AP con IP multipli

[flaviob]

Ciao a tutti,
non capisco se il comportamente dei miei AP unifi sia normale.

Gli AP sono tutti collegati su una rete di management da cui prendono l'IP con DHCP, ho notato però che gli stessi AP ottengono anche un IP via DHCP dalle varie VLAN su cui sono configurate le WLAN.

E' normale ? cioè non sarebbe più corretto che avessero un solo IP sulla rete "primaria" ?

[redfive]

Ciao flaviob , ho letto il tuo post anche "di là" , in effetti non credo che il comportamento sia normale....almeno , non lo ho mai visto. In installazioni tipo la tua , è sempre andato tutto bene , ho fatto 2 prove , a casa, giusto per ricontrollare....gli UniFi ottengono l'ip (static ip entries nel dhcp) tramite il dhcp discover che viene propagato sull'unica vlan untagged , e anche se hanno multipli SSID taggati , l'unica interfaccia a cui è associato il L3 è la br0 , ( nel mio caso, la br0.120 e la br0.130 sono in up , hanno l'ipv6 link-local ma non l'ipv4) ovviamente i client , a seconda del SSID ottengono l'ip dal pool impostato per quella determinata rete, e le richieste radius viaggiano sempre e comunque sulla rete untagged tra Ap ed Authenticator Server (e sarebbe un problema se fosse diversamente , con gli switch il dynamic vlan assignement andrebbe a farsi benedire..). Sia con la 2.3.9 , 2.4.5 , 3.1.4 , 3.1.5 , e sia con option 43 che dns per il L3 management...anche disabilitando il pool associato alla vlan di management (untagged) l'UniFi non prende l'ip dagli altri pool , rimane in "Adoption" , poi "Adoption Failed" , di continuo , appena riabilito il pool sulla nativa , torna "Connected" con l'ip a lui riservato...
Btw, oltre il fatto che il controller è su un altra rete , qualche altra info ??
Ciao

[flaviob]

Eccomi qua, ho fatto un po' di prove e anche aggiornato alla 3.1.5 e continuo ad ottenere gli IP sulle varie vlan.

La situazione più nel dettaglio è questa:

Controller unifi in DMZ, server radius in LAN (è presente DHCP 192.168.1.X/24 e siamo su VLAN 100), AP su rete di management con VLAN untagged (DHCP su rete 192.168.2.X/24) e rete WIFI sempre su con VLAN 70 tagged 192.168.2.X/24

WLAN1 configurata sulla VLAN70
WLAN2 configurata sulla VLAN100 della LAN

Se WLAN2 è disabilitata le richieste radius di WLAN1 passano correttamente sul gateway della rete 192.168.2.X e arrivano al radius in LAN
Se WLAN2 è abilitata le richieste radius sia per WLAN1 che WLAN2 escono sulla VLAN 100 (192.168.1.X) mentre mi aspetterei che viaggiassero sulla UNTAGGED di management (192.168.2.X)

Spero di essermi riuscito a spiegare un po'

[flaviob]

Ho fatto qualche altro test controllando con tcpdump su quale interfaccia venivano inoltrate le richieste,il problema è che le richieste per la WLAN1, quando attive entrambe, vengono si fatte passare sulla VLAN100 ma con indirizzamento IP della VLAN70 e quindi in questo caso il radius non risponde...

[redfive]

Ciao , sull'altro forum ho letto una risposta , sembra che gli ip sulle vlan vengano richiesti dagli Ap quando è abilitato il Captive Portal (o Guest Portal ) , per il redirect, ed in effetti , abilitando il Guest portal ,ho visto che è cosi' (sorry , non utilizzo mai il built-in Captive Portal )
Ma gli ip sulle "interface vlan" , con Guest Portal abilitato, li vedo comunque solo da ssh , non dal controller



e le richieste Radius , anche se il supplicant tenta l'accesso ad un SSID associato ad una vlan che non è la nativa, viaggiano tra ap(authenticator) e radius server (Authenticator server) sulla untagged, se le credenziali sono corrette , il supplicant viene associato.
Questa è una parte del tcpdupmp sul radius , quando un client tenta l'auth. radius dalla vlan .130, 192.168.192.6 è l'Ap , 192.168.192.1 è il radius server , al client viene poi assegnato l'ip 172.16.1.14


questa parte non mi è chiara

AP su rete di management con VLAN untagged (DHCP su rete 192.168.2.X/24) e rete WIFI sempre su con VLAN 70 tagged 192.168.2.X/24

.....

[flaviob]

Scusa il ritardo

Anche io ero convinto che l'autenticazione viaggiasse sulla untagged..però probabilmente la spcifica configurazione di rete in cui avevo untagged e tagged con uno stesso indirizzamento confondevano gli AP. Spostando la untagged sulla LAN tutto sta funzionando correttamente ma rimangono comunque in piedi gli IP asseganti da dhcp su ogni interfaccia (sia se il captive portal non è abilitato che abilitato).

Nella configurazione inziale invece, con tcpdump, vedevo passare le richieste radius con IP della untagged 192.168.2.X sulla tagged col 192.168.1.X...e di questo non capisco bene il perchè...

questa parte non mi è chiara

AP su rete di management con VLAN untagged (DHCP su rete 192.168.2.X/24) e rete WIFI sempre su con VLAN 70 tagged 192.168.2.X/24

.....

Purtrppo quella è una configurazione dettata dal limite di un prodotto che utilizziamo che all'interno dell'intrefaccia per il wifi, nonostante le vlan per separare più reti le gestisce sotto un unico dhcp e quindi stesso indirizzamento...