10
Ubiquiti: USG + US 8 + AP AC Pro - VLAN Behandlung
Hallo zusammen!
Ich habe ein Problem mit (erstellten) VLANs.
Zu meinem gewünschten Szenario:
Ich möchte mein Netzwerk mit Geräten von Ubiquiti Unifi separieren. Es sollen zwei isolierte Netzwerke zum Management LAN (192.168.1.1 USG) hinzukommen. WLAN über einen AP AC Pro mit zwei SSIDs, welche über die zwei VLANs ebenfalls separiert werden sollen.
1. 10.1.10.0/24 (Eingabe im Controller: 10.1.10.1/24) = VLAN10
2. 10.1.20.0/24 (Eingabe im Controller: 10.1.20.1/24) = VLAN20
Grundsätzlich sollen die Clients aus den verschieden Netzwerken nicht untereinander kommunizieren dürfen. Das sollte ja der Fall sein, wenn man wie oben VLANs anlegt. Das habe ich auch so gemacht.
Hier vorab meine erste Frage: Was ist der Unterschied beim Anlegen von Netzen, wenn ich, wie geschehen, im ersten Punkt "Unternehmen" anwähle und dort meine Netze (s. oben) mit der entsprechenden VLAN ID anlege. Oder wenn ich den Punkt nur VLAN auswähle. Dort kann ich ja dann keine Netzwerke anlegen, sondern nur meine drei VLAN IDs. Für was ist dieser Punkt nütze?
Port 1 am Switch ist ja der Uplink des USG. Auf Port 2 soll VLAN10 und auf Port 3 VLAN20 sein.
So. Habe unter "Netzwerk" die oben beschriebenen Netze und unter "Drahtlose Netzwerke" zwei SSIDs mit der jeweiligen VLAN ID angelegt.
Bin am Port 2 mit meinem PC angeschlossen und bekomme die IP 10.1.10.6 per DHCP zugewiesen. An Port 3 ist testweise ein Netzwerkdrucker angeschossen. Der erhält per DHCP die 10.1.20.6
Bisher habe ich keine "LAN eingehend" Firewall Regel angelegt, da ich der Meinung bin, dass wenn VLANs angelegt sind, Geräte netzübergreifend nicht aufeinander zugreifen können.
Im Browser vom PC gebe ich die 192.168.1.1 ein. Ich lande auf dem WebInterface des USG (nicht dem Controller!).
Im Browser vom PC gebe ich die 10.1.10.1 ein. Ich lande auf dem WebInterface des USG. Warum eigentlich (die hat doch die 192.168.1.1)?
Im Browser vom PC gebe ich die 10.1.20.1 ein. Also vom VLAN 20, dem Netz, in das ich eigentlich nicht rein dürfen sollte. Ich lande auf dem WebInterface des USG. Auch hier wieder: Warum eigentlich (die hat doch die 192.168.1.1 und nicht die 10.1.10.1)?
Im Browser vom PC gebe ich die 10.1.20.6 ein. Also die IP des Druckers aus dem anderen Netz. Ich lande auf dem WebInterface des Druckers.
Was ist da noch falsch oder wo ist mein Denkfehler....
Mit Firewall Regeln (LAN eingehend): VLAN 10 zu VLAN 20 geblockt und VLAN20 zu VLAN10 geblockt passiert folgendes:
Im Browser vom PC gebe ich die 192.168.1.1 ein. Ich lande auf dem WebInterface des USG (nicht dem Controller).
Im Browser vom PC gebe ich die 10.1.10.1 ein. Ich lande auf dem WebInterface des USG.
Im Browser vom PC gebe ich die 10.1.20.1 ein. Also vom VLAN 20, dem Netz, in das ich eigentlich nicht rein dürfen sollte. Ich lande immer noch auf dem WebInterface des USG.
Im Browser vom PC gebe ich die 10.1.20.6 ein. Also die IP des Druckers aus dem anderen Netz. Das WebInterface des Druckers ist nun NICHT mehr erreichbar. Dieser Punkt ist somit ok.
Aber warum muss ich dafür Regeln erstellen? Das die Clients nicht untereinander kommunizieren dürfen sollte doch per VLAN automatisch so sein. Und warum komme ich bei der Eingabe der drei IP Adressen (192.168.1.1 10.1.10.1 10.1.20.1) immer noch auf das WebInterface des USG?
Vielen Dank vorab für die Hilfe!
Grüße,
DeDe-76
Ich habe ein Problem mit (erstellten) VLANs.
Zu meinem gewünschten Szenario:
Ich möchte mein Netzwerk mit Geräten von Ubiquiti Unifi separieren. Es sollen zwei isolierte Netzwerke zum Management LAN (192.168.1.1 USG) hinzukommen. WLAN über einen AP AC Pro mit zwei SSIDs, welche über die zwei VLANs ebenfalls separiert werden sollen.
1. 10.1.10.0/24 (Eingabe im Controller: 10.1.10.1/24) = VLAN10
2. 10.1.20.0/24 (Eingabe im Controller: 10.1.20.1/24) = VLAN20
Grundsätzlich sollen die Clients aus den verschieden Netzwerken nicht untereinander kommunizieren dürfen. Das sollte ja der Fall sein, wenn man wie oben VLANs anlegt. Das habe ich auch so gemacht.
Hier vorab meine erste Frage: Was ist der Unterschied beim Anlegen von Netzen, wenn ich, wie geschehen, im ersten Punkt "Unternehmen" anwähle und dort meine Netze (s. oben) mit der entsprechenden VLAN ID anlege. Oder wenn ich den Punkt nur VLAN auswähle. Dort kann ich ja dann keine Netzwerke anlegen, sondern nur meine drei VLAN IDs. Für was ist dieser Punkt nütze?
Port 1 am Switch ist ja der Uplink des USG. Auf Port 2 soll VLAN10 und auf Port 3 VLAN20 sein.
So. Habe unter "Netzwerk" die oben beschriebenen Netze und unter "Drahtlose Netzwerke" zwei SSIDs mit der jeweiligen VLAN ID angelegt.
Bin am Port 2 mit meinem PC angeschlossen und bekomme die IP 10.1.10.6 per DHCP zugewiesen. An Port 3 ist testweise ein Netzwerkdrucker angeschossen. Der erhält per DHCP die 10.1.20.6
Bisher habe ich keine "LAN eingehend" Firewall Regel angelegt, da ich der Meinung bin, dass wenn VLANs angelegt sind, Geräte netzübergreifend nicht aufeinander zugreifen können.
Im Browser vom PC gebe ich die 192.168.1.1 ein. Ich lande auf dem WebInterface des USG (nicht dem Controller!).
Im Browser vom PC gebe ich die 10.1.10.1 ein. Ich lande auf dem WebInterface des USG. Warum eigentlich (die hat doch die 192.168.1.1)?
Im Browser vom PC gebe ich die 10.1.20.1 ein. Also vom VLAN 20, dem Netz, in das ich eigentlich nicht rein dürfen sollte. Ich lande auf dem WebInterface des USG. Auch hier wieder: Warum eigentlich (die hat doch die 192.168.1.1 und nicht die 10.1.10.1)?
Im Browser vom PC gebe ich die 10.1.20.6 ein. Also die IP des Druckers aus dem anderen Netz. Ich lande auf dem WebInterface des Druckers.
Was ist da noch falsch oder wo ist mein Denkfehler....
Mit Firewall Regeln (LAN eingehend): VLAN 10 zu VLAN 20 geblockt und VLAN20 zu VLAN10 geblockt passiert folgendes:
Im Browser vom PC gebe ich die 192.168.1.1 ein. Ich lande auf dem WebInterface des USG (nicht dem Controller).
Im Browser vom PC gebe ich die 10.1.10.1 ein. Ich lande auf dem WebInterface des USG.
Im Browser vom PC gebe ich die 10.1.20.1 ein. Also vom VLAN 20, dem Netz, in das ich eigentlich nicht rein dürfen sollte. Ich lande immer noch auf dem WebInterface des USG.
Im Browser vom PC gebe ich die 10.1.20.6 ein. Also die IP des Druckers aus dem anderen Netz. Das WebInterface des Druckers ist nun NICHT mehr erreichbar. Dieser Punkt ist somit ok.
Aber warum muss ich dafür Regeln erstellen? Das die Clients nicht untereinander kommunizieren dürfen sollte doch per VLAN automatisch so sein. Und warum komme ich bei der Eingabe der drei IP Adressen (192.168.1.1 10.1.10.1 10.1.20.1) immer noch auf das WebInterface des USG?
Vielen Dank vorab für die Hilfe!
Grüße,
DeDe-76
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 423647
Url: https://administrator.de/contentid/423647
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
10 Kommentare
Neuester Kommentar
Dieses Tutorial erklärt dir alles was bei mSSID WLANs und den dazu korrespondierenden VLANs zu beachten ist !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Deine VLANs sind irgendwo per Bridge oder per "Kurzschluss" (Kabelbrücke) verbunden ! Vermutlich der 802.1q VLAN Trunk auf dem Router/Firewall falsch eingerichtet.
Sowas ist natürlich tödlich aus Sicherheitssicht in einer Konfig !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Und warum komme ich bei der Eingabe der drei IP Adressen
Weil du dort vermutlich die VLANs falsch konfiguriert hast.Deine VLANs sind irgendwo per Bridge oder per "Kurzschluss" (Kabelbrücke) verbunden ! Vermutlich der 802.1q VLAN Trunk auf dem Router/Firewall falsch eingerichtet.
Sowas ist natürlich tödlich aus Sicherheitssicht in einer Konfig !
Hi aqui!
Vielen Dank für die Infos und Hilfe.
Vielen Dank! Das werde ich mir genau anschauen.
Deine VLANs sind irgendwo per Bridge oder per "Kurzschluss" (Kabelbrücke) verbunden ! Vermutlich der 802.1q VLAN Trunk auf dem Router/Firewall falsch eingerichtet.
Sowas ist natürlich tödlich aus Sicherheitssicht in einer Konfig !
Wie muss ich mir das mit "per Bridge" oder "per Kabelbrücke" vorstellen?
Trunk könnte natürlich sein. Das wäre bei mir der Port wo der AP AC Pro dranhängt. Dort ist als Native Network das Management LAN (VLAN1) und die drei anderen Netzwerke bei Tagged Networks eingetragen. Kann das der Fehler sein?
Grüße,
DeDe
Vielen Dank für die Infos und Hilfe.
Zitat von @aqui:
Dieses Tutorial erklärt dir alles was bei mSSID WLANs und den dazu korrespondierenden VLANs zu beachten ist !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dieses Tutorial erklärt dir alles was bei mSSID WLANs und den dazu korrespondierenden VLANs zu beachten ist !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Vielen Dank! Das werde ich mir genau anschauen.
Und warum komme ich bei der Eingabe der drei IP Adressen
Weil du dort vermutlich die VLANs falsch konfiguriert hast.Deine VLANs sind irgendwo per Bridge oder per "Kurzschluss" (Kabelbrücke) verbunden ! Vermutlich der 802.1q VLAN Trunk auf dem Router/Firewall falsch eingerichtet.
Sowas ist natürlich tödlich aus Sicherheitssicht in einer Konfig !
Wie muss ich mir das mit "per Bridge" oder "per Kabelbrücke" vorstellen?
Trunk könnte natürlich sein. Das wäre bei mir der Port wo der AP AC Pro dranhängt. Dort ist als Native Network das Management LAN (VLAN1) und die drei anderen Netzwerke bei Tagged Networks eingetragen. Kann das der Fehler sein?
Grüße,
DeDe
Wie muss ich mir das mit "per Bridge" oder "per Kabelbrücke" vorstellen?
Du hast irgendwo fälschlicherweise ein Bridging zwischen den VLANs eingestellt oder mit einem Kabel irgendwie 2 VLAN Ports verbunden.Das kann man aber alles nur frei raten ohne weitere (Konfig) Details zu kennen....
Das Tutorial beschreibt den grundsätzlichen Aufbau von sowas. Daran solltest du dich Step by Step halten.
Dort ist als Native Network das Management LAN (VLAN1) und die drei anderen Netzwerke bei Tagged Networks eingetragen.
Nein, das ist so vollkommen richtig !Über das Manasgement Netz kommunizieren die APs mit dem Controller und untereinander.
Die mSSIDs (Namen deiner 3 WLANs) sind ja auf die 3 VLAN IDs gemappt. Sprich der AP versieht dann die SSID die in VLANx soll mit einem VLAN Tag x am Paket so das das getagged ist.
Der empfangene Switch "erkennt" dann anhand des VLAN Tags in welches VLAN er das Paket vom AP forwarden soll.
Einfacher Standard und auch richtig.
Zuordnung der mSSIDs zu den VLAN IDs sollte natürlich mit dem VLAN Tag Setting des Switches übereinstimmen, klar ansonsten gäbe es Chaos.
Du solltest die IP Adressvergabe erstmal mit einem Kupferclient am Switch in den VLANs einzeln testen und checken ob du an einem Kupferport entsprechend zum VLAN korrekte IPs bekommst. Und...
ob die VLANs untereinander isoliert sind bzw. du nur über den Router oder L3 Switch in andere VLAN Segmente kommst (Traceroute)
Wenn das alles gegeben ist sollte es auch mit den APs klappen.
Vermutlich liegt der Fehler irgendwo in der Switchkonfig.
dass wenn VLANs angelegt sind, Geräte netzübergreifend nicht aufeinander zugreifen können.
Bei einem reinen Layer 2 VLAN Switch ist das so richtig !Bei einem Layer 3 VLAN Switch nur bedingt !
Solange du beim L3 Switch keine Switch IP Adressen in den VLANs hast sind sie wie bei einem L2 Switch isoliert ! Klar denn dann arbeitet der L3 Switch ja quasi im Layer 2 Mode.
Sowie aber IP Adressen in den VLANs sind routet ein L3 Switch sofort und dann besteht eine geroutete Verbindung zwischen allen VLANs.
Die Kardinalsfrage ist also WIE bekommen Endgeräte in deinen VLANs ihre DHCP IP Adresse ??
Wenn das der Switch macht erzwingt das eine Switch IP in jedem VLAN. Klar, denn wie sollten sonst die DHCP Pakete in die VLANs kommen ??!
Eine Switch IP bedeutet dann aber sofort wieder geroutete Verbindung unter den VLANs und keine Isolation mehr.
Das solltest du also immer auf dem Radar haben !
In einem Layer 3 Switchumfeld helfen dir dann nur IP Accesslisten auf dem Switch um die VLANs wieder zu isolieren.
Im Browser vom PC gebe ich die 192.168.1.1 ein.
Auch hier die allerwichtigste Frage..- In welchem VLAN steckt der Browser PC ?
Wie oben schon gesagt:
- In einem L2 Switch kann der Browser PC einzig nur Geräte erreichen die in seinem eigenen VLAN sind. Alle anderen sind vollkommen isoliert. Der tiefere Sinn von VLANs
- In einem L3 Switch kann der Browser PC alle Geräte in allen VLANs erreichen, je nachdem ob Gateway IP Adresse usw. stimmen und der Switch IPs hat (siehe oben !)
Endgeräte wie PCs, Drucker usw. verstehen keine VLAN Tags auf Ports !
Dahingegen solltest du also dein Switch Setup nochmal genau prüfen ! Oder wir aber dann müsstest du dein Setup hier logischerweise mal posten für eine zielführende Hilfe.
Zitat von @aqui:
Über das Manasgement Netz kommunizieren die APs mit dem Controller und untereinander.
Die mSSIDs (Namen deiner 3 WLANs) sind ja auf die 3 VLAN IDs gemappt. Sprich der AP versieht dann die SSID die in VLANx soll mit einem VLAN Tag x am Paket so das das getagged ist.
Der empfangene Switch "erkennt" dann anhand des VLAN Tags in welches VLAN er das Paket vom AP forwarden soll.
Einfacher Standard und auch richtig.
Über das Manasgement Netz kommunizieren die APs mit dem Controller und untereinander.
Die mSSIDs (Namen deiner 3 WLANs) sind ja auf die 3 VLAN IDs gemappt. Sprich der AP versieht dann die SSID die in VLANx soll mit einem VLAN Tag x am Paket so das das getagged ist.
Der empfangene Switch "erkennt" dann anhand des VLAN Tags in welches VLAN er das Paket vom AP forwarden soll.
Einfacher Standard und auch richtig.
Genau. Meine mobilen Geräte erhalten, je nachdem an welcher SSID ich mich anmelde, die entsprechende IP Adresse aus dem Bereich des Netzwerkes mit der entsprechenden VLAN ID (kompliziert ausgedrückt).
Zuordnung der mSSIDs zu den VLAN IDs sollte natürlich mit dem VLAN Tag Setting des Switches übereinstimmen, klar ansonsten gäbe es Chaos.
Meinst Du folgendes damit:
Port6= Anschluss des AP. Als Profil ist WLAN hinterlegt. Das Profil WLAN hat als Natives Netzwerk das Management LAN (192.168.1.0/24). Als Tagged Netzwerke habe ich die Netzwerke mit VLAN10 und VLAN20 (genaueres Setup später).
Du solltest die IP Adressvergabe erstmal mit einem Kupferclient am Switch in den VLANs einzeln testen und checken ob du an einem Kupferport entsprechend zum VLAN korrekte IPs bekommst. Und...
ob die VLANs untereinander isoliert sind bzw. du nur über den Router oder L3 Switch in andere VLAN Segmente kommst (Traceroute)
Wenn das alles gegeben ist sollte es auch mit den APs klappen.
Vermutlich liegt der Fehler irgendwo in der Switchkonfig.
ob die VLANs untereinander isoliert sind bzw. du nur über den Router oder L3 Switch in andere VLAN Segmente kommst (Traceroute)
Wenn das alles gegeben ist sollte es auch mit den APs klappen.
Vermutlich liegt der Fehler irgendwo in der Switchkonfig.
Port2 ist mit VLAN10 konfiguriert. Da bekomme ich am Laptop (über Netzwerkkabel angeschlossen) über DHCP die richtige IP Adresse aus dem für VLAN10 angelegten Netzwerk (10.1.10.6). Bei Unifi handelt es sich wohl um ein Inter-VLAN. Somit erreichen sich ohne extra angelegte Firewall Regeln die Clients aus den verschiedenen VLANs. Das konnte ich so reproduzieren indem ich einen Netzwerkdrucker an Port3 gehangen habe. Port3 ist am Switch mit VLAN20 konfiguriert. Der Drucker bekommt entsprechend über DHCP die IP 10.1.20.6 zugewiesen. Gebe ich nun am Laptop (VLAN10) die IP des Druckers aus VLAN20 ein, so lande ich auf dem UI des Druckers. Port5 ist mit dem Unifi Controller bestückt und als Profil ist am Port All hinterlegt. Somit ist auch der Controller aus dem VLAN10 Netzwerk erreichbar.
In den "LAN eingehend" Firewall Regeln habe ich dann sechs Regeln erstellt.
1. VLAN10 zu VLAN20 Block: Quelle ist VLAN10 im IPv4 Bereich und Ziel ist VLAN20 im IPv4 Bereich
2. VLAN10 zu VLAN1 Block: Quelle ist VLAN10 im IPv4 Bereich und Ziel ist VLAN1 im IPv4 Bereich
3. VLAN20 zu VLAN10 Block: Quelle ist VLAN20 im IPv4 Bereich und Ziel ist VLAN10 im IPv4 Bereich
4. VLAN20 zu VLAN1 Block: Quelle ist VLAN20 im IPv4 Bereich und Ziel ist VLAN1 im IPv4 Bereich
5. VLAN1 zu VLAN10 Block: Quelle ist VLAN1 im IPv4 Bereich und Ziel ist VLAN10 im IPv4 Bereich
6. VLAN1 zu VLAN20 Block: Quelle ist VLAN1 im IPv4 Bereich und Ziel ist VLAN20 im IPv4 Bereich
Nach Anwendung ist es so, dass ich vom Laptop aus dem VLAN10 Netzwerk nicht mehr auf das UI des Druckers aus dem VLAN20 Netzwerk zugreifen kann. Ebenso ist der Unifi Controller nicht mehr erreichbar. Timeout Meldung. Das müsste doch nun eigentlich als isoliert gelten, oder?
Dennoch erreiche ich vom Laptop aus dem VLAN10 Netzwerk das USG im VLAN20 Netzwerk (von 10.1.10.6 zu 10.1.20.1). Ist das richtig so? Oder müsste ich da nicht auch eine Timeout Meldung bekommen? In jedem VLAN Netzwerk ist das USG über die entsprechend erste IP Adresse aus dem entsprechenden Adressbereich zu erreichen (192.168.1.1 + 10.1.10.1 + 10.1.20.1). Aber aus dem VLAN10 Netzwerk dürfte ich doch nicht auf 10.1.20.1 und auf 192.168.1.1 zugreifen dürfen... Wo ist hier mein Denkfehler???
dass wenn VLANs angelegt sind, Geräte netzübergreifend nicht aufeinander zugreifen können.
Bei einem reinen Layer 2 VLAN Switch ist das so richtig !Bei einem Layer 3 VLAN Switch nur bedingt !
Solange du beim L3 Switch keine Switch IP Adressen in den VLANs hast sind sie wie bei einem L2 Switch isoliert ! Klar denn dann arbeitet der L3 Switch ja quasi im Layer 2 Mode.
Sowie aber IP Adressen in den VLANs sind routet ein L3 Switch sofort und dann besteht eine geroutete Verbindung zwischen allen VLANs.
Also. Ich konfiguriere das ja alles im Controller. Dieser überträgt dann alles entsprechend auf die Geräte (USG + Switch). Ich konfiguriere weder direkt an der USG noch direkt am Switch.
Im Controller konfiguriere ich das Netzwerk und gebe in der Maske sowohl die VLAN ID an als auch das gewünschte Netzwerk ein. Somit werde ich wohl bei mir direkt IP Adressen im VLAN haben, oder? Daher ohne Regel auch nicht isoliert und mit Regel isoliert. Richtig?
Die Kardinalsfrage ist also WIE bekommen Endgeräte in deinen VLANs ihre DHCP IP Adresse ??
Wenn das der Switch macht erzwingt das eine Switch IP in jedem VLAN. Klar, denn wie sollten sonst die DHCP Pakete in die VLANs kommen ??!
Eine Switch IP bedeutet dann aber sofort wieder geroutete Verbindung unter den VLANs und keine Isolation mehr.
Das solltest du also immer auf dem Radar haben !
In einem Layer 3 Switchumfeld helfen dir dann nur IP Accesslisten auf dem Switch um die VLANs wieder zu isolieren.
Wenn das der Switch macht erzwingt das eine Switch IP in jedem VLAN. Klar, denn wie sollten sonst die DHCP Pakete in die VLANs kommen ??!
Eine Switch IP bedeutet dann aber sofort wieder geroutete Verbindung unter den VLANs und keine Isolation mehr.
Das solltest du also immer auf dem Radar haben !
In einem Layer 3 Switchumfeld helfen dir dann nur IP Accesslisten auf dem Switch um die VLANs wieder zu isolieren.
So wird Unifi dann funktionieren, oder? Würde passen.
Im Browser vom PC gebe ich die 192.168.1.1 ein.
Auch hier die allerwichtigste Frage..- In welchem VLAN steckt der Browser PC ?
Wie oben schon gesagt:
- In einem L2 Switch kann der Browser PC einzig nur Geräte erreichen die in seinem eigenen VLAN sind. Alle anderen sind vollkommen isoliert. Der tiefere Sinn von VLANs
- In einem L3 Switch kann der Browser PC alle Geräte in allen VLANs erreichen, je nachdem ob Gateway IP Adresse usw. stimmen und der Switch IPs hat (siehe oben !)
Der Browser PC (Laptop) hängt im VLAN10 und dürfte mit meinen erstellten Regeln, die ja wegen IPv4 den ganzen Adressbereich einnehmen, nicht auf 192.168.1.1 - 192.168.255 und auf 10.1.20.1 - 10.1.20.255 draufkommen... Aber sowohl auf 192.168.1.1 als auch auf 10.1.20.1 komme ich aus dem VLAN10 Netzwerk drauf. Der Controller ist "gesperrt" und auch der Drucker. Das wiederum ist ja so gewollt.
Endgeräte wie dein Controller dürfen logischerweise immer nur an untagged Ports in ihren VLANs hängen. Auch das sollte dir klar sein.
Endgeräte wie PCs, Drucker usw. verstehen keine VLAN Tags auf Ports !
Endgeräte wie PCs, Drucker usw. verstehen keine VLAN Tags auf Ports !
Das habe ich, dank Deiner Links, schon abgespeichert. :o)
Dahingegen solltest du also dein Switch Setup nochmal genau prüfen ! Oder wir aber dann müsstest du dein Setup hier logischerweise mal posten für eine zielführende Hilfe.
Mein Setup folgt per separatem Post. Sonst wird das alles zu unübersichtlich. :o)
Dankeschön und Grüße!!!
Meinst Du folgendes damit:
Profile sind zwar komisch...aber letztlich ist es genau richtig. So sollte es sein.Management untagged, mSSID WLANs getagged.
Du kannst zur Kontrolle auch einen Wireshark Sniffer an den Port hängen und checken ob die Pakete getaggt bzw. ungetagged kommen dort.
Port2 ist mit VLAN10 konfiguriert.
Untagged dann vermutlich, oder ??über DHCP die richtige IP Adresse aus dem für VLAN10
Nochmals: Von WEM kommt diese IP ?? Switch ??Zeigt aber letztlich das die VLAN Konfig OK ist.
Bei Unifi handelt es sich wohl um ein Inter-VLAN
Bahnhof ?, Rembrandt ?, Ägypten ?Was soll das heissen "Inter-VLAN". Hört sich eher nach technischem Blödsinn an, sorry.
Besser mal die VLAN Schnellschulung lesen:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
...und verstehen !
omit erreichen sich ohne extra angelegte Firewall Regeln die Clients aus den verschiedenen VLANs
Sorry, aber das ist totaler Quatsch !Der tiefere Sinn von VLANs ist doch gerade ein physisch vollkommen getrenntes Layer 2 Netz (Broadcast Domain)
Genau das will man mit dieser Technik erreichen.
Das was du da sagst steht dem diametral komplett entgegen und ist natürlich auch Unsinn. Leuchtet dir sicher auch selber ein....hoffentlich.
Gebe ich nun am Laptop (VLAN10) die IP des Druckers aus VLAN20 ein, so lande ich auf dem UI des Druckers
Das ist nicht weiter verwunderlich....Du vergibst vermutlich die DHCP Adressen mit dem Switch, richtig ?
Damit ist dein Switch dann im Layer 3 Mode und hat eine IP Adresse in jedem VLAN.
Der Switch vergibt dem Client die IP und seine eigene VLAN IP dem Client als Gateway Adresse. So hat jeder Client die Switch IP als Gateway und der Switch routet zwischen deinen VLANs !!!
Genau wie oben schon geschrieben !!
Hättest du mal ein Traceroute (tracert bei Winblows) gemacht von PC auf die Drucker IP, dann hättest du gesehen wie die Pakete geroutet werden.
Grundlagen zu dem Thema findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Auch mal bitte lesen und verstehen und dein netz mal mit Traceroute ansehen !
Ein Wireshark Trace kann hier auch die Augen öffnen wenn du dir dann mal Absender und Ziel IP Adresse in den Paketen genau ansiehst !! Mach das mal...erweitert den Netzwerk Horizont erheblich weil du dann mal selber sehen kannst was da auf deinem Kabel so los ist !
Genau DESHALB erreichst du alles mit allem, weil der Switch eben routet !
Hi aqui,
vielen Dank für Deine Geduld und Hilfe.
Werde mir Deine Links in Ruhe anschauen und hoffentlich wieder einiges dazu lernen.
Daher hatte ich das mit dem Inter-VLAN => https://help.ubnt.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall- ... Diese Anleitung würde für einen Layer 3 Switch sprechen, oder?
Du vergibst vermutlich die DHCP Adressen mit dem Switch, richtig ?
Damit ist dein Switch dann im Layer 3 Mode und hat eine IP Adresse in jedem VLAN.
Der Switch vergibt dem Client die IP und seine eigene VLAN IP dem Client als Gateway Adresse. So hat jeder Client die Switch IP als Gateway und der Switch routet zwischen deinen VLANs !!!
Auf den Switch selber komme ich nicht. Der hat kein Webinterface. Kann ihn nur über den Unifi Controller konfigurieren. Die Gateways der VLANS (192.168.1.1 + 10.1.10.1 + 10.1.20.1 + 10.1.30.1) sind die USG (https://www.omg.de/ubiquiti-networks/unifi/unifi-voip/ubiquiti-unifi-sec ..)
Diese Infos über meinen Switch. Ich kann nicht erkennen, ob Layer 2 oder Layer 3 https://www.omg.de/ubiquiti-networks/unifi/unifi-switch/ubiquiti-unifi-s ....
Kannst Du mehr erkennen?
Und durch die Regeln habe ich die Isolation hinbekommen. Dann wäre es doch ein Layer 3 Szenario, oder?
Danke und Gruß
DeDe
vielen Dank für Deine Geduld und Hilfe.
Werde mir Deine Links in Ruhe anschauen und hoffentlich wieder einiges dazu lernen.
Nochmals: Von WEM kommt diese IP ?? Switch ??
Zeigt aber letztlich das die VLAN Konfig OK ist.
Was soll das heissen "Inter-VLAN". Hört sich eher nach technischem Blödsinn an, sorry.
Besser mal die VLAN Schnellschulung lesen:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
...und verstehen !
Der tiefere Sinn von VLANs ist doch gerade ein physisch vollkommen getrenntes Layer 2 Netz (Broadcast Domain)
Genau das will man mit dieser Technik erreichen.
Das was du da sagst steht dem diametral komplett entgegen und ist natürlich auch Unsinn. Leuchtet dir sicher auch selber ein....hoffentlich.
Zeigt aber letztlich das die VLAN Konfig OK ist.
Bei Unifi handelt es sich wohl um ein Inter-VLAN
Bahnhof ?, Rembrandt ?, Ägypten ?Was soll das heissen "Inter-VLAN". Hört sich eher nach technischem Blödsinn an, sorry.
Besser mal die VLAN Schnellschulung lesen:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
...und verstehen !
omit erreichen sich ohne extra angelegte Firewall Regeln die Clients aus den verschiedenen VLANs
Sorry, aber das ist totaler Quatsch !Der tiefere Sinn von VLANs ist doch gerade ein physisch vollkommen getrenntes Layer 2 Netz (Broadcast Domain)
Genau das will man mit dieser Technik erreichen.
Das was du da sagst steht dem diametral komplett entgegen und ist natürlich auch Unsinn. Leuchtet dir sicher auch selber ein....hoffentlich.
Daher hatte ich das mit dem Inter-VLAN => https://help.ubnt.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall- ... Diese Anleitung würde für einen Layer 3 Switch sprechen, oder?
Gebe ich nun am Laptop (VLAN10) die IP des Druckers aus VLAN20 ein, so lande ich auf dem UI des Druckers
Das ist nicht weiter verwunderlich....Du vergibst vermutlich die DHCP Adressen mit dem Switch, richtig ?
Damit ist dein Switch dann im Layer 3 Mode und hat eine IP Adresse in jedem VLAN.
Der Switch vergibt dem Client die IP und seine eigene VLAN IP dem Client als Gateway Adresse. So hat jeder Client die Switch IP als Gateway und der Switch routet zwischen deinen VLANs !!!
Auf den Switch selber komme ich nicht. Der hat kein Webinterface. Kann ihn nur über den Unifi Controller konfigurieren. Die Gateways der VLANS (192.168.1.1 + 10.1.10.1 + 10.1.20.1 + 10.1.30.1) sind die USG (https://www.omg.de/ubiquiti-networks/unifi/unifi-voip/ubiquiti-unifi-sec ..)
Diese Infos über meinen Switch. Ich kann nicht erkennen, ob Layer 2 oder Layer 3 https://www.omg.de/ubiquiti-networks/unifi/unifi-switch/ubiquiti-unifi-s ....
Kannst Du mehr erkennen?
Genau wie oben schon geschrieben !!
Hättest du mal ein Traceroute (tracert bei Winblows) gemacht von PC auf die Drucker IP, dann hättest du gesehen wie die Pakete geroutet werden.
Grundlagen zu dem Thema findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Auch mal bitte lesen und verstehen und dein netz mal mit Traceroute ansehen !
Ein Wireshark Trace kann hier auch die Augen öffnen wenn du dir dann mal Absender und Ziel IP Adresse in den Paketen genau ansiehst !! Mach das mal...erweitert den Netzwerk Horizont erheblich weil du dann mal selber sehen kannst was da auf deinem Kabel so los ist !
Genau DESHALB erreichst du alles mit allem, weil der Switch eben routet !
Hättest du mal ein Traceroute (tracert bei Winblows) gemacht von PC auf die Drucker IP, dann hättest du gesehen wie die Pakete geroutet werden.
Grundlagen zu dem Thema findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Auch mal bitte lesen und verstehen und dein netz mal mit Traceroute ansehen !
Ein Wireshark Trace kann hier auch die Augen öffnen wenn du dir dann mal Absender und Ziel IP Adresse in den Paketen genau ansiehst !! Mach das mal...erweitert den Netzwerk Horizont erheblich weil du dann mal selber sehen kannst was da auf deinem Kabel so los ist !
Genau DESHALB erreichst du alles mit allem, weil der Switch eben routet !
Und durch die Regeln habe ich die Isolation hinbekommen. Dann wäre es doch ein Layer 3 Szenario, oder?
Danke und Gruß
DeDe
Noch ein paar kurze Fragen zu Deinen Ausführungen:
Wie genau geht das? Hast Du da auch einen Leitfaden zu erstellt?
"Hast Du zu diesem Programm und seiner Anwendung auch einen Leitfaden? Welche Befehle und welche Quell und Ziel IPs nutze ich um etwas zu sehen."
=> So, habe jetzt einfach mal willkürlich IPs aus meinen Netz genommen. Auf Netzwerke außerhalb meines aktuellen VLANs (hier VLAN20) bin ich nicht gekommen. Nur auf die jeweiligen Gateways (192.168.1.1 + 10.1.10.1 + 10.1.20.1).
Wenn ich als Ziel Google (8.8.8.8) eingegeben habe, war mein Netzwerkknoten (ist das so korrekt) die 10.1.20.1, was meinem VLAN20 entspricht, in welchem ich mich mit meinem Laptop befinde. Dazu werde ich aber erstmal deinen Link lesen.
Danke! :o)
Du kannst zur Kontrolle auch einen Wireshark Sniffer an den Port hängen und checken ob die Pakete getaggt bzw. ungetagged kommen dort.
Wie genau geht das? Hast Du da auch einen Leitfaden zu erstellt?
Hättest du mal ein Traceroute (tracert bei Winblows) gemacht von PC auf die Drucker IP, dann hättest du gesehen wie die Pakete geroutet werden.
Auch mal bitte lesen und verstehen und dein netz mal mit Traceroute ansehen !
Ein Wireshark Trace kann hier auch die Augen öffnen wenn du dir dann mal Absender und Ziel IP Adresse in den Paketen genau ansiehst !! Mach das mal...erweitert den Netzwerk Horizont erheblich weil du dann mal selber sehen kannst was da auf deinem Kabel so los ist !
Auch mal bitte lesen und verstehen und dein netz mal mit Traceroute ansehen !
Ein Wireshark Trace kann hier auch die Augen öffnen wenn du dir dann mal Absender und Ziel IP Adresse in den Paketen genau ansiehst !! Mach das mal...erweitert den Netzwerk Horizont erheblich weil du dann mal selber sehen kannst was da auf deinem Kabel so los ist !
"Hast Du zu diesem Programm und seiner Anwendung auch einen Leitfaden? Welche Befehle und welche Quell und Ziel IPs nutze ich um etwas zu sehen."
=> So, habe jetzt einfach mal willkürlich IPs aus meinen Netz genommen. Auf Netzwerke außerhalb meines aktuellen VLANs (hier VLAN20) bin ich nicht gekommen. Nur auf die jeweiligen Gateways (192.168.1.1 + 10.1.10.1 + 10.1.20.1).
Wenn ich als Ziel Google (8.8.8.8) eingegeben habe, war mein Netzwerkknoten (ist das so korrekt) die 10.1.20.1, was meinem VLAN20 entspricht, in welchem ich mich mit meinem Laptop befinde. Dazu werde ich aber erstmal deinen Link lesen.
Danke! :o)
Auf den Switch selber komme ich nicht. Der hat kein Webinterface
Ist natürlich gruselig so eine HW. Laut datenblatt ist der in der tat nicht autark konfigurierbar sondern nru über den Controller:https://dl.ubnt.com/datasheets/unifi/UniFi_Switch_8_DS.pdf
Sowas ist natürlich Schrott, denn dann hängst du mit deiner Infrastruktur an der Verfügbarkeit des Herstellers und des Controllers. Eigentlich ein klares NoGo ! für einen Kauf.
Mit anderer Switch HW wärest du da weit besser beraten gewesen...aber egal !
Fazit:
Irgendwas ist da in der Konfig des Switches gründlich und massiv schiefgelaufen. Vermutlich funktioniert die Trennung der VLANs nicht richtig und alle netze sind in einer gemeinsamen L2 Domain oder irgendwas anderes Gruseliges.
Der Switch sieht nicht so aus als ob er L3 fähig ist, aber das kann man nicht wirklich sicher beurteilen ohne die Konfig zu kennen. (Controller Screenshot des Setups)
Wie genau geht das? Hast Du da auch einen Leitfaden zu erstellt?
Andere haben das schon erledigt:https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Hi und guten Abend!
Was wären Deine Empfehlungen für einen Netzwerk Neuling wie mich gewesen (Router + Switch)?
Das bedeutet: Es ist tatsächlich nicht korrekt, dass ich mit einer IP aus VLAN10 (10.1.10.6) das Gateway, welches ja in jedem Netzwerk die USG ist, aus VLAN20 (10.1.20.1) etc. erreiche.
Grüße
DeDe
Mit anderer Switch HW wärest du da weit besser beraten gewesen...aber egal !
Was wären Deine Empfehlungen für einen Netzwerk Neuling wie mich gewesen (Router + Switch)?
Fazit:
Irgendwas ist da in der Konfig des Switches gründlich und massiv schiefgelaufen. Vermutlich funktioniert die Trennung der VLANs nicht richtig und alle netze sind in einer gemeinsamen L2 Domain oder irgendwas anderes Gruseliges.
Irgendwas ist da in der Konfig des Switches gründlich und massiv schiefgelaufen. Vermutlich funktioniert die Trennung der VLANs nicht richtig und alle netze sind in einer gemeinsamen L2 Domain oder irgendwas anderes Gruseliges.
Das bedeutet: Es ist tatsächlich nicht korrekt, dass ich mit einer IP aus VLAN10 (10.1.10.6) das Gateway, welches ja in jedem Netzwerk die USG ist, aus VLAN20 (10.1.20.1) etc. erreiche.
Grüße
DeDe
Der Switch sieht nicht so aus als ob er L3 fähig ist, aber das kann man nicht wirklich sicher beurteilen ohne die Konfig zu kennen. (Controller Screenshot des Setups)
Hier der Screenshot. Hoffentlich kannst Du mehr daraus erkennen.
Vielen Dank!
