UniFi - konfigurace Wi-Fi AP v jiném subnetu než je controller

Na internetu je mnoho návodů, jak rozchodit UniFi controllérové řešení, tedy Wi-Fi AP ovládaná a konfigurovaná z centrálního bodu. Základní setup je celkem jednoduchý a pokud je UniFi controller na stejném L2 subnetu jako samotná AP (na stejném adresním prostoru), tak se vše bez problémů spojí zcela automaticky. To je fajn pro menší sítě, ale ve větších sítích nebo tam, kde chceme síť segmentovat, to znamená překážku.

Dnes se tedy zaměřím na to, jak rozchodit AP, která jsou v jiném subnetu. Jak celý LAB vypadá můžete vidět na obrázku níže. V LABu je router Mikrotik RB2011, za ním je na trunk portu switch Mikrotik CSS326-24G-2S+RM. Z něj vede 60 GHz bezdrátový spoj do druhého switche Mikrotik CSS326-24G-2S+RM. Na něm jsou pak zakončené accesové VLANy a dvě UniFi AP. Jedno indoor UAP-AC-LITE a pak venkovní UAP-AC-M-PRO.

Na konfiguracích si ukážeme, jak donutit AP se připojit na controller v jiném adresním rozsahu, a to ručně i dynamicky pomocí nastavení v DHCP.

Předpokladem je, že máte nakonfigurovaný UniFi controller. Pokud ne, koukněte na nějaký z návodů na internetu. V našem případě budeme používat celkem 4 různé subnety:

VLAN10 - 10.0.10.0/24 - intranet
VLAN20 - 10.0.20.0/24 - guest
VLAN254 - 10.0.254.0/24 - management síťových prvků
VLAN666 - nemá IP adresu - blackhole

UniFi controller je ve VLAN10 a UniFi AP jsou ve VLAN254. Sami od sebe se tedy na L2 vrstvě nevidí, nepřipojí se na UniFi controller a nelze je spravovat centrálně.

Metoda 1 - DHCP options 43

UniFi AP v defaultu čekají na IP adresu z DHCP a toho můžeme skvěle využít tak, že to DHCP offer vložíme tzv. "Options" typu 43. V ní je zakódována IP adresa UniFi controlleru, kterou si AP přeloží a pokusí se na ni připojit.

Připravíme si tedy potřebný parametr. Vezměte IP adresu controlleru, zde 10.0.10.150 a převeďte ji do formátu "0x0104" + "IP adresa v HEX formátu". Pro překlad do HEX můžete použít například tento web.

Pro naší IP je HEX 0a000a96, správný zápis pak bude 0x01040a000a96.

Do Mikrotiku přidejte konfiguraci:

/ip dhcp-server option add code=43 name=unifi value=0x01040a000a96
/ip dhcp-server network set 1 dhcp-option=unifi

Pozor, pokud máte nastavených více DHCP serverů, tak změňte číslo 1 na odpovídající číslo vašeho DHCP serveru. U mě v LABu mám 4 DHCP servery a ten správný má ID 3. Vypsat si je můžete pomocí:

/ip dhcp-server network print

Takto to vypadá v GUI:

Metoda 2 - nastavení IP controlleru přes SSH

Pokud nemáte možnost využít DHCP Options 43, nastavte IP controlleru ručně. Připojte se na IP adresu AP přes SSH. Pokud jde o nové AP, tak přihlašovací údaje jsou ubnt/ubnt.

Zadejte příkaz, kde nastavíte IP adresu svého controlleru a to ve formátu: 

set-inform http://10.0.10.150:8080/inform

A pokud máte v síti validní DNS server, nebojte se zadat URL i na hostname:

set-inform http://server.local:8080/inform

Pokud se povedlo a server AP neodmítnul, objeví se zde jako čekající na adopci. Takto vypadají jednotlivé stavy adopce AP.

Změna IP controlleru

Pokud opravujete AP, které již na controlleru bylo, bude mít nastavené heslo z controlleru. Zjistíte ho pod Setings - Site - Device Authentication.

Přihlaste se na AP přes SSH. Vypište si stav AP:

info

Zobrazí se důvod, proč AP není připojeno. Může zde být "unreachable", což znamená, že AP na controller nevidí. V tomto případě je třeba špatně IP adresa 10.0.0.11, změníme jí na správnou 10.0.10.150.

Pokud místo IP adres používáte DNS názvy jako třeba server.local, tak při změně IP adresy serveru se AP v LABu dokázalo samo vzpamatovat a na novou IP připojit po timeoutu DNS, které bylo nastaveno na 1 hodinu. Druhé AP ale potřebovalo restart. Pokud nebylo použito DNS, ale přímo IP, tak se jedno AP dokázalo připojit na novou IP a druhé ne a musel jsem zadat znovu v SSH IP serveru.

VLANy na switchi

Zde jen pro ukázku v rychlosti ukáži, jak vypadá konfigurace portů na switchi.

Na switchi nastavíme VLANy, se kterými budeme chtít, aby switch operoval. Na Mikrotiku je potřeba to nastavit ze dvou stran. Na záložce VLANs se definují čísla VLAN a na které porty je chce pustit (do kterých portů budeme odtagovávat). UniFi AP dáme na trunk port, takže na porty 2 a 6 pustíme všechny vyjmenované VLAN, tím sem dotečou data z těchto VLAN. Stejně tak to bude i na Uplink portu.

Na záložce VLAN pak nastavíme, do jaké VLAN se má tagovat provoz, který na port switche přijde jako netagovaný (běžný provoz z PC není tagovaný). Jelikož UniFi AP nám bude provoz tagovat samo, nastavíme zde tzv. nativní VLAN, tedy pokud nebude otagováno z AP, otaguje se právě do této VLAN. Pro AP se zde nastavuje management VLAN, tedy zde 254.

Pokud pak v nastavení Wireless networks na controlleru pošlete data z nějakého SSID do konkrétní VLAN, tak projde takto nastavenou sítí až na bránu. Takže můžete mít na UniFi AP firemní síť a síť pro hosty. Přitom každá síť půjde jinou VLAN, bude v jiném subnetu a můžete s nimi pak dál pracovat. Ale o tom někdy příště.

>> Líbil se Vám článek? Ohodnoťte mě <<