Opa_Bommel
Aktives Mitglied
Thread Starter
- Dabei seit
- 13.03.2005
- Beiträge
- 698
- Reaktionspunkte
- 67
Ah ok, ich versuche das mal genau so umzusetzen.
Opa_Bommel
Aktives Mitglied
Thread Starter
- Dabei seit
- 13.03.2005
- Beiträge
- 698
- Reaktionspunkte
- 67
Kurzes Update: Also ich bin der Anleitung von OmarDLittle gefolgt und habe drei VLAN aufgestellt (VLAN 1 keine Aufgabe, VLAN 20 Gast und VLAN 30 Privat). Ergebnis: Ich bekomme weder in WLAN 20 noch in VLAN 30 einen IP-Adresse. Irgendwie ist da der Wurm drin und ich muss am WE mal weitersuchen... letzte Idee ist mein PI-Hole, der die DNS-Server verwaltet. Ich versuche mal die DNS-Service wieder auf die Fritz!Box zu legen und dann noch einen Versuch zu starten.
O
OmarDLittle
Aktives Mitglied
- Dabei seit
- 21.05.2017
- Beiträge
- 5.547
- Reaktionspunkte
- 4.407
Wenn ich die vorigen Screenshots anschau, bin ich nicht sicher was du eingestellt hast. Beide VLANs 20 und 30 müssen am Port vom AP auf tagged stehen und beide VLANs müssen auf der Weboberfläche vom AP auch eingerichtet sein. Wenn du nochmal von der aktuellen Einstellung einen Screenshot machst sodass alle Settings sichtbar sind, möglichst auf Switch und AP, dann kann man es besser nachvollziehen.
Oder am Switch in der CLI den Befehl display current config nutzen, damit wird die ganze Konfig in Textform sichtbar.
Oder am Switch in der CLI den Befehl display current config nutzen, damit wird die ganze Konfig in Textform sichtbar.
Johanna K
Aktives Mitglied
- Dabei seit
- 28.10.2009
- Beiträge
- 1.148
- Reaktionspunkte
- 805
Danke für die ausführliche Erklärung. Jetzt verstehe ich, warum letztes Jahr mein Versuch, das Fritzbox Gästenetzwerk zum Accesspoint weiterzuleiten, gescheitert ist. Accesspoint und Switch sind bei mit zwar nicht von UniFi, sondern vom Mikrotik, aber das hat mich nicht daran gehindert, mit tagged und untagged VLAN alles falsch zu machen.
Ich habe das Problem letztlich damit gelöst, dass der Mikrotik-Accesspoint sein eigenes Gäste-WLAN aufspannt. Dann werden Geräte zwar nicht mehr von einem zum anderen Gäste-LAN weitergereicht (ist nicht so schlimm), aber dafür spare ich zwei Ports in dem Switch (Ports sind da Mangelware).
O
OmarDLittle
Aktives Mitglied
- Dabei seit
- 21.05.2017
- Beiträge
- 5.547
- Reaktionspunkte
- 4.407
Man kann VLANs als separate Tunnel im Switch betrachten, und über einen tagged-Port kann man den Tunnel zu weiteren Geräten verlängern, die VLANs beherrschen und die gleichen VLANs auch kennen. Am Ende vom Tunnel geht der Traffic dann an einem oder mehreren untagged-Ports wieder raus und an die Geräte weiter, die keine VLAN-Unterstützung haben.
Wenn man das Konzept einmal durchschaut und es erfolgreich ausprobiert hat, ist es dann trivial, wie ich mich anfangs damit beschäftigte war mir das auch nicht so klar. Vor allem schaut es auch bei jedem Netzwerkgeräte-Hersteller wieder anders aus, und manche Hersteller (hust, Netgear) verwirren den User zusätzlich mit einer richtig schlechten UI.
Der TS hat im Screenshot ein VLAN auf zwei Ports untagged hinzugefügt, das funktioniert dann nicht, ich nehme an auf einem Port hängt die Fritzbox (die braucht untagged, weil sie keinen VLAN-Support hat) und auf dem anderen Port für das AP muss auf tagged umgestellt werden, wenn dann das AP das VLAN auch kennt und einem Wifi zugewiesen hat, läuft das. Auch wichtig ist, dass das AP selbst ein Netzwerkinterface hat wo die UI vom AP erreichbar ist, und das muss auch einem VLAN zugewiesen werden, sonst ist das AP dann nicht mehr erreichbar.
Wenn man das Konzept einmal durchschaut und es erfolgreich ausprobiert hat, ist es dann trivial, wie ich mich anfangs damit beschäftigte war mir das auch nicht so klar. Vor allem schaut es auch bei jedem Netzwerkgeräte-Hersteller wieder anders aus, und manche Hersteller (hust, Netgear) verwirren den User zusätzlich mit einer richtig schlechten UI.
Der TS hat im Screenshot ein VLAN auf zwei Ports untagged hinzugefügt, das funktioniert dann nicht, ich nehme an auf einem Port hängt die Fritzbox (die braucht untagged, weil sie keinen VLAN-Support hat) und auf dem anderen Port für das AP muss auf tagged umgestellt werden, wenn dann das AP das VLAN auch kennt und einem Wifi zugewiesen hat, läuft das. Auch wichtig ist, dass das AP selbst ein Netzwerkinterface hat wo die UI vom AP erreichbar ist, und das muss auch einem VLAN zugewiesen werden, sonst ist das AP dann nicht mehr erreichbar.
Der Zauberer
Aktives Mitglied
- Dabei seit
- 09.06.2008
- Beiträge
- 339
- Reaktionspunkte
- 23
Hey!
Irgendwas ist hier beim Switch und den VLANS noch im Argen... Für mich sieht das mit den Einstellungen erstmal ok aus. Das VLAN1 ist auf allen Ports untagged drauf, bis auf die beiden Ports 10 und 23 (Screenshot 1). Das VLAN 20 ist dagegen nur auf den Ports 10 und 23 untagged (Screenshot 2). So wie ich das verstehe, ist der erste Eintrag ja erstmal der, der pauschal für alle Ports für das jeweils oben eingestellte VLAN gilt. Daher passt das für mich an sich auch mit den Einstellungen. Nur warum ein an Rechner an Port 10 keine DHCP - Adresse vom Gastzugang der FRITZbox an Port 23 bekommt, erschließt sich mir nicht...
Nur der Vollständigkeit halber: natürlich wäre es sauberer und ordentlicher, wenn man ein Netz für das Management, eins für die normalen Clients und eins für den Gastzugang auftrennt. Da hier aber eh "nur" eine FRITZbox im Einsatz ist, die ja leider selbst kein VLAN kann und nur zwei Netze bereitstellen kann, finde ich die Aufteilung in zwei VLANs vollkommen ok.
Bis denn...
Bye, Markus
roedert
Aktives Mitglied
- Dabei seit
- 05.01.2011
- Beiträge
- 12.149
- Reaktionspunkte
- 3.316
DHCP Guarding in den Unifi-VLAN-Einstellungen aktiviert? Dann lässt Unifi nur dort definierte DHCP-Server zu.
Also entweder deaktivieren oder die IP der Fritzbox (Gästenetz) 192.168.179.1 als DHCP-Server zulassen.
Opa_Bommel
Aktives Mitglied
Thread Starter
- Dabei seit
- 13.03.2005
- Beiträge
- 698
- Reaktionspunkte
- 67
Hallo zusammen,
Ich habe mein VLAN-Problem endlich gelöst.
Die Konfiguration an meinem Switch war eigentlich ganz gut, nur die PVID auf Port 23 (Gastzugang) war 1 und nicht 20.
Zyxel hat aber euch keine schöne Benutzeroberfläche, da musste ich mich leider sehr lange einlesen.
Im Cloudkey habe ich meine beiden Netzwerke eingerichtet (VLAN 1 = Default und VLAN 20 = Privat ) und jeweils eine WLAN-SSID zugewiesen.
Danke noch mal an alle die mich unterstützt haben.
Ich habe mein VLAN-Problem endlich gelöst.
Die Konfiguration an meinem Switch war eigentlich ganz gut, nur die PVID auf Port 23 (Gastzugang) war 1 und nicht 20.
Zyxel hat aber euch keine schöne Benutzeroberfläche, da musste ich mich leider sehr lange einlesen.
Im Cloudkey habe ich meine beiden Netzwerke eingerichtet (VLAN 1 = Default und VLAN 20 = Privat ) und jeweils eine WLAN-SSID zugewiesen.
Danke noch mal an alle die mich unterstützt haben.
Anhänge
Opa_Bommel
Aktives Mitglied
Thread Starter
- Dabei seit
- 13.03.2005
- Beiträge
- 698
- Reaktionspunkte
- 67
Noch mal ich:
Nach einiger Zeit haben sich Probleme bei mir im Netzwerk ergeben mit der Konfiguration im Post #28. Netzwerkgeräte haben keine korrekte IP bekommen. Ich habe noch mal gebastelt und meine aktuelle Konfiguration ist im Anhang. Vermutung: Die Geräte von UniFi können nicht richtig mit dem VLAN-Tag umgehen. Das ist jetzt keine elegante Lösung, aber so sind die Geräte im Gastnetz von den im privaten Netz isoliert.
Mal sehen, ob ich das noch mal optimieren kann.
Nach einiger Zeit haben sich Probleme bei mir im Netzwerk ergeben mit der Konfiguration im Post #28. Netzwerkgeräte haben keine korrekte IP bekommen. Ich habe noch mal gebastelt und meine aktuelle Konfiguration ist im Anhang. Vermutung: Die Geräte von UniFi können nicht richtig mit dem VLAN-Tag umgehen. Das ist jetzt keine elegante Lösung, aber so sind die Geräte im Gastnetz von den im privaten Netz isoliert.
Mal sehen, ob ich das noch mal optimieren kann.
Anhänge
Der Zauberer
Aktives Mitglied
- Dabei seit
- 09.06.2008
- Beiträge
- 339
- Reaktionspunkte
- 23
Hey!
Hm, aber wieso ist das jetzt keine elegante Lösung?!? Passt doch so: das VLAN20 für den Gastzugang muss natürlich auf Netzwerkgeräten, sowohl auf dem Switch als auch auf den Accesspoints drauf sein. Und stimmt doch: auf dem Uplink - Port 23 untagged kommt´s rein, und für alle Accesspoints geht´s tagged weiter. Oder was übersehe ich jetzt?
Bis denn...
Bye, Markus
Hm, aber wieso ist das jetzt keine elegante Lösung?!? Passt doch so: das VLAN20 für den Gastzugang muss natürlich auf Netzwerkgeräten, sowohl auf dem Switch als auch auf den Accesspoints drauf sein. Und stimmt doch: auf dem Uplink - Port 23 untagged kommt´s rein, und für alle Accesspoints geht´s tagged weiter. Oder was übersehe ich jetzt?
Bis denn...
Bye, Markus
O
OmarDLittle
Aktives Mitglied
- Dabei seit
- 21.05.2017
- Beiträge
- 5.547
- Reaktionspunkte
- 4.407
Irgendwie hab ich was verpasst, vorher ein HP-Switch, jetzt Zyxel, also die Aufstellung ergibt so leider weiterhin keinen Sinn, ein Switchport ist entweder tagged oder untagged, Ports 13, 15, 19 und 20 sind sowohl tagged als auch untagged. Man kann tagged natürlich mehrere VLANs an einem Port durchreichen, aber wenn der Port untagged ist dann kann nur genau 1 VLAN darüber laufen, und nichts tagged sein.
Den APs gleichzeitig tagged und untagged traffic zu schicken, ist jedenfalls keine Konfig die unterstützt wird, das funktioniert bestenfalls einfach nicht richtig und schlimmstenfalls separiert es die Netzwerke nicht korrekt. Leider kann ich ohne Screenshots sämtlicher (!) Netzwerkkonfigs auf Fritzbox, Switch, AP und Cloudkey nur herumraten
Den APs gleichzeitig tagged und untagged traffic zu schicken, ist jedenfalls keine Konfig die unterstützt wird, das funktioniert bestenfalls einfach nicht richtig und schlimmstenfalls separiert es die Netzwerke nicht korrekt. Leider kann ich ohne Screenshots sämtlicher (!) Netzwerkkonfigs auf Fritzbox, Switch, AP und Cloudkey nur herumraten