Unifi AP AC Lite an Fritzbox - Hilfestellung benötigt

[double_d]

Hallo in die Runde. Hat von Euch zufällig jemand eine Netzwerkkonfiguration aus Fritzbox als Modem, DECT Station und DHCP Router und zwei Unifi AP AC Lite, die das WLAN übernehmen? Ich bräuchte hier mal Hilfestellung.

Meine momentane Infrastruktur sieht folgendermaßen aus:
Das Haus ist dreigeschoßig in Hanglage, wobei Erdgeschoß und Souterrain von uns bewohnt werden und oben drüber ne Einliegerwohnung über das gesamte Erdgeschoß liegt.

Fritzbox 7590 als All-In Lösung (Modem, DECT, Router, WLAN) im Erdgeschoß. Die versorgt meine beiden Etagen mit WLAN, Gäste-WLAN und LAN. Die Einliegerwohnung nutz ausschließlich das Gäste-WLAN. WLAN/LAN und Gäste-WLAN sind wie bei AVM üblich in unterschiedlichen IP Bereichen.

An LAN 1 der Fritzbox hängt ein 8-Port Switch fürs Erdgeschoß. An LAN 2 ein 16-Port Switch in meinem Büro im Untergeschoß. Daran hängt drei Räume weiter noch ein 8-Port Switch. Alle Switche sind unmanaged und können kein VLAN, sind aber mit verschiedensten Geräten bestückt. Im Erdgeschoß nur Multimedia, im Untergeschoß überwiegend Raspberry Pis, aber auch meine Synology und die Mac Rechner. Der Rest sind dann auch da wieder Multimediageräte wie AppleTV, SmartTV usw.

An LAN 3 hängt mein Proxmox Server, auf dem mehrere VMs (in erster Linie Hausautomation) laufen.

LAN 4 ist frei.

Nun gibt es aber auch noch eine Reihe von WLAN-Clients und da fängt mein Problem an. Im Erdgeschoß und in der Einliegerwohnung habe ich mit dem WLAN keine Probleme. Im Untergeschoß wird es dann recht dünn. Habe mehrere WLAN Steckdosen und da werden nicht alle abgedeckt. Auch der Saugroboter fährt dann gerne mal aus dem WLAN Bereich raus. Dafür habe ich mir dann ins Untergeschoß noch eine Fritzbox an einen Switch gehangen und aus beiden Fritzboxen dann ein Mesh Verbund gemacht. Das funktioniert mehr schlecht als recht. Während die Handy wunderbar zur unteren Fritzbox wechseln wenn man runter geht und umgekehrt, wenn man wieder ins Erdgeschoß geht, sind jetzt die Gäste-Clients in der Einliegerwohnung dauerhaft mit der unteren Fritzbox verbunden. Auch der Saugroboter aus dem Erdgeschoß ignoriert nun fleißig die dortige Fritzbox und verbindet sich mit der aus dem Untergeschoß. Jetzt hat der das Problem, dass er irgendwann aus dem Funkbereich rausfährt.

Das war also so nicht gedacht und nun habe ich mich kurzerhand nach einem Angebot für zwei Unifi AP AC Lite entschieden, die das WLAN übernehmen sollen.

Soweit so gut. Wenn da nicht das Gästenetz wäre. Ich erinnerte mich dann, dass ich irgendwann schonmal Abstand genommen hatte davon, weil ich das Gastnetzwerk nicht so einfach hätte umsetzen können ohne passende Switche und zusätzlicher Unibiquiti Hardware.

Jetzt bin ich aber soweit, dass ich den Controller auf meinem Proxmox Server unter Debian Buster installiert habe und auch drauf zugreifen kann. Das war schon ein Akt für sich, denn die Tutorials sind da nicht der Hit. Nach ewigem Suchen habe ich dann die passende Installationsroutine gefunden. Vorher fehlten tausend Abhängigkeiten. Aber gut, es läuft.

Aber wie binde ich jetzt am schlauesten die beiden AP ein? Einer soll ins Erdgeschoß, der andere ins Untergeschoß.
Ich weiß auch, dass ich VLAN benötige (demnach auch einen neuen Switch, oder mehrere) um das Gästenetzwerk vom IP Bereich meines Heimnetzes zu trennen. Allerdings lese ich auch immer wieder, dass es mit der Guest Policy auch ohne VLAN geht. Mir würde es reichen, wenn man auf die Geräte meines Heimnetzes nicht zugreifen kann vom Gästenetzwerk. Sehen mit extra Scansoftware kann man die ruhig. Das wäre mir egal.

Aber hier brauche ich jetzt Hilfe. Ich möchte die Fritzbox weiter behalten, und nur das WLAN mit identischer SSID und Passwort auf die APs bringen. Im Idealfall auch mit dem IP getrennten Gastnetzwerk.
Was ist, wenn ich einen VLAN fähigen Switch kaufe, den an LAN 4 der Fritzbox hänge, diesen zum Gastnetzwerk mache an diesen Port am Switch dann den AP im Erdgeschoß anschließe und an den anderen Ports dann den Proxmox Server und die beiden Switche, was jetzt an LAN 1, 2 und 3 der Fritzbox hängt. Hat dann der AP im Untergeschoß, der dann zwangsweise an dem 16-Port Switch hängt, auch das Gastnetzwerk zur Verfügung? Hat der AP im Erdgeschoß dann überhaupt auch mein Heimnetz zur Verfügung?

Ich hatte mir das wirklich einfacher vorgestellt. Was brauche ich, um mein gesamten Netz jetzt VLAN fähig zu machen? Und wenn ich es nicht tue, welchen Nachteil, außer dass die Gäste dann eine IP aus meinem Heimnetz bekommen bei differenter SSID und anderem Schlüssel, hätte die Gast-Lösung ohne VLAN?

Könnte mir da jemand mit der Hardware-Einbindung und aber auch mit der Softwarekonfiguration helfen? ich stehe da mit den Einstellungen für Client-Groups und Network Groups, sowie dieser Guest Policy irgendwie wie ein Ochs vorm Berg.

Ach so. Meine Gäste sollen kein Portal sehen, sollen sich nicht anmelden müssen und sonst auch gar nichts zusätzlich machen müssen, als lediglich den Schlüssel für die SSID in deren WLAN Konfiguration am Handy oder Rechner eingeben um online sein zu können. Eben wie jetzt bei der Fritzbox auch. Die Clients in der Einliegerwohnung sowieso, aber auch der größte Teil unseres Besuchs hat unser Gästenetzwerk eh schon als bekanntes Netzwerk gespeichert und das soll so bleiben. Wenn die zu uns kommen, sollen sich deren Handy wie gewohnt einfach einloggen.

Vielen Dank fürs Lesen und schonmal danke im Voraus für Hilfestellung.

 

[double_d]

Nachdem ich mich nun mit der Struktur und Funktionsweise von einem VLAN Netz beschäftigt und dort eingelesen habe, erklären sich die meisten Sachen und Begrifflichkeiten für mich und ich bin mit der Konfiguration nun an einem für mich zufriedenstellenden Ziel.

Alles Andere, was ich nun noch gerne optimieren möchte, suche ich mir dann noch zusammen.

 

[Scotch]

Hat von Euch zufällig jemand eine Netzwerkkonfiguration (...)

Ja. Da aber anscheinend alles geklärt ist, hab' ich den Roman nicht gelesen Meld' dich, wenn noch konkrete Fragen sind.

Einer soll ins Erdgeschoß, der andere ins Untergeschoß.
Ich weiß auch, dass ich VLAN benötige (demnach auch einen neuen Switch, oder mehrere) um das Gästenetzwerk vom IP Bereich meines Heimnetzes zu trennen.

Ob du ein VLAN brauchst, kann ich nicht beurteilen - dafür aber nicht.

Ich möchte die Fritzbox weiter behalten, und nur das WLAN mit identischer SSID und Passwort auf die APs bringen.

Das geht - aber die Funktionen des Unifi-Controllers, der intelligentes Balancing zwischen den einzelnen Zellen/APs macht, 5GHz-Geräte bevorzugt in 5GHz-Netze bucht, wenn diese das unterstützen usw. funktioniert nur mit den UAPs. Die FB kannst du da nicht integrieren.

Meine Gäste sollen kein Portal sehen, sollen sich nicht anmelden müssen und sonst auch gar nichts zusätzlich machen müssen, als lediglich den Schlüssel für die SSID in deren WLAN Konfiguration am Handy oder Rechner eingeben

Damit müssen sie sich anmelden. So nennt man das, wenn man das Passwort eines WLANs eingibt

 

[double_d]

Ja. Da aber anscheinend alles geklärt ist, hab' ich den Roman nicht gelesen

ich weiß das aufgrund des Emojis einzuordnen.

Aber dann werde ich, um überhaupt eine Reaktion (nicht speziell von Dir ) zu erhalten, meine Fragen demnächst in Stichpunkten formulieren. Und wenn es dann wenigsten nur Hinweise darauf sind, dass man nicht helfen kann, weil Detailangaben fehlen. . So gar keine Reaktion bei über 150 Aufrufen hat mir jetzt den Eindruck vermittelt, hier ist niemand mit Ahnung von Netzwerken. Ich habe aber tatsächlich nicht daran gedacht, dass eine ausführliche Beschreibung des Vorhabens die Ursache dafür sein könnte.

Meld' dich, wenn noch konkrete Fragen sind.

Die habe ich tatsächlich, muss es allerdings zunächst wieder vor mir haben, um sie zu formulieren. Der Controller ist da ja doch etwas umfangreicher in seiner Ausprägung. Das habe ich in zwei Tagen nicht alles auswendig parat.

Ob du ein VLAN brauchst, kann ich nicht beurteilen - dafür aber nicht.

Habe ich auch zunächst nicht eingerichtet, sondern nur mit der Guest Policy den Clients auf dem Gast-WLAN im gleichen IP Bereich die Möglichkeit genommen, auf Clients in meinem Heimnetz zuzugreifen.
Ich empfand das allerdings nur als "halbe" Lösung. Wenn Du mir allerdings sagst, mehr braucht es im privaten Umfeld nicht, dann wäre das insgesamt die einfachste Lösung und ich spare zum momentanen IST-Zustand ein Gerät.

Das geht - aber die Funktionen des Unifi-Controllers, der intelligentes Balancing zwischen den einzelnen Zellen/APs macht, 5GHz-Geräte bevorzugt in 5GHz-Netze bucht, wenn diese das unterstützen usw. funktioniert nur mit den UAPs. Die FB kannst du da nicht integrieren.

Vielleicht habe ich das falsch formuliert. Die Fritzbox spannt selbst kein WLAN mehr auf, sondern dient den UAPs nur als Modem und meinem gesamten Netzwerk als DHCP Server. Ich möchte sie nur behalten und nicht gegen ein separates Modem mit separatem DHCP Server austauschen, da meine gesamte Telefonie darauf ausgerichtet ist mit allen Endgeräten, die ihrerseits auch noch in die Hausautomation eingebunden sind. Sprich Livebilder auf den FritzFons der Türkamera usw.

Damit müssen sie sich anmelden. So nennt man das, wenn man das Passwort eines WLANs eingibt

Jepp. Auch das habe ich nicht richtig formuliert. Mit Anmeldung meinte ich die Umleitung auf eine Portalseite mit Eingabe von Benutzernamen und Kennwort --> nach dem Connect mit dem Gast-WLAN, was bei mir per QR-Code vom jeweiligen Handy gemacht werden kann.


Nun gut. Ich habe es nun auf zweierlei Arten zum Laufen gehabt.

1. Option ohne VLAN

Fritzbox am DSL Anschluss, LAN 1 bis 3 wie sonst auch mit den Switchen in EG und UG, sowie dem Proxmox Server verbunden und den ersten UAP an LAN 4 (ohne weitere Konfiguration der Fritzbox für LAN 4)
WLAN an der Fritzbox ausgeschaltet.

Am 16-port Switch im UG den zweiten UAP.

Im Controller zwei WLAN Netzwerke eingerichtet (Home und Gast). Eine Client-Group Gäste eingerichtet und dem WLAN Gast zugeordnet und dort die Guest Policy eingeschaltet.

So hat das funktioniert. Die Gäste haben sich dann mit dem Gast-WLAN verbunden, eine IP aus meinem Heimnetzbereich der Fritzbox erhalten und konnten auch nicht auf meine Clients im Heimnetz zugreifen.

2. Option mit VLAN (ein zusätzlicher VLAN-fähiger 8Port-Switch)

Dem Switch ein VLAN hinzugefügt (ID100) und auf Port 7 untagged gelegt. Diesen dann mit LAN 4 der Fritzbox verbunden und in der Fritzbox darauf den Gastzugang aktiviert.
Port 6 und 8 habe ich für VLAN 100 tagged und alle anderen Ports auf undefined gesetzt.
An Port 6 ist der UAP im EG angeschlossen und Port 8 ist Reserve für einen möglichen VLAN Switch im UG um bei Bedarf dort ein Trunk einzurichten.
Für VLAN 1 (Heimnetz) alle Ports bis auf Port 7 untagged gesetzt. Port 7 ist undefined im VLAN 1

LAN 1 der Fritzbox auf Port 1 vom Switch, LAN 4 der Fritzbox an Port 7 vom Switch und den UAP wie bereits erwähnt auf Port 6 vom Switch. Alle anderen Switche und den Proxmox Server dann auf Port 2 bis 4.

Im Unifi Controller dem Gast-WLAN das VLAN 100 zugewiesen.

Jetzt beziehen die Gast-Clients eine IP aus dem Gastnetz IP-Bereich der Fritzbox und alle anderen "Heimnetz-Clients" werden wie sonst behandelt. Das läuft recht stabil bisher ohne Auffälligkeiten und nach meinem Empfinden sogar etwas performanter mit meinen Problemclients (WLAN Steckdosen in der Waschküche) am äußersten Ende des Hauses, seitdem Gäste nicht mehr im gleichen IP Bereich hängen.

Ich nehme an, dass sich Gäste nun aber nur noch mit dem oberen UAP verbinden können, da der untere ja nicht auf das Gastnetzwerk zugreifen kann, was allerdings rein praktisch egal wäre, denn die Ausleuchtung im EG reicht für die Einliegerwohnung und meine Gäste halten sich im unteren Privatbereich eher seltener auf.

Kann das so bleiben, oder lege ich mir damit ein faules Ei ins Nest, wenn ich den Uplink zwischen den UAPs ebenfalls aktiviert habe? Sollte ich besser auch dafür sorgen, dass der untere UAP auf das VLAN 100 zugreifen kann, dann tausche ich nämlich noch den 16-Port Switch gegen einen Smart+ aus.

 

[Scotch]

Ich habe aber tatsächlich nicht daran gedacht, dass eine ausführliche Beschreibung des Vorhabens die Ursache dafür sein könnte.

Also meine Bemerkung bezog sich auf

erklären sich die meisten Sachen und Begrifflichkeiten für mich und ich bin mit der Konfiguration nun an einem für mich zufriedenstellenden Ziel

Wenn Du mir allerdings sagst, mehr braucht es im privaten Umfeld nicht, dann wäre das insgesamt die einfachste Lösung und ich spare zum momentanen IST-Zustand ein Gerät.

Mehr brauchst du nicht. Über die "Subnet Restrictions" (Settings/Hotspot/Advanced/Access Control/Post-Auth. Restrictions; wird über die "Guest Policies" automatisch aktiviert) wird der Zugriff auf dein komplettes Subnetz für Gäste blockiert, die können nur ausgehenden Traffic machen. Ein VPN bräuchtest du nur, wenn du z.B. ausgewählte Dienste (z.B. deinen Medienserver) für Gäste erreichbar machen wolltest. Oder Zugriff auf die Clients im Gäste-Netz aus deinem LAN ebenfalls verhindern willst.

Die Fritzbox spannt selbst kein WLAN mehr auf, sondern dient den UAPs nur als Modem und meinem gesamten Netzwerk als DHCP Server.

Die Fritzbox dürfte deinem Netzwerk auch noch als Router dienen, sonst funktioniert's nicht

Eine Client-Group Gäste eingerichtet und dem WLAN Gast zugeordnet und dort die Guest Policy eingeschaltet.

Wozu brauchst du denn die Client Group? Die Guest Policies werden auf das (V-)WLAN angewendet.

Der Sinn deiner Option 2 erschliesst sich mir nicht - was ist denn da das Ziel? Ein eigenes lokales Subnetz für Gäste zu benutzen? Dann kann man das so machen, aber dann brauchst du auch kein VLAN, da die Clients nicht mehr im selben Subnetz sind. VLANs machen nur dann Sinn, wenn man im gleichen Subnetz "auswählen" will, wer wann unter welchen Umständen auf welche Geräte zugreifen kann. Z.B. wenn du deinen Smarthome-Traffic vom Rest des LAN isolieren willst, aber trotzdem den VPN-Server auf der FB für einen externen Zugriff nutzen möchtest, oder dein OpenHAB-Server in die InfluxDB auf deinem NAS schreiben will, welches natürlich auch außerhalb des Smarthome-VLAN aus dem LAN erreicht werden will usw.

 

[double_d]

Öhhh...ja...mmmhhh Was soll ich sagen? So wie sich das nun für mich liest, hab ich wohl doch nur sehr wenig von der ganzen Materie verstanden.
VPN kenn ich. Hatte ich aber jetzt gar nicht auf dem Schirm im ersten Ansatz. Daher nur kurz die Frage ob das eigentlich VLAN oder doch VPN heißen soll, denn Du erwähnst es im Verlauf ein zweites Mal.

Ein VPN bräuchtest du nur, wenn du z.B. ausgewählte Dienste (z.B. deinen Medienserver) für Gäste erreichbar machen wolltest. Oder Zugriff auf die Clients im Gäste-Netz aus deinem LAN ebenfalls verhindern willst.

Ansonsten muss ich erstmal versuchen zu erklären, warum ich Option 2 angestrebt habe.

Der Sinn deiner Option 2 erschliesst sich mir nicht - was ist denn da das Ziel?

Eigentlich genau das. Die Gäste sollten in einem anderen IP Bereich beheimatet werden. Bitte nicht schlagen, aber das macht die Fritzbox doch "offensichtlich" genauso. Wobei ich die Technik dahinter nicht einordnen kann. VLAN ist es ja definitiv nicht, was die Fritzbox da tut. Aber sie gibt dem Gastnetz (jetzt erstmal nur WLAN) eine eigene SSID und ordnet sie einem anderen IP Bereich als dem des eigentlichen Heimnetzes zu. Zusätzlich eröffnet sie die Möglichkeit an LAN 4 das Gastnetzwerk auf LAN gebundene Clients auszuweiten. Alles ohne viel Einstellungsmöglichkeiten, aber das war im Grunde der IST-Zustand, den ich mit der Fritzbox bis auf LAN gebundene Gast-Clients hatte. LAN 4 war bei mir ein normaler Port im Heimnetz und nicht dem Gastnetz zugeordnet.

Nun sollten lediglich die UAPs das WLAN übernehmen. Mehr nicht. Und hier eben genauso wie bei der Fritzbox den Gästen einen anderen IP Bereich zuordnen. Und das, so dachte ich gelernt zu haben, geht nur über ein VLAN, wenn die Fritzbox der DHCP Server dafür sein soll. Meine Heimnetzclients im VLAN 1 kriegen ja weiterhin von der Fritzbox ihre IP Adresse zugeteilt und das VLAN 100 kriegt die Adressen aus dem Gastnetzbereich der Fritz. Daher ja auch die Aktivierung des LAN 4 für das Gastnetzwerk. Das wäre doch soweit richtig, oder?

Warum ich nun eine weitere Client Group eingerichtet habe, erschloss sich mir durch die Zuordnung dieser Gruppe auf das Gast-WLAN und die Einschränkungen für Up- und Downloadraten.



Ich habe also zwei Wi-Fi Netzwerke:
Home und Gast

Weiterhin eine Wi-Fi-Network Group:
Default - Darin sind Home und Gast als Wi-Fi Netzwerke

Und zwei Client Groups:
Default (unlimited) und Gast (Beschränkung im Up- und Download)

Dem zweiten Wi-Fi Netzwerk ist die Gruppe Gast zugeordnet, es ist auf VLAN 100 gesetzt und es sind die Guest Policies eingeschaltet. Ich bin jetzt schlicht davon ausgegangen, dass sie auch hier bei der Zuordnung zum VLAN 100 ihren Dienst verrichtet. Jetzt wo ich drüber nachdenke ist das in diesem Fall aber auch die einzige Möglichkeit das zweite Wi-Fi Netz als Gastnetz zu deklarieren und somit zu separieren. Mit VLAN dann eigentlich obsolet? Wahrscheinlich, oder?





Damit habe ich das jetzt auch hoffentlich verstanden, sofern VPN hier VLAN heißen soll:

Ein VPN bräuchtest du nur, wenn du z.B. ausgewählte Dienste (z.B. deinen Medienserver) für Gäste erreichbar machen wolltest. Oder Zugriff auf die Clients im Gäste-Netz aus deinem LAN ebenfalls verhindern willst.

Wenn ich lediglich ein WLAN basiertes Gastnetz haben möchte, damit ausschließlich Smartphones meiner Gäste Internet haben, brauche ich kein VLAN und auch kein Gastnetz der Fritzbox, sondern nur die Guest Policies auf dem zweiten Wi-Fi Netz im Unifi Controller zu aktivieren. Punkt.
Nur, wenn ich einen LAN gebundenen Gäste-Rechner realisieren will, oder meinen Gästen Zugriff auf eines meiner Heimnetzgeräte/Dienste zur Verfügung stellen will (in welcher Form auch immer - ich stelle mir grad das Webinterface meiner Alexa Steuerung für Audio und Licht vor) wäre ein VLAN notwendig.

Bin ich dann jetzt soweit einigermaßen auf Spur? Wenn ja, mag ich eine weitere Frage stellen.
Sollte ich mich jetzt entscheiden die VLAN Lösung zu belassen, um eben vielleicht doch eine Ressource in meinem Heimnetz für Gäste später mal freigeben zu können, ist es dann wohl doch sinnvoll beiden UAPs das VLAN 100 zur Verfügung zu stellen? Sprich einen zweiten VLAN fähigen Switch für die untere Etage zu kaufen? Ich habe nämlich heute zwischendrin festgestellt, dass sich ein Gast-Client aus der Einliegerwohnung zwar verbunden hat aber keine IP aus aus dem Gastnetz bekommen hat, sondern eine 169.254.X
Schätze, dass kommt vor, wenn da ein UAP richtig zuordnen kann und der zweite, mit dem sich das Gerät eventuell mal verbindet wegen besserer Empfangslage dann eben das VLAN nicht zur Verfügung hat.

Danke schonmal für Deine Mühe. Ich weiß das zu schätzen.

 

[Scotch]

Ansonsten muss ich erstmal versuchen zu erklären, warum ich Option 2 angestrebt habe.

Da hätte es VLAN statt VPN heissen müssen.

Die Gäste sollten in einem anderen IP Bereich beheimatet werden. Bitte nicht schlagen, aber das macht die Fritzbox doch "offensichtlich" genauso.

Das macht die FB so, weil sie ein Router ist und den AP integriert hat. Die UAPs können das nicht (weil sie APs und keine Router sind). Bei Ubiquiti brauchst du dafür ein USG, dann kannst du das mit den UAPs auch so konfigurieren. Das sind halt getrennte Komponenten (mit entsprechend mehr Funktionen). Wenn du getrennte Subnetze haben willst, geht das in deinem Setup nur über das Gäste-Netz der FB - ein VLAN brauchst du dann dort aber auch nicht, da die Subnetze eh' getrennt sind, die FB routet ja nicht zwischen Gäste-Netz und deinem LAN. Darauf bezog sich mein Kommentar, dass ich den Sinn deiner Option 2 nicht verstehe. Mit den Guest Policies in den UAPs wird quasi eine "Einbahnstraße" konfiguriert - Gäste können aus deinem Netz 'raus, aber nichts in deinem LAN erreichen. Das sind zwei grundsätzlich verschiedene Ansätze für ein Gäste-WLAN - die sich praktisch für dich allerdings nur dadurch unterscheiden, dass in einem Fall alle IP-Adresse aus dem gleichen Adressbereich bezogen werden und es im zweiten Fall zwei Adressbereiche gibt.

VLAN ist es ja definitiv nicht, was die Fritzbox da tut.

Die FB spannt zwei Subnetze auf. Das kann sie, weil sie eben Modem + Router + DHCP Server + VPN Server + WLAN-AP ist. Hierfür ist der Router- und DHCP-Server der FB zuständig. Die gleiche Funktionalität bekommst du wie gesagt auch mit Ubiquiti, wenn du in dein Netz ein USG integrierst (oder einen anderen Router mit entsprechender Funktionalität - theoretisch geht das auch mit der FB, praktisch lässt sie aber die dafür notwendigen Konfigurationseinstellungen nicht zu).

Und das, so dachte ich gelernt zu haben, geht nur über ein VLAN, wenn die Fritzbox der DHCP Server dafür sein soll.

Wie gesagt: Wenn du dein Gastnetz mit einem eigenen IP-Adressbereich versehen willst und gleichzeitig Gast- und nicht-Gast-WLAN über die gleichen APs abwickeln willst, dann geht das nur so. Die Notwendigkeit erschliesst sich mir für deinen Anwendungsfall immer noch nicht - Guest Policies sind viel einfacher zu konfigurieren und weniger fehleranfällig, keine Ahnung, warum das die FB nicht anbietet - aber das muss sie ja auch nicht

Einschränkungen für Up- und Downloadraten.

OK, wenn du die Datenraten beschränken willst, brauchst du Client-Gruppen. Diese Information ist aber neu.

es ist auf VLAN 100 gesetzt und es sind die Guest Policies eingeschaltet. Ich bin jetzt schlicht davon ausgegangen, dass sie auch hier bei der Zuordnung zum VLAN 100 ihren Dienst verrichtet.

Tun sie auch, verhindern allerdings in diesem Setup nur noch, dass sich Geräte im Gäste-Netz sehen - alle anderen Hosts und Clients sind ja in einem anderen VLAN.

Mit VLAN dann eigentlich obsolet?

Ja. Oder auch Nein, wie du magst Die Guest Policies "machen" nichts, wenn du das Gäste-WLAN in ein eigenes VLAN packst (außer verhindern, dass sich Gäste-Clients untereinander sehen). Wenn due die Guest Policies nutzt, brauchst du kein VLAN für das Gäste-WLAN.

Damit habe ich das jetzt auch hoffentlich verstanden, sofern VPN hier VLAN heißen soll:

Ja, Typo, siehe oben.

Bin ich dann jetzt soweit einigermaßen auf Spur?

Ja.

dass sich ein Gast-Client aus der Einliegerwohnung zwar verbunden hat aber keine IP aus aus dem Gastnetz bekommen hat, sondern eine 169.254.X

Das sind APIPA Adressen. Die werden normalerweise vergeben, wenn der DHCP Server keine freien Leases mehr hat. Da würd' ich zunächst mal auf Fehlersuche gesehen.

ist es dann wohl doch sinnvoll beiden UAPs das VLAN 100 zur Verfügung zu stellen? Sprich einen zweiten VLAN fähigen Switch für die untere Etage zu kaufen?

Sorry, ich verliere die Übersicht, was du wie verkabelt hast, weil es netzwerktechnisch sinnvoll/notwendig ist und was durch deine Gebäudesituation vorgegeben ist. Der Satz macht so keinen Sinn für mich, du musst da glaube ich mal anfangen, Bildchen zu malen. VLAN sind rein logische Netze - denen ist es eigentlich egal, welche Switches wo stehen.

 

[double_d]

du musst da glaube ich mal anfangen, Bildchen zu malen.

Du hast absolut recht. Hoffe, es reicht, wenn ich das eben so auf ein Blättchen kritzel. Im Übrigen bin ich Dir sehr dankbar, dass Du mich da versuchst auf Spur zu holen und Deine Zeit darin investierst.



So sieht es im Moment bei mir aus.

Wenn du dein Gastnetz mit einem eigenen IP-Adressbereich versehen willst und gleichzeitig Gast- und nicht-Gast-WLAN über die gleichen APs abwickeln willst, dann geht das nur so. Die Notwendigkeit erschliesst sich mir für deinen Anwendungsfall immer noch nicht - Guest Policies sind viel einfacher zu konfigurieren und weniger fehleranfällig, keine Ahnung, warum das die FB nicht anbietet - aber das muss sie ja auch nicht

Platt gesagt bin ich bei Google auf die Suche gegangen und habe mir Anleitung für die Verbindung: Fritzbox - UAP mit Gästenetzwerk rausgesucht und die haben alle einheitlich erklärt, dass dies nur über den zum Gastnetzwerk konfigurierten LAN 4 der Fritzbox und einem VLAN fähigen Switch geht. Womöglich war ich auch nur nicht in der Lage den Anwendungsfall richtig auf mein Setup zu übertragen, aber selbst bei einer YouTube Anleitung von Dominik Bamberger (iDomiX) sind die Schritte so beschrieben.

Eine ebenfalls schriftlich dokumentierte Anleitung, die meinem Setup am nächsten kommt, habe ich hier gefunden.

VLANs im Heimnetz mit Netgear, UniFi und Fritzbox – Jans Blog

Aber ich gestehe ein, dass ich es jetzt nach Deinen Ausführungen trotzdem noch nicht verstanden habe, wie das Ganze eigentlich funktioniert.

Wenn Du wirklich Muße hast, dann bin ich über eine Erklärung am Beispiel meines Setups und unter Berücksichtigung, was dann besonders die schriftliche Anleitung aus dem Blog für einen Denkfehler vermittelt, wirklich dankbar. Ich möchte es ja auch verstehen.

Ansonsten klemme ich einfach den VLAN Switch wieder ab oder lösche das VLAN 100 darin wieder, setze den LAN 4 in der Fritzbox wieder zurück, und nehme auch die VLAN 100 Zuordnung vom zweiten WiFi Netz (Gast) wieder weg. Schalte da nur die Guest Policies ein und habe dann (hoffentlich) die von Dir auch präferierte und erklärte Lösung für ein von meinem Heimnetz getrennten Gastnetzwerk, was ausschließlich, wie damals bei der Fritzbox auch, lediglich im WLAN verfügbar ist. Ich hatte nie einen LAN gebundenen Gastzugang und auch eigentlich keinen in Planung.

Das einzige, was ich umsetzen wollte, weil ich dachte es wäre eine absolute Notwendigkeit, weil es eben bei meinen Recherchen überall so kommuniziert wurde, war ein getrennter IP Bereich für die Gäste. Ich habe es zwar immer noch nicht verstanden wie das funktioniert, aber mit lediglich der Guest Policy habe ich ja diese Trennung, obwohl die IP für Clients, die sich an der Gast SSID mit zugehörigem Schlüssel anmelden offensichtlich aus dem Heimnetzbereich kommt.

 

[Scotch]

was dann besonders die schriftliche Anleitung aus dem Blog für einen Denkfehler vermittelt, wirklich dankbar.

Da ist kein Denkfehler - wenn FB + UAP und Gäste-"LAN" mit eigenem IP-Adressraum gewünscht ist -> dein aktueller Setup mit VLAN. Wenn nur Gäste-WLAN isoliert von deinem LAN -> geht auch einfacher mit den Guest Policies. Die Information, dass du ein Gäste-LAN (und nicht nur WLAN) aufbauen willst, habe ich erst mit deinem vorletzten Post erhalten - wenn das im OP steht, hab' ich's überlesen.

Was man nicht braucht, ist ein Gäste-VLAN + Guest Policies. "V" und "W" extra unterstichen!

Das einzige, was ich umsetzen wollte, weil ich dachte es wäre eine absolute Notwendigkeit, weil es eben bei meinen Recherchen überall so kommuniziert wurde, war ein getrennter IP Bereich für die Gäste.

Bei den meisten APs ist das auch so, insb. bei "dummen" SoHo-Geräten - aber wir reden ja nun von den UAPs, die explizit exakt für solche Anwendungen (Einsatz in großer Stückzahl in Hotels etc., also mit überwiegend "Gästen" und vielen SSIDs) gedacht sind. Die haben dafür halt Funktionen, die andere APs nicht haben, erst recht im Zusammenspiel mit dem Controller. Ich hatte vorher Zyxel-Enterprise-APs. Die konnten auch ganz viele tolle Dinge, die die UAPs nicht können - jenseits der SoHo-APs macht es schon Sinn, sich mit den Applikationen auf den jeweiligen Geräten auseinanderzusetzen, da gibt es durchaus erhebliche Unterschiede

 

[double_d]

Die Information, dass du ein Gäste-LAN (und nicht nur WLAN) aufbauen willst, habe ich erst mit deinem vorletzten Post erhalten - wenn das im OP steht, hab' ich's überlesen.

Nein. Hast Du nicht überlesen. Eigentlich wollte ich das nicht. Ich wollte nur 1:1 die Fritzbox Lösung nachstellen, wobei lediglich die UAPs das WLAN übernehmen sollen. Ich habe es erst in den vorletzten Post als "spätere Option" gepackt bei der Nachfrage, ob ich wenn ich es so konfiguriert lasse denn nun einen weiteren VLAN Switch brauche um den unteren UAP da mit einzubinden. Momentan kann er ja mit dem VLAN 100 nichts anfangen, da es nicht nach unten "getagged" (?) wird. Ich habe ja den Port 8 auf dem oberen VLAN Switch noch nicht angeschlossen. Alle Kabel, die nach unten führen liegen auf Ports, die das VLAN 100 nicht kennen.

Sollte ich mich jetzt entscheiden die VLAN Lösung zu belassen, um eben vielleicht doch eine Ressource in meinem Heimnetz für Gäste später mal freigeben zu können, ist es dann wohl doch sinnvoll beiden UAPs das VLAN 100 zur Verfügung zu stellen? Sprich einen zweiten VLAN fähigen Switch für die untere Etage zu kaufen?

Aber jetzt sehe ich ein, dass ich da vielleicht andere Optionen in den Erklärungen übersehen habe, weil ich sie nicht kannte. In dem Blog ist ja tatsächlich ein Gast-PC eingebunden. Keine Ahnung, ob man das expliziter erwähnen müsste, dass nur deshalb ein VLAN benötigt wird, weil eben WLAN und LAN umgesetzt werden soll? Ich habe es tatsächlich anhand dieses Satzes:

Trotzdem sind getrennte Netze wünschenswert, um z.B. ein Gastnetz drahtlos, wie auch kabelgebunden zur Verfügung zu stellen.

als sowohl als auch verstanden. Mein Fehler. Da kann der Blog nichts für.

Aber gut. Dann können wir ja einen Strich drunter machen. Ich benötige kein Gäste-LAN und auch keine Trennung meines IoT Traffic oder ähnliches, daher kann ich VLAN aus meiner Konfiguration rauslassen und es wieder so konfigurieren wie ich ganz oben in Option 1 bereits beschrieben und zu Anfang umgesetzt hatte.

Da ich ja ein ordentlicher Bastler bin, hab ich allerdings den Switch nicht mehr provisorisch eingebunden, sondern schön verkabelt und mit dem Rest wieder ordentlich verstaut. Also behalte ich ihn wohl aus Bequemlichkeitsgründen und nehme nur die Änderungen bezüglich VLAN und den Ports wieder zurück und ziehe das Kabel vom LAN 4 der Fritzbox ab. Hab ich nen Ersatz für temporär zu testende Raspis.

Ich danke Dir @Scotch für Deine Geduld und Ausführungen. Das hat mir jetzt zum Schluss dann doch noch einiges deutlicher gemacht.

Wenn dann ja nun die Grundkonfiguration steht, die offenen Fragen bezüglich der Verkabelung und des Gastnetzwerks geklärt sind, darf ich dann nochmal auf Dich zukommen um die reinen Einstellungen zwischen den UAPs zu optimieren? Da gibt es doch auch bestimmt noch sinnvolle Einstellungen, welche die UAPs zu einem besseren WLAN machen, als es die Fritzbox alleine könnte.