nixverstehen
Goto Top

Unifi U6 Pro Clients erhalten IP aus falschem Netz

Hallo zusammen,

der Hobby-Admin (ich) steht schon wieder auf dem Schlauch. Ich hab hier eine Testumgebung:

3 Unifi U6 Pro AP's hängen im VLAN 1 (untagged) mit fixen IP's aus 172.16.1.0/24
Anbindung erfolgt über einen Cisco CBS350-24P-4X als Layer3-Switch. Die Ports auf dem Switch, an dem die AP's hängen, sind Trunkports (1U, 60T, 70T). Auf den AP's hab ich zwei entsprechenden Netze angelegt und den SSID's zugeordnet.
Auf dem Switch ist DHCP Relay eingerichtet. DHCP-Server ist ein W2022 Standard (192.168.1.254) im VLAN10, der auch DC/DNS ist.

Die Clients im Gastnetz (192.168.7.0/24=VLAN70) erhalten auch eine IP aus dem Bereich. Hier kommt WPA2 Personal
zum Einsatz, also mit Kennwort. Die Clients im Firmen-WLAN (192.168.6.0/24=VLAN60) laufen mit WPA2 Enterprise gegen einen Radius (auch der DC). Das funktioniert auch. Aber sie erhalten eine IP aus dem Management-VLAN1. Stelle ich die Authentifizierung auf WPA2 Personal um, bekommen die Clients eine IP aus dem richtigen VLAN.

Parallel dazu laufen drei Cisco WAP-150 AP's, die nach dem gleichen Schema eingerichtet sind, auf demselben Switch. Dort erhalten die Clients die richtige IP aus dem VLAN70.

Als Controller für die Unifi-AP's werkelt ein Unifi CloudKey Gen2 Plus, der am Switch an einem Access-Port 1U hängt.

Was ist bei den Unifi's anders als bei den Cisco AP's? Ist ja eigentlich ein simples Szenario. Irgendwas mache ich falsch und sehe den Wald vor lauter Bäumen nicht.

Danke und LG
NixVerstehen.

Content-Key: 13495849860

Url: https://administrator.de/contentid/13495849860

Printed on: July 25, 2024 at 18:07 o'clock

Member: aqui
Solution aqui Dec 19, 2023 updated at 21:46:47 (UTC)
Goto Top
Aber sie erhalten eine IP aus dem Management-VLAN1.
Vermutlich erwartbar wenn du die VLAN ID nicht mit der Radius Authentisierung übergibst bzw. der AP dies erwartet:
Freeradius Management mit WebGUI
Bei Billigheimern ist dann das Fallback oft das Management Segment was entsprechend fatal ist.
Oder du hast vergessen im WLAN Setup eine feste statische VLAN ID zuzuweisen sofern das supportet ist.
srv
Was ist bei den Unifi's anders als bei den Cisco AP's?
Die Qualität und das Featureset... face-wink Ist aber Äpfel und Birnen und logischerweise nicht vergleichbar.

Eine Gäste WLAN mit PSK ist ziemlicher Unsinn, denn das PSK weiss spätestens nach 3 Tagen die ganze Stadt. Da kannst du auch gleich ein Poster mit dem PW and die Eingangstür heften.
Professionell löst man sowas immer mit einem Captive Portal und Einmalpasswörtern.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Member: tech-flare
Solution tech-flare Dec 19, 2023 at 20:56:06 (UTC)
Goto Top
Zitat von @aqui:

Aber sie erhalten eine IP aus dem Management-VLAN1.
Vermutlich erwartbar wenn du die VLAN ID nicht mit der Radius Authentisierung übergibst bzw. der AP dies erwartet:
Freeradius Management mit WebGUI
Bei Billigheimern ist dann das Fallback oft das Management Segment was entsprechend fatal ist.
Wenn per Radius eine VLAN ID mitgegeben wird, macht Unifi kein Fallback.
Oder du hast vergessen im WLAN Setup eine feste statische VLAN ID zuzuweisen sofern das supportet ist.
srv

Da du ja ein Foto vom Unifi Controller drin hast, könntest du das ja mit der entsprechenende statischen Einstellung für die VLAN ID ebenfalls posten face-smile

Was ist bei den Unifi's anders als bei den Cisco AP's?
Die Qualität und das Featureset... face-wink Ist aber Äpfel und Birnen und logischerweise nicht vergleichbar.
Für den Privatnutzer vermisse ich da nichs. Oder fällt dir da spontan etwas ein was an Features fehlt?

Also etnweder gibst du per Radius keine VLAN ID mit oder du hast keine statischen VLAN ID hinterlegt
Member: NixVerstehen
NixVerstehen Dec 20, 2023 at 17:16:16 (UTC)
Goto Top
Ok, erfolgreich die Schulbank gedrückt. Es braucht eben nur gute Lehrer face-smile

Bei den Cisco-APs reicht es, der SSID das entsprechende VLAN mitzugeben. Auf dem Radius musste das nicht sein, hat zumindest funktioniert.

Bei den Unifi-APs verknüpft man die mit dem entsprechenden VLAN angelegten Netzwerke mit den dazugehörigen SSIDs und bittet den Radius-Server, die passende VLAN-ID zu übermitteln.

radius

Eben wieder einer meiner üblichen Anfängerfehler, aber man lernt ja dazu.

LG
NixVerstehen