[UniFi] Switch en AP in andere VLAN dan controller adopten

Hoi,

ik heb een Unifi netwerk thuis bestaande uit:

• USG PRO 4 Gateway
• US-24-250W Switch (bevindt zich binnen)
• USW Flex Switch (bevindt zich buiten en hangt achter de US-24-250W)
• UAP-AC-IW Access Point (bevindt zich binnenshuis)
• UAP-AC-M-Pro Access Point (bevindt zich buitenshuis en hangt achter de USW Flex)

Ik heb volgende VLANs gecreëerd:

• Default (voor alles binnenshuis dat geen IoT apparatuur is)
• IoT (voor IOT apparatuur)
• Exterior (voor buitenapparatuur)

Als ik de poort op de US-24-250W Switch waaraan de USW Flex Switch het 'Exterior' Profiel geef dan ziet mijn controller de switch niet meer.
Als ik de poort op de US-24-250W Switch waaraan de USW Flex Switch in 'Default' laat en enkel de UAP-AC-M-Pro Access Point in 'exterior' zet, dan zie ik die AP niet meer.

Ik zou beiden in de 'Exterior' VLAN willen hebben zodat men buiten niet simpelweg op een poort van de switch of AP kan aansluiten om toegang te hebben op heel mijn netwerk.

Ik vond op internet volgende topic: https://community.ui.com/...63-4e9a-8eaf-fc716ee9ab72 met volgende stappen om een AP in een andere VLAN door de controller te laten zien:

1. ssh into the AP using its IP address
2. run the command "set-inform http://x.x.x.x:8080/inform"
   the x.x.x.x is the IP of the controller, or the hostname of the controller
3. click the "adopt" button on the controller

Doe ik dit eerst met de switch en vervolgens met de AP?
Kan iemand me zeggen of dit de juiste aanpak is, en indien niet hoe ik dit dan wel het best aanpak?
ik heb geen ervaring met SSH, dus als er een andere makkelijkere methode is, hoor ik die graag

groeten

jadjong schreef op dinsdag 15 februari 2022 @ 07:06:
Ik zou het eerder oplossen met een vlan voor management-interfaces van alle apparaten en vervolgens de poort buiten beveiligen tegen ongeoorloofde insluipers. Wat bieden die switches aan port-security?

bedankt voor je feedback, kan je misschien wat uitgebreider toelichten wat je bedoeld met een VLAN voor management interfaces?
Is dit een VLAN waarin de USG, de Switches en de APs zich bevinden? of enkel de USG en Switch?

Betreft de pot security, ik ben geen expert dus ik ken en begrijp niet alle opties, maar je kan buiten een poort een bepaalde VLAN toewijzen zeker ook authenticatie via Radius Server doen; maar dat laatste heb ik niet geconfigureerd. (Mijn controller draait op mijn desktop PC, een PC die niet continue aanstaat, dus het is ook niet mogelijk denk ik met een Radius Server te werken)

[Voor 8% gewijzigd door rernst op 15-02-2022 07:46]

jadjong schreef op dinsdag 15 februari 2022 @ 08:19:
Management interface is het IP waarop je de switch, router of AP kan benaderen, dat is je default vlan. Vervolgens maak je een nieuw vlan aan vooe gebruikers, eentje voor IoT en nog meer als je daar zin in hebt.
Standaard staat elke poort in vlan 1 waardoor apparaten die iets met netwerk te maken hebben altijd met elkaar kunnen praten. Als gebruiksapparaten in een ander vlan moet zet je die poort of SSID in het juiste vlan.

Voor port security weet ik niet wat de USW allemaal biedt, radius werkt goed maar een actie die de poort op shutdown laat staan als je de stekker er uit trekt werkt ook prima. Dan zal de handige harry die de kabel van jouw accesspoint in zijn eigen laptop steekt eerst een manier moeten vinden om die poort weer te activeren.

Oke thanks voor de toelichting ivm management interface!
Voor de port security zal ik eens kijken of het mogelijk is om met zo'n poort shutdown te werken.
hiervoor moet ik even wat opzoekwerk doen, bedankt voor de suggestie!