Unifi Switche VLAN
Moin Zusammen,
Ich habe hier folgende Geräte:
1: Unifi UDM Pro Max
2: Unifi Aggregation (8xSFP+)
3: Unifi USW-24 PoE
4: Unifi USW-48 PoE
5. Diverse Unifi U6 Pro
Aufbau:
1 ist über SFP mit 2 verbunden - auf den SFP Port ist das Native VLAN das default und alle anderen Tagged sind erlaubt
2 ist über SFP mit 4 verbunden - auf den SFP Port ist das Native VLAN das default und alle anderen Tagged sind erlaubt
1 ist über RJ45 mit 3 verbunden - auf den RJ45 Port ist das Native VLAN das default und alle anderen Tagged sind erlaubt
Es gibt mehrere VLANS u.A. fürs WLAN. 100, 101, 4000
Im VLAN 95 hängen die ganzen Unifi U6 Pro mit fester IP.
Die Geräte werden alle über einen Windows NPS authentifiziert und mit IP Adressen versorgt.
Das Interessante ist nun, dass die APs, die an der USW-24 PoE, die per RJ45 an der Dream Machine hängt, problemlos funktionieren. Man kann sich anmelden und ins Netz. So wie es sein soll.
Die APs, die an dem USW-48 PoE hängen funktionieren hingegen nicht. Ich kann sie erreichen, konfigurieren etc. Das WLAN wird ausgestrahlt, aber eine Verbindung wird mit folgenden Meldungen im Windows Eventlog quittiert:
Das passiert bei den anderen nicht und es ist alles gleich konfiguriert.
(lassen wir mal die Zusammenstellung außen vor, da ich hier noch mit dem Verbauer in Kontakt stehe um zu klären, warum hier Standard Switche verbaut worden sind mit 1GB SFP und dann aber noch Pro Max Switche mit 10GBit und mehr PoE Budget)
Jemand eine Idee an was das liegt?
Die Fehler sind da glaube ich nicht zielführend aus dem Eventlog.
Grüße
Ich habe hier folgende Geräte:
1: Unifi UDM Pro Max
2: Unifi Aggregation (8xSFP+)
3: Unifi USW-24 PoE
4: Unifi USW-48 PoE
5. Diverse Unifi U6 Pro
Aufbau:
1 ist über SFP mit 2 verbunden - auf den SFP Port ist das Native VLAN das default und alle anderen Tagged sind erlaubt
2 ist über SFP mit 4 verbunden - auf den SFP Port ist das Native VLAN das default und alle anderen Tagged sind erlaubt
1 ist über RJ45 mit 3 verbunden - auf den RJ45 Port ist das Native VLAN das default und alle anderen Tagged sind erlaubt
Es gibt mehrere VLANS u.A. fürs WLAN. 100, 101, 4000
Im VLAN 95 hängen die ganzen Unifi U6 Pro mit fester IP.
Die Geräte werden alle über einen Windows NPS authentifiziert und mit IP Adressen versorgt.
Das Interessante ist nun, dass die APs, die an der USW-24 PoE, die per RJ45 an der Dream Machine hängt, problemlos funktionieren. Man kann sich anmelden und ins Netz. So wie es sein soll.
Die APs, die an dem USW-48 PoE hängen funktionieren hingegen nicht. Ich kann sie erreichen, konfigurieren etc. Das WLAN wird ausgestrahlt, aber eine Verbindung wird mit folgenden Meldungen im Windows Eventlog quittiert:
Es wurde eine "Access-Request"-Meldung vom RADIUS-Client 172.16.95.28 mit einem ungültigen "Message Authenticator"-Attribut empfangen.
Auf Port 1813 des RADIUS-CLients 1234 - U6 Pro wurde eine RADIUS-Meldung mit dem ungültigen Codefeld 1 empfangen. Gültige Werte des RADIUS-Codefelds sind in RFC 2865 dokumentiert.
Das passiert bei den anderen nicht und es ist alles gleich konfiguriert.
(lassen wir mal die Zusammenstellung außen vor, da ich hier noch mit dem Verbauer in Kontakt stehe um zu klären, warum hier Standard Switche verbaut worden sind mit 1GB SFP und dann aber noch Pro Max Switche mit 10GBit und mehr PoE Budget)
Jemand eine Idee an was das liegt?
Die Fehler sind da glaube ich nicht zielführend aus dem Eventlog.
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672880
Url: https://administrator.de/forum/unifi-switche-vlan-672880.html
Ausgedruckt am: 05.06.2025 um 09:06 Uhr
6 Kommentare
Neuester Kommentar
"Message Authenticator" könnte ein falsches Radius Passwort beim Authenticator mit der IP 172.16.95.28 sein?! (Geraten)
Deine Aussage "Die Geräte werden alle über einen Windows NPS authentifiziert" ist etwas unpräzise und verwirrt leider.
Grundsätzlich kann man sich daraus zusammenreimen das es nichts mit VLANs an sich zu tun hat sondern du eine 802.1x oder MAB Authentisierung mit Radius realisiert hast und auch WLAN APs mit im Spiel sind zusammen mit den Switches und es primär darum geht.
Völlig unklar ist aber WAS dort genau authentisiert wird... 🤔
Deine Aussage "Die Geräte werden alle über einen Windows NPS authentifiziert" ist etwas unpräzise und verwirrt leider.
Grundsätzlich kann man sich daraus zusammenreimen das es nichts mit VLANs an sich zu tun hat sondern du eine 802.1x oder MAB Authentisierung mit Radius realisiert hast und auch WLAN APs mit im Spiel sind zusammen mit den Switches und es primär darum geht.
Völlig unklar ist aber WAS dort genau authentisiert wird... 🤔
- Die APs als 802.1x Clients am Kupferport des Switches. Sprich AP=Supplicant und Switch= Authenticator.
- Oder WLAN Clients als Supplicants am AP als Authenticator
- Oder beides in Kombination
Hi,
Poste mal die vollständige Konfiguration der Switche und vom NPS. Insbesondere ob und welche Radius Attribute bei der Authentifizierung eventuell mitgegeben werden. Bitte auch die Konfiguration der Radius Clients, sowie mal den vollständigen log von einer fehlgeschlagenen Authentifizierung.
Dann finden wir das vermutlich deutlich schneller heraus.
Da kann alles mögliche ein Problem sein.
Sind die Switche auf aktuellem Firmwarestand?
Poste mal die vollständige Konfiguration der Switche und vom NPS. Insbesondere ob und welche Radius Attribute bei der Authentifizierung eventuell mitgegeben werden. Bitte auch die Konfiguration der Radius Clients, sowie mal den vollständigen log von einer fehlgeschlagenen Authentifizierung.
Dann finden wir das vermutlich deutlich schneller heraus.
Da kann alles mögliche ein Problem sein.
Sind die Switche auf aktuellem Firmwarestand?
Morschen.
Wir setzen ebenfalls Unifi APs und auch Switches im Mix mit Cisco ein.
Eine unserer SSIDs ist ebenfalls über einen Windows NPS abgewickelt.
Hier sind die APs als Radius-Clients und nur diese eingetragen.
Es wird in den Richtlinien nach der Domänen-Mitgliedschaft "gefragt", dann gibt es WiFi in einem eigenen VLAN.
Daher wird vielleicht irgendwo ein Schluckauf in der Config vorliegen.
Das Default VLAN ist über die UDM Pro Max definiert und die Switches sind dort korrekt zu finden?
Ist am Unifi Controller in der Radius Config sowohl die Authentifizierung als auch das Accounting konfiguriert?
Das hatte bei uns zu Problemen geführt, weshalb wir das deaktiviert haben und danach fluppte es.
Gruß
Marc
Wir setzen ebenfalls Unifi APs und auch Switches im Mix mit Cisco ein.
Eine unserer SSIDs ist ebenfalls über einen Windows NPS abgewickelt.
Hier sind die APs als Radius-Clients und nur diese eingetragen.
Es wird in den Richtlinien nach der Domänen-Mitgliedschaft "gefragt", dann gibt es WiFi in einem eigenen VLAN.
Daher wird vielleicht irgendwo ein Schluckauf in der Config vorliegen.
Das Default VLAN ist über die UDM Pro Max definiert und die Switches sind dort korrekt zu finden?
Ist am Unifi Controller in der Radius Config sowohl die Authentifizierung als auch das Accounting konfiguriert?
Das hatte bei uns zu Problemen geführt, weshalb wir das deaktiviert haben und danach fluppte es.
Gruß
Marc
Eine unserer SSIDs ist ebenfalls über einen Windows NPS abgewickelt.
Kollege @Xaero1982 geht es aber allein nur um die .1x (Kupfer) Port Authentisierung am Switch und nicht den WLAN Clients bzw. WLAN APs wie er oben ja klargestellt hat.Die APs agieren als .1x Clients am Switch um sich selber zu authentisieren. (Siehe dazu auch hier)
Da der gleiche AP ja als Supplicant an einem Cisco Switch und auch an allen der 24er UBQT Gurken problemlos rennt, kann es ja einzig nur an der Authenticator Funktion der 48 Port Switches liegen. Ob Konfig Fehler oder Firmware Bug gilt es dann herauszufinden.
NPS als Ursache scheidet dann auch aus denn sonst wären ja durchweg alle Switches betroffen.