Beiträge von swag

ist ja auch irgendwie blöd den Controller im Gast Lan freizugeben.

Bin unwissend aber ich glaube auch nicht das es Dir helfen würde.

Das NAT auf der DMP am WAN2

wegen NAT braucht sie das auch nicht.

aber die Wan2 IP der DMP ist doch eine IP im Speedport Netz

Zitat von jkasten

Verstehe die Frage dann nicht... Du willst den Unifi-Controller in das VLAN des Unifi-Controllers setzen?? Ergibt keinen Sinn. Die Unifi Geräte, also alle, sollten in einem VLAN sein und somit ist der Controller auch immer im selben VLAN. Was genau meinst du?

Sorry jkasten das ich Dir nochmal widerspreche . Die Geräte können in einem beliebigen Netzwerk sein und brauchen ja nur eine route zum Controller. (Einzig beim ersten hinzufügen brauchen sie dann einen zweiten reboot )

Zitat von tlei

Ich will den WLAN-Controller in das VLAN vom Gäste Netzwerk verschieben, damit die Gäste direkt (ohne Routing) den WLAN-Controller erreichen (Layer 2 Ebene).

bin mir nicht ganz sicher aber ich meine Du mußst ihn gar nicht umziehen und könntest eine zweite IP / Vlan auf Deinem VM Host konfigurieren.

( Aber ich vermute auch das es Dir nicht helfen wird)

Zitat von jkasten

Die Routen müssen im Speedport gesetzt werden, wie soll der sonst wissen wohin. Die UDM hat damit nichts zu tun.

Wenn die LAN IP des Speedport angesprochen werden soll ?

DMP

oder ???

Bin mir nicht sicher was Du mit Controller und WLAN Controller meinst. Wenn Du eine fremde Firewall verwendest sieht aber die USG den Traffic nicht und die AP monitoren diesen nicht. Ich vermute das Du dann einen Timeout bekommst weil Unifi dann nicht weiß das der Client noch aktiv ist. Der Controller ist ja nur passiv.

Auch wenn Du schon abgeschloßen hast

Du könntest mal den WAN Failover probieren. a) ober der klappt und dann das WAN über den Speedport zur Verfügung steht. b) ob Du danach den Speeport erreichen kannst. Bei mir klappt das mit zwei Fritzboxen prima. Sowohl im Failover als auch im Distributed Modus

eh die DMP setzt die Routen, sonst könnte ja auch gar kein Traffic ins Internet gehen, (klar bei Bridged natürlich nicht)

( Bei doppelten NAT ist das LAN des/der Router das WAN der DMP ). Die DMP sieht das Internet ja gar nicht.

zum Beispiel bei einer Fritzbox, sieht man die DMP dann auch als Client im "LAN" der Fritzbox.

evt mal den Speedport neu gestartet ?

Ich bin hierzu etwas am tüfteln. Und ja den Anwendungsfall / Wunsch Vlan abhängig von eine MAC Adresse einzurichten habe ich auch.

Mit einem Portprofile Mac-Based oder Multihost scheint die Zuordnung einen Vlan bei der Aktivierung von 801.x auf US-48-G1, USW-Aggregation, USW-Flex-XG direkt zu klappen.

Auf der DMP ging es, hier habe ich zusätzlich den Harken Globale Switch Einstellungen verwenden setzen müssen. Dort ist auch 801.x als Swicth default konfiguriert. Evt kann die DMP das aber es fehlt die Möglichkeit es direkt auf der DMP zu konfigurieren.

Auf den Flex-Mini hat es bei mir auch geklappt. Multi-host im Portprofile des übergeordneten Flex-XG. Zusätzlich musste ich dann hier die MAC des Minis im Radius eintragen andernfalls hat mein Laptop immer das Radius fallback Vlan zugeordnet bekommen. (Warum das so ist, ist mir nicht unklar)

Zuordnungen nach 801.x Usern username/passwort klappt bei mir auf den Switches habe ich aber auf der DMP und den Flex noch nicht getestet.

P.S, Ich hatte einen Fall das bei einem Profile mit "Force Auth" mein default Netzwerk zugewiesen wurde obwohl es eigentlich dort nicht verfügbar ist. In diesem Fall war das Netzwerk extrem langsam. Hier schaue ich aber bei Gelegenheit noch wie das nachzustellen ist.

neben den mutwilligen gibt es aber auch die Kollegen die einfach aus bequemlichkeit ihren privaten switch oder noch schlimmer WLAN AP mitbringen. Ja alles schon erlebt

Wie Naichbindas geschrieben hat vereinfacht ja auch die Konfiguration. Ich muß einem port das Lan nicht zuordnene sonder steuer das über das Gerät oder Benutzer. Dient ja auch der Sicherheit da Geräte nich mal so in den falschen Port eingesteckt werden.

Ich bin ja noch auf dem official Release Network 7.3.83. Da sehe ich die option nicht.

Ich habe aber mal gelesen das 7.4. Port profile immer noch optinal ermöglicht.

Hier blockiere ich einfach alles und überschreibe dann durch die Radiuszuordnung. Ist aber kein Filter da es auf das fallback VLan zurückfällt. Also ja wie Du geschrieben hast liegen hier alle VLAN's an.

Ob das alles so sauber ist, ich glaube nicht.

P.S. hab jetzt auch beim rumspielen (Force Auth an) eine IP aus dem Lan der DMP bekommen. Hoffe Unifi überschreibt hier nicht heimlich auch das Native Network..

Naja bei Fritzbox ist der Mesh Master die Stuereinheit und alle Clients Clone. Bei Unifi ist der Controler der Master aber die Clients (AP) können unterschiedlich sein.

Ein Repeater ist für mich eine Komponente die Signale einfach weiterleitet . Am besten auf dem halben Weg plaziert.

Ich würde Unifi AP als Mesh komponent bezeichnen, und das egal ob mit Kabel angeschloßen oder nicht, sie SSID über mehrere AP hinweg unterstüzen können. Aber und das ist für mich entscheidener sie Wlan Kanäle und Traffic zwischen den AP verwalten können.

Ich kann auf einem AP ohnen Netzwerkkabel eine andere SSID ausstrahlen und der AP schickt den Traffic ggf auch über eine anderes Band (5GHZ) an den nächsten AP. Aber klar hier läßt sich dann diskutieren ob das ein Mesh ist oder nur ein wireless backbone oder wenn Ihr wollt Repeater. Aber im Mangel einer Definition dafür packe ich es in den Marketing Begriff Mesh Begriffe sind ja fließend...

Ist der MAC Filter nicht nur beim Wifi und dort mit einer Auswahl allow / deny ?

Für mich gibt es auch keine Entschuldigung das die UDM das nicht kann (außer dem Preis der Maschiene), gerade auch weil 801.x ja auch Steuerung auf Benutzerebene kann.

Aber funktioniert das Port Profil überhaupt wenn ich am Port einen Radius auth mache oder überschreibt die Radius / Vlan Zuordnung diese ?

Bei Unifi brauchst Du nur zwei AP und den Harken Mesh erlauben.

Einer der am Netzwerk hängt und einer der lose am Stromkabel hängt. Ich bevorzuge zwar Netzwerkkabel an allen AP zu haben aber ich hatte schon öfters den Fall das beim switch software update / restart ein AP sich dann mit einem anderen AP verbunden hat und mir das erstmal gar nicht aufgefallen ist. Die SSID können bei Unifi unterschiedlich das regel die AP duch eine versteckte SSID.

Band with eher auf 20, reduziert zwar den Maximalen Durchsatz aber die Antennen sind dann nur auf dem Band.

Du kannst auch die Ausrichtung der AP ausprobieren horizontal, Vertical.

Mit dem HD hab ich kein zusätzliche Reichweite festgestellt, er kann aber viele Clients.

Ist AP meshing eine Option ?

Die Minis unterstützen auch 801.q /vlan's nur bedingt. Profil "All" oder einzelne Netzwerke untagged zugeordnet. 802.1x

Auf dem Switch habe ich kein Untagged Netzwerk auf dem Port (einfach leer), es wird ja zugeordnet. Bin aber auch noch nicht auf 7.4

Es gibt hier auch einen guten wiki Artikel von Hoppel

Radius-Server mit MAC-Authentication an den Switchen einrichten - ubiquiti - Deutsches Fan Forum

bzw für's wlan

Radius-Server mit 802.1x- und MAC-Authentication im WLAN einrichten - ubiquiti - Deutsches Fan Forum

Danke für das Testen und die Bestätigung.

Frage so nebenbei aus Interesse zeigt Deine DM drops bei der Internetverbindung und falls ja ändert das SFP+ Setup die Häufigkeit dieser ?

Sicher das es ein Problem der Verbindung zwischen UDM und dem Switch ist ?

Ich habe keine Erfahrung mit der EA-Firmware aber ich hatte unter OS1 mal Probleme als ich das standby WAN auf den Port 8 gelegt hatte. Ich benutze den Switch auf der DMP und hatte dort auch eine Verbindung zu einen nicht unifi DHCP Server. Das Netzwerk mit den Geräten dazu aber über einen Aggregation Switch per 10GbE SFP+ an der DMP. Machte nur Probleme bis ich den WAN 2 wieder auf den WAN SFP+ gelegt hatte.

(Seit dem traue ich der Brücke zum 8 Port switch nicht mehr ganz)

Falls Du experimentierfreudig bis könntest Du mal Deinen Windows Client auch mal an den Port 9 oder SFP+ Port 10 klemmen, da es auch ein Problem der UDM sein könnte.

Die beiden Netzwerke werden von der DM verwaltet ? Dann sollte es out of the box klappen. Klappt ein Pin auf den Telefonie Host vom PC ?

Eine eher dirty Variante und nur falls Du einen POE Adapter benutzt:

einen Power Plug über KNX einbauen und dann den Strom abschalten