Nochmal Unifi: Keine IP im Gast-Netz

Kannst du mal schauen auf welche IP man umgeleitet wird, um seinen Voucher einzugeben?

Bei uns sind die APs (untagged) und der Controller in einem 192er Netz ohne Internetzugriff. Der Controller ist dann außerdem noch in grün für die LDAP Anbindung und in blau (WPA2 Enterprise Radius). Die APs haben getagged blau, grün und freifunk-Clientnetz drauf.

Gehe ich via Voucher-SSID ins blaue Netz bekomme ich vom IPFire eine entsprechende IP Adresse. Möchte ich dann eine Webseite aufrufen, werde ich auf den Controller mit seiner 192er IP aus dem Managementnetz geleitet. Port weiß ich gerade nicht mehr - kann das aber Donnerstag nochmals testen. Daran scheitert es dann. Hatte es nach einer Recherche keine Konfigurationsmöglichkeit für das Voucherportal bezgl. IP und VLAN gefunden. Da das für uns „nur“ nice to have gewesen wäre, habe ich das dann nicht mehr weiter verfolgt.

Viele Grüße

Christoph

Hmmm … vielleicht ist es einfach nur das, was hier ganz unten steht:

http://docs.linuxmuster.net/de/latest/systemadministration/network/unifiwifi/unifivoucher.html

Generell ja. Vorausgesetzt man wöllte von blau in grün. Das Problem ist, dass bei uns das untagged VLAN und somit das Managementnetz, ein Netz ist, welches der IPFire gar nicht kennt.

Wir andererseits für das Managementnetz weder blau noch grün verwenden wollen, da die APs großflächig verteilt sein und wir nicht immer direkt mitbekommen/handeln können, wenn $Device dort angestöpselt wird. Beispielsweise in der Sporthalle wo am Wochenende auch mal Veranstaltungen und Vereine drin sind. Aktuell bekommt man halt ne 192er IP hat aber keinen Netzzugriff und erreicht nur die APs und den Controller. Meiner persönlichen Meinung nach haben die APs untagged auch nichts im pädagogischen Netz zu suchen.

Imo sollte auf der Voucher-Konfigurationsseite eine Möglichkeit bestehen, über welche Schnittstelle der Controller angesprochen wird… :confused:

Hi Christoph.
Ja, du hast Recht. Wir haben vermutlich das gleiche Problem – auch wenn ich aus einer ganz anderen Richtung darauf gestoßen bin.
Bei mir ist es ja auch so, dass das “lila” Netz hinter dem Coova für alle anderen unsichtbar ist. Ich schätze, dass die Portalseite auch deshalb nicht ausgeliefert werden kann. Heute habe ich es nochmal so wie ganz am Anfang gemacht - dann erscheint das Portal tatsächlich aber ich habe die doppelte Authentifizierung drin, was man ja nicht will. Wenn der Coova drin bleibt, komme ich also offenbar nicht um das Herausführen des (“echten”) blauen Netzes herum. Also genau so wie von Holger vorgeschlagen…
Schöne Grüße
Michael

Nutzt jemand den zweiten Ausgang an den Unifi-APs für irgendwas? Ich hatte bisher gedacht, dass die Dinger PoE auch weiterreichen an einen zweiten AP, den man seriell dahinter hängt, doch das scheinen sie gar nicht zu können? :frowning:

Wozu bieten die dann große und kleine Netzteile (12 und 24 Watt) für die AC-Pro APs an??

Hallo Michael,

Nutzt jemand den zweiten Ausgang an den Unifi-APs für irgendwas? Ich
hatte bisher gedacht, dass die Dinger PoE auch weiterreichen an einen
zweiten AP, den man seriell dahinter hängt, doch das scheinen sie gar
nicht zu können? :frowning:

es heißt, dass am zweiten Anschluss das ungetaggte LAN weitergereicht wird.
POE wird da nicht weiter gegeben.

LG

Holger

… was sehr ärgerlich ist, da das Netzteil das ja ziehen würde und man somit doch wieder eine zweite Leitung für den nächsten AP benötigt. Was hilft mir das untagged VLAN am secondary Port, wenn der keinen Strom erhält?
Michael

Hallo Michael,

ich nehme an, dass der Gedanke hinter diesem Konstrukt war: Man hat an einer Stelle eine LAN-Dose, auf die man nicht verzichten kann und trotzdem einen AP an dieser Stelle haben möchte.
Wäre an ein kaskidieren von APs gedacht worden, würde man ja auch die VLANs weiterreichen. Der POE- und auch der POE±Standard sehen ohnehin keine Kaskadierung von POE-Geräten vor (siehe z.B. http://www.etz.de/2759-0-PoE+Standards+forcieren+Technologieeinsatz+im+industriellen+Umfeld.html )

Grüße,
Sven

Hi Sven.
OK, zu wissen.
Bleibt die Frage, warum es dann von Unifi verschiedene Netzteile für ein und denselben AP gibt??
Schöne Grüße,
Michael

Hallo zusammen,

Bleibt die Frage, warum es dann von Unifi verschiedene Netzteile für ein
und denselben AP gibt??

aus der Freifunk-Universum weiß ich, dass zumindest bei den Ubiquiti
AirOS Geräten, z.B. die Ubiquiti Nanostation M2 das PoE durchschleift
und man einen weiteren Node über einen PoE-Injector betreiben kann.

Mit den Unifi Geräten habe ich diesbezüglich noch nichts ausprobiert.

Viele Grüße

Christoph

Hallo Michael!

Wenn es für dich bzw. den geplanten Einsatzes unabdingbar ist, dann würden dir Switche mit PoE Passthrough weiterhelfen.

Hier die von Ubiquiti:

US-8/US-8-60W

Beste Grüße

Thorsten

Hallo :slight_smile:
Ich müsste mich schwer täuschen, bin ich mir doch sehr sicher, dass der secondary Port eine Bridge zum anderen ist.

Es werden auch alle VLANs durchgeschleift.

Herzliche Grüße

Jesko Anschütz

Ahoi.
Also unter’m Strich heißt das: Es geht also doch, falls man die richtige Hardware nutzt???
(Ich habe den 1. AP bisher per Netzteil mit PoE versorgt und den 2. AP dann an den Secondary Port gehängt. Damit lief es nicht, da der 2. AP gar nicht erst hochfahren konnte.)

Meine andere Frage ist bisher noch offen … ich habe --bisher nur, um es zu testen-- unter Proxmox dem virtuellen Unifi-Controller eine zweite (virtuelle) NIC spendiert. Dann habe ich ein Gast-WLAN + Voucher in ROT eingerichtet. Das lief ootb und der Controller wurde auf diese Weise natürlich auch sofort gefunden.

Es bleibt aber die Frage, ob man sich ein Sicherheitsloch schafft: der Controller, der bisher in der dritten Reihe lief und weitestgehend “unsichtbar” war, ist nun plötzlich auch in der ersten Reihe direkt hinter der FritzBox. Das Gast-WLAN sieht zwar den Rest des Netzwerks nicht aber der Controller selbst steht jetzt mehr in der Schusslinie als zuvor. Das ist allerdings genauso, wenn man einen Cloud-Key von Unifi wählt.
Wie schätzt ihr das ein? Machbar (evtl mit zusätzlicher Firewall) oder lieber nicht?

Michael

Moin Jesko!

Ich bezog mich auf den Post von Michael

Ob das so ist kann ich nicht beurteilen, da ich das noch nicht getestet habe. Aber das lässt sich ja nachholen.

Beste Grüße

Thorsten

Hallo,

bei uns läuft ein AP der an einen AP drangehängt wurde.
Die VLANs werden durchgeschleift. Die Spannungsversorgung nicht. Der AP muss mit dem mitgelieferten Netzteil über PoE versorgt werden.

Gruß,

Mathias

Hi. Dann hast du aber keine Unifi AC Pro, oder? Die haben keinen separaten Eingang für die Spannungsversorgung. Dort geht es nur via PoE.

Von daher kann man die dann auch nicht kaskadieren, es sei denn man nutzt „Main“ nur für die Spannungsversorgung und „Secondary“ nur für das LAN. Dann wäre am Unifi Netzteil der LAN Port unbenutzt. Aber das ist ja offenbar auch nicht so richtig elegant ?!?
Michael

Hallo Michael!

Bisher habe ich noch keine Unifi-APs mit einem separaten Spannungseingang gesehen. Da muss man ein Power-Injektor benutzen, so sind auch die Netzteile von UBNT aufgebaut, die mitgeliefert werden/wurden.

Beste Grüße

Thorsten

Hallo Michael

Von daher kann man die dann auch nicht kaskadieren, es sei denn man
nutzt “Main” /nur/ für die Spannungsversorgung und “Secondary” nur für
das LAN. Dann wäre am Unifi Netzteil der LAN Port unbenutzt. Aber das
ist ja offenbar auch nicht so richtig elegant ?!?
Michael

PoE durchschleifen ging mit einen Unifi AC HD auch nicht. Denke der
Aufbau ist folgender:
an einer Netzwerkdose hängt ein Unifi AP am Mainport und bekommt Strom
via PoE.

Den Secondary Port von diesem AP verbindest du mit dem LAN Port eines
PoE-Injektors und schließt den PoE Ausgang an den zweiten AP an, der
dann lokal vor Ort mit Strom versorgt wird, aber nur eine LAN Buchse
belegt wird.

@rettich Danke für das Testen mit dem durchgeschleiften VLANs!

Herzliche Grüße

Christoph

Neuer Versuch:

Hallo Michael,

solange es auf der Fritzbox keine Weiterleitung auf den unifi gibt, kann
er aus dem Internet nicht ohne weiteres erreicht werden.
Man müßte erst mal was anderes hinter der Fritzbox hacken um sich dann
"in Rot" um zu schauen: und das wäre ja nur der IPFire (oder die
nextcloud??) und wer den IPFire bezwingt, der kommt auch über Grün an
den unifi …

LG

Holger