Posts by Nightsong

Hallo zusammen,

ich habe auf meinen Switchen das Problem das öfters auf den Port wo ein Unfi Ap hängt, es Probleme gibt.

Im Switch Log Cisco C9200l oder C9300l steht z.b.

XX16 11:58:02.781: %SW_MATM-4-MACFLAP_NOTIF: Host 1ed0.1954.1f4f in vlan 2136 flattert zwischen Port Gi0/3 und Port Gi0/12
XX16 18:19:27.712: %SW_MATM-4-MACFLAP_NOTIF: Host 1ed0.1954.1f4f in vlan 2136 ist flapping zwischen Port Gi0/12 und Port Gi0/6

Sogar auf dem Port Channel 10

044025: .Jun 10 17:51:57.733: %SW_MATM-4-MACFLAP_NOTIF: Host 5aeb.8d1d.2400 in vlan 2136 is flapping between port Po10 and port Gi1/0/28

Switch Einstellungen.

!
spanning-tree mode rapid-pvst
spanning-tree portfast edge bpduguard default
spanning-tree extend system-id
spanning-tree vlan 1,1101,1130,2128,2136 priority 61440
!
vlan internal allocation policy ascending
!

errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause sfp-config-mismatch
errdisable recovery cause gbic-invalid
errdisable recovery cause psecure-violation
errdisable recovery cause port-mode-failure
errdisable recovery cause storm-control
errdisable recovery cause inline-power
errdisable recovery interval 30
vlan 1101,1130,2128,2136

Die Port konfig sieht so aus.

interface GigabitEthernet1/0/X
description AP XX
switchport trunk native vlan 1130
switchport trunk allowed vlan 1130,2128,2136
switchport mode trunk

Der AP ist nur über LAN angeschlossen.

Könnte das am Spanning Tree Protokoll liegen. ?

Gibt es einstellungen am Unifi Controller bezüglich Broadcast oder Multicast, damit der nicht so spammt.

Beste Grüße

Nightsong

Quote from gierig

Klingt wie nen Flex "schaut her ich bin 300 Switche schwer". Bin sicher du meinst das nicht so, aber es hat so seinen Geschmack.
Und ne ich fang hier nicht an mit notes durchzulesen, frage war nach WO / WANN / WAS, da hilft kein Google selber als Antwort.

Ne das meinte ich nicht so, bin sehr Bodenständig im Gegensatz zu anderen Leuten. Ist geal ob man 5 Switche hat oder 300 der Prozess ist gleich.

Ja ich denk ich lese mich da ein und finde eine Lösung für mich. Danke für die Hilfe trotzdem, war sehr Lehrreich.

Beste Grüße

Joe

Doch aber für ein TAC hab ich nocht Zeit, hat ja nichts mit Unifi zu tun, wenn die nur auf Ihre Hardware setzen. Ich hauf mir doch kein günstiges Gateway von Unifi.

Quote from gierig

Hab ich die letzen 5 Jahre was verpasst ? Wo hat Cisco den schonmal aktuell relevanten Features umgebaut / ausgebaut ?
Selbst X.25 support ist noch in den Aktuellen Images.

Ich Arbeit Tag täglich mit über 300 Cisco Switchen und es wird sehr oft Features entfernt oder hinzugefügt. Siehe Patchnotes von C9506 oder C9504 oder C9300.

Ja das jedes Interface eine IP braucht ist ja normal. Hab ich schon gelesen danke.

Quote from gierig

Switch ? Wie kommst du bloß auf so einen Unsinn ? Einziger Ort der Notwendigkeit ist der Router der die Gatways innen hat.

Nochmal wie oben Beschrieben ich route auf der Firewall und nicht auf dem L3(Switch)

Firewall läuft im Routed Mode. FP3140

Beste Grüße

Joe

Quote from gierig

Nein für einen mDNS Reflektor über UNifi braucht es ein UniFi Gateway. Und dieses mus die Netze Natürlich auch verwalten also die Gateways
des jeweiligen VLAN haben. Ansosntenhalt mit etwas das im jeden Netz ein L2 bein hat. Dafür eignet sich wie schon im ersten Beitrag deine Cisco Büchse. Den die sollte das aus dem FF können...Je nach IOS und Featureset sei dann entweder über "service-routing mdns-sd" oder "mdns-sd gateway" (dürfte so ab 15.x)

Ja das Probem ist das würde ich Gerne aber ich kenn Cisco zu gut und wenn ein Update kommt kann es sein das es nimmer geht und ich wieder eine Lösung finden muss.

Ich glaub das schon aber ich hinterfrage auch Dinge und Chatgpt sagt das gleiche was oben steht.

Ich hab nun 2 Optionen

Cisco oder avahi

Da der Controller eh auf Debian läuft könnte ich doch den avahi deamon auf den Controller ausrollen und konfigurieren.

Der Controller ist eine VM und ich weise dem vnix zu damit er die anfragen discovern und weitergeben kann.

Oder die Cisco Variante, muss ich das auf jeden Switch ausrollen ?

Beste Grüße

Joe

Ja ich werde mal ein Grundlagen Buch nehmen und lesen.

So ist momentan das Set Up

• UniFi AP hängt am Cisco-Switch
• Cisco-Port ist Trunk: allowed vlan 13,190,1806
• SSID Client Netz sendet tagged auf VLAN 190
• Smartboards sind in VLAN 1806
• AP sieht beide VLANs

Dann sollte funktioniert mDNS Auto-Discovery zwischen den VLANs – auch ohne UniFi Gateway.

Und ich überzeugt das

mDNS geht nur mit UniFi Gateway Falsch Weil die APs leiten mDNS auch ohne Gateway weiter, wenn VLANs verfügbar
Controller kann nicht mDNS bridgen Teilweise korrekt Der Controller selbst hat oft keinen Layer-2-Zugriff – aber die APs übernehmen das Bridging
Man braucht L2-Zugriff auf beide VLANs Richtig Genau – das haben die APs über Trunkports

Hab nun mal eine Liste erstell auch von Infos von anderen User die sowas umsetzen, bei einigen funktioniert es bei einigen nicht.

                                 
Beste Grüße und Danke für due Gedult und Verständnis.

Und ich hab mich falsch ausgedrückt, ich meinte das MDNS Protokoll kan man nicht routen. Nicht Multicast selbst.

Joe

Quote from gierig

Wozu auch wenn dein Router dein Cisco ist.. Der kann das ganz Prima selber...

WIe soll ich das verstehe. ? Meine Cisco Firewall routet die Netze sind mein Router. Und Multicast kann man nicht routen.

Wie kann ich nun das ganze realsieren, ohne den avahi.

1. Ich würde das WLAN Client Netz auf der Firewall zum Smartboard Netz routen.

2. Der UniFi Controller agiert als Multicast/Bonjour Relay, indem er:

• Bonjour/mDNS-Dienste erkennt (z. B. _airplay._tcp,)
• Die Discovery-Anfragen zwischen VLANs/Netzen weiterleitet
• So tut, als wären die Geräte im gleichen Netz

3.

• Im Client Netz Block LAN to WLAN Multicast: Deaktivieren
• Block LAN to WLAN Broadcast: Deaktivieren
• „Multicast Enhancement“ aktivieren.
• Automatische IoT-ErkennungMDNS aktivieren und die Netze (Client Netz und Smartboard Netz auswählen.) Wenn das aktiv ist, agiert der Controller als mDNS Proxy und spiegelt Discovery-Pakete zwischen VLANs. Liege ich da richtig. ?

Der UniFi Controller sollte doch die Discovery-Weiterleitung zwischen den VLANs dann machen.

Schritt
1️. Routing (beidseitig) zwischen Client Netz (VLAN 190) ↔ Smartboard Netz (VLAN 1806) aktiv
2️. mDNS Auto-Discovery im UniFi Controller aktivieren + VLANs/Netze hinzufügen
3️. Firewalls anpassen (UDP 5353 + AirPlay-Ports zulassen)
4️. Controller muss IP-Connectivity zu beiden Netzen haben
5️. Test mit iOS-Gerät starten

Hoffe ich liege richtig.

Beste Grüße und Danke.

Gruß Joe

Ok verstehe aber für was ist dann die Einstellung IoT Auto Discovery mDNS.

Ich kann nur sagen wie ich das verstehe, kann richtig oder auch falsch sein.

Multicast-DNS ist eine Funktion, die die Übertragung von Multicast-Datenverkehr über verschiedene Netzwerke hinweg ermöglicht. Ist das korrekt, für mich bedeutet das wenn ich diese Option aktivieren das ich die Möglichkeit habe wenn ich im WLAN bin und AirPLay nutze meine Geräte wo im Lan sind sehe.

Multicast-DNS ist auf dem Controller aktiv und leitet Multicast-Datenverkehr von Geräten zwischen verschiedenen Netzwerken (VLANs) weiter.

Aktivieren Sie diese Funktion, wenn Funktionen wie AirPlay, AirPrint oder Chromecast über verschiedene Netzwerke/VLANs hinweg genutzt werden.

Habe von avahi daemon gelesen und gehört, möchte es aber vermeiden weitere Geräte in Betrieb zu nehmen.

Beste Grüße

Joe

Hallo zusammen,

ich habe eine Frage, ich erleutere mal mein Problem.

Ich habe ein Smartboard im LAN Netzwerk 10.20.20.0/24 VLAN 1806, das über LAN angeschlossen ist. Ich habe einen WLAN-Controller über Unifi selfhost. Mein Client-Netzwerk mit verschiedenen Geräten, hauptsächlich Apple-Geräte und Android.

AP haben z.b. das Vlan 13

Das Smartboard könnte auch WLAN strahlt dann sozusagen eine SSID aus was ich aber nicht möchte, am besten deaktiviert lassen.

Die Client-Geräte befinden sich im WLAN Netzwerk 10.50.10.0/21 VLAN 190.

Die Clients müssen streamen und andere Dinge über Airplay mit dem Smartboard machen. Aus Sicherheitsgründen möchte ich nicht, dass sich die Geräte und das Smartboard im selben Subnetz befinden, und ich möchte die Client-Isolierung nicht deaktivieren, da die Clients nicht miteinander sprechen dürfen.

Kann ich das über Routing lösen oder muss ich spezielle Funktionen im Controller aktivieren, das Problem ist das ich die Einstellung mDNS nicht verstehe und welche auswahl ich tun soll. Ich steuer meine Firewall Regeln über eine Cisco Firewall nicht über ein UNIFI Gateway. Wie kann ich am besten vorgehen? Vielen Dank für Ihre Unterstützung und Hilfe.

Danke euch

Beste Grüße

Hallo zusammen,

hätte ne Frage zu Interferencen, Kanalauslastung usw.

Eine User wo sich connecten beschweren sich das die Verbindungs zum WLAN schlecht ist.

1. Verbindungsabbrüche

2. Videokonferenz bricht immer ab.

Es gibt 1 Gebäude wo Problem bereitet.

Innen gibt es sehr viel Beton und auch Holzverkleidungen.

Die AP hängen meistens oben in der Mitte an der Decke und haben freie Sicht auf die User.

Die AP sind über eine 1 G Verbindung verbunden.

Wir haben verschiedene AP im EInsatz

AP Pro

AP HD

AP HD InWall.

Ich hab schon teilweise mit der Kanalbreite und RSSI und Trasnmitter Power experimentiert und bin leider noch zu keine guten Ergebniss bekommen.

Und bräuchte mal paar Ratschläge.

Gebäude X hat ca 38 AP. In jedem Raum ist einer, weil eben viel Beton und Holz dazwischen ist.

Wie man auf dem AP Radios 2,4 und 5,0 Bild sieht sind meistens die HD InWall betroffen.

Unter Coverage sieht man auch die AP wo Probleme haben.

1. Frage

Wie kann ich das Problem lösen das diese AP in den grünen Bereich kommen. ?

Ich kann doch nicht noch mehr AP aufhängen.

Der 2,4 Ghz Bereich sieht so aus.

Der 5,0 GhzBereich so.

Testraum und Einstellung

Nun zu meinen Fragen allgemein.

1 Frage

Welchen RSSI Wert sollte ich bei den schlechten AP Roter Bereich einstellen.

Meine Vermutung zwischen -80 bis -76

2 Frage

Wie sieht es mit der Tramitter Stärke aus.

Sollte man alle Aps auf High oder Medium stellen.

3 Frage

Würde es was bringen die HD Inwall zu ersetzen.

Gegen AP 6 Enterprise.

Wie kann ich die schlechte Wlan Situation verbessern.

Bei guten Tagen sind ca. 300 User auf den AP

Wenn noch Fotos gebraucht werden, ist das kein Problem.

Beste Grüße

Nightsong

Hi danke ja dachte ich mir.

Und ich nutze die Neue und Alte.

FInd die neue gut aber einige DInge sind verwirrend, besonders die Übersetzung.

Was ich gut find die neuen Raumpläne an einer Hochschule ist das echt Hilfreich.

Werde demnächst noch einiges Fragen über TX und Mesh. Danke sehr

Beste Grüße

Hi erstmal vielen Dank für die Antwort.

Ich bin Netzwerker von Beruf und bin auch für die Infrastruktur verantwortlich. Da wir eine Cyberattacke hatten, gibt es nun verschiedene Leute die, Admin spielen wollen. Ich möchte aber nicht weiter drauf eingehen. Mir ging es nur darum, ob die Einstellunge korrekt sind oder nicht oder situationsabhängig sind.

Bei PMF war es also falsch, das es auf disable steht. Ich hatte auf optional gestellt und dachte, dass das ausreicht.

Unsere Struktur wird nur grade neu aufgebaut, da wir eine Cyberattacke hatten und alles verschlüsselt worden ist. Wir sind am Wiederneuaufbau.

Wie sieht es aus, wenn Lehrer auf die Smartboards zugreifen müssen, wenn die auf dem selben AP sind?

Wie ist es, wenn ich L2-Isolation in der SSID aktiviere.

Wo gilt die Isolation? Gilt das auch übergreifen auf andere SSIDs oder nur im eigenen Subnetz?

Er wollte ja von SSID auf SSID 2 intern zugreifen und das ging nicht. Sind ja 2 verschiedene Subnetze und ich denke da hat die Firewall reingespuckt und nicht die L2 Isolation.

Danke beste Grüße

Hallo zusammen,

habe einige Fragen was ich geklärt haben möchte. Hatte diverse Diskussionen darüber und möchte nun mal richtig aufgeklärt werden.

Support WPA3 connections.

Wenn diese Option an ist, stört dies dann die Clients die WPA3 nicht können erhebtlich oder springen die dann auf WPA2.

Bekommen die einen Timeout oder sowas. ? Mir wurde gesagt das, wenn ich diese EInstellung tätige, das WLAN instabil wird. ?

Aussage von einem IT-Admin:

Das gleiche gilt für WPA3-Support: Es bringt im gemischten Modus gemeinsam mit WPA2 keinen Sicherheitsvorteil, kann aber Verbindungsprobleme bei Geräten verursachen, die WPA3 nicht unterstützen.

Meine Meinung bitte wenn ich falsche liege berichtigen.

WPA2/WPA3 im Mischbetrieb verursacht auch keine Probleme und wenn man neue Technologien nie einsetzt, dann wären wir heute immer noch auf dem WEP-Standard.

PMF hab diese Einstellung von Disabled auf optional gestellt.

Aussage von einem IT-Admin

Beispielsweise PMF macht die Verbindung gegen Deauth-Angriffe robuster, PMF wird aber von manchen Geräten nicht richtig unterstützt und verursacht dann komisches Verhalten.

Meine Meinung bitte wenn ich falsche liege berichtigen.

PMF macht absolut Sinn, da durch die Deauth-Attacken ein Angreifer das gesamte WLAN stören kann und die Clients immer wieder deauthentifiziert. Das ist mit PMF nicht mehr möglich. Er soll genau belegen, welche Geräte mit PMF Probleme machen.

Dazu muss ich etwas weiter ausholen. Es sind drei SSIDs vorhanden:

• SSID 1
• SSID 2 intern
• SSID 3 xxx

Man möchte von SSID 1 auf die SSID intern zugreifen. SSID 1 (Laptop von verschiedenen Mitarbeitern) auf SSID 2 intern z.B. Smartboard.

In der SSID 2 intern ist die Komplette Serverinfrastruktur, Diverse Dienste zugänge zu MGMT Proxmox, OSense usw. und Smartboards und Wlan AP bzw. Controller. isw.

SSID 3 Sind Schüler usw.

Ich habe die L2 Isolates angemacht, damit die Clients untereinander nicht kommunizieren können. Wenn ich ein verseuchten Rechner habe, das es nicht auf andere Rechner übergeht.

Vermutlich war das blöd ja, aber soweit verstehe ich diese Einstellung nicht und deshalb Frage ich hier auch im Forum nach.

Quote from "IT-Admin"

Aussage von einem IT-Admin Es ist doch mit normalem Menschenverstand nicht zu erklären, wieso bei uns verhindert werden soll, dass Clients untereinander kommunizieren können. Einerseits behindert das die Kommunikation von User-Tablets/Smartphones zu den Smartboards, da meistens beide im gleichen AP eingebucht sind. Gerade das ist ein heikles Thema, da User sich öfters beschweren, dass sie sich nicht mit dem Smartboard verbinden können. Diese aktivierte Einstellung ist wahrscheinlich Ursache der Probleme in letzter Zeit. Andererseits wird das WLAN auch für unsere Verwaltung verwendet, dort müssen alle Geräte miteinander kommunizieren können. Als Admin muss ich auf andere Firmen-Laptops zugreifen können. Mitarbeiter müssen auf WLAN-Drucker in ihren Büros zugreifen können. Jeder normale Admin versteht das.

Habe den Text mal anonymisiert.

Ja, ich verstehe dieses Problem: das bedeutet aber, dass z.B. User 1 Client auf User 2 Client auf dem selben WLAN AP zugreifen kann.

Oder wie kann ich das verstehen.

Meine Aussage

Client Isolation macht im XXXXnetz absolut Sinn, da hier die XXXX-Laptops sonst miteinander verbunden sind und ein einzelner XXXX sämtliche Geräte in dem Netz nach Schwachstellen abscannen kann (ungesicherte Datenbanken auf den Laptops, Webserver, usw.). Warum existiert diese Funktion in der weltweiten WLAN-Spezifikation, wenn aus seiner Sicht diese dem "gesunden Menschverstand" widerspricht?

Ich bitte um sachliche Antworten, damit ich endlich Licht ins dunkle bekomme und auch eine richtige klare Aussage von einem Spezialisten habe. Vielen Dank.

Beste Grüße

Nightsong