[fli4l] Br?==?utf-8?Q?äuchte nochmal Hil?==?utf-8?Q?fe zu VLAN-Setup (spezifisc?==?utf-8?Q?h: mit Ubiquiti Hardware)

[K. Dreier]

Hallo,

da ich keinen Ort gefunden habe, an dem man mal eine gescheite
Zusammenfassung/Übersicht zur VLAN-Konfiguration auf Deutsch iVm mit
dem Ubiquiti-Universum _ohne_ deren Security Gateway/USG findet,
schreibe ich das hier nun nieder. Aber ohne Anspruch auf
Vollständigkeit, da ich weiterhin Fragen habe und das noch nicht
hunderprozent ausgetestet habe.

Ich habe Folgendes zu Unifi Switches rausgefunden:

- Standard Profile "all" bedeutet so viel wie "VLAN1 (als native
Netzwerk = PVID) untagged, alle (anderen) VLAN tagged"
- um ein VLAN zu untaggen auf einem Port, muß man es als native (=
PVID) auswählen (und eventuelle weitere VLANs bei Bedarf zusätzlich
taggen). Hierfür verwendet man die Profile in den Einstellungen des
Controllers nachdem man VLAN-only Netze darin angelegt hat.

Hier ein Link zu einer mE recht guten Zusammenfassung, wie die
UniFi-Logik und das Setup bei VLANs funktioniert (Englisch; for the
record: die GUI wurde geändert, es gibt jetzt in der Tat Profile für
VLANs):
 https://community.ubnt.com/t5/UniFi-Routing-Switching/A-non-expert-Guide
-to-VLAN-and-Trunks-in-Unifi-Switches/m-p/1804481/highlight/true#M33076

Und hier der Ubiquiti-Guru himself:
 https://community.ubnt.com/t5/UniFi-Routing-Switching/UniFi-VLANs-simple
-explanation-reposted/m-p/2160772/highlight/true#M68448

Quintessenz hieraus für die Konfig im UniFi-Universum:
- "all" läuft auf "trunk" hinaus und ist für Cross-Switch-Verbindungen
(also Switch 1 zu Switch 2 z.B.) zu verwenden. Ich gehe davon aus, daß
dies auch für den Port zum/vom fli4l (= Router) gilt, da dies ja
faktisch das gleiche darstellt.
- ein "access port" hat entweder (nur) 1 VLAN als native oder
zusätzlich auch noch andere VLANs tagged.
- wenn man ausschliesslich 1 VLAN auf einem Port _taggen_ will, dann
bleibt das native Netzwerk auf "none" und man taggt (nur) das (1)
entsprechende VLAN.
- da die GUI auf eine USG im Netz ausgerichtet ist, schlägt der Guru
vor, ein Profil "Trunk" anzulegen, bei dem das native Netz auf "none"
sitzt und alle VLAN ausser "LAN" tagged sind; kommt aufs gleiche raus
wie "all", ausser daß halt das VLAN1 nicht Teil des Mixes ist.

"As a summary: to make a LAN available at an access port,
simply assign a VLAN to it; that untags the VLAN. For a
port with an untagged management VLAN combined with
multiple [tagged] VLANs [a 'mixed-mode' port], create a profile
with the default VLAN as its native network and with the desired
VLANs checked, then assign this profile to ports as needed. To
tag a port with one or more VLANs, create and assign a profile
with no native network, and with the desired VLANs checked."

Soweit so gut. Nun zum eigentlichen Ziel: meine Geräte separieren. Habe
ich also einen VLAN-dummen LAN-client, der in sein eigenes VLAN soll
(z.B. ein VoIP-Gerät mit VLAN 70 auf Port 4), dann erstelle ich ein
VLAN-Profil mit ID 70, wähle als natives LAN das VLAN 70 aus und lasse
alles andere abgewählt (kein Haken gesetzt) und assigne diese Profil
dem Port 4. Damit ist Port 4 für VLAN 70 untagged, d.h. alles, was
über diesen Port vom client kommt, wird innerhalb des Switches mit tag
70 versehen (und umgekehrt alles, was nicht im Switch mit VLAN 70 tagged
ist, nicht weitergeleitet) und läuft so ultimativ zum Router, der dann
damit macht, was auch immer die Firewall-Regeln für VLAN 70 sagen.
Richtig?
Weiters heisst dies aber auch, daß der client keinerlei Ahnung von
irgendwelchen anderen VLANs hat und damit auch nicht deren Existenz.
Theoretisch also - ohne hier irgendwie die Firewall umzubiegen - dürfte
ein solcher client einen anderen client in z.B. VLAN 50 nicht anpingen
können (und grundsätzlich auch umgekehrt). Richtig?

Was aber ist nun die Situation, wenn im obigen Beispiel nicht VLAN 70
als natives Netz ausgewählt wäre, sondern VLAN1 und 70 lediglich
tagged? Da ja der client kein VLAN versteht, "sieht" er doch nur VLAN1
(als natives Netz) und wäre damit Standad-Mgmt-Netz (z.B. 192.168.1.x),
oder nicht?

Im obigen Guru-Link wird auch der AP erwähnt, der SSIDs taggen kann.
Wie muß ich denn den AP-Port einstellen? Native VLAN1 mit z.B. VLAN
30+50 tagged? So jedenfalls funktioniert es bei mir: verbinde ich mich
mit dem SSID-30 WLAN, dann bekommt der client eine IP aus dem
VLAN30-Netz (und kann ins Internet; ein Ping auf z.B. 192.168.1.x geht
nicht, was ja auch erst mal ok ist; später möchte ich hier eventuell
in der Firewall für bestimmte "30-er" clients hierzu eine Ausnahme
machen. Aber eins nach dem anderen).

Ich meine es schon hier in einem Beitrage gelesen zu haben: Geräte im
Management-VLAN (Standard, also VLAN1 = eth0 [vs eth0.70]) können
Geräte im VLAN 70 trotzdem "sehen" (ping z.B.), da der Router sie als
im "Chef-LAN" erkennt und die Pakete standardmässig weiterreicht.
Richtig? Umgekehrt aber eben nicht: der VLAN70-client kann z.B. den
Management-Laptop nicht sehen.

Habe ich das jetzt richtig verstanden? Ich möchte auf jeden Fall
sicherstellen, daß ich mir nicht irgendeinen Port kaputt konfiguriere
und mich ausschliesse und damit letztlich alles resetten muß...

An dieser Stelle nun nochmal meine Frage zum DHCP: für mein
192.168.1.x-Netz habe ich für alle bekannten clients Host-Einträge,
angeknüpft an die MAC-Adresse, erstellt. So sehe ich im fi4l oder im AP
schön die individuellen client Namen und kenne bei gewissen deren IP
auswendig.
Wenn ich nun aber einen client in ein anderes VLAN umhänge, dann ist er
in einem anderen Netz und verliert seine bisherige IP, repektive der
bisherige Host-Eintrag greift nicht mehr. Ich muß bei diesem also das
Netz ändern auf z.B. 10.1.30.x. Hier gibt es keine Möglichkeit, das
zweispurig zu fahren, oder? mkfli4l motzt jedenfalls, wenn ich für die
gleiche MAC-Adresse 2 Host-Einträge habe (was ja auch Sinn macht). Und
nein, ich möchte nicht z.B. ein VLAN-Akronym an eine Host-Eintrag-Kopie
anhängen - das ist hässlich und sprengt irgendwann meinen Konfig-file.
:-o Hier gibt es keine clevere Lösung, oder?

Gruß
Klaus