Unifi linuxmuster dhcp- problem


#1

Hallo,

ich versuche gerade den unifi Controller zu kofigurieren.
Ausgangspunkt: 3 physische Server (IPFIRE, LM 6.2, Unifi Server), die über unmanaged Switch miteinander verbunden sind.
Auf IPFire habe ich ein VLAN eingerichtet was eigentlich laufen müsste:

green0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:0d:61:4e:7f:1d brd ff:ff:ff:ff:ff:ff
inet 10.16.1.254/12 brd 10.31.255.255 scope global green0
valid_lft forever preferred_lft forever
blue0@green0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 00:0d:61:4e:7f:1d brd ff:ff:ff:ff:ff:ff
inet 172.16.16.254/24 brd 172.16.16.255 scope global blue0
valid_lft forever preferred_lft forever

Den unifi Controller habe ich nach der Doku installiert. Lehrernetz funktioniert.
Nur beim Schülernetz gibt es Probleme:
Authentifizierung denke ich klappt (bei falschem Passwort kommt Authentifizierungsproblem), aber ich bekomme keine IP-Adresse zugewiesen.
Hat jemand eine Idee ? Brauche ich dazu einen managed Switch?

Viele Grüße

Steffen


#2

Hallo Steffen,

Auf IPFire habe ich ein VLAN eingerichtet was eigentlich laufen müsste>
green0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state
UP group default qlen 1000
link/ether 00:0d:61:4e:7f:1d brd ff:ff:ff:ff:ff:ff
inet 10.16.1.254/12 brd 10.31.255.255 scope global green0
valid_lft forever preferred_lft forever
blue0@green0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue
state UP group default
link/ether 00:0d:61:4e:7f:1d brd ff:ff:ff:ff:ff:ff
inet 172.16.16.254/24 brd 172.16.16.255 scope global blue0
valid_lft forever preferred_lft forever

Den unifi Controller habe ich nach der Doku installiert. Lehrernetz
funktioniert.
Nur beim Schülernetz gibt es Probleme:
Authentifizierung denke ich klappt (bei falschem Passwort kommt
Authentifizierungsproblem), aber ich bekomme keine IP-Adresse zugewiesen.
Hat jemand eine Idee ? Brauche ich dazu einen managed Switch?

hast du im IPFire unter “Firewall”->“Zugriff auf Blau” den Eintrag
gemacht wie ich ihn in dem Tread beschrieben habe?

Schau mal im IPFire unter “Dienste”->“DHCP” ganz unten ob da deine
Clients stehen, dass sie eine IP bekommen haben.

Wie authentifizierst du den im Schülernetz?
Ist das von dir am IPFire eingerichtete VLAN das Blaue?

LG

Holger


#3

Hallo Holger,
ja das ist das blaue VLAN. Bei DHCP im IPFIRE stehen keine Clients. Vielleicht können meine Switches nicht mit VLAN umgehen. Der Client bekommt ja keine IP Adresse. Authentifiziert werden die Clients über freeradius, das müsste funktionieren. Falsches Passwort führt zur Fehlermeldung.

Viele Grüße

Steffen


#4

Das ist die alles entscheidende Frage. Können deine Switche VLANs oder nicht? Wenn nicht brauchst du VLAN-Switche. Andernfalls wirst du immer nur ein Netz über LAN und damit WLAN übertragen können.


#5

Hallo Steffen,

ja das ist das blaue VLAN. Bei DHCP im IPFIRE stehen keine Clients.
Vielleicht können meine Switches nicht mit VLAN umgehen. Der Client
bekommt ja keine IP Adresse. Authentifiziert werden die Clients über
freeradius, das müsste funktionieren. Falsches Passwort führt zur
Fehlermeldung.

wie sit der Port konfiguriert, an dem der AccessPOint hängt?
Grün nativ und dazu getagged das Blaue LAN?

Du mußt das VLAN am unifi Controller in den Einstellungen im Bereich
"Netzwerke" definieren: dann kannst du es erst am AP auch einstellen.
Das ist etwas schlecht umgesetzt und hat auchbei mir erst zu Verwirrung
geführt, bis ich die Einstellung im Controller gefunden hatte.

LG

Holger


#6

Hallo Holger,

danke für den Hinweis. Ich habe gerade die Einstellungen angepasst. Sind sie so richtig?

Viele Grüße

Steffen


#7

Hallo Steffen,

danke für den Hinweis. Ich habe gerade die Einstellungen angepasst. Sind
sie so richtig?

nein.

unifi1
https://ask.linuxmuster.net/uploads/default/original/1X/dde07c9074e2b3a346a614818f45a89940841943.jpg

hier ist die Subnetmaske falsch.
Wenn ihr kein Subnetting macht, dann ist die Maske
255.240.0.0
und nicht
255.255.0.0

Ebenso stimmen dementsprechend die IPs nicht.
Bei mir:
Gateway/Mask: 10.16.1.254/12

Dann stimmt der Rest der drunter steht.

unifi2
https://ask.linuxmuster.net/uploads/default/original/1X/1077f5e295b62a74a13425d69a2efc31cc49eca1.jpg

VLAN 300?
Tatsächlich?
Ist das die VLAN ID in den Switches?

Jetzt mußt du am Controller noch schauen, ob bei den Wireless Netzen
beim Schülernetz die VLAN ID 300 dabei steht.

LG

Holger


#8

Hallo Holger,
danke, ich passe es an und probiere es am Montag.

Viele Grüße

Steffen


#9

Hallo Steffen,

ich kenne mich mit der Linuxmuster.net nicht so gut aus. Aber wenn in deinem 10.16.0.0/16 netz alles funktioniert sind die IP-Adressen hier nicht verkehrt.

Die Frage ist dann tatsächlich ob die Switche VLans beherrschen und/oder wie sie konfiguriert sind - meint sind die VLans auch richtg eingerichtet.

Das ist aus der ferne ohne Kentniss des Netzes schwer zu erkennen. Poste doch mal die Konfiguration(en) eines/der Switch(es). dann kann man die eventuell besser helfen.

VIle Grüße

Peter


#10

Ich würde das VLAN als “VLAN Ony” anlegen.


#11

Hallo zusammen,

ich denke, es ist sinnvoller hier weiter zu machen, da ich das gleiche Problem habe.
Es läuft bereits das “Lehrernetz” und ein Testnetz in Grün mit Radius-Anmeldung. Probleme gibt es mit dem Schülernetz in blau, weil der DHCP im blauen Netz (er lässt sich auf der Konsole restarten) keine IP rausrückt.

Auf dem Controller habe ich folgendes umgesetzt:

Bei den Ports des Unifi-Switches steht unter Switch-Port-Profil “All”.

Im IPfire habe ich Holgers “Frühstückregel” umgesetzt und außerdem ein paar übliche Regeln für blau gesetzt. Aber selbst wenn ich unter den Firewalloptionen alles zulasse, gibts keine IP, sondern nur ein drop für blau.

Nur wenn ich einem Client eine statische 172er-IP zuteile, erhält er WLAN, allerdings noch ohne Internetzugriff. Zunächst sollte aber wohl das DHCP-Problem gelöst werden.

Intuitiv neige ich dazu, dass es was mit der Vlan-Geschichte zu tun hat: Evtl. muss ich, wie Steffen weiter oben, im IPFire ein VLan 10 definieren??

Bin für jede Idee dankbar,

Viele Grüße

Wilfried


#12

Hallo,

ich habe mal IPFire, Controller und Switch neu gestartet.
Außerdem habe ich mir die Coova-Chilli-Firewall-Einstellungen angeschaut und das eine oder andere bei mir für das Schüler-WLAN ergänzt.
Bei der Anmeldung meiner Testgeräte gab es wieder keine IP-Adresse über das Schüler-WLAN.
Allerdings war ich überrascht, dass in der ‘Wireless Konfiguration > Aktuelle DHCP-Zuordnungen auf BLAU’ der IPFire plötzlich meine Geräte mit blauer IP gelistet hatte,
Leider war dies jedoch nicht über das Schüler-WLAN zustande gekommen, sondern bei der automatischen Einwahl ins Lehrer-WLAN Da habe ich die Notbremse gezogen: Schüler-WLAN deaktiviert, DHCP blau deaktiviert und alle Firewallregeln für blau ebenso.
Jetzt verteilt das Lehrer-WLAN wieder die IPs aus der workstation-Datei, und ich warte auf fachkundige Ratschläge (bevor noch mehr Durcheinander entsteht) :cold_sweat:

Viele Grüße

Wiflried


#13

Hallo,

ein Klick fehlte noch: Der Swicht-Port, an dem mein blaues Netz angeschlossen ist, kann jetzt nicht mehr “all”, sondern nur noch VLAN 10, und das scheint zu funktionieren. Im Lehrer-WLAN gibt es 10er-Adressen und im Schüler-WLAN 172er.
Was ich noch evtl ändern muss (wo?), ist die relativ kurze Gültigkeit: “Zuordnung verfällt (local time d/m/y)” nach ca. einer Stunde. Was passiert dann?

Viele Grüße

Wilfried


#14

Hallo Wilfried,

Was ich noch evtl ändern muss (wo?), ist die relativ kurze Gültigkeit:
“Zuordnung verfällt (local time d/m/y)” nach ca. einer Stunde. Was
passiert dann?

die 10er Adressen verteilt der lmn Server DHCP: das muss also dort
geändert werden.

Die 172er kommen vom IPFire: das muss im IPFire geändert werden.

LG

Holger