deslout! schrieb:
Option 43 ist bei meinem Forti Modell anscheinend gar nicht verfügbar.
Wenn du damit ein FortiGate/FortiNet meinst, wird hier beschrieben wie das klappen soll:
Klick!
Die Sache ist nämlich die: Was genau in Option 43 steht ist herstellerspezifisch und nicht standardisiert. Bei einem EdgeRouter, der ebenfalls von Ubiquiti stammt wie die Unifi-Serie, ist das im DHCP daher ganz einfach als "Unifi-Controller" in der GUi angegeben. Bei Fremdgeräten muss man Option 43 allerdings zu Fuß einrichten, da dort buchstäblich alles mögliche stehen kann. Deswegen ist im oben verlinkten Beispiel die IP als Hex zu codieren, sozusagen als Rohdaten.
deslout! schrieb:
Daher habe ich auch den Eingriff mit set-inform versucht.
Das ist im Zweifelsfalle ja auch richtig, wenn man beispielsweise gar keinen Einfluss auf den lokalen DNS hat oder dieser weder manuelle Einträge zulässt noch Option 43 bietet. Mit einer FortiGate sollte es aber eigentlich möglich sein. Hintergrund des ganzen ist einfach, dass bei korrekter DNS-Auflösung und/oder Option 43 ein neuer AP einfach angestöpselt wird und sofort im Controller adoptet werden kann. Bei manueller inform-url muss jeder neue oder ausgetauschte AP oder ggfs weitere Unifi-Geräte (zB Unifi-Switch) zunächst via ssh mit der IP des Controllers verheiratet werden muss. DNS/DHCP ist da der handlichere Weg, wenn's denn funktioniert.
deslout! schrieb:
Ping auf Controller IP aus dem Netz der APs funktioniert aber problemlos.
Ping ist eine Sache, aber die APs rufen eine URL auf, rufen die Daten also via http ab. Ping = ICMP und ICMP != http. Das sind zwei Paar Schuhe. Du müsstest explizit mal checken ob du
http://controllerip:8080
aufrufen kannst bzw. im Zweifelsfalle die tcpdump / packet capture Funktion der FortiGate bemühen und nachsehen ob http bzw tcp 8080 ins andere Subnetz durchgeht und zurückkommt.
MetalForLive schrieb:
Ansonsten würde ich ein Clean install machen und es mal so testen.
In der Tat. Bei 2 APs ist der Aufwand überschaubar. Zudem kann man so sicherstellen, dass die beiden APs, die
@deslout! scheinbar im Controller sieht, tatsächlich durch Meldungen der APs angezeigt werden oder ob sie nur dirt auftauchen, weil sie aus dem Backup importiert wurden und jetzt in der Luft hängen.
deslout! schrieb:
Wie auf dem Screenshot ersichtlich, erhalte ich nun einen "server reject" error.
Das kann zum einen darauf hindeuten, dass die FortiGate den Traffic blockiert, und zum anderen, dass die Firewall auf dem Server selbst blockiert. Prüfe mal ob der Server überhaupt Verbindungsanfragen aus dem anderen Subnetz erlaubt. Siehe dazu auch der eben erwähnte Test mit dem Browser. Wenn der Server bzw dessen Firewall nämlich sinngemäß auf "Accept traffic from local subnet only" steht, nimmt er die Inform-Pakete von den APs nicht an. Daher: Firewall bei tcp 8080 prüfen und ggfs für Quell-IP = 10.17.17.0/24 freischalten.