Lancom Router VLANs mit Unfi Switch/AP

[alexander_]

Hallo Zusammen,

habe ein wie ich meine schon ein paar mal besprochenes Thema bei dem ich mir trotzdem nicht ganz sicher bin, wie die Konfig am Ende aussehen sollte.

Aktuelle Infrastruktur

Lancom 1793VA mit untagged Netzwerk Intranet, dahinter an LAN1 eine Securepoint Firewall und ein paar Unifi Switche mit Rechnern und APs.
Soweit so gut, nun möchte ich neben dem bisherigen Netzwerk auf LAN1, 2 VLANs vom LANCOM Router über LAN2 an der Firewall vorbei auf ein paar Ports auf den Switches und APs verteilen welche "abgekapselt" vom Hauptnetz laufen sollen.

Ich habe dazu am Unfi Switch über die UCK ein VLAN (210) definiert und das einem LAN-Port zugewiesen.
Daran den LANCOM-Router auf LAN2 angesteckt. Davor noch am LANCOM Router unter IP-Netzwerke ein neues Netzwerk mit IP 10.10.210.1 und Schnittstellentag 210 konfiguriert (VLAN-ID 0) außerdem unter DHCP Netzwerke einen DHCP-Server mit Netzwerkname des VLANs 210 mit IP-Range 10.10.210-254 etc. Wenn ich jetzt aber einen Rechner an diesem Port am Switch anstecke bekomme ich keine IP. Ich hab sicher eine Kleinigkeit vergessen, könnt Ihr mir helfen?

[Dr.Zett]

Ich habe dazu am Unfi Switch über die UCK ein VLAN (210) definiert und das einem LAN-Port zugewiesen.
Daran den LANCOM-Router auf LAN2 angesteckt. Davor noch am LANCOM Router unter IP-Netzwerke ein neues Netzwerk mit IP 10.10.210.1 und Schnittstellentag 210 konfiguriert (VLAN-ID 0)

Servus,

das bedeutet, die Pakete kommen vom UCK mit VLAN 210 getaggt am ETH-2 des LANCOM an?

In diesem Fall ist "VLAN-ID 0" falsch und muss auf 210 korrigiert werden.

[alexander_]

Hallo Dr.Zett vielen Dank für dein schnelles Feedback, roger ich hatte mir das schon fast gedacht. Das VLAN-Modul muss ich dafür aber nicht aktivieren oder? Ist es tragisch, dass ich auf INTRANET mit LAN1 weiterhin VLAN 0 gesetzt lasse? Ich möchte aktuell ungern auf LAN1 verbunden mit Securepoint und anschließend Switche mit VLANs arbeiten. Muss ich am Routing oder ähnliches noch weiterhin was abändern?

[Dr.Zett]

Nein, das VLAN-Modul kannst Du ausgeschaltet lassen.

Mit dem Routing-Tag ungleich 0 hat das an ETH-2 anliegende Netz (soweit das IP-Netzwerk der Schnittstelle ETH-2 richtig zugeordnet wurde) keinen Zugriff auf INTRANET mit Schnittstellen-Tag 0.

Allerdings ist umgekehrt der Zugriff von INTRANET auf das Netz mit 10.10.210.1 möglich. Sollte das nicht gewünscht sein, musst Du entweder dem INTRANET einen Schnittstellen-Tag ungleich 0 und ungleich 210 zuweisen oder die Kommunikation mittels einer Firewall-Regel unterbinden.

[alexander_]

so habe jetzt am LANCOM Router zwei IP-Netzwerke mit VLAN IDs 210 und 220 definiert, dafür 2 DHCP-Netze. Beide ausgehend LAN2. Dazu im Unifi Portal zwei VLANs mit VLAN ID 210 und 220 definiert. Dazu ein Portprofil mit nativ keinem netz und den zwei getaggten Netzen 210 und 220. Dieses Profil habe ich dem Port an dem der LANCOM Router dran steckt. Außerdem die VLAN Netzwerke in Unifi den entsprechenden zwei WIFIs zugewiesen. Nun sollte doch am entsprechenden WLAN je entweder dem einen IPs vom 210er und dem anderen 220er zugewiesen werden. Und an den spezifischen LAN Ports welche ich die VLANs zuweise die entsprechenden Netze. Leider bekomme ich aber über das eine VLAN am Wifi die richtige IP und am anderen keine. Wie als würden die VLANs nicht übermittelt werden. Was mache ich falsch?

[alexander_]

hat niemand eine Idee? Ist sicher nur eine Kleinigkeit

[Dr.Zett]

Guten Morgen,

ich habe zwar keinen UCK, aber eine doch sehr ähnliche Konfiguration mit LANCOM und dem UniFi Controller auf Debian Linux.

Wie bist Du im Detail vorgegangen, um die VLANs den Drahtlosnetzwerken zuzuweisen?

[alexander_]

Guten Morgen Dr. Zett,
da habe ich Glück gehabt, bei Unifi habe ich lediglich und Networks zwei VLAN-Onlys mit entsprechender VLAN ID vergeben. Unter Wifi habe ich zwei Wifis angelegt mit Networks die zwei entsprechenden Network-VLANs. Sonst wäre dann unter Unifi höchstens noch ein paar Ports zu konfigurieren, hier habe ich aber nichts gemacht. Ist evtl. das entsprechende Network-Profil dem entsprechenden Port am AP zuzuweisen? Kann das sein? Oder muss ich unter LANCOM noch etwas tun. Hier habe ich eher die Vermutung.

Liebe Grüße

[alexander_]

der Vollständigkeit halber was ich bei LANCOM getan habe:
IPv4 / Allgemein / IP Netzwerke
zwei Netze mit VLAN-ID und Tag angegeben und Schnittstelle IP Adresse etc.
unter IPv4 / DHCPv4 / DHCP Netzwerke
Zwei Netzwerke mit entsprechendem Subnetzen eingerichtet

ansonsten glaube ich nichts

[Dr.Zett]

An den Ports in Unifi musst Du nichts einstellen, meine Konfiguration entspricht dem, was du gemacht hast (mit dem Unterschied, dass es bei mir funktioniert ). Du musst den APs auch nichts explizit zuweisen. Die werden vom UCK provisioniert und regeln dann das Tagging unabhängig.

Die entsprechende Schnittstelle unter IPv4 / Allgemein / IP Netzwerke (z.B. LAN-2) hast Du unter Schnittstellen / LAN / Ethernet-Ports der gewünschten physischen Schnittstelle (z.B. ETH-2) des LANCOM zugewiesen?

[alexander_]

yes die entsprechenden zwei Netzwerke wurden dem gleichen LANPort LAN 2 zugewiesen

[Dr.Zett]

Damit tippe ich auf die Konfiguration der Unifi-Switches als Fehlerquelle.

[alexander_]

hm meinst du echt? Hier geht nicht wirklich viel zu konfigurieren

wirklich viel konfigurieren kann man da nicht

[Dr.Zett]

Quick and dirty Test: Einen der Access Points mittels PoE-Injector direkt an den ETH-2 des LANCOM anschließen und die restlichen AP's temporär außer Betrieb setzen. Wenn dann die getaggten Netze funktionieren, wäre der Beweis erbracht, dass der UCK und der LANCOM korrekt konfiguriert sind.

[alexander_]

mir fällt grad ein ich hab ein Profil mit beiden VLANs erstellt mit native None udn tagged networks die zwei VLANs, advanced Config auto, vll. habe ich hier etwas vergessen?