Unifi - segmentare retea

Hardware:

USG
Switch cu management hp procurve 3500yl 48 POE+
6 AP-uri
Cloud Key pe un raspperry pi.

Totul merge OK, doar ca imi doresc sa creez mai multe LAN-uri, care sa nu comunica intre ele.
Se numeste "networg segmentation"

Pe scurt:

Reteaua 1 WIFI - corporate, care e privata, cu DHCP 192.168.1.0/24
Reteaua 2 WIFI - IOT pt ca am o multime de automatizari cu DHCP 192.168.2.0/24
Va urma si o retea 3, Guest, dar sa ramanem la cele doua.

Am gasit mai multe tutoriale, dar adesea implica sa ai un Switch Unifi, pt ca se ocupa sistemul de crearea de VLAN-uri, dar eu nu am un astfel de switch, si nu as mai da 1500 lei pe unul, de aici problema.

1. Cele doua retele WIFI
 Screenshot 2020-11-17 at 10.25.04.jpg   42.66K   38 downloads

2. Setarea unui nou Network - IOT, VLAN 10
 Screenshot 2020-11-17 at 10.25.42.jpg   125.29K   48 downloads

3. Asignarea WIFI IOT la noul Network IOT.

MAi exista si niste reguli de firewall, pt a separa retelele, dar momentan am dat disable, pt ca problema mea este ca dispozitivele de pe reteaua IOT nu iau deloc DHCP!

Teoretic ar trebui sa mearga fara probleme, nu ar mai trebui sa fie nevoie de VLAN.

https://blog.sean-wr...com/unifi-vlan/

Am inteles ca trebuie sa fac ceva cu VLAN-urile, dar nu stiu de unde dracu sa o apuc, iar interfata HP ma tulbura.

 Screenshot 2020-11-17 at 15.40.19.jpg   261.64K   46 downloads

Edited by Courage, 17 November 2020 - 15:43.

Adaugi vlan-urile create pe controller-ul ala Ubiquity pe HP. Asta o faci pe HP fix acolo de unde ai pus printscreen-ul ala. Vezi ca e un buton Add Vlan acolo. Click pe el si pui ID-ul pe care il ai pe Unify whatever, in exemplul de mai sus e vlan ID 10. Apoi setezi portul din HP catre device-uri in access vlan 10 iar portul catre router in trunk (tag port). In clipa de fata HP-ul ala da drop la frame-uri ca vin cu tag 10 pe port in access si nu stie ce sa faca cu ele.

Edited by MembruAnonim, 17 November 2020 - 15:47.

Unde iti este locatia ?!
Platesti pentru deplasare , nu sunt pretentios dara avionul cam costa...

Acolo ai un nivel de complexitate care fara a sta mult cu pixul pe hartie sa ii fac o architectura...daca ceva se strica sau schimbi ceva plangi o zi intreaga si inchizi telefonul sau arunci SIM-ul...

Bafta.

Pentru asta exista reset, tocmai am reusit sa stric ceva prin VLAN-urile de la switch si am fost lasat pe afara.

Off... o sa fac port FWD si vad cine ma ajuta maine

Edited by Courage, 17 November 2020 - 16:15.

Pot incerca eu daca e ceva. Parca am butonat ceva HP cu ceva ani in urma da' nu mai sunt sigur.

Curaj, lasa un port de management pe switch, sau pregateste o consola, sa o tii la indemana (are?! nu m-am jucat cu modelul tau, astea pe care le am acum prin curti au port separat de management).

Trebuie sa studiem un pic scula, insa cred ca este destul de corecta procedura despre care vorbea Kagaroth mai su.

PS: Si eu inclin sa cred ca switch-ul tau da discard la frame-urile taguite cu vlan-uri pe care nu le stie. Daca pui unul dintre porturile catre IoT in trunk (pe langa ala de uplink), nu isi iau alea DHCP de unde trebuie?

Edited by Tyby, 17 November 2020 - 20:34.

Astea au port de consola vezi poza din link.
https://cdn.bargainh...no-ears-908.jpg

WPA Personal la corporate ? o singura parola pentru toti... eh probabil ca securitatea nu este importanta
Vezi ca suporta WPA Enterprise... iar switch-ul precizat de tine suporta 802.1x

By default unifi denumeste reteaua corporate - n-are legatura cu wpa-ul aici.

revenind.
de baza:
un port poate fi parte din N vlan-uri tagged DAR poate fi intr-un singur untagged vlan!
daca un port "cara" vlan 10,20,30 iar ca untagged este 1 daca bagi in el un computer va fi in vlan1 iar daca pui un switch poate fi in vlan 10sau/si 20 sau/si 30 dar SI untagged 1


tu ai un trunk intre gateway si switch care trebuie sa iti care 2 vlan-uri + sa le ofere mai departe pe alte porturi cate trebuie si ele configurate.
daca intre gateway si switch e simplu: pe switch dai tag cu nr vlan-ului pe ce port e conectat cablu ce vine din gateway, dar mai departe ca sa imparti vlan-urile mai departe in retea ai 2  variante (atentie ca vlan 1 vine/este ungatted default pt toate porturile switch-ului by default):

varianta 1: cand vlan-ul se duce spre un echipament ce stie vlan-uri (ap/switch/etc): portul respectiv trebuie sa fie la randul lui tagged cu vlan-ul din care vrei sa faca parte (ca mai sus, la trunk)

varianta 2: cand vlan-ul se duce spre un echipament ce NU stie vlan-uri (imprimanta/calorifer/etc): portul respectiv trebuie sa tie UNtagged cu vlan-ul din care vrei sa faca parte dar si EXCLUS din vlan1 daca vlan-ul din care vrei sa faca parte este 10 ca in configuratia de mai sus.

PS.
untagged ii mai zice si pvid (port vlan).

Teoria ca teoria, practica ne omoara.

1. HP face ca o racheta ce se pregateste sa decoleze, e intolerabil.

2. A incercat @Kagaroth sa ma ajute (MULTUMESC), dar rezultatula  fost ca si in cazul meu, am ramas fara WIFI, net si semnal de Orange WIFI, deci ma duc chiar acum sa iau un Switch Unifi!

Va tin la curent cu zbaterea, sper sa mearga mai facil treaba.

Asa toata reteaua va fi pe Unifi.

good call!

PS: este posibil sa scapi de avion daca pui ventilatoare noi, dar ...

1. Am setat switch-ul Unifi si e semnificativ mai silentios, dar planuiesc un upgrade la Noctua sau Silentium PC, insa trebuie sa fac rost de adaptoare de mufe cu 3 pini la 2 pini pt ventilatoare.
2. Bineinteles ca rPi ce lucra pe post de controller a crapat, nu stiu de ce, deci aleluia si a trebuit sa fac totul de la 0. Am repus cu ocazia asta jucaria CK originala.
3. Am facut modificarile de retea si merge perfect. Controllerul a facut toate modificarile necesare pt VLAN automat.

Victorie!

Solutia directa e cea mai simpla. Nu neaparat si cea mai ieftina.

PS: ai grija cu uCK gen 1, ca nu e asa de stabil. Nu ar fi rau sa tii backup-ul, din cand in cand, si in alta parte decat ep microsd-ul ala din pachet.