Hi.
Wir setzen Unifi-APs hinter einem coovachilli ein. Das schulweite WLAN läuft damit auch. Zusätzlich wollte ich heute ein Gast-WLAN auf einem AP abstrahlen lassen, das mit Gast-Login & Voucher laufen soll. Die Konfiguration im Unifi-Controller war auch kein Problem. Das Signal ist da und man kann sich verbinden – aber dann: Es kommt keine IP-Adresse im Smartphone über.
Ich weiß nicht genau warum – bzw nehme ich natürlich stark an, dass es an dem vorgeschalteten Coova liegt, der in diesem Fall dort überflüssig bzw zuviel ist. Daher die Frage: Wie könnte man es hinkriegen? (Langfristig (mit Version 7.0) ist der Coova wahrscheinlich auch überflüssig … )
Wir setzen Unifi-APs hinter einem coovachilli ein. Das schulweite WLAN
läuft damit auch. Zusätzlich wollte ich heute ein Gast-WLAN auf einem AP
abstrahlen lassen, das mit Gast-Login & Voucher laufen soll. Die
Konfiguration im Unifi-Controller war auch kein Problem. Das Signal ist
da und man kann sich verbinden – aber dann: Es kommt keine IP-Adresse im
Smartphone über.
Ich weiß nicht genau warum – bzw nehme ich natürlich stark an, dass es
an dem vorgeschalteten Coova liegt, der in diesem Fall dort überflüssig
bzw zuviel ist.
wo „hängt“ den das Gästenetz?
Am selben LAN wie das „normale“ WLAN?
Dann sollte die IP vom Coova kommen.
Bei mir hängt das Gästenetz am Blauen LAN des IPFire: IP kommt vom
IPFire (Blau)
Hallo Holger,
Die Gäste hängen am gleichen VLAN wie das “normale” WLAN … bei uns alles auf VLAN.12. Daher müsste die IP auch im Fall des Gast-WLANs vom Coova kommen – tut sie aber nicht. Ich kann so lange warten wie ich will – es kommt keine. Das wundert mich, denn der DHCP-Bereich wird ja vom Coova abgewickelt. Ich will nicht sagen, dass es mit der Vergabe der IP dann direkt klappt. Es könnte dann ja immernoch sein, dass zunächst das Gast-Portal vom Unifi erscheint und danach zusätzlich die Anmeldung vom Coova (was man natürlich nicht will). Aber ausschließen würde ich dieses Verhalten bei dieser Konstruktion nicht.
Wenn ich den Gast-AP direkt an Blau hänge (also direkt an den IPFire) wird er im Unifi-Controller ja nicht mehr gesehen bzw ist dann auch nicht mehr darüber zu verwalten, oder?
Die Gäste hängen am gleichen VLAN wie das “normale” WLAN … bei uns alles
auf VLAN.12. Daher müsste die IP auch im Fall des Gast-WLANs vom Coova
kommen – tut sie aber nicht. Ich kann so lange warten wie ich will – es
kommt keine. Das wundert mich, denn der DHCP-Bereich wird ja vom Coova
abgewickelt. Ich will nicht sagen, dass es mit der Vergabe der IP dann
direkt klappt. Es könnte dann ja immernoch sein, dass zunächst das
Gast-Portal vom Unifi erscheint und danach zusätzlich die Anmeldung vom
Coova (was man natürlich nicht will). Aber ausschließen würde ich dieses
Verhalten bei dieser Konstruktion nicht.
ich würde das GästeWLAN über Blau (IPfire) raus gehen lassen und nicht
über den Coova.
Du willst ja nicht zwei authentifizierungen hintereinander haben…
Wenn ich den Gast-AP direkt an Blau hänge (also direkt an den IPFire)
wird er im Unifi-Controller ja nicht mehr gesehen bzw ist dann auch
nicht mehr darüber zu verwalten, oder?
… es ist ja nicht „der GästeAP“ sondern „der AP“.
Bei mir hängt jeder AP an Rot, Blau und Grün.
Grün ungetagged, Blau getagged und Rot ebenfalls getagged.
Du mußt halt dein Blaues LAN (zwischen IPFire und Coova) aus dem Server
herausführen.
Das habe ich gerade erst vor einer Woche bei mir in der Schule gemacht:
damit ich unifi und Coova nebeneinander betreiben kann (das war die
Vorbereitung).
Wenn du das gemacht hast, dann weist du dem GästeWLAN das Blaue Netz zu
und nicht das Coovanetz.
IP Adressen kommen dann vom IPFire (Blau)
Problem dabei: Der (rein virtuelle) Switch auf VLAN.999 zwischen Coova und IPFire existiert zur Zeit nur auf dem Proxmox-Server. Wenn ich also irgendwo in der Schule einen Gast-AP aufhängen will, der den Coova nicht zu sehen bekommt, müsste ich zunächst dieses VLAN auf alle Switche mit durchreichen … das erfordert zunächst einige Vorbereitung.
Aber nochmal: Wenn ich die IPs aus dem blauen Netz des IPFire für das Gast-WLAN wähle, ist dieser AP nicht mehr per Unifi-Controller (hinter dem Coova) verwaltbar, oder? Der kann den AP mit der IP aus blau ja nicht mehr sehen?!
was das Voucher-Netz angeht, schließe ich mich Holger Holger an. Wenn du einen WLAN-Voucher hast, möchtest du dich nicht noch zusätzlich mit einem Benutzernamen und einem Kennwort authentifizieren.
=> Das Voucher-Netz sollte an das blaue Netz des IPFire angeschlossen werden.
Wie sieht die Spanningtree-Einstellung deines Switches aus? Da hatte ich auch schon mal mit DHCP seltsame Effekte. Deaktiviere doch mal das Spanningtree-Protokoll.
Ist Dein Netz schön sternförmig aufgebaut?
Ja, das will ich natürlich auch gar nicht … ich hatte es nur bisher so verkabelt, weil es zum Testen am einfachsten war. Dass dann aber gar keine IP überkam, war schon seltsam, fand ich?! Oder steht im Coova irgendwo, für welches WLAN (bzw welche SSID) die IP-Adressen zur Verfügung gestellt werden sollen? Dann würde es ja Sinn machen, dass ein anderes WLAN keine IP-Adressen zugeteilt bekommt…
DHCP ist bisher nirgendwo ein Problem. Die Adressen kommen immer an.
Es bleibt halb weiterhin unklar, ob ich in diesem Fall den AP weiterhin im Unifi-Controller sehen kann? Ich meine, dass er dann dort nicht mehr sichtbar sein kann – lasse mich aber gerne eines besseren belehren
Michael
keine IP überkam, war schon seltsam, fand ich?! Oder steht im Coova
irgendwo, für welches WLAN (bzw welche SSID) die IP-Adressen zur
Verfügung gestellt werden sollen? Dann würde es ja Sinn machen, dass ein
anderes WLAN keine IP-Adressen zugeteilt bekommt…
nein: der Coova weiß gar nichts über die WLANs jenseits seiner selbst.
Das ist auch wurscht.
Es ist ihm ja auch wurscht, ob du per WLAN oder per Kabel an ihn „heran
trittst“.
DHCP ist bisher nirgendwo ein Problem. Die Adressen kommen immer an.
Es bleibt halb weiterhin unklar, ob ich in diesem Fall den AP weiterhin
im Unifi-Controller sehen kann? Ich meine, dass er dann dort nicht mehr
sichtbar sein kann – lasse mich aber gerne eines besseren belehren
der unifiserver bei mir im Seminar ist nur in Grün: er sieht alle APs:
auch die, die nach Rot oder Balu oder was auch immer routen.
Sie sind ja alle auch in Grün.
Genau deswegen habe ich doch APs die mit VLANs klar kommen …
Ok, das macht Sinn, wenn man irgendwo ein Gast-WLAN über die gleichen APs haben will. Blöderweise muss man dazu alle Switches erneut durchgehen und alle Ports, an denen jetzt nur das WLAN (hier: vlan.12 untagged) hängt, ändern. Bei mir wäre es dann aber blau untagged und z.B. rot tagged mit auf die Leitung.
Hast du ein Gast-WLAN denn direkt über ROT abgewickelt? Dann käme die IP ja direkt von der Fritzbox, oder? Andererseits kann der Unifi-Controller ja auch selbst Netzwerke/DHCP-Adressen verwalten (wobei ich da noch nie etwas umstellt habe).
Ok, das macht Sinn, wenn man irgendwo ein Gast-WLAN über die gleichen
APs haben will. Blöderweise muss man dazu alle Switches erneut
durchgehen und alle Ports, an denen jetzt nur das WLAN (hier: vlan.12
untagged) hängt, ändern. Bei mir wäre es dann aber blau untagged und
z.B. rot tagged mit auf die Leitung.
ja: alle Ports an denen APs hängen müssen geändert werden.
Und das Coova<->IPFire Netz (Blau) muss aus dem Server rausgeführt werden.
Hast du ein Gast-WLAN denn direkt über ROT abgewickelt? Dann käme die IP
ja direkt von der Fritzbox, oder? Andererseits kann der Unifi-Controller
ja auch selbst Netzwerke/DHCP-Adressen verwalten (wobei ich da noch nie
etwas umstellt habe).
nein.
Ich habe nachgeschaut: bei mir geht kein WLAN direkt nach Rot.
Es gehen alle bis auf eines nach Blau und dieses eine geht nach Grün.
Hi.
Ich habe vorhin mal folgendes ausprobiert (weil es sich schneller machen ließ):
An einen Port habe ich VLAN.12 (WLAN) untagged und VLAN.10 (FritzBox) tagged angelegt. Daran habe ich den AP angeschlossen, der das Gast-WLAN abstrahlt und im Unifi-Controller die VLAN-ID 10 eingetragen. Das lief zunächst auch: Das WLAN war da und die Verbindung per Smartphone kam zustande. Dann sollte die Umleitung auf die Portal Seite (Voucher) erfolgen und dort ging es dieses Mal nicht weiter.
Die Seite konnte nicht geladen werden. Ich hatte dann keine Zeit mehr um genauer nachzusehen.
Ich erkläre mir das so: Die IP-Adresse des Smartphones kommt jetzt direkt von der FritzBox (192.168…). Die Portalseite soll aber vom Unifi-Controller kommen, der ja weiterhin eine IP im “falschen” Netz hat (172.20…). Das würde sich ja auch dann nciht ändern, wenn ich das blaue Netz mit auf die Leitung lege. Wo liegt also der Fehler? Muss der Unifi-Controller seltbst auch (mit mehreren virtuellen Netzwerkkarten) in alle Netze, insbesondere ins rote?
Noch eine Grundsatzfrage: Spricht etwas dagegen, ein Gast-WLAN (das nicht für Schüler sondern tatsächlich für Gäste ist) nach rot zu legen? Da hat man keine Sorgen mit irgendwelchen Filtern, die evtl mehr blocken als sie in diesem Fall sollen…
Ach ja: Kannst du nochmal den Grund nennen, warum dein AP lieber in Grün als in Blau hängt? Erreichbare Services oder woran liegt’s?
Schöne Grüße,
Michael
An einen Port habe ich VLAN.12 (WLAN) untagged und VLAN.10 (FritzBox)
tagged angelegt. Daran habe ich den AP angeschlossen, der das Gast-WLAN
abstrahlt und im Unifi-Controller die VLAN-ID 10 eingetragen. Das lief
zunächst auch:
das kann so nicht gehen, da die APs nicht im selben Netz wie der
Controller ist.
Sie sehen den Controller nicht: wie sollen sie dnan provisioniert werden?
Ach ja: Kannst du nochmal den Grund nennen, warum dein AP lieber in Grün
als in Blau hängt? Erreichbare Services oder woran liegt’s?
ich denke, dass dein Denkfehler schon an diesem „Grün als in Blau“: sie
sind in beiden LANs:
In Blau sind sie, damit sie den Traffic nach Blau rauslassen können
(also ein WLAN in Blau ausstrahlen können) in Grün sind sie erstmal nur,
damit sie den Controller „sehen“.
Ich habe, außer mehreren WLANs in Blau, auch eines in Grün.
Das ist für Einrichtungseigene Tablets und Notebooks.
Derzeit bildet sich aber heraus, dass das garnicht so toll ist.
Die 36 Android Tablets sind jetzt wieder in Blau.
Die iPads brauchten für die Einrichtung ein eigenes WLAN… weil es iPads
sind und die brauchen immer eine SOnderbehandlung.
Denen kann man beim provisioning schon WLAN Profile mitgeben: aber kein
WPA2 Enterprise und kein Capturing Portal: Also mußten sie in ein WLAN
in Grün und ihre IPs mußten Eingetragen werden.
iPad Einrichtung ist super einfach … für den der das am Apple
Configurator (oder Apple School oder wie das heißt) macht.
Der der dafür zu sorgen hat, dass das funktioniert hat dafür sehr viel
mehr Arbeit als bei den Androiden…
Ahoi.
also irgendwie reden wir jetzt entweder aneinander vorbei oder ich verstehe nicht mehr, was du mir sagen willst . Der AP wurde provisiioniert. Ich hatte ja das richtige VLAN untagged mit auf der Leitung. Auch die IP-Adresse habe ich erhalten - erst danach trat der Fehler auf, da die Portalseite nicht geladen werden konnte. In welchem Netz hast du denn den Controller hängen? Offenbar in grün?
Michael
also irgendwie reden wir jetzt entweder aneinander vorbei oder ich
verstehe nicht mehr, was du mir sagen willst . Der AP wurde provisiioniert. Ich hatte ja das richtige VLAN untagged mit auf
der Leitung. Auch die IP-Adresse habe ich erhalten - erst danach trat
der Fehler auf, da die Portalseite nicht geladen werden konnte. In
welchem Netz hast du denn den Controller hängen? Offenbar in grün?
ja: in Grün.
So wie es in der Anleitung steht.
Wo hast du ihn den?
Nicht in Blau (zwischen IPfire und Coova) sondern in Violett? (das AP Netz)
Ja, in violett. (So wie es auch mal in der Anleitung steht/stand )
Also ist das Missverständnis wahrscheinlich die ganze Zeit wieder die Farbe, über die wir reden. Ich meinte die ganze Zeit, dass sowohl Unifi-Controller als auch der Gast-AP in violett untagged hängen und zuästzlich rot tagged mit auf der Leitung ist. Der Unifi-Controller selbst hat aber nur eine Adresse in violett und nix aus rot. Muss er dort eine Adresse/NIC haben, wenn er die Portalseite ausliefern können soll?
Ja, in violett. (So wie es auch mal in der Anleitung steht/stand )
Also ist das Missverständnis wahrscheinlich die ganze Zeit wieder die
Farbe, über die wir reden. Ich meinte die ganze Zeit, dass sowohl
Unifi-Controller als auch der Gast-AP in violett untagged hängen und
zuästzlich rot tagged mit auf der Leitung ist. Der Unifi-Controller
selbst hat aber nur eine Adresse in violett und nix aus rot. Muss er
dort eine Adresse/NIC haben, wenn er die Portalseite ausliefern können
soll?
Imo geht das leider nicht. Unsere APs hängen in einem Managementnetz ohne Internetzugang. Der Controller selbst ist in diesem Managementnetz, in blau und in grün.
In grün geht Radius oder das Captive Portal von Netzint via Unifi API.
Kürzlich habe ich mit dem Voucher experimentiert. Das sollte auch in grün sein. Leider wird die Weiterleitung zum Voucherportal.immer auf die Management IP vom Controller geleitet, was dann vom Routing nicht funktioniert. Nach etwas Recherche muss das Voucherportal wohl im untagged Netz sein…
Viele Grüße
Christoph
PS würde mich gerne eines besseren belehren lassen
pps sorry für’s Format. Bin unterwegs via k9…
Hi Christoph,
das würde es erklären, warum die Portalseite nicht ausgeliefert wurde. Sehr schade!
Alternatividee: Dem Unifi-Controller einer zweite NIC spendieren, so dass er auch von ROT aus erreichbar ist (Sicherheitsloch??). Dann das VLAN untagged auf die Leitung und den Controller über die Adresse in ROT ansprechen?? Würde das gehen?
Michael
Kürzlich habe ich mit dem Voucher experimentiert. Das sollte auch in
grün sein. Leider wird die Weiterleitung zum Voucherportal.immer auf die
Management IP vom Controller geleitet, was dann vom Routing nicht
funktioniert. Nach etwas Recherche muss das Voucherportal wohl im
untagged Netz sein…
bei mir ist das Vouchernetz in Blau.
Der Controller ist nur in Grün: das funktioniert.
Die APs sind in Grün untagged und in Blau (tagged).
das würde es erklären, warum die Portalseite nicht ausgeliefert wurde.
Sehr schade!
Alternatividee: Dem Unifi-Controller einer zweite NIC spendieren, so
dass er auch von ROT aus erreichbar ist (Sicherheitsloch??). Dann das
VLAN untagged auf die Leitung und den Controller über die Adresse in ROT
ansprechen?? Würde das gehen?
das ist alles nicht nötig.
Der Controller ist in Grün und die APs sind in Grün und in Blau.
So ist das bei mir: eben genau wie in der Anleitung beschrieben: es
funktioniert alles, auch Voucher.
Hi Holger, deine Situation ist aber auch eine andere als bei mir. Du hast alles in grün und blau. Bei mir ist kein AP und auch kein Controller in grün, sondern alles befindet sich in lila. Allerdings gehen wir ziemlich analog vor, wenn ich das richtig sehe – nur dass ich rot und lila zusammen auf den AP bringe und du grün und blau. Aber es ist jeweils so, dass das VLAN, wo der Controller zu finden ist untagged ist – das scheint ja erstmal richtig zu sein. Ich hatte heute wie gesagt nicht lange Zeit für lange Tests. Die Verbindung zum AP wurde aber sofort hergestellt, so dass es soooo falsch ja nicht gewesen sein kann.
Könnte es evtl sein, dass das Voucher-Portal auf einem besonderen Port läuft, der ganz einfach nicht durchgereicht wurde?
(Im Wiki wurden ja seinerzeit mehrere mögliche Szenarien für den Aufbau des CoovaChilli vorgeschlagen. Ich hatte mich dann für den Aufbau in blau entschieden; also weitestgehend getrennt vom grünen Netz.)
. Der AP wurde provisiioniert. Ich hatte ja das richtige VLAN untagged mit auf der Leitung. Auch die IP-Adresse habe ich erhalten - erst danach trat der Fehler auf, da die Portalseite nicht geladen werden konnte. In welchem Netz hast du denn den Controller hängen? Offenbar in grün?