Fritzbox Gastnetzwerk über UniFi-Accespoints

Opa_Bommel

Opa_Bommel

Aktives Mitglied
Thread Starter
Dabei seit
13.03.2005
Beiträge
698
Reaktionspunkte
67
Hallo zusammen,

ich versuche das Gastnetzwerk meiner Fritzbox über meine Unifi-Accespoints auszustraheln.
Es gibt diese Frage zwar mehrfach im Netz und ich habe mich schon etwas belesen, leider bis jetzt erfolglos.

Darum probiere ich es mal hier mit meiner Konfiguration
  1. Fritzbox 7590 gibt das private Netzwerk über Port 1 und das Gastnetzwerk über Port 4 der Fritzbox aus.
  2. An meinem Managed-Switch (GS1900-24 HP) sieht es wie folgt aus:
    1. Privates-Netz auf Port 22
    2. Gastnetz auf Port 23
    3. Cloudkey Gen 2 Port 24 (Zur Verwaltung der Accespoints)
    4. Accespoints (Unifi U6+) Port 1, 13 und 20.
    5. VLAN 1 - Ports 1-22 + 24 untag (Port 23 ausgeschlossen)
    6. VLAN 20 - Ports 1, 13, 20 und 24 tag (restliche Ports ausgeschlossen)
  3. Im Cloud Key habe ich zwei Netzwerke angelegt: Netzwerk privat = VLAN1 und Netzwerk „gast“ = VLAN 20. Diese Netzwerke habe ich entsprechend jeweils einer WLAN-SSID auf den Accespoints zugewiesen. Beide Netzwerke zunächst ohne weitere Einstellungen.
Ergebnis: Geräte im WLAN privat funktionieren gut, Geräte im WLAN Gast bekommen keine IP.
Der Cloudkey beschwert sich, dass mehrere Geräte die gleiche IP bekommen würden.

Hat jemand von euch vielleicht eine Idee, wie ich ein Gastnetzwerk (isolierte Geräte) realisieren kann mit meinen Geräten?
 
Hallo, ich gehe davon aus, dass Du den Geräten keine festen IP's vergeben hast sondern DHCP?! Wer darf DNS vergeben?
 
Danke FrankyGZ für deinen Beitrag. DHCP-Server ist die Fritz!box und DNS läuft über ein Pi-Hole, welcher im Port 2 an der Frotzbox steckt.
 
Das private Netzwerk und das Gastnetzwerk haben/vergeben natürlich auch unterschiedliche IPs? Z.B. 192.168.178.1. 192.168.179.1 ?? Sorry, das ich Dir so belanglose Fragen stelle, ich denke Du kennst Dich im Netzwerk gut aus. Aber irgendwo muss man anfangen.
 
  • Gefällt mir
Reaktionen: dg2rbf
Also... ich habe bei mir komplett unifi im Einsatz, da geht das recht einfach, sogar mit Portal etc...

Aber zu deinem Thema:

Du hast VLAN1 (Prod.) untagged auf 1-22 und 24
Du hast VLAN20 (Gast) tagged auf 1,13,20 und 24

Nach meinem Verständnis fehlt da das VLAN20 tagged auf Port 23, da es da ja "rein" kommt.

Aber ich weiß halt auch nicht inwiefern die VLANs auf den Ubiquiti-Komponenten funktionieren, wenn man keinen UI-Router einsetzt.
 
FrankyGZ schrieb:
Das private Netzwerk und das Gastnetzwerk haben/vergeben natürlich auch unterschiedliche IPs? Z.B. 192.168.178.1. 192.168.179.1 ?? Sorry, das ich Dir so belanglose Fragen stelle, ich denke Du kennst Dich im Netzwerk gut aus. Aber irgendwo muss man anfangen.
Zum Vergrößern anklicken....
Ja, genau so ist es.
 
pc-bastler schrieb:
Also... ich habe bei mir komplett unifi im Einsatz, da geht das recht einfach, sogar mit Portal etc...

Aber zu deinem Thema:

Du hast VLAN1 (Prod.) untagged auf 1-22 und 24
Du hast VLAN20 (Gast) tagged auf 1,13,20 und 24

Nach meinem Verständnis fehlt da das VLAN20 tagged auf Port 23, da es da ja "rein" kommt.

Aber ich weiß halt auch nicht inwiefern die VLANs auf den Ubiquiti-Komponenten funktionieren, wenn man keinen UI-Router einsetzt.
Zum Vergrößern anklicken....
Ich probiere es heute Abend mal aus, bei VLANs bin ich noch sehr unsicher unterwegs.
 
Hey!

Denke auch der Port 23 für den Uplink vom Gastzugang "fehlt" hier noch. Würde den Port untagged mit VLAN20 schalten, da hier ja wirklich nur der Gastzugang anliegt.
Bis denn...

Bye, Markus
 
Ich habe eben auf meinem Switch nachgesehen, Port 23 ist untag im VLAN 20.
Es war in meinem Startpost fehlerhaft dargestellt von mir.
 
Dann würde ich mal einen Wireshark ins VLAN20 hängen und einen DHCP-Request mal nachverfolgen um zu schauen, wo er abbricht.
 
  • Gefällt mir
Reaktionen: Opa_Bommel und dg2rbf
Opa_Bommel schrieb:
...
Ergebnis: Geräte im WLAN privat funktionieren gut, Geräte im WLAN Gast bekommen keine IP.
Der Cloudkey beschwert sich, dass mehrere Geräte die gleiche IP bekommen würden.
...
Zum Vergrößern anklicken....

Hey!

Wie hast Du denn das VLAN für den Gastzugang im Cloudkey konfiguriert?!? Hört sich ein bisschen so an, als hätte der Cloudkey hier für VLAN20 Netzwerkeinstellungen inklusive DHCP - Server hinterlegt. Da das ja aber die FRITZbox macht, muss das VLAN auch nur als VLAN angelegt werden.

So sieht die VLAN - Einstellung für den Gastzugang bei mir hier aus:
1709714203109.png


Bis denn...

Bye, Markus
 
  • Gefällt mir
Reaktionen: Opa_Bommel
Hi Markus,

danke für dein Bild mit den Einstellungen. Bei mir sieht es genau so aus. (Bis auf VLAN 20 anstelle von 1000)
 
Hey!

Hast Du noch einen Port am Switch frei?!? Dann könntest Du den auch untagged mit VLAN 20 für den Gastzugang belegen, und einfach mal einen Computer per LAN - Kabel dort anschließen. Dann mal schauen ob Du da eine IP - Adresse zugewiesen bekommst, oder ob sich´s da genau so verhält. Wenn Du keine Adresse bekommst, kannst Du dem dort angeschlossenen Computer ja einfach mal eine statische IP - Adresse aus dem Bereich des Gastzugangs zuweisen und schauen was dann geht. Interessant wäre hier, ob Du einen Ping auf das Gateway, in dem Fall die FRITZbox mit 192.168.179.1, machen kannst.
Bis denn...

Bye, Markus
 
Danke Markus für deine Idee. Ich habe Port 10 in das VLAN 20 aufgenommen als "untag" und aus dem VLAN 1 entfernt. Resultat: keine IP-Adresse. Dann habe ich meinen PC direkt mit Port 4 an der Fritz!Box verbunden und dort bekomme ich eine IP aus dem Gast-Netzwerk zugewiesen. Hmm also entweder ich habe bei meinen VLAN-Einstellungen noch einen Fehler, oder ein anderer DHCP-Server konkurriert mit dem DHCP-Server der Fritz!Box. Über das WE arbeite ich mich mal in Wireshark ein.
 
Nachtrag:
Ich habe nur Port 23 und Port 10 in das VLAN20 als "untag" aufgenommen.
FritzGast an Port 23 und einen PC an Port 10. Also ein sehr kleines und überschaubares VLAN.
Selbst dann bekomme ich keine IP-Adresse zugewiesen.
 
Hey!

Hm... Ok! Zumindest kann man den Fehler wohl mal auf den Switch eingrenzen. Das ist doch schon mal gut und ein nächster Ansatz. Kannst Du mal die VLAN- und Portkonfiguration am Switch zeigen? Vielleicht kommen wir dann ja der Sache näher. ;-)
Bis denn...

Bye, Markus
 
  • Gefällt mir
Reaktionen: Opa_Bommel
Das funktioniert so nicht, lässt sich leicht lösen.

- Tagged VLAN geht nur auf Ports wenn dahinter ein Gerät ist, das VLANs versteht, egal ob der Port eingehend/ausgehend ist. Das bedeutet, der einzige Port am ganzen Switch den du bei dir auf tagged setzen kannst ist der vom Ubiquity-AP. Denn die Fritzbox kann nicht mit VLANs umgehen.

- Dieser tagged Port wird dann auch ausschließlich auf tagged bei jedem VLAN gesetzt, nicht gemischt manche getagged und manche ungetagged.

- Du brauchst ein zweites VLAN für das Privatnetz, denn VLAN1 is das sog. "native" VLAN, best practice ist das immer untagged zu lassen. Und da du am Ubiquity-Port nur tagged verwendest, geht das VLAN1 dort folglich nicht.

- Auch wichtig, ein untagged-Port bekommt immer nur exakt ein VLAN zugewiesen.

Du schließt die Fritzbox also doppelt an den Switch an, einmal mit dem Privatnetzwerk an einen untagged Switch-Port der zB VLAN30 hat, und ein zweites mal mit dem Gastnetzwerk an einen untagged Switch-Port der VLAN20 hat. Der Traffic von diesen beiden Ports, also von der Fritzbox, wird nun gemeinsam auf dem Port vom AP ausgegeben, und auf dem AP musst du auch beide VLANs einrichten und entsprechend auf die beiden SSIDs zuteilen. Da die beiden VLANs tagged beim AP ankommen, kann dieses sie wieder auftrennen und richtig der eingestellten SSID zuweisen.

Traffic der vom AP zum Switch zurückgeht, wird dann an entsprechend der VLAN-ID auf allen untagged Ports wieder ausgespuckt und findet damit wieder den Weg zurück zum richtigen Port an der Fritzbox.

Zu guterletzt brauchst du noch ein drittes VLAN nur am Switch, das du für das Switch-Management verwendest. Denn es kann per default sonst sein, dass dein Switch plötzlich auch über eine Wifi-Guest-Verbindung erreichbar ist und von dort aus konfiguriert werden kann. Das soll nicht so sein, im Gast-Netzwerk landen schließlich Geräte und User, denen du nicht unbedingt voll vertrauen musst.

Das dritte VLAN gibst du nur untagged an einen Switch-Port aus, der fürs Management vom Switch vorgesehen wird, und in den Settings vom Switch weist du der Switch-Konfigurations-UI bzw. Switch-Webseite dieses VLAN und eine fixe IP-Adresse deiner Wahl in dem VLAN zu.

Du kannst anstelle eines dritten VLANs dafür auch VLAN30 des privaten Netzwerks nehmen, dann ist der Switch in deinem normalen Heimnetzwerk erreichbar, aber nicht im Gast-Wifi.
 
  • Gefällt mir
Reaktionen: Johanna K
Danke OmarDLittle für deinen Beitrag, leider verstehe ich nicht, was genau ich jetzt anders machen soll.

Könntest du bitte noch einmal meine letzte Konfiguration beurteilen?

- Firtbox Privates Netz auf Port 22.
- Fritz!Box Gastnetz auf Port 23.
- Alle Ports bis auf 10 und 23 in VLAN 1 "untag" sowie Port 10 und Port 23 "excluded".
- Port 10 und Port 23 in VLAN 2 "untag" sowie alle anderen Ports "excluded".

Resultat:
- Privates Netz funktioniert und Gastnetz auf Port 10 bekommt keine IP.
- Alles mit WLAN ist in VLAN 1 im privaten Netz und funktioniert

Was müsste ich nun in diesem simplen Fall anders machen, damit ich auf Port 10 eine IP im Gastnerz von der Fritz!Box bekomme?
 
Der Zauberer schrieb:
Hey!

Hm... Ok! Zumindest kann man den Fehler wohl mal auf den Switch eingrenzen. Das ist doch schon mal gut und ein nächster Ansatz. Kannst Du mal die VLAN- und Portkonfiguration am Switch zeigen? Vielleicht kommen wir dann ja der Sache näher. ;-)
Bis denn...

Bye, Markus
Zum Vergrößern anklicken....
Was mich selber ein bisschen irritiert ist die Einstellung von "membership", die lässt sich beim VLAN20 leider nicht verändern und springt immer wieder zurück auf "excluded", im VLAN1 steht sie auf "untagged".
 

Anhänge

  • Bildschirmfoto 2024-03-09 um 12.03.12.png
    Bildschirmfoto 2024-03-09 um 12.03.12.png
    407,6 KB · Aufrufe: 38
  • Bildschirmfoto 2024-03-09 um 12.03.56.png
    Bildschirmfoto 2024-03-09 um 12.03.56.png
    413,1 KB · Aufrufe: 40
Bitte lies meinen Beitrag nochmal, du sollst für die beiden Ports an denen die Fritzbox hängt jeweils VLAN20 und VLAN30 nehmen, nicht VLAN1. Das native VLAN1 ist dafür nicht gedacht. Am Switch VLAN30 erstellen, den Port fürs Heimnetzwerk an der Fritzbox auf das VLAN30 untagged stellen, und am AP-Port beide VLANs, VLAN20 und VLAN30 tagged einstellen. Am AP selbst musst du dann für das private Wifi das VLAN auf VLAN30 umstellen.

Die Membershipeinstellung oben ignorieren, die ist dazu da alle Ports auf einmal auf eine Einstellung zu forcieren.

Am besten VLAN30 als default-VLAN für alle Ports im Heimnetzwerk übernehmen, und das native VLAN1 auf allen Ports bis auf einen ungenutzten exkludieren (vielleicht braucht man es doch nochmal, dann ist es gut wenn es noch einen Port dafür gibt). Sobald du VLANs verwendest, solltest du das native VLAN1 einfach grundsätzlich nicht mehr nutzen. Das führt nur zu Problemen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten