ja nicht aus...

z.b mit ssh auf die AP gehen und mit "arp -a -n" schauen ob die MAC auftaucht.

Logfiles wie oben beschrieben durchforsten.

oder mit sowas wie arping 20:1f:3b:8a:9e:10 -I brX auf der console schauen ob das ding active ist und einzugrenzen im welchen VLAN

das ist (X dich VLAN ersetzen also br1 = Default vlan, br23 = Vlan23, je nachdem was du da alles hast)