Unifi APs bekommen keine IP-Adressen per VLAN

[thera]

Moin zusammen,

ich habe vermutlich einen Denkfehler, komme aber nicht weiter.

Ich hab auf einem Unifi Controller (Windows) ein WLAN in einem VLAN erstellt (199). Auf der Sense habe ich VLAN erstellt, ebenfalls 199, das auf das LAN Interface zeigt. Inkl. Adapter...

Oder muss es auf den physikalischen Adapter laufen, der auch im Switch steckt? Also LAN?

Ich komm einfach nicht darauf.

Anbei die Fotos - ich find den Fehler einfach nicht.

[Tuxtom007]

Hallo,

soll der AP selber eine IP per DHCP bekommen - NoGo, geb dem eine feste IP-Adressen, Netzwerkgeräte sollten keine DHCP nutzen sondern statische IP's
Dei Unifi-AP hatten zudem vor Jahren schon Probleme damit, IP-Adressen per DHCP zu nutzen.

Zudem solltest du die AP's und den Controller in das Admin-/Management-LAN hängen, also kein VLAN, sonst sehen die sich nicht.

Das VLAN weisst du dann über die WLAN-Konfig und dem auf Unifi angelegte Netzwerk zu.

[thera]

Hi,

es geht darum, welches Netz die UNIFI APs verteilen. Kommunikation, Controller, APs, Geräte etc. funktioniert einwandfrei.

Die User im WLAN sollen über das VLAN das Netz 192.168.199.20-200 bekommen.

Wenn du dir die Bilder anschaust, dann siehst du, dass das VLAN im Controller schon hinterlegt ist, ein Softwarecontroller kann aber keinen DHCP; weshalb der DHCP über die OPNSENSE kommt.

Aber ja, der Titel ist etwas irreführend, sorry

[Tuxtom007]

Zeig mal die Konfiguration deines Unifi-Controllers für die Netzwerke und das WLAN und DHCP von OPNSense

[the-mk]

@thera:
#1 nutzt du die OPNsense auf VMware ESX?
#2 kann es sein, dass du dich beim Interface Assignen verhaut hast? ovpns1_vlan199 sieht für mich irgendwie nach OpenVPN aus...

ich würde VLAN auf der ESX machen und die dann auf die OPNsense durchreichen

[Patrick M. Hausen]

Konkreter: mit an Sicherheit grenzender Wahrscheinlichkeit bekommst du in OPNsense definierte VLANs nicht über den vSwitch drüber. Definier eine Port Group mit passendem VLAN Tag in ESXi und pack da das OPNsense-Interface rein.

[thera]

Zeig mal die Konfiguration deines Unifi-Controllers für die Netzwerke und das WLAN und DHCP von OPNSense

Vorab Danke für eure Hilfen!
die Konfig für Unifi müsste stimmen, die lief schon vorher mit einer Securepoint (Hardware)

@pmhausen, the-mk
Ja, ESXi
Zum Thema Assign Bild anbei

ESXI Portgroup hab ich angelegt.

Danke!!

[thera]

also auch mit Portgroup und VLAN gibts keine leases im WLAN DHCP

[Rolly82]

Jetzt mal blöd nachgefragt:
Ich nehme mal an, dass da noch ein (Hardware)-Switch dazwischen hängt.
Ist an diesem das VLAN auch richtig konfiguriert?

[thera]

Jetzt mal blöd nachgefragt:
Ich nehme mal an, dass da noch ein (Hardware)-Switch dazwischen hängt.
Ist an diesem das VLAN auch richtig konfiguriert?

Muss das? Solange die untaggd sind sollten die ja alles durchlassen... oder lieg ich da falsch?

[Rolly82]

Na dein AP tagged die Pakete doch (auf VLAN 199). Also muss dein Switch das VLAN auch kennen/durchlassen

[thera]

Na dein AP tagged die Pakete doch (auf VLAN 199). Also muss dein Switch das VLAN auch kennen/durchlassen

Vorher war einfach ein anderer Router drin, mit dem VLAN199 und nem DHCP; das lief auch problemlos - solange kein bestimmtes VLAN zugewiesen ist, müsste er ja alle durchlassen (So war es ja davor auch) bin den Switch durch, hier gibt es nichts Ersichtliches. Aber ich arbeite mich nochmal durch, danke für den Hinweis!

[kruemelmonster]

Muss das? Solange die untaggd sind sollten die ja alles durchlassen... oder lieg ich da falsch?

Ja, das liegst du ein wenig falsch. Sobald du auf dem Switch das Portmanagement aktivierst, filtert er auch bzw. er macht das von Anfang an! Es gibt aber einen Unterschied zwischen tagget/untagget.

Tagget bedeutet, der Switch verpackt das Ethernet-Paket des angeschlossnen Hosts in einen Rahmen mit der Vlan-ID und reicht es an die Ports mit identischer Port-VID (Vlan-ID auf dem Port) weiter. Wenn der Port mit dem Ziel (z. B. deine Opnsense) auf tagget steht, geht das Paket so zum Ziel. steht der Port mit dem Ziel auf untagget, wird der "Rahmen" mit der Vlan-ID wieder entfernt und das eigentliche Ethernetpaket zum Ziel geschickt.

Die Unterscheidung tagget/untagget brauchst du für Geräte, deren Betriebssystem UND/ODER Netzwerkkarte kein Tagging beherrscht!

Wenn dein Switch alles durchlässt, schaue den noch mal genau an. Bei meinem Netgear war es so, das die PVID 1 als untagget auf allen Ports voreingestellt war. Damit war eine Inbetriebnahme oder Nutzung ohne Tagging möglich. Ändern konnte ich das nur, indem ich eine andere Port-VID zugewiesen habe.

Die OpnSense und auch dein AP (dem Bild nach Ubiquiti?) können das. Bei allen anderen Geräten musst du sehen, was geht. Ich habe z. B. nur die OpnSense und meinen AP auf tagget, alles andere auf untagget. Funktioniert einwandfrei.