OPNsense Forum
International Forums => German - Deutsch => Topic started by: efr on September 15, 2021, 01:08:13 pm
-
Hi,
meine Bemühungen bei der Recherche sind leider im Sand verlaufen, daher mache ich mal einen neuen Post, da ich hier langsam verzweifle.
Ich habe Bridge aus zwei VLANs.
Eines davon ist für verkabelte Geräte (vlan110), das Andere für drahtlose Geräte(vlan210).
Die Brigde hat das Netz 10.13.37.0/24.
Verkabelter Client A (Access Point) kann drahtlos Client B (Notebook) nicht erreichen.
Konkret geht es darum, dass sich der Unifi AP nicht am Controller provisionieren kann, der auf dem Notebook läuft.
Ich habe nun schon diverse Regeln ausprobiert, die meiner Meinung nach sinnvoll wären - ohne Erfolg. Das Filtering im System habe ich auch schon auf das Bridgefiltering umgestellt, ohne Änderung.
Vermutlich ist es etwas Banales - aber ich stehe gerade auf dem Schlauch. Anbei Screenshots zum Log und den aktuellen Regeln.
-
Irgendwo gibt es einen Haken wo man einstellen kann, das Kommunikation auf Bridges zugelassen werden
Gesendet von meinem OnePlus 8t mit Tapatalk
-
Irgendwo gibt es einen Haken wo man einstellen kann, das Kommunikation auf Bridges zugelassen werden
Gesendet von meinem OnePlus 8t mit Tapatalk
okay, danke - bei Gelegenheit wären Details super.
Ich wüsste nämlich nicht wo das sein soll.
-
Sorry war vorhin nur schnell am Handy geschrieben...
Unter System -> Settings -> Tunables gibt es den Eintrag:
net.link.bridge.pfil_memberSet to 0 to disable filtering on the incoming and outgoing member interfaces.default (1)
Diesen würde ich mal auf 0 stellen.
Ich glaube als ich das damals hatte war es ebenfalls möglich wenn ich eine Regel "Bridge Interface" darf zu Bridge Interface mit jedem Port und Protokoll. Bin mir da aber auch nicht mehr 100% sicher wie ich das damals gemacht hatte...
-
https://github.com/opnsense/docs/blob/77fd7b8b7a844092fbff832f28a1f26574a23d65/source/manual/how-tos/lan_bridge.rst
Hier ebenfalls beschrieben.
-
Sorry war vorhin nur schnell am Handy geschrieben...
Unter System -> Settings -> Tunables gibt es den Eintrag:
net.link.bridge.pfil_memberSet to 0 to disable filtering on the incoming and outgoing member interfaces.default (1)
Diesen würde ich mal auf 0 stellen.
Alles gut, habe ich gesehen - deswegen ja "bei Gelegenheit" ;)
Aber das hatte ich bereits eingestellt:
Das Filtering im System habe ich auch schon auf das Bridgefiltering umgestellt, ohne Änderung.
Deswegen meine Verwirrung.
Eventuell sollte zusätzlich erwähnt werden, dass der Accesspoint untagged im verkabelten VLAN und tagged im drahtlosen VLAN hängt. Könnte mir vorstellen dass dies zu Problemen führt?
-
Eventuell sollte zusätzlich erwähnt werden, dass der Accesspoint untagged im verkabelten VLAN und tagged im drahtlosen VLAN hängt. Könnte mir vorstellen dass dies zu Problemen führt?
D.h. alle WLAN-Clients setzen ein VLAN-Tag? Das kommt mir merkwürdig vor. Sicher, dass Du nicht umgekehrt meinst?
Was genau meinst Du mit "Bridge aus zwei VLANs"? Du bridgest zwei ungetaggted Ports Deiner OPNsense und die stecken in einem Port von irgendeinem Gerät in VLAN X (untagged)? Oder Du bridgest zwei VLAN-Interfaces (tagged)? Wo steckt denn dann das phys. Parent-Interface drin, also in was für einem Gerät? Ist dort der Port auch als Trunk konfiguriert und beide VLANs liegen tagged an?
Und zu guter Letzt: was soll das? Wenn Du zwei VLANs (Broadcast Domains) bridgest, machst Du eine Broadcast Domain draus. Dann kannst Du Dir die VLANs auch sparen ...
HTH,
Patrick
-
D.h. alle WLAN-Clients setzen ein VLAN-Tag? Das kommt mir merkwürdig vor. Sicher, dass Du nicht umgekehrt meinst?
Die Verarbeitung übernimmt der Accesspoint. Der Client bekommt basierend auf dem Netz in das er sich einwählt eine andere IP.
Was genau meinst Du mit "Bridge aus zwei VLANs"? Du bridgest zwei ungetaggted Ports Deiner OPNsense und die stecken in einem Port von irgendeinem Gerät in VLAN X (untagged)? Oder Du bridgest zwei VLAN-Interfaces (tagged)?
Wie bereits geschrieben, zwei VLAN Interfaces. Da gibt es kein tagged oder untagged. Am Switchport sind sie tagged, falls du das meinst.
Wo steckt denn dann das phys. Parent-Interface drin, also in was für einem Gerät? Ist dort der Port auch als Trunk konfiguriert und beide VLANs liegen tagged an?
Ich trunke doch nicht zwei unterschiedliche Netze - was soll das bringen? :D
Und zu guter Letzt: was soll das? Wenn Du zwei VLANs (Broadcast Domains) bridgest, machst Du eine Broadcast Domain draus. Dann kannst Du Dir die VLANs auch sparen ...
Ich habe unterschiedliche Netze, die ich trennen möchte. Dazu gehören auch drei Wifi Netze mit verschiedenen Subnetzen. Ich möchte aber jeweils 1 kabelgebundenes und 1 kabelloses Netzwerk miteinander kombinieren und daraus ein Netz bauen.
-
Die Verarbeitung übernimmt der Accesspoint. Der Client bekommt basierend auf dem Netz in das er sich einwählt eine andere IP.
Also sind die Frames im WLAN ungetagged. Wie gibt sie der Access-Point denn dann getaggt weiter? Das tut er wohl über einen Trunk Port.
Wie bereits geschrieben, zwei VLAN Interfaces. Da gibt es kein tagged oder untagged. Am Switchport sind sie tagged, falls du das meinst.
OK, Switchport ist ein Trunk, die OPNsense hat zwei getaggte VLAN-Interfaces auf einem phys. Interface verbunden mit diesem.
Ich trunke doch nicht zwei unterschiedliche Netze - was soll das bringen? :D
Ein Trunk Port ist ein Port, der getaggte Frames transportiert. Ein ungetaggter Port ist ein Access Port.
https://www.gns3network.com/switchport-mode-trunk-and-access/
Ich bin mir nicht sicher, ob eine Bridge über mehrere VLAN Interfaces unter FreeBSD überhaupt funktioniert. Was ich mit Sicherheit weiß, ist dass Du keinen ungetaggten Traffic auf dem Interface haben darfst und das dann in eine Bridge tun. Anders gesagt: phys. Interface in Bridge --> keine VLANs mehr auf demselben IF.
Wenn alles getaggt ist, was ich sowieso empfehlen würde, dann könnte es klappen mit Deiner Bridge. Ist das so?
Hast Du auf dem phys. Interface das Hardware Offloading aus?
-
OK, Switchport ist ein Trunk, die OPNsense hat zwei getaggte VLAN-Interfaces auf einem phys. Interface verbunden mit diesem.
Zwei VLAN-Interfaces auf zwei unterschiedlichen physikalischen Interfaces, um genau zu sein.
Physikalische Interfaces sind aktiviert, aber nicht für IPv4 konfiguriert - VLAN Interfaces ebenfalls nicht.
VLAN Interfaces sind zu einer Bridge verbunden, auf der IPv4 inkl. DHCP eingerichtet ist.
Ein Trunk Port ist ein Port, der getaggte Frames transportiert. Ein ungetaggter Port ist ein Access Port.
https://www.gns3network.com/switchport-mode-trunk-and-access/
Das habe ich in dem Zusammenhang tatsächlich noch nie gehört - vielen Dank!
Scheint auch aus dem Cisco Jargon zu kommen, vermutlich deswegen.
Ich bin mir nicht sicher, ob eine Bridge über mehrere VLAN Interfaces unter FreeBSD überhaupt funktioniert. Was ich mit Sicherheit weiß, ist dass Du keinen ungetaggten Traffic auf dem Interface haben darfst und das dann in eine Bridge tun. Anders gesagt: phys. Interface in Bridge --> keine VLANs mehr auf demselben IF.
Okay, das würde erklären warum sich das Netzwerk so seltsam verhält.
Wenn alles getaggt ist, was ich sowieso empfehlen würde, dann könnte es klappen mit Deiner Bridge. Ist das so?
Der untagged Traffic vom Wifi über den AP wird doch wahrscheinlich vom AP mit einem Tag versehen und an den Switch übergeben. Das Interface ist ja auch tagged und gibt das dann an die Bridge weiter. Oder verstehe ich das falsch?
Hast Du auf dem phys. Interface das Hardware Offloading aus?
Folgendes ist in den allgemeinen Interface Einstellungen angekreuzt:
Disable hardware checksum offload
Disable hardware TCP segmentation offload
Disable hardware large receive offload
Disable VLAN Hardware Filtering
-
Zwei VLAN-Interfaces auf zwei unterschiedlichen physikalischen Interfaces, um genau zu sein.
Physikalische Interfaces sind aktiviert, aber nicht für IPv4 konfiguriert - VLAN Interfaces ebenfalls nicht.
VLAN Interfaces sind zu einer Bridge verbunden, auf der IPv4 inkl. DHCP eingerichtet ist.
So ist es aus FreeBSD-Sicht richtig. Layer-3-Adressen müssen auf das Bridge-IF. Ist dokumentiert im FreeBSD-Handbuch, etwas vergraben, wenn man jetzt "nur" OPNsense oder z.B. TrueNAS einsetzt und kennt.
Also Bridge --> keine Adressen irgendwelcher Art auf den Member-Interfaces. Weder v4 noch v6.
Das habe ich in dem Zusammenhang tatsächlich noch nie gehört - vielen Dank!
Scheint auch aus dem Cisco Jargon zu kommen, vermutlich deswegen.
Ich mach das schon >25 Jahre. Damals gab es nichts anderes als Cisco ;)
Der untagged Traffic vom Wifi über den AP wird doch wahrscheinlich vom AP mit einem Tag versehen und an den Switch übergeben. Das Interface ist ja auch tagged und gibt das dann an die Bridge weiter. Oder verstehe ich das falsch?
Da fehlt mir jetzt wieder was. Also ein WLAN ohne Tags ist einem VLAN zugeordnet. Z.B. n SSIDs, n VLANs. Dann Trunk-Port (im Cisco-Jargon) zum Switch. So weit klar. (denke ich)
Wie geht es denn nun vom Switch zur OPNsense weiter? Dort brauchst Du ja jetzt auch einen Port, an dem die Frames getaggt an die OPNsense übergeben werden. Wenn nicht, dann darfst Du auf der OPNsense kein VLAN konfigurieren, aber das ist Dir sicher auch klar.
Also wenn Deine OPNsense genügend Interfaces hat - und Dein Switch auch - dann würde ich diese beiden VLANs einmal ungetaggt zu je einem Switchport rauströpfeln lassen ("Access Port") und mit je einem Port der OPNsense verbinden, ebenfalls ohne Tags. Und die beiden Ports bridgen. Das geht sicher. Die beiden Access-Ports im Switch müssen halt in zwei unterschiedlichen VLANs sein. Machst Du da einen Fehler, hast Du Dir einen Loop gebaut und Dein Netzt schmilzt ;)
Du kannst ja dann ggf. einen weiteren Port OPNsense-Switch haben, der nur getaggte Frames führt, ohne den Bridge-Kram.
So würde ich versuchen, das aufzudröseln.
-
So ist es aus FreeBSD-Sicht richtig.
Aus meiner auch. :D
Da fehlt mir jetzt wieder was. Also ein WLAN ohne Tags ist einem VLAN zugeordnet. Z.B. n SSIDs, n VLANs. Dann Trunk-Port (im Cisco-Jargon) zum Switch. So weit klar. (denke ich)
Wie geht es denn nun vom Switch zur OPNsense weiter? Dort brauchst Du ja jetzt auch einen Port, an dem die Frames getaggt an die OPNsense übergeben werden. Wenn nicht, dann darfst Du auf der OPNsense kein VLAN konfigurieren, aber das ist Dir sicher auch klar.
Also folgendermaßen ist der Switch (beispielhaft) konfiguriert:
Port 1 (Accesspoint1): Vlan110 untagged, Vlan210 Tagged, Vlan N tagged
Port 2 (Accesspoint2): Vlan110 untagged, Vlan210 Tagged, Vlan N tagged
Port 10 (Opnsense-Eth1 / interface-vlan110[member von bridge0]): vlan110 tagged
Port 11 (Opnsense-Eth3 / interface-vlan210[member von bridge0] /interfaces-vlan N): vlan210 tagged, vlan N tagged
Also wenn Deine OPNsense genügend Interfaces hat - und Dein Switch auch - dann würde ich diese beiden VLANs einmal ungetaggt zu je einem Switchport rauströpfeln lassen ("Access Port") und mit je einem Port der OPNsense verbinden, ebenfalls ohne Tags. Und die beiden Ports bridgen. Das geht sicher.
...
So würde ich versuchen, das aufzudröseln.
Ja, die Sophos hat 8 Interfaces - dann werde ich das wohl umbauen müssen. Danke für deinen Input!
Was mich allerdings wundert, ist die Tatsache, dass ich die Probleme erst seit der Umstellung auf einen HP Switch habe. Ich habe gerade alles wieder auf einen D-Link zurück gebaut, wo das ohne Probleme läuft.
-
Und zu guter Letzt: was soll das? Wenn Du zwei VLANs (Broadcast Domains) bridgest, machst Du eine Broadcast Domain draus. Dann kannst Du Dir die VLANs auch sparen ...
Ich habe unterschiedliche Netze, die ich trennen möchte. Dazu gehören auch drei Wifi Netze mit verschiedenen Subnetzen. Ich möchte aber jeweils 1 kabelgebundenes und 1 kabelloses Netzwerk miteinander kombinieren und daraus ein Netz bauen.
Wenn es dir nur um die Trennung der Netze geht, hättest du noch eine völlig andere Option. Aber die setzt voraus, das du die UAP-Konfiguration auf einen im Lan hängenden Gerät erledigst oder eine Option so wie bei mir zur Verfügung hast.
Richte doch jeweils ein vlan für ein Wlan und zusätzlich ein vlan für die Adminstration des UAP ein.
Auf dem UAP kannst du dann dem Wlan das gewünschte vlan zuweisen. Wenn du dann die Adressvergabe komplett über die opnsense machst, bist du mit geringem Aufwand fertig. So läuft es zumindest bei mir. Zusätzlich brauchst du dann nur noch eine Regel, die dir den Zugriff vom Rechner auf den UAP erlaubt.
Nebenbei. Aus dem Wlan komme ich auch nicht an den UAP heran. Aber das stört mich nicht, weil ich meinen Laptop auch ebenso mit der identischen IP-Adresse (in dem betreffenen vlan/Wlan ohne dhcp) per Lan nutzen kann. Habe mir dazu extra eine Dose entsprechend auf dem Switch angestöpselt.
Ist vielleicht nicht die eleganteste Lösung, aber sie funktioniert im Grundsatz ohne Probleme.
-
Was mich allerdings wundert, ist die Tatsache, dass ich die Probleme erst seit der Umstellung auf einen HP Switch habe. Ich habe gerade alles wieder auf einen D-Link zurück gebaut, wo das ohne Probleme läuft.
Dann würde ich allerdings nicht auf der OPNsense sondern auf dem Switch anfangen zu suchen ;)
-
Dann würde ich allerdings nicht auf der OPNsense sondern auf dem Switch anfangen zu suchen ;)
Ohne Probleme war wohl gelogen - den AP kriege ich weiterhin nicht vernünftig erreicht.
Aber dafür sind die Netzwerkprobleme nun Geschichte.
Ich denke ein Re-Design wird hier unabdingbar sein.
Richte doch jeweils ein vlan für ein Wlan und zusätzlich ein vlan für die Adminstration des UAP ein.
Auf dem UAP kannst du dann dem Wlan das gewünschte vlan zuweisen. Wenn du dann die Adressvergabe komplett über die opnsense machst, bist du mit geringem Aufwand fertig. So läuft es zumindest bei mir. Zusätzlich brauchst du dann nur noch eine Regel, die dir den Zugriff vom Rechner auf den UAP erlaubt.
Ja, ich werde dann den Controller anderweitig aufsetzen - das war sowieso nur eine temporäre Lösung.
Das Management VLAN hast du tagged oder untagged? Und dann im Controller als LAN Netzwerk eingerichtet? Ich habe manchmal den Eindruck, dass die UAPs garnicht juckt, was unter "LAN" konfiguriert ist..