Verständnisfrage unifi --> IP in unterschiedlichen VLANs

Hallo.
Wir nutzen -wie so viele hier- unifi für unser WLAN. Nun habe ich alle APs in einem eigenen Netz, wo sich auch der Controller befindet. Der Zugang zum schulweiten WLAN ist über ein eigenes VLAN geregelt, das mit auf der Leitung liegt … soweit so gut.

Wenn ich mich auf dem Accesspoint via SSH einlogge und mit ifconfig nachsehe, welche IP der AP hat, wundere ich mich gerade darüber, dass dort zwei Bridges angezeigt werden und zwar bei uns:
erstens:
br0 (mit der richtigen IP aus dem Netz, wo sich auch der Controller befindet)
und zweitens:
br0.12 (mit einer weiteren IP aus dem WiFi-Netz)

Kann das jemand so bestätigen? Ich frage nur deshalb, weil die IP im WiFi-Netz ja per DHCP vergeben worden sein muss – ich aber keinen Lease in der OPNSense für diese IP entdecken kann? :thinking:

VG,
Michael

Hi Michael,
bei mir bekommen die APs im WiFi netz über DHCP IP-Adressen von der Firewall, wie die Clients auch. (Ich habe noch IPFire). Muss ja auch so sein, denn der AP ist ja ein Gerät in diesem Netz? Ggf. hast Du für das VLAN einen (zweiten?) DHCP-Server vom Unifi-Controller laufen? Standardmäßig aktiviert der UNIFI nämlich beim Erstellen eines VLANs einen DHCP-Server (find ich nicht gut).
LG
Max

Hallo zusammen,

bei uns gibt es ein Management-Netz, in dem die APs, die Switche, die KVM-Hosts, etc. versammelt sind. In diesem vergibt der Unifi-DHCP (über das Unifi Security Gateway) die Adressen.

Das WLAN hat ein eigenen VLANs (kann man im Unifi-Controller einstellen), in dem der IPfire (6.2) die IP-Adressen vergibt.

Einzige Notwendigkeit war ein Loch aus dem Unifi-Netz durch die Firewall zum freeradius für die WPA2 Enterprise-Authentifizierung.

Ich finde das so recht schlüssig und mag, wenn Management und WLAN (und die anderen Netze) sauber voneinander getrennt sind.

Tatsächlich finde ich es manchmal schwierig, die Einstellungen direkt auf der Unifi-Hardware zu interpretieren - der Controller macht doch eine Menge im Hintergrund.

Viele Grüße
Thomas

Aha?!? Das muss ich checken… dann würden zwei laufen…
[etwas später]
Das scheint nur so zu sein, solange man ein USG hat:

… damit bleibt es dabei: Wo hat der AP die IP in dem VLAN her…!? Die OPNSense (dort läuft der DHCP-Server für dieses Netz) zeigt sie jedenfalls nicht an; auch nicht bei „Zeige alle konfigurierten Leases“ :thinking:

Hi,
also bei mir gibt es bei den Networks die möglichkeit, für das jeweilige einen DHCP anzuschalten und der war bei mir auch standardmäßig an (und kostete Nerven…)


LG
Max

Hallo Max. Hast du denn ein USG dazwischen bei Deinem Setup??

Hallo!
Nein, ich hab kein USG. Ich verstehe das so, dass der Unifi-Controller bei Bedarf in diesem LAN eben einen DHCP Service anbietet.
LG
Max

OK, dann suche ich nochmal nach den Einstellungen. Bei dir sieht es so aus, als ob du bereits die neuen Settings verwendest, richtig?

Hi Michael,
ja, ich glaube, ich habe einen Reiter gesehen, ob man in das „alte“ Layout wechseln will. Ich habe gerade nochmal geschaut und gesehen, dass ich bei einem reinen VLAN (also Typ VLAN only) das DHCP als Option nicht habe? Komisch. Nur bei „Corporate“ gibts das. Aber vielleicht hast Du ja so ein Netzwerktyp verwendet?
LG
Max

Da haben wir es: ich habe immer nur VLAN only verwendet.

Ah, danke für den Artikel.
Dann weiß ich auch nicht, wo die IPs herkommen…
Sind es ggf. Standard-IP-Adressen oder passen sie zum Netz? Tauchen sie aus irgend welchen Gründen nur nicht im LOG auf, sind aber trotzdem vom „normalen“ DHCP?
LG
Max

Hallo Max.
Ja, die IPs passen zum Netz (und liegen mitten im DHCP-Bereich – also auch nicht ganz am Anfang oder ganz am Ende). Bisher dachte ich, dass sie auf jeden Fall von der OPNSense stammen müssen … wenn der Unifi-Controller da aber nun doch zwischen funkt, muss gewährleistet bleiben, dass keine IP doppelt vergeben wird (auch wenn zwei DHCP-Server laufen sollten). Ob das immer gewährleistet ist…?!?

VG,
Michael

Hallo Michael,
man kann per ssh auf die AccessPoints (im Controller einstellen, dass das gleiche Passwort wie am Controller gilt)
Unter NetworkSettings -> Device Authentication kann man das einstellen und ein username/pw vergeben, dann einfach per „ssh username@ip“ auf das Gerät. Dort gibt es logfiles, ggf. auch die DHCP-Anfrage.
LG
Max

Hallo Michael,

was steht denn bei Dir bei DHCP-Schutz (Bild)?

Nur DHCP die dort stehen kommen auch zum Zug. Ich hatte da einmal den 10.16.1.1 nicht drin stehen, da ging im grünen Netz nichts mehr. Umgekehrt müsste diese Einstellung verhindern dass ein unbekannter DHCP in Deinem Netz werkelt.

Hinweis: Das Bild stammt nicht aus einer linuxmuster.net

Viele Grüße

Alois

Hallo Alois und hallo Max!

also bei mir steht dort:

Der Unifi-Controller übernimmt hier aber auch eigentlich nirgendwo die Rolle des DHCP-Servers. Das macht eigentlich die OPNSense-FW …

Allerdings findet man auf den APs ein paar interessante Einstellungen, wenn man sich per ssh dort anmeldet und sich z.B. cat /var/previous.conf ansieht. Darin steht bei mir:

cat previous.cfg |grep dhcpc.2
dhcpc.2.devname=br0.12
dhcpc.2.ip_only=true
dhcpc.2.status=enabled

… aber darin steht nicht, woher die IP-Adresse stammt. Auch eine Durchsuchen von
cat /var/log/messages |grep <was auch immer> hat bisher nichts zutage befördert.
Bisher habe ich keine Kollisionen bzgl einer doppelt vergebenen IP-Adresse festgestellt – aber seltsam finde ich es trotzdem…

VG,
Michael

Hallo Michael,

Spekulation! Könnte es sein, dass es sich bei den IP-Adressen um Adressen handelt die der AP hat, wenn er keine vom DHCP bekommt?

Gruß

Alois

Die IP kann ja auch statisch sein, dann siehst du nichts in der OPNSense.

Kann man sich auf dem AP die Netzwerkkonfiguration irgendwie anschauen? Evtl. mal den Netzwerkverkehr mitschneiden, dann solltest du sehen, ob der AP per DHCP nach einer IP fragt (und wer darauf anwortet).

vG Stephan

SSH --> ifconfig… das ist kein Problem. Nach einer interfaces-Datei kann ich nochmal schauen…

Das müsste aber schon ein extrem großer Zufall sein, da sie genau aus dem Bereich 172.16.0.0 kommen, den ich für das WLAN reserviert habe…

Hallo Michael,

das stimmt. Ich meine die IP-Adressen die sich die AP’s selbst vergeben sind aus dem 192er Netz.

Gruß

Alois

Nein, hier kommt die IP im Management Netz per DHCP aus dem 192er Bereich, aber die aus dem WLAN/VLAN aus dem 172er… erstere geht klar, letztere ist unklar…