OPNsense Forum

International Forums => German - Deutsch => Topic started by: white_rabbit on November 13, 2020, 02:16:59 pm

Title: Frage zu DHCP-Server und Client-Isolation
Post by: white_rabbit on November 13, 2020, 02:16:59 pm

Hallo.
Wir haben hier folgende Situation:
Unser WLAN wird von Unifi-Accesspoints abgestrahlt, die IP-Adresse wird von der OPNSense-FW in diesem Subnetz vergeben. Das Netzwerk hat diese Maske 172.16.0.0/16 aber der DHCP-Bereich geht lange nicht so weit, sondern umfasst nur einen Bruchteil.

Nun ist es so, dass sich zwei Geräte untereinander nicht anpingen können -- ok, das klingt jetzt relativ vage, doch ich vermute, dass die OPNSense das blockiert. In den Firewall-Livelogs sehe ich leider nichts entsprechendes. Liege ich hier richtig oder liegt das Problem nicht auf der Firewall?
In den unifi-Einstellungen ist "Client Isolation" definitiv nicht aktiviert.
Zudem gibt es ein zweites WLAN, das aber über einen anderen DHCP-Server läuft -- und da funktioniert das gegenseitige Pingen ... so kam ich erst auf die Idee.
Hat jemand vielleicht einen guten Tipp, wonach ich suchen soll?
Danke.

Title: Re: Frage zu DHCP-Server und Client-Isolation
Post by: micneu on November 13, 2020, 02:40:42 pm

1. Bitte mal einen grafischen netzwerkplan
2. bitte mal Screenshots deiner Konfiguration


Gesendet von iPhone mit Tapatalk Pro

Title: Re: Frage zu DHCP-Server und Client-Isolation
Post by: ascii on November 13, 2020, 03:15:26 pm

eigentlich kann das nicht mehr Firewall zu tun haben.
Wenn beide Clients im gleichen IP Subnetz sind kommen die broadcast Pakete bei der opnsesne an.
Aber der ziel client ist ja im gleichen netz und sollte antworten.

sind im ersten schritt ja eine ARP Whohas Pakete die per Boradcast an alle gehen.
schau dir doch mal den arp table auf den clients an sobald du den ping versuchst. Dort sollte es ja eine Zuordnung geben.

Wenn da nichts zu sehen ist liegt dein Problem vermutlich im Layer 2 Bereich.

ich schließe jetzt mal aus das die ARP Inspections oder transparente Firewalls im Netz hast.

Title: Re: Frage zu DHCP-Server und Client-Isolation
Post by: micneu on November 13, 2020, 03:16:23 pm

Was sind das für Client‘s? Bitte mehr Infos


Gesendet von iPhone mit Tapatalk Pro

Title: Re: Frage zu DHCP-Server und Client-Isolation
Post by: white_rabbit on November 13, 2020, 04:15:27 pm

Hi,
ok, ich habe die Situation gerade "skizziert" ... betroffen sind diese beiden Netze auf der FW ... wenn zwei Clients auf der linken Seite im WLAN sind, klappt der gegenseitige ping nicht -- sind sie hingegen auf der rechten Seite im WLAN, funktioniert es.


Den eingzeichneten Unifi-Controller kann man sich da auch wegdenken ... der macht nichts weiter ...

Title: Re: Frage zu DHCP-Server und Client-Isolation
Post by: white_rabbit on November 13, 2020, 04:20:56 pm

Ach ja -- die Clients sind Samsung-Tablets; LANDroid ist installiert und liefert richtige Infos bzgl der IP-Adressen, DNS- und Gateway-Einträge ...

Title: Re: Frage zu DHCP-Server und Client-Isolation
Post by: JeGr on November 17, 2020, 02:38:46 pm

UNd wie schauts bei der Subnetz Maske aus?

Title: Re: Frage zu DHCP-Server und Client-Isolation
Post by: white_rabbit on November 18, 2020, 10:40:47 pm

Hi.
Das Problem ist gelöst .. und wie hier schon alle richtig vermutet haben lag es nicht an der OPNSense-Konfiguration sondern an den Unifi-Einstellungen zu den WLANs. Dort gibt es einen Punkt bei den Advanced Features, der da lautet:

• "Sperrung von LAN zu WLAN Multicast- und Broadcastverkehr"

Es ist also auf Unifi-Seite zu finden und ist daher hier OT ... dennoch gut, dass ich es irgendwann gefunden habe.