Hallo.
Wir nutzen -wie so viele hier- unifi für unser WLAN. Nun habe ich alle APs in einem eigenen Netz, wo sich auch der Controller befindet. Der Zugang zum schulweiten WLAN ist über ein eigenes VLAN geregelt, das mit auf der Leitung liegt … soweit so gut.
Wenn ich mich auf dem Accesspoint via SSH einlogge und mit ifconfig nachsehe, welche IP der AP hat, wundere ich mich gerade darüber, dass dort zwei Bridges angezeigt werden und zwar bei uns:
erstens: br0 (mit der richtigen IP aus dem Netz, wo sich auch der Controller befindet)
und zweitens: br0.12 (mit einer weiteren IP aus dem WiFi-Netz)
Kann das jemand so bestätigen? Ich frage nur deshalb, weil die IP im WiFi-Netz ja per DHCP vergeben worden sein muss – ich aber keinen Lease in der OPNSense für diese IP entdecken kann?
Hi Michael,
bei mir bekommen die APs im WiFi netz über DHCP IP-Adressen von der Firewall, wie die Clients auch. (Ich habe noch IPFire). Muss ja auch so sein, denn der AP ist ja ein Gerät in diesem Netz? Ggf. hast Du für das VLAN einen (zweiten?) DHCP-Server vom Unifi-Controller laufen? Standardmäßig aktiviert der UNIFI nämlich beim Erstellen eines VLANs einen DHCP-Server (find ich nicht gut).
LG
Max
bei uns gibt es ein Management-Netz, in dem die APs, die Switche, die KVM-Hosts, etc. versammelt sind. In diesem vergibt der Unifi-DHCP (über das Unifi Security Gateway) die Adressen.
Das WLAN hat ein eigenen VLANs (kann man im Unifi-Controller einstellen), in dem der IPfire (6.2) die IP-Adressen vergibt.
Einzige Notwendigkeit war ein Loch aus dem Unifi-Netz durch die Firewall zum freeradius für die WPA2 Enterprise-Authentifizierung.
Ich finde das so recht schlüssig und mag, wenn Management und WLAN (und die anderen Netze) sauber voneinander getrennt sind.
Tatsächlich finde ich es manchmal schwierig, die Einstellungen direkt auf der Unifi-Hardware zu interpretieren - der Controller macht doch eine Menge im Hintergrund.
… damit bleibt es dabei: Wo hat der AP die IP in dem VLAN her…!? Die OPNSense (dort läuft der DHCP-Server für dieses Netz) zeigt sie jedenfalls nicht an; auch nicht bei „Zeige alle konfigurierten Leases“
Hi,
also bei mir gibt es bei den Networks die möglichkeit, für das jeweilige einen DHCP anzuschalten und der war bei mir auch standardmäßig an (und kostete Nerven…)
Hi Michael,
ja, ich glaube, ich habe einen Reiter gesehen, ob man in das „alte“ Layout wechseln will. Ich habe gerade nochmal geschaut und gesehen, dass ich bei einem reinen VLAN (also Typ VLAN only) das DHCP als Option nicht habe? Komisch. Nur bei „Corporate“ gibts das. Aber vielleicht hast Du ja so ein Netzwerktyp verwendet?
LG
Max
Ah, danke für den Artikel.
Dann weiß ich auch nicht, wo die IPs herkommen…
Sind es ggf. Standard-IP-Adressen oder passen sie zum Netz? Tauchen sie aus irgend welchen Gründen nur nicht im LOG auf, sind aber trotzdem vom „normalen“ DHCP?
LG
Max
Hallo Max.
Ja, die IPs passen zum Netz (und liegen mitten im DHCP-Bereich – also auch nicht ganz am Anfang oder ganz am Ende). Bisher dachte ich, dass sie auf jeden Fall von der OPNSense stammen müssen … wenn der Unifi-Controller da aber nun doch zwischen funkt, muss gewährleistet bleiben, dass keine IP doppelt vergeben wird (auch wenn zwei DHCP-Server laufen sollten). Ob das immer gewährleistet ist…?!?
Hallo Michael,
man kann per ssh auf die AccessPoints (im Controller einstellen, dass das gleiche Passwort wie am Controller gilt)
Unter NetworkSettings -> Device Authentication kann man das einstellen und ein username/pw vergeben, dann einfach per „ssh username@ip“ auf das Gerät. Dort gibt es logfiles, ggf. auch die DHCP-Anfrage.
LG
Max
Nur DHCP die dort stehen kommen auch zum Zug. Ich hatte da einmal den 10.16.1.1 nicht drin stehen, da ging im grünen Netz nichts mehr. Umgekehrt müsste diese Einstellung verhindern dass ein unbekannter DHCP in Deinem Netz werkelt.
Der Unifi-Controller übernimmt hier aber auch eigentlich nirgendwo die Rolle des DHCP-Servers. Das macht eigentlich die OPNSense-FW …
Allerdings findet man auf den APs ein paar interessante Einstellungen, wenn man sich per ssh dort anmeldet und sich z.B. cat /var/previous.conf ansieht. Darin steht bei mir:
… aber darin steht nicht, woher die IP-Adresse stammt. Auch eine Durchsuchen von cat /var/log/messages |grep <was auch immer> hat bisher nichts zutage befördert.
Bisher habe ich keine Kollisionen bzgl einer doppelt vergebenen IP-Adresse festgestellt – aber seltsam finde ich es trotzdem…
Die IP kann ja auch statisch sein, dann siehst du nichts in der OPNSense.
Kann man sich auf dem AP die Netzwerkkonfiguration irgendwie anschauen? Evtl. mal den Netzwerkverkehr mitschneiden, dann solltest du sehen, ob der AP per DHCP nach einer IP fragt (und wer darauf anwortet).
Nein, hier kommt die IP im Management Netz per DHCP aus dem 192er Bereich, aber die aus dem WLAN/VLAN aus dem 172er… erstere geht klar, letztere ist unklar…