Bem-vindo à Comunidade UBNT

Vlan e dúvidas com DHCP

Boa noite, é a primeira vez que configuro um UNIFI e estou tendo dificuldades tanto para entender o conceito das vlans quanto para configurar corretamente cada uma. Segue minha dúvida: Tenho duas vlans em minha rede, X e Y, X é a rede principal da empresa e Y é para visitantes, como faço para configurar uma faixa de IP direfente para Y, com DHCP? Outra questão, no meu dashboard só vejo minha Vlan ativa, a LAN, WAN e WWW estão desativadas, pelo menos na representação gráfica estão apagadas enquanto a vlan está ativa, verde. Podem me ajudar por favor?
Rotulado:
Filippe

Comentários

  • R4V3RR4V3R 8513 Pontos
    Olá @poucas bem vindo à comunidade.
    O servidor DHCP tem que ser configurado preferencialmente em seu roteador. Atualmente, qual é o equipamento que é responsável pelo serviço de DHCP em sua VLAN principal? Este mesmo equipamento deve ser capaz de servir endereços através de DHCP para a outra VLAN, ou você pode utilizar outro equipamento para isso, pois os pontos de acesso UniFi não possuem servidor DHCP embutido, certo?
    Quanto aos gráficos de LAN, WAN e WWW, eles estão atrelados à outros dois produtos da linha UniFi, os quais você aparentemente não possui, que seriam o USW e USG, switches e roteadores respectivamente.
    berghetti
  • FilippeFilippe 8 Pontos
    Prezados, bom dia!

    Aproveitando a oportunidade. Nós temos exatamente o mesmo problema do Colega @poucas.

    Seria possível também obter suporte para nosso problema a partir deste tópico? 
    Caso possível, segue nossa solicitação.

    Caro @R4V3R,

    nós temos um roteador Cisco RV-042, porém não temos o Servidor DHCP nem o DNS ativados.
    Em anexo, um croqui da nossa topologia.

    Perguntas: 
    1. é fato que há a necessidade de criação de VLAN. Porém, a dúvida é, onde?
    2. Meu roteador, permite criar Vlan, servidor DHCP, DNS... é bem completo...
    3. Os meus Switches são gerenciados e podem tbm criar VLANS.
    4. Porém como fazer para a VLAN chegar até o Unifi AP?
    5. Se eu segmentar em VLANS, separadas, como fica o meu AD? teria que criar outro dominio? ´para cada VLAN?
    6. Eu entendi que, no Controller posso apenas então criar uma outra Rede Wifi Guest... mas que para isolar, é necessário a VLAN.
    Alguma sugestão?
    Estou no caminho certo?

    No aguardo do seu parecer.

    rede
    poucas
  • R4V3RR4V3R 8513 Pontos
    @filippe
    1) Se você deseja ter subredes completamente distintas, isoladas logicamente, então sim, você precisa utilizar VLANs. Aonde configurar exatamente é algo genérico, pertencente ao conceito de virtualização de redes - VLANs, e até foge ao escopo deste fórum, mas de um modo geral, você precisa de um roteador que entenda, e saiba separar as diversas VLANs, bem como de switches gerenciáveis que possam transportar estas VLANs de seu roteador até o aparelho final que as utilizará, que neste caso são pontos de acesso UniFi. Os pontos de acesso e a controladora em si apenas oferecem a possibilidade de utilizar uma infraestrutura de rede já virtualizada, atrelando o tráfego de um SSID qualquer à uma VLAN específica. Apenas tome cuidado pois o gerenciamento dos pontos de acesso somente pode ser feito através da VLAN nativa(ou untagged) de acordo com o fabricante.
    2)Ótimo, então ele pode ser utilizado sem problemas.
    3) Excelente, mesmo caso do roteador.
    4) Bem simples, basta consultar o manual de operações de seus roteadores e switches. Instalei apenas um roteador destes há mais de 3 anos, e não tive problemas, embora não utilizasse VLANs nesta ocasião. Já quanto aos switches, instalei poucos Dell, a interface dele não me agrada em comparação aos switches HP, mas pelo que me recordo a documentação da Dell é farta, e não creio que você encontre problemas neste quesito.
    5) Esta questão foge mais ainda do tópico, não creio que possa receber muita ajuda neste sentido por aqui, mas já para tranquilizá-lo: Não, não é necessário criar um domínio novo, VLANs nada tem a ver com um domínio active directory, e você escolhe através de políticas de rede(no roteador) quais subredes podem conversar com sua subrede principal(aonde encontra-se o active directory). E mesmo estando em subredes distintas ainda é possível utilizar um único domínio active directory para atender quantas subredes você desejar, mas essa discussão não caberia aqui.
    6) Mais ou menos isso. Uma rede guest já é isolada de certa forma das redes não-guest, embora compartilhem a mesma subrede, endereçamento IP, etc. Isso é feito através de políticas nos próprios access points, em camada 2, utilizando ebtables. Na prática, não se pode acessar dispositivos de uma rede não-guest estando conectado à uma rede guest(a não ser que isso explicitamente permitido). No entanto, ainda é possível escanear a rede e detectar diversos protocolos de camada 2, e desta maneira, para muitas empresas, este tipo de isolamento simplesmente não é seguro o suficiente, caso no qual em que o uso de VLANs se faz necessário.

    De um modo geral, se o que você quer é apenas uma rede Wi-Fi para visitantes, que seja isolada da rede administrativa, você pode apenas utilizar uma rede guest na controladora UniFi, sem necessidade de configurar VLANs em seus equipamentos atuais, até porque isso envolve conceitos e conhecimentos específicos, bem como testes para ver se está tudo certo, e se você não tem familiaridade com isso, sinceramente não recomendo fazer isso com os equipamentos em produção. A não ser que você tenha equipamentos isolados para fazer laboratório, não creio que valha a pena continuar nesta direção.
    poucas
  • FilippeFilippe 8 Pontos
    R4V3R .

    que ótima notícia!
    Claro que o objetivo não é complicar a resolução do problema nem fugir do escopo deste fórum. 
    Mas sim utilizar a solução mais simples possível. Peço desculpas se abordei pontos irrelevantes para o propósito deste fórum.
    Te agradeço muito pelo suporte.

    Enfim.
    Falamos do Unifi AP para de fato avançarmos com o objetivo do pedido de suporte. blza?

    levando em  consideração o desenho anterior...
    Nós havíamos testado a criação de outra SSID, porém não deu muito certo... talvez estávamos fazendo coisas erradas. hehe

    Consegue destacar os passos que devemos avançar para a criação da rede Guest?
    • para que funcione a rede Guest no AP, preciso explicitamente ativar o DHCP e DNS do meu roteador?
    Entendi dessa maneira como descrevo abaixo. Criamos baseando nessas etapas, porém algumas configs não ficaram claras:
    1. No Controller==> Aba User groups==> criei um grupo de convidados e limitei a banda. ok
    2. No Controller==> Aba Guests Control ==> Não preciso do Guest portal, ok. em Access Control, não entendi as subnets restritas e permitidas. Só temos um range de IP. 192.168.0.1 - 254 máscara de rede 255.255.255.0 . O que devo confiigurar aqui?
    3. No Controller==> Aba Wireless NetWorks=> Criar uma nova rede Wifi...  
    • Seleciono Open,
    • Aplico o Guest Policy,
    Em advanced Options>
     VLAN -> só temos a vlan padrão do roteador que é a vlan 1... tenho que habilita-la?
    user group-> seleciono o grupo que criei.. ok.

    Por fim, em Settings:

    tenho criado o grupo 1 que está a nossa rede Wifi da empresa.... sem o guest.
    tenho que criar outro grupo?

    Acho que por ventura seria isso.

    No aguardo do seu parecer

    Um grande abraço e mais uma vez obrigado pela paciência e suporte!
  • R4V3RR4V3R 8513 Pontos
    @filippe apenas configure desta maneira mesmo, não configure nada de VLANs no UniFi, nem nas opções de DHCP que ela disponibiliza, pois isso é apenas para uso com o roteador UniFi(USG). Não precisa de outro servidor DHCP pois a rede guest estará na mesma subrede que você já utiliza, apenas com um isolamento(como comentei no último post).
    Em access control, as subredes que você vê listadas ali são todas as que são especificadas pela RFC1918 para utilização como subredes privadas, ou seja, com a configuração padrão, uma rede guest jamais terá acesso à recursos de qualquer subrede privada. Como existem duas colunas, uma para restritas e outra para permitidas, você pode customizar da maneira que quiser, por exemplo, se quiser permitir acesso da rede guest à uma impressora que está na rede adm com o IP 192.168.0.200, basta adicionar na controladora UniFi em access control, nas redes permitidas este endereço: 192.168.0.200/32. Feito isso, o acesso à este dispositivo, especificamente, foi permitido. Isso pode ser feito para dispositivos individuais(/32) ou para qualquer tamanho de subrede que você queira.
  • FilippeFilippe 8 Pontos
    R4V3R

    Bom dia!!!

    Excelente notícia!
    Te agradeço imensamente pelo suporte.

    Colocaremos em prática essa atividade e faremos o devido procedimento conforme sugere.

    Quando tudo estiver implementado, dou um retorno para vocês.

    abraços
  • ThiemannThiemann 304 Pontos
    A parte de VLAN para UNIFI é física (L2).. Para seu AD vai ter que usar VLAN do tipo L3 para rotear, ou bem provavel, que seu roteador lhe forneça essa possibilidade.. Procure suporte para roteamento entre VLAN's no seu roteador assim você deve usar seu AD sem problemas..
  • Boa tarde a tds. Sou novo em Unifi sei  quase nada. Aproveitando esse post q to lendo,estou com uma duvida, na controladora, na aba network. Segue imagem, Obrigado!!unifi
  • UBNT-JamieUBNT-Jamie 711 Pontos
    @alexssinal seja bem-vindo à comunidade da Ubiquiti em português.

    Sim, essa aba existe mais para o gerenciamento de UniFi-Switch e UniFi-Security Gateway (USG). Pode desconsiderar a função DHCP Guarding; existe para avisar no caso de haver outro servidor DHCP 'rogue' na rede além do USG. Abraço.
    Alexssinal
  • R4V3RR4V3R 8513 Pontos
    @alexssinal apenas reforçando o que já disse acima, esta opção que você menciona apenas irá funcionar se você tiver o USG em sua rede, que é o roteador da linha UniFi, OK? Ela não irá fazer absolutamente nada, se só o que você tem instalado são access points.
    Alexssinal
  • R4V3R disse:

    @filippe apenas configure desta maneira mesmo, não configure nada de VLANs no UniFi, nem nas opções de DHCP que ela disponibiliza, pois isso é apenas para uso com o roteador UniFi(USG). Não precisa de outro servidor DHCP pois a rede guest estará na mesma subrede que você já utiliza, apenas com um isolamento(como comentei no último post).

    Em access control, as subredes que você vê listadas ali são todas as que são especificadas pela RFC1918 para utilização como subredes privadas, ou seja, com a configuração padrão, uma rede guest jamais terá acesso à recursos de qualquer subrede privada. Como existem duas colunas, uma para restritas e outra para permitidas, você pode customizar da maneira que quiser, por exemplo, se quiser permitir acesso da rede guest à uma impressora que está na rede adm com o IP 192.168.0.200, basta adicionar na controladora UniFi em access control, nas redes permitidas este endereço: 192.168.0.200/32. Feito isso, o acesso à este dispositivo, especificamente, foi permitido. Isso pode ser feito para dispositivos individuais(/32) ou para qualquer tamanho de subrede que você queira.
    Bom dia @r4v3r, tenho uma dúvida acerca do seu comentário acima. Você diz que não devemos configurar nada de VLAN no UniFi, pois para isso dependemos de um roteador USG. 
    Se eu tenho uma rede com 2 UniFi onde meu gateway é um PFSense e quero criar uma VLAN e setar uma placa do meu PFSense para trabalhar no mesmo ID e também fornecer o dhcp para essa VLAN, não daria certo? Porque estou parado nisso já tem um tempão e apesar de criar uma VLAN no Ubitquiti (VLAN 500) e a mesma no meu PFSense, numa interface de rede exclusiva para isso, habilitando o DHCP, não consigo pegar nenhum IP na hora que conecto. Então lendo sua resposta fiquei na dúvida se o UniFi funciona como VLAN numa rede onde ele é o unico equipamento da Ubiquiti disponível. 

    Obrigado e abraços.
  • R4V3RR4V3R 8513 Pontos
    @marcioarianelli, por acaso seu switch está corretamente configurado para transportar a VLAN 500? A placa de rede do seu pfSense suporta tags VLAN?
  • Uma pequena dúvida, tenho configurado SSID através de VLAN. Se entre meu AP e meu Servidor DHCP existirem 3 switch L2. É necessário que os  3 Switch estejam configuradas as VLAN? Tem que existir as VLANS tagged por todas as portas/switch entre o AP até o Servidor DHCP?
  • R4V3RR4V3R 8513 Pontos
    @ellinson, as VLANs tem que estar corretamente configuradas por onde o tŕafego dos SSIDs precisar passar. Se seu servidor DHCP estará ou não conectado diretamente à uma dessas VLANs, isso não vem ao caso, pois depende da sua topologia. Você poderia, por exemplo, ter um servidor DHCP em uma sub-rede específica, e utilizar DHCP relay em todas as demais VLANs/sub-redes...
  • É relativamente Simples a utilização de VLAN's na linha Unifi

    1 - Você tem que entender bem o conceito de VLAN's e as funções das "portas" numa VLAN (Acesso/Trunk/General ou Dynamic no Cisco)

    2 - Todas as configurações de roteamento dessas VLAN's e demais regras, como DHCP, Pool e subnets devem ser feitos num roteador. Ex: Mikrotik, Você escolhe uma interface física para fazer Trunk na RB, sem seguida crie suas VLAN's Interfaces escolhendo o ID e a vincule a interface física escolhida para o trunk(Faça isso com todas as VLAN's criadas sempre usando o service TAG, Essa porta irá apenas enviar os pacotes com as "Tageados" das VLAN's) Crie Bridges para cada VLAN e adicione as Interfaces VLAN em cada bridge respectivamente (Caso use portas de acesso também na RB), Configure o pool/DHCP/hotspot para cada bridge e respectiva VLAN.

    3 - Switch: A interface de configuração vai depender vai depender da marca, mas basicamente você precisa criar as mesmas VLAN's criadas na RB com o mesmo ID no Switch, sendo que no switch você vai dizer quais portas de acesso do switch pertence a qual VLAN e claro uma porta trunk com o tag de todas as VLAN's para se conectar com a porta trunk criada na RB e assim receber as configurações criadas no roteador.

    4 - Unifi, Como todos já perceberam, é possível configurar VLAN para cada WLAN dentro do Unifi a dúvida é como transportar os pacotes com TAG da VLAN até o AP numa rede com DHCP?? Resposta simples, no switch você usa o recurso das portas General ou dynamic e suas respectivas configurações.

    Ex: Switch Intelbras, tenho 3 Vlans que foram configuradas na RB e no switch: VLAN 15 - Visitantes, 20 - Rede Local, 25 - Dispositivos automação, no Switch eu posso configurar cada interface física como acesso (Ele pode se tornar membro de uma das VLANs existentes), Trunk (Ela pode se tornar porta de transporte ou tag das VLAN's para outro equipamento), General (Ela pode ser acesso de uma VLAN ao mesmo tempo que pode enviar tags de outras). 

    Nesse exemplo eu tenho 3 AP Unifi com uma WLAN para cada VLAN da rede com suas respectivas configurações de IP e demais regras além do hotspot do Mikrotik na WLAN de visitantes. No switch eu separei 3 portas para ligar os AP's e instalei a controladora num servidor que fica na VLAN de rede local. (para efeito de gerencia dos AP's a controladora deve está na mesma subnet dos AP's)

    As portas separadas foram as 20, 21, 22 todas configuradas como General, dentro da configuração de cada porta elas ficaram como acesso para a VLAN 20 (Assim as configurações de IP e acesso de qualquer equipamento ligado nessa porta será da VLAN 20) e configurei ela como "tagged" para as VLAN's 15 e 25. (Se eu conectar nessa porta um equipamento que identifique essas tags de VLAN ele irá identifica-las e isso o AP Unifi faz)

    Feito isso é bem simples, é só acessar a controladora configurar suas WLAN's: A Wlan para rede local não precisa ter a ID da VLAN configurada, pois essa não está enviando TAG através da porta que o AP está conectado, e automaticamente ela pega informações do acesso que está conectado. As demais WLAN basta digitar o VLAN de sua respectiva VLAN e pronto.

    Tudo funcionando perfeito.

    Abs.
  • Boa noite senhores,

    Aproveitando o tópico, estou com uma grande dúvida:

    Possuo uma rede com um modem, que não tem suporte a VLANs, e um Unifi AP LR.
    O modem é o responsável pelo DHCP da rede (192.168.XX.XX) e eu preciso criar uma wireless network, no Unifi AP, que permita apenas o acesso interno, ou seja, não seja possível o acesso à Internet por ela.
    É possível de ser feito? E como fazer?

    Desde já agradeço!
  • O questionamento acima já foi respondido no tópico https://forum-pt.ubnt.com/discussion/1264864/acesso-apenas-a-rede-local
Entre ou Registre-se para fazer um comentário.