5
Gäste-WLAN mit Ubiquiti und einer SG 210, verzweiflung
Moin,
ich habe momentan keine Idee, was ich noch machen soll.
Wir haben folgende Architektur:
Diverse REDs, die spielen hier vermutlich keine Rolle.
Untagged auf allen Ports das Prod. Netzwerk
VLAN 100 tagged für VoIP mit einem eigenen Adresspool
VLAN 200 tagged auf allen Ports für ein Gästenetzwerk.
Dann gibt es einen Unifi Controller und diverse Switche.
Auf dem Controller ist das Gästenetzwerk mit dem tag 200 definiert.
Es gibt ein WLAN, was als Hotspot definiert ist. Dieses hat das Gästenetzwerk zugewiesen bekommen.
Der Controller hat eine IP-Adresse aus dem Prod Netzwerk.
Dann gibt es eine SG 210. Auf der ist ein Ethernet-VLAN mit dem VLAN tag 200 definiert, als Schnittstelle. Gateway mit der 1.92.168.100.254, dhcp etc.
Dann gibt es Firewallregeln.
- GAST WLAN (Network) any to internal lan verwerfen
- GAST WLAN (Network) any to internet IPv4 zulassen.
-GAST WLAN (Network) any to unifi controller zulassen
Ping und https / http in das Prod. Netzwerk funktioniert. Alle anderen Dienste werden geblockt.
Tracert sagt mir:
1. Hop: 192.168.100.254
nächster das Ziel im Prod. Netzwerk.
Wo fange ich an zu suchen?
Es gibt noch eine Multipathregel (nicht nur die, aber auch die):
any -> web surfing -> any -> uplink interfaces
Da ist es egal, ob sie aktiv ist oder nicht. Selbst wenn ich die ausmache habe ich weiterhin a) Internet und b) zwischen Gäste- und Prod. Netzwerk.
Hat irgendjemand irgendeine Idee, wo ich anfangen könnte?
ich habe momentan keine Idee, was ich noch machen soll.
Wir haben folgende Architektur:
Diverse REDs, die spielen hier vermutlich keine Rolle.
Untagged auf allen Ports das Prod. Netzwerk
VLAN 100 tagged für VoIP mit einem eigenen Adresspool
VLAN 200 tagged auf allen Ports für ein Gästenetzwerk.
Dann gibt es einen Unifi Controller und diverse Switche.
Auf dem Controller ist das Gästenetzwerk mit dem tag 200 definiert.
Es gibt ein WLAN, was als Hotspot definiert ist. Dieses hat das Gästenetzwerk zugewiesen bekommen.
Der Controller hat eine IP-Adresse aus dem Prod Netzwerk.
Dann gibt es eine SG 210. Auf der ist ein Ethernet-VLAN mit dem VLAN tag 200 definiert, als Schnittstelle. Gateway mit der 1.92.168.100.254, dhcp etc.
Dann gibt es Firewallregeln.
- GAST WLAN (Network) any to internal lan verwerfen
- GAST WLAN (Network) any to internet IPv4 zulassen.
-GAST WLAN (Network) any to unifi controller zulassen
Ping und https / http in das Prod. Netzwerk funktioniert. Alle anderen Dienste werden geblockt.
Tracert sagt mir:
1. Hop: 192.168.100.254
nächster das Ziel im Prod. Netzwerk.
Wo fange ich an zu suchen?
Es gibt noch eine Multipathregel (nicht nur die, aber auch die):
any -> web surfing -> any -> uplink interfaces
Da ist es egal, ob sie aktiv ist oder nicht. Selbst wenn ich die ausmache habe ich weiterhin a) Internet und b) zwischen Gäste- und Prod. Netzwerk.
Hat irgendjemand irgendeine Idee, wo ich anfangen könnte?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2829122587
Url: https://administrator.de/contentid/2829122587
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
kennen die Switche das VLAN 200 auch?
Ein kleiner Netzplan würde hier helfen.
LG
kennen die Switche das VLAN 200 auch?
Ein kleiner Netzplan würde hier helfen.
LG
Auch mal eine vernünftige Übersicht der Firewall-Regeln. Vlt ist nur irgendwo die Subnetzmaske falsch
VG
VG
Ja, alle Switche kennen alle VLAN Tags, 200 wird tagged auf alle Ports gelegt.
200 wird tagged auf alle Ports gelegt.
Das ist doch völliger Unsinn ? Was sollte Sinn und Zweck davon sein? Das getaggte VLAN 200 muss nur dort tagged anliegen wo auch Endgeräte sind die dieses VLAN mit Tagging bedienen können oder müssen.
Das sind in der Regel immer nur die Switch Uplinks und die Accesspoints, niemals aber Endgeräte Ports. Es ist also sinnfrei das auf allen Ports zu taggen.
Du solltest dir einmal genau und in aller Ruhe das VLAN Tutorial durchlesen!
Das Tutorial beschreibt ganz genau den Szenario und wie das einfach und problemlos umzusetzen ist.
Ein Live Design exakt nach deinen Anforderungen und dessen Konfig Schritte erklärt mit vielen bunten Bildern das dortige Praxisbeispiel.
Die VLAN Schnellschulung gibt dir dann noch etwas Grundlagenwissen zum Thema VLANs und Tagging mit an die Hand.
Wie immer: Lesen und verstehen...
Wenn es das denn nun war bitte dann auch deinen Thread hier als erledigt schliessen!
