Hilfe bei Netzwerk/VLAN Konfiguration

QoS kann ich doch auch am Unifi AC Lite umsetzen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
So, mein Unify Lite ist angekommen. Ich konnte schon ein wenig damit rumspielen. Die Situation ist nun wie folgt:

Ich habe zwei SSIDs angelegt, für die Gäste und ein Privates.

Am Gast-Netz habe ich die Guest-Policies aktiviert. Diese können damit nicht mehr auf meine Geräte, NAS, Switch usw. zugreifen. Funktioniert soweit. Den Clients dieses WLANs eine anderen IPs am AP per DHCP zuweisen klappt anscheinend nicht.
Am privaten Netz, die Guest-Policies nicht aktiviert, damit kann ich überall zugreifen. Auch gut.

Sobald ich den SSIDs aber ein VLAN zuweise, erhalte ich keine IP mehr vom DHCP.
 
Zuletzt bearbeitet:
Hallo,

üblicherweise ist der DHCP-Server einem einzigen VLAN zugeordnet. Zur Adressvergabe in verschiedenen VLAN muss dieser Server VLAN-übergreifend kommunizieren können. Das setzt voraus, dass zwischen den VLAN geroutet wird.

Für die weitere Befassung mit deinem Problem hätte ich morgen wieder Zeit. Vorab wäre schon mal die Beantwortung folgender Fragen hilfreich:

Auf welchem Gerät befindet sich der DHCP-Server?
Werden dem Gastnetz IP-Adressen aus dem Bereich des Privaten Netzes zugewiesen?

LG
 
xoa schrieb:
Am Gast-Netz habe ich die Guest-Policies aktiviert. Diese können damit nicht mehr auf meine Geräte, NAS, Switch usw. zugreifen. Funktioniert soweit. Den Clients dieses WLANs eine anderen IPs am AP per DHCP zuweisen klappt anscheinend nicht.
Zum Vergrößern anklicken....

Eine IP aus einem anderen Subnetz lässt sich nur "zuweisen" wenn das Netz getrennt ist, und dann auch nur wenn in dem getrennten Netz ein sich zuständig fühlender DHCP Server läuft. Bei den Guest-Policies ohne VLAN haben die Gäste weiterhin ganz normal eine IP aus dem bestehenden Subnetz.

xoa schrieb:
Am privaten Netz, die Guest-Policies nicht aktiviert, damit kann ich überall zugreifen. Auch gut.

Sobald ich den SSIDs aber ein VLAN zuweise, erhalte ich keine IP mehr vom DHCP.
Zum Vergrößern anklicken....

Dies ist auch klar. Woher sollen die Clients in dem VLAN eine IP bekommen? Ich geh davon aus das dein DGS2200 DHCP-Server spielt. Da dieser nichts mit VLANs anfangen kann, kann er auch keine unterschiedlichen DHCP-Bereiche für verschiedene VLANs vorhalten. Er kann also nur IPs an das Untagged VLAN verteilen, mehr nicht. Du kriegst das ganze mit VLANs ohne weitere Hardware so nicht lauffähig. Also entweder ohne VLANs leben und nur die Guest-Policies zum Einschränken von Gästen nutzen oder es muss ein neuer Router her.

MoBo 01/04 schrieb:
üblicherweise ist der DHCP-Server einem einzigen VLAN zugeordnet. Zur Adressvergabe in verschiedenen VLAN muss dieser Server VLAN-übergreifend kommunizieren können. Das setzt voraus, dass zwischen den VLAN geroutet wird.
Zum Vergrößern anklicken....

In einem solch kleinen Netzwerk wird vermutlich der Router die Aufgabe des DHCP-Servers übernehmen. In einem solchen Fall ist es auch nicht nötig das ein Inter-VLAN Routing vorhanden ist. Einzige Bedingung ist allerdings das der Router (DHCP-Server) aus allen VLANs die er zu bedienen hat erreichbar ist.
 
Zuletzt bearbeitet:
MoBo 01/04 schrieb:
Auf welchem Gerät befindet sich der DHCP-Server?
Werden dem Gastnetz IP-Adressen aus dem Bereich des Privaten Netzes zugewiesen?
Zum Vergrößern anklicken....

Wie rayze schon korrekt geschrieben hat, spielt der DGN2200 DHCP-Server. Dabei werden egal ob Privat oder Gast, allen Clients IP-Adressen ab 10.0.0.10 zugewiesen. (1-9 sind der statischen Vergabe vorbehalten)

rayze schrieb:
Dies ist auch klar. Woher sollen die Clients in dem VLAN eine IP bekommen? Ich geh davon aus das dein DGS2200 DHCP-Server spielt. Da dieser nichts mit VLANs anfangen kann, kann er auch keine unterschiedlichen DHCP-Bereiche für verschiedene VLANs vorhalten. Er kann also nur IPs an das Untagged VLAN verteilen, mehr nicht. Du kriegst das ganze mit VLANs ohne weitere Hardware so nicht lauffähig. Also entweder ohne VLANs leben und nur die Guest-Policies zum Einschränken von Gästen nutzen oder es muss ein neuer Router her.
Zum Vergrößern anklicken....

Also grundsätzlich, sollte sich bestätigen, dass die "Gäste" mit den Guest-Policies wirklich keinen Zugriff auf mein LAN und meine angeschlossenen Geräte haben, dann wäre ich auch schon mit der aktuellen Situation zufrieden.
Welchen entschiedenen Vorteil würde mir das VLAN nun noch bringen, bezogen auf meine Situation? Das wichtigste ist, dass niemand auf meine Geräte im LAN (PCs, NAS, Router usw.) zugreifen kann. Dies scheint aktuell auch der Fall zu sein.
Demnach wäre dann auch mein Managed-Switch überflüssig, zumindest die konfigurierten VLANs darauf, richtig? :)
 
Zuletzt bearbeitet:
xoa schrieb:
Also grundsätzlich, sollte sich bestätigen, dass die "Gäste" mit den Guest-Policies wirklich keinen Zugriff auf mein LAN und meine angeschlossenen Geräte haben, dann wäre ich auch schon mit der aktuellen Situation zufrieden.
Zum Vergrößern anklicken....

Sofern "Pre-Authorization Access" & "Post-Authorization Restrictions" richtig konfiguriert ist, ist dies der Fall.

xoa schrieb:
Welchen entschiedenen Vorteil würde mir das VLAN nun noch bringen, bezogen auf meine Situation? Das wichtigste ist, dass niemand auf meine Geräte im LAN (PCs, NAS, Router usw.) zugreifen kann. Dies scheint aktuell auch der Fall zu sein.
Demnach wäre dann auch mein Managed-Switch überflüssig, zumindest die konfigurierten VLANs darauf, richtig? :)
Zum Vergrößern anklicken....

Einen wirklichen Vorteil hast du durch VLANs nicht. Ich persönlich empfinde es allerdings als die elegantere Lösung. Bezüglich "kein Zugriff auf den Router" ist das so eine Sache. Der Router spielt DHCP- und DNS-Server und muss somit auch für Gäste zugänglich sein. Wenn du also den Zugriff für Gäste sperrst müsste DHCP noch gehen (da Broadcast), aber spätestens bei DNS wäre Schluss. Somit sind deine Gäste zwar am Netz aber ohne funktionierenden DNS Server.
 
Was muss ich denn bei den "Pre-Authorization Access" & "Post-Authorization Restrictions" angeben?

Nehmen wir mal an meine "Gäste" sind keine Experten und habe keine Ahnung von DHCP usw ... :)
 
Wenn ich die IP meines Routers und CDIR, also 10.0.0.1/32 angebe, kann ich aber wieder auf all meine statischen IPs (vergeben an Router, NAS etc.) zugreifen.
Gebe ich aber 10.0.1.0/16 an, dann kann ich trotzdem ganz normal surfen, kann aber nicht wie oben auf meine Geräte zugreifen. Nachvollziehen kann ich den Sinn zwar nicht, aber irgendwie scheint es so zu funktionieren....
 
@MoBo 01/04

Meines Wissens nach hat der Unifi UAP keinen eingebauten DHCP Server sondern ist nur ein Accesspoint.

Viele Grüße
Counted911
 
Stimmt Counted911; es gibt viele Threads bei ubnt, welche schlussendlich klären, dass die DHCP-Funktion einen USG erfordert.

xoa schrieb:
Wenn ich die IP meines Routers und CDIR, also 10.0.0.1/32 angebe, kann ich aber wieder auf all meine statischen IPs (vergeben an Router, NAS etc.) zugreifen.
Gebe ich aber 10.0.1.0/16 an, dann kann ich trotzdem ganz normal surfen, ...
Zum Vergrößern anklicken....

Das ist so leider nicht nachvollziehbar.
Welche IP/CIDR-Suffix hast du bei "Pre-Authorization Access" und welche bei "Post-Authorization Restrictions" eingegeben?
 
Zuletzt bearbeitet:
Wenn 10.0.0.1 dein Router ist muss bei Pre 10.0.0.1/32 und bei Post 10.0.0.0/8 drin stehen.
Somit erlaubst du Gästen den Zugriff auf 10.0.0.1 und verbietest den Zugriff auf das komplette restliche Class A Subnetz 10.x.x.x

Erklärung:
Pre Access: Erlauben Sie Gästen sowohl vor als auch nach der Anmeldung den zugriff auf bestimmte Hostnamen und Subnetze (intern und/oder extern)
Post restriction: Atkvieren Sie die Beschränkungen nach der Anmeldung um Gäste von bestimmten Hostnamen oder Subnetzen auszuschließen
Zum Vergrößern anklicken....

Counted911 schrieb:
@MoBo 01/04

Meines Wissens nach hat der Unifi UAP keinen eingebauten DHCP Server sondern ist nur ein Accesspoint.

Viele Grüße
Counted911
Zum Vergrößern anklicken....

Das ist richtig, die UAC sind reine AccessPoints. Kein DHCP-Server mit an Board. Wenn man diesen mit VLAN Support benötigt kann man sowohl den USG als auch einen beliebigen EdgeRouter nehmen (EdgeRouter ER-X ist vom Leistungsumfang ähnlich oder besser als das USG und kostet dabei nur die Hälfte. Intergriert sich leider aber nicht in die UniFi Oberfläche. Wenn das gewünscht ist bleibt nur der USG)
 
Zuletzt bearbeitet:
rayze schrieb:
Wenn 10.0.0.1 dein Router ist muss bei Pre 10.0.0.1/32 und bei Post 10.0.0.0/8 drin stehen.
Somit erlaubst du Gästen den Zugriff auf 10.0.0.1 und verbietest den Zugriff auf das komplette restliche Class A Subnetz 10.x.x.x
Zum Vergrößern anklicken....

Habe das ausprobiert und ist auch richtig was du sagst. Bloß wenn ich wie vorhin geschrieben und probiert 10.0.1.0/16 bei Pre und Post angebe, dann komm ich auch ins Internet, kann aber zusätzlich auch nicht auf den Router zugreifen. Dass soll mal jemand verstehen....
 
Zuletzt bearbeitet:
Wenn du bei Pre und Post die gleichen Adressbereiche festlegst, wird Gästen der Zugriff auf die betreffenden Adressen erlaubt und verboten zugleich. Das ist Unsinn.

Wie bereits von rayze geschrieben, muss bei Pre die Adresse des Gateway, DHCP-Server, DNS-Server/Forwarder angegeben werden, sonst kommen Gäste nicht ins Internet. In deinem Fall ist das die Adresse des DG2200, 10.0.0.1/32. Die Gäste haben dann natürlich Zugriff auf den DG2200, deshalb muss dessen Webinterface zwingend durch ein starkes Password geschützt werden.

Bei Post kannst du 10.0.0.0/8 festlegen, wahrscheinlich reichen aber schon 10.0.0.0/16 oder 10.0.0.0/24, je nachdem wie der DHCP-Pool am DG2200 definiert ist. Damit wird Gästen der Zugriff auf alle Geräte im Netzwerk außer den DG2200 verwehrt.

Btw, welchen Eindruck hast du von der WLAN-Performance; besser als beim alten AP?
 
Zuletzt bearbeitet:
Alles klar, dann werde ich das so handhaben wie du es geschrieben hast.

Zur WLAN-Performance des Unify AP Lite; die Reichweite ist keinesfalls schlechter geworden, zum Teil ist sie weiter als vorher, an manchen Teilen des Hauses gibt es keine Veränderung. Jedoch ist aber die Geschwindigkeit auch bei schlechterem Signal deutlich höher als beim alten AP und auch das verbinden geht deutlich flotter. Im Ganzen bin ich sehr zufrieden mit dem Teil, sieht hübsch und unauffällig aus, hat tolle Überwachungs- und Einstellungsmögichkeiten.

Dazu sei gesagt, dass ich ihn nicht an die Decke, sondern an die Wand montiert habe.

Vielleicht werde ich mir in Zukunft noch einen weiteren AP-Lite holen um auch die problematischeren Bereiche abzudecken.
 
MoBo 01/04 schrieb:
Wenn du bei Pre und Post die gleichen Adressbereiche festlegst, wird Gästen der Zugriff auf die betreffenden Adressen erlaubt und verboten zugleich. Das ist Unsinn.
Zum Vergrößern anklicken....
Der exakt gleiche Bereich ist natürlich Quatsch, überlappend ist aber durchaus möglich.

Funktioniert wie bei iptables. Die erste Regel die Zutrifft greift und dabei ist Access > Restriction. Man könnte nun also folgendes machen. Unter Pre 10.0.0.0/25 erlauben und 10.0.0.0/24 verbieten. Nun hätte man zwei Bereich die sich überlappen. Gäste hätten in diesem Beispiel nur Zugriff auf die IP Range 10.0.0.1 - 10.0.0.127, der Zugriff auf 10.0.0.128 - 10.0.0.254 dagegen wäre gesperrt. (Natürlich könnte man statt 10.0.0.0/24 auch 10.0.0.128/25 verbieten. Hätte den gleichen Effekt), Aber gerade wenn man aus Unterschiedlichen Netzen IPs erlauben will um selektiv Gästen Zugriff zu Systemen zu gewähren ist es ganz praktisch mit einer kleineren Maske alles andere sperren zu können.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

I
Netzwerk absichern mit VLANs
Antworten
11
Aufrufe
961
Supaman
Supaman
L
TL-SG3424 VLAN Konfiguration Verständnis Problem
Antworten
2
Aufrufe
310
logan517
L
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
914
BobbyD
BobbyD
M
Openwrt anlegen mehrerer VLANs nicht möglich
Antworten
6
Aufrufe
563
Mater1984
M
G
OPNsense Vlan konfigurieren
Antworten
14
Aufrufe
1K
KurantRubys
KurantRubys
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh