Verständnisfrage unifi --> IP in unterschiedlichen VLANs

zefanja · 4. Oktober 2020 um 12:38

Warum? Ich kenne jetzt Unifi APs nicht, aber könnte es sein, dass er sich eine IP für jedes Netz gibt?

Dem Rätsel wirst du wohl nur mit einen Netzwerkmitschnitt auf die Spur kommen. Hatten wir hier auch schon mal, dass auf einmal 2 DHCP Server geantwortet haben (obwohl in unterschiedlichen Netzen!).

Michael · 4. Oktober 2020 um 13:33

Klar, das muss auch so sein, da es ein Portal in dem WLAN gibt, das der AP ausliefert. Also dass es eine IP gibt, ist nicht die Frage… nur, woher sie kommt

Michael · 4. Oktober 2020 um 16:07

Es scheint in der Datei
cat /etc/udhcpc/info.br0.12 zu stehen:

u_interface="br0.12"
u_broadcast=""
u_subnet="255.255.0.0"
u_ip="172.16.0.116"
u_router="172.16.16.254"    <<< das ist die OPNSense.
u_dns="172.16.16.253"       <<< das ist das Pi-Hole.
u_hostname=""
u_serverid="172.16.16.254"
...
u_leasetime=7200

So wie ich das sehe, bedeutet das, dass die IP richtigerweise von der OPNSense-FW bezogen wurde…

maxEG · 4. Oktober 2020 um 18:54

Hi Michael,
cool, dass Du die Datei gefunden hast, ich habe mir hier heute Mittag echt die Zähne an meinem AP ausgebissen, um den DHCP zu finden.
Aber warum siehst Du das in der OPNSense nicht?
LG
Max

Michael · 4. Oktober 2020 um 19:14

Gute Frage … aber das war ja genau der ursprüngliche Grund dieses Threads

Michael · 4. Oktober 2020 um 19:26

Ok, das „Rätsel“ scheint gelöst … bzw sieht alles richtig aus. Ich kann die Einträge zwar nicht bei den aktiven Leases entdecken aber wenn man auf der OPNSense die Protokolldateien zum DHCP-Server nach einer der betroffenen MAC-Adressen durchsuchen lässt, taucht der gesuchte Eintrag auf:

|2020-10-04T21:20:01|dhcpd[42353]|DHCPACK on 192.168.1.212 to e0:... via lagg0|
|2020-10-04T21:20:01|dhcpd[42353]|DHCPREQUEST for 192.168.1.212 from e0:... via lagg0|
|2020-10-04T21:19:49|dhcpd[42353]|DHCPACK on 172.16.0.126 to e0:...  via lagg0_vlan12|
|2020-10-04T21:19:49|dhcpd[42353]|DHCPREQUEST for 172.16.0.126 from e0:... via lagg0_vlan12|

Also erhält der AP offensichtlich direkt zwei Adressen von der OPNSense … also alles richtig und nachvollziehbar; nur taucht dieser Eintrag eben nicht bei den aktiven Leases auf!

Es bleibt noch zu klären, ob man die Lease-Time für die APs nicht vieeeeel höher setzen kann!? Im Moment kommt die Erneuerung der IPs jede Stunde (und das obwohl oben 7200 Sekunden = 2 Stunden steht ). Ist doch unnötig … das kann auch seltener geschehen, meine ich?!
Daher habe ich es in den OPNSense-Settings gerade auf 1 Monat = 2628000 Sekunden hoch gedreht…

alois · 4. Oktober 2020 um 22:48

Hallo Michael,

Das ist so üblich dass der Client nach der Hälfte der Zeit (Lease) nachfragt ob er die IP weiter haben kann.

Gruß Alois

Michael · 7. November 2020 um 17:30

Hallo!
Ich hole diesen Thread nochmal nach oben, weil ich es doch noch nicht ganz verstehe – vielleicht kann einer von Euch mal prüfen, was Eure APs sagen?!?

Wir lassen auf den APs mehrere WLANs in unterschiedlichen VLANs abstrahlen. Konkret ist es so, dass alle APs untagged im Management-Netz laufen und tagged die jeweiligen WLANs konfiguriert sind.

Wenn ich mich per ssh auf einem AP anmelde und dort mit ifconfig nachsehe, stelle ich fest, dass der AP

eine IP im Management-Netz hat (die stammt vom DHCP-Server der OPNSense und liegt auf br0):
eine weitere IP im schulweiten WLAN hat (die stammt ebenfalls von der OPNSense und liegt auf br0.12):
keine IP-Adressen auf den bridges hat, die im grünen Subnetz sind. Dort läuft jedoch ebenfalls ein DHCP-Server, so dass die APs auch in diesen Netzen vom v7-Server eine IP bekommen müssen.

Es funktioniert zwar alles – aber dennoch ist das keine „rein akademische“ Frage, denn auf der Firewall sehe ich, dass hier seltsamerweise eine Accesspoint-IP aus dem schulweiten WLAN mit großem Abstand den meisten blocked traffic verursacht. Daher wollte ich der Sache auf den Grund gehen und bin dann darüber gestolpert, dass das irgendwie nicht zusammenpasst.

Ich meine, dass die APs in jedem WLAN eine IP haben müssten und diese bei den Leases auch angezeigt werden müssten!? Wie sieht das bei Euch aus?

Viele Grüße,
Michael

maxEG · 22. November 2020 um 22:44

Hi Michael,
kannst Du den AP aus grün pingen? Werden die Adressen wirklich vergeben?
Ich habe das Management-Netz in grün (hüstel, also kein eigenes Netz dafür), jeder AP hat brav 2 Adressen.
LG
Max

Michael · 23. November 2020 um 07:27

Hallo Max.
In den grünen Subnetzen zeigen die APs ja keine IP-Adressen an.
Ich habe unter cat /var/lib/dhcp/dhcpd.leases auf dem v7-Server nachgesehen und nach einer der MAC-Adresse grep’ en lassen – kein Eintrag. Daher ist so auch kein ping möglich.
Im Parallelforum schrieb jemand dazu, dass er trotz drei WLANs & VLANs nur eine IP in seinem Managementnetz hat. Begründung dort:

„Der AP ist ja technisch nur ein Medien-Converter: er macht aus LAN WLAN, mehr nicht. Die einzige IP, welche er benötigt, ist die, unter der er selbst (per ssh z.B.) erreichbar sein soll.“

Mir ist weiterhin nicht klar, warum es hier nicht einheitlich ist: Entweder nur eine einzige IP oder in jedem WLAN eine – aber nicht beides gleichzeitig aber dann nur so halb, oder … ?!?

VG,
Michael