ComputerBase Menü
Aktuelles

Unifi WLAN + GästeWlan

G

Gerber_

Lieutenant
Registriert
Juli 2012
Beiträge
543
Hallo zusammen,

ich bin gerade daran die Unifi Produkte etwas genauer zu testen und habe nun einen 8 Port Switch + 2x Mesh AP bei mir liegen.
Ich finde die Produkte in Verbindung mit dem Controller eine ziemlich schöne Sache und muss sagen, dass diese Ihren Dienst ziemlich gut erledigen.

Nun sind ein zwei Fragen in Bezug auf die Netzwerke aufgekommen:

Wenn ich nun über den Controller ein Gäste Wlan mit dem Hotspot Zugriff anlege funktioniert alles soweit und ich bekomme eine IP Adresse zugewiesen.

Die Clients im Gäste Netz sind zwar vom LAN abgeschottet, allerdings würde ich an dieser Stelle gerne die Gäste in ein separates Netzwerk stecken.

Privates Netz: 192.168.169.xxx
Gäste Netz: 192.168.188.xxx

Als Firewall und Routing zwischen den Netzen(falls erlaubt) setze ich eine Sophos XG Firewall ein.

Nun die Fragen:

Frage 1)
Ist dies über den Unifi Controller möglich?

Ich denke das ganze ist möglich, allerdings benötige ich ein paar Gedankenanstöße wie dies mit dem Unifi Controller umgesetzt wird.

Wird dies über VLANs geregelt?
Bedeutet VLAN einem WLAN zuordnen und dem Netzwerk ebenfalls ein VLAN ?


###

Frage 2)

Es gibt im Controller die Möglichkeit Firewall Einstellungen zu konfigurieren.
In meinem Fall verwalte ich alles über die Sophos Firewall.

Wie funktioniert die Firewall im Unifi Controller genau? Ist dies auf das Unifi Security Gateway bezogen?

Der Traffic läuft im Normalfall ja nicht über den Controller, so dass dieser auch die Firewall Regelen nicht anwenden kann.

##

Frage 3)

Es gibt unter den Diensten den Punkt DHCP. Kann der Controller als DHCP Server fungieren?

##


Danke im Voraus.

Grüße Phil
 
1) ja, default VLAN 1 ist dein normales und z.B. VLAN 2 das Gäste-VLAN. Du musst am Switch beide VLANs je der Sophos und den AP's geben.

2) Die Firewalleinstellungen am Controller gehen nur wenn du den Ubiquiti Router verwendest da dieser dann auch mit der Controller Software gesteuert wird.

3) Habe ich noch nicht ausprobiert, ich meine aber es geht.

Ich hab zwar nur einen AP, auf dem aber auch beide WLAN's.
 
  • Gefällt mir
Reaktionen: Gerber_
@d2boxSteve

Danke dir für die schnelle Antwort.

Ich habe nun zum Test einfach mal ein Vlan 50 erstellt und dieses im Netzwerk zugewiesen.
Leider bekomme ich keine Verbindung hergestellt, somit denke ich der DHCP Server funktioniert ebenfalls nur mit dem Router.

Ich werde es jetzt noch explizit mit der Firewall testen in Verbindung mit den VLANs.
 
Moment, du musst an der Sophos VLAN 50 definieren, dort die IP einstellen (die ist ja default gateway im Gäste-WLAN dann) und natürlich muss das VLAN 50 auch mit dem AP verbunden werden, du brauchst dafür einen managebaren Switch.

Ein VLAN ist innerhalb deiner Struktur ein komplett gekapseltes Netzwerk, so soll es ja auch sein. Ergo braucht es Anschluss an einen Router der den Traffic regelt.
 
  • Gefällt mir
Reaktionen: Gerber_
Jap. Momentan habe ich noch keine Schnittstelle der Sophos gebunden.
Dies werde ich die nächsten Tage testen.

Wie du beschrieben hast werde ich eine SChnittstelle mit VLAN 50 anlegen und auch den DHCP über die Sophos leiten lassen.

An dem Switch von Unifi (direkt angeschlossen an der SChnittstelle von Sophos) werde ich ein Tagged VLAN Port erstellen.

Ebenfalls ein Tagged VLAN Port, welcher auf die APs geht.

###

Eines noch:

Ich muss natürlich in der Firewall dne Zugriff auf die Controller IP freigeben, richtig?
Damit das Voucher Portal überhaupt funktioniert.
 
Wahrscheinlich, ich arbeite im Gäste-WLAN mit einem Key, ich benutze das Portal nicht.
 
OK.

Ich werde es die Tage testen und hier nochmals Rückmeldung über die Themen geben.
 
Kurzes Feedback:

ich habe nun die gewünschte Konfiguration getestet.

Ich habe eine Schnittstelle der Sophos Firewall mit einem VLAN + DHCP + DNS konfiguriert.
Danach habe ich diese Leitung auf den Unifi Switch (Port2) angeschlossen. Zusätzlich habe ich an Port 1 vom Unifi Switch das Standard LAN ohne VLAN angeschlosssen (bedeudet 2x Uplink).

Wenn ich nun die Tagged VLANs durchreiche funktioniert alles perfekt mit dem WLAN un der VLAN Konfiguration, allerdings ist mir ein Thema aufgefallen:

Wenn ich nun beim Uplink Port 2 auf dem Unifi Switch nur VLAN 50 konfiguriere und nicht auf ALL stehen habe, funktioniert die Verbindung nicht.

Nur wenn ich die Einstellung "All" setze funktioniert es. Dies wundert mich etwas da ich auf der Schnittstelle der Sophos eben das VLAN 50 eigentlich tagge....


####

Was momentan noch nicht korrekt funktioniert ist das aufrufen des Portals von Unifi wenn ich mich in dem Gäste WLAN mit dem VLAN befinde.

Ich habe natürlich in der Sophos Firewall die Regel freigegeben, dass auf die Portal IP Adresse zugegriffen werden darf.

Hierzu jemand eine Idee?

Grüße Phil
 
Ist die Sophos FW nu mit 2 Kabeln, eines für jedes Netzwerk, oder mit einem Kabel mit dem Switch verbunden?

Wenn es 2 Kabel sind, dann muss die Sophos von den VLANs gar nichts wissen.

Sophos.WAN --> www
Sophos.LAN1 (kein VLAN) --> Port1 @ Switch (untagged VLAN x)
Sophos.LAN2 (kein VLAN) --> Port2 @ Switch (untagged VLAN y)
AP1.LAN (tagged VLAN x+y) --> Port7 @ Switch (tagged VLAN x+y)
AP2.LAN (tagged VLAN x+y) --> Port8 @ Switch (tagged VLAN x+y)

Aus Sicht der Sophos sind das einfach nur zwei separate Interfaces mit einem eigenen Subnetz. Dass der/die Switch/es bzw. AP/s dahinter mit VLANs arbeiten, liegt daran, dass sie eben auf derselben Infrastruktur mit verschiedenen Netzwerk arbeiten müssen. Der Switch muss natürlich ebenfalls von den VLANs wissen, weil er sich selbst splitten muss und diese Info über ein einzelnes Kabel zu einem AP durchreichen muss, der wiederum aus den VLAN-Tags jeweils eine SSIDs generiert.


Erst dann, wenn der Uplink zwischen Switch und Sophos über ein Kabel gehen soll, braucht die Sophos auch Infos zu den VLANs:

Sophos.WAN --> www
Sophos.LAN1 (tagged VLAN x + y) --> Port 1 @ Switch (tagged VLAN x + y)
AP1.LAN (tagged VLAN x + y) --> Port 7 @ Switch (tagged VLAN x + y)
AP2.LAN (tagged VLAN x + y) --> Port 8 @ Switch (tagged VLAN x + y)
 
  • Gefällt mir
Reaktionen: Gerber_
Danke dir.

Momentan sind es zwei Kabel genau, allerdings soll in Zukunft das LAN Interface über eines der Sophos Firewall laufen und eine zweite Schnittstelle der Sophos soll dann 3 VLANs konfiguriert werden.

Deswegen habe ich es auch gleich mit VLANs auf der Sophos getestet.

###

Ich habe nun aber die Lösungen für beide Probleme gefunden:

Ich hatte auf dem Port 2 nur ein Natives VLAN hinterlegt, in dem ich direkt über den Port des Switches das VLAN 60 ausgewählt habe.

Nach dem ich ein neues Switch Profil konfiguriert habe, konnte ich dort ein Tagged VLAN auswählen.
Nach dem zuweisen dieses Profils hat es problemlos funktioniert.

###

Fehler 2 mit dem Hotspot Portal war, dass ein bestimmter Port benötigt wird.
Nach dem ich die Logs der Sophos abgearbeitet habe war klar, dass der Port 8880 zum Controller benötigt wird, damit es überhaupt aufgerufen werden kann.

Port in der Firewall freigegeben und es funzt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Rückbau Unifi WLAN: Tipps zur Vorgehensweise
Antworten
16
Aufrufe
889
matthias_nbg
M
T
Cisco Netzwerkkonfiguration Gast-WLAN
Antworten
13
Aufrufe
395
tim1980
T
Yo Mr. White
UniFi Network offline
Antworten
3
Aufrufe
499
matthias3000
M
CoregaTab
Fritzbox ersetzen.
2
Antworten
21
Aufrufe
997
norKoeri
N
Matze1971
Unifi "Auskenner" gesucht...
Antworten
13
Aufrufe
913
Matze1971
Matze1971
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz