Moin, ich habe gerade vestgestellt das ich in meinem gästelan (192.168.33.0/24) nur die opnsense oder den eigenen client pingen kann. einen weiteren rechner kann ich nicht pingen.
ich habe mal mein netzplan angehängt und die konfiguration der firewall regel (icmp)
Die beiden rechner sind per ethernet direkt an der opnsense an meinen beiden gästelan ports.
hier noch bilder von den logs.
ich habe es meiner meinung mal getestet, aber irgend wie geht es nicht mehr.
ist die firewall regel für die VLAN33_BRIDGE falsch?
Moin,
hast Du die Einstellungen gemäß dieser Anleitung gemacht (tunbles):
https://www.infotechwerx.com/blog/Creating-a-Simple-pfSense-Bridge
Meine mich zu erinnern, dass es mit der bridge bei mir erst funktioniert hatte, nachdem ich die Optionen gesetzt hatte.
Gruß
Dirk
Ich frag mich jetzt gerade ernsthaft, warum du das schöne Design aus dem Netzplan mit ner Bridge überhaupt versauen musst? ;)
Ehrlich sehe ich da keinen Grund, warum du da ne Bridge reinbaust?
Du hast nen Unifi Setup was multiple VLANs beherrscht, du hast ne Sense mit der du ggf. Portal spielen kannst, wofür zum Geier brauchst du da ne Bridge!?
Quote from: JeGr on July 08, 2019, 01:38:23 PM
Ich frag mich jetzt gerade ernsthaft, warum du das schöne Design aus dem Netzplan mit ner Bridge überhaupt versauen musst? ;)
Ehrlich sehe ich da keinen Grund, warum du da ne Bridge reinbaust?
Du hast nen Unifi Setup was multiple VLANs beherrscht, du hast ne Sense mit der du ggf. Portal spielen kannst, wofür zum Geier brauchst du da ne Bridge!?
Ok, ich sage es mal so, da ich es nicht besser wusste?
Mir ist auch noch nicht ganz klar wie ich es besser machen soll?
- Ich möchte das LAN von Gäste LAN getrennt haben, wie soll ich das denn sonst machen?
> - Ich möchte das LAN von Gäste LAN getrennt haben, wie soll ich das denn sonst machen?
Drum frag ich ja ;)
Na warum nicht einfach 2 getrennte VLANs? Warum musst du was Bridgen - gibts nen tieferen Sinn/Notwendigkeit dafür? Ich sehe das immer kritisch, weil da eben aller mögliche Krimskrams drüberfliegt. Und eigentlich will ich filtern, mach dann aber wieder Bridges, die sogar noch den ganzen Layer 2,5 Krimskrams mit übertragen. Das erschließt sich meinem Verständnis eben nicht ganz :)
LAN Subnetz
Gäste Subnetz
WAN1
WAN2
WAN3
und dann mit Policy based Rules oder ggf. GW Gruppen die einzelnen Netze rauslassen über die WANs die sie erreichen sollen? :)
Mit dem Unifi Controller hast du ja sogar alles dazu in der Hand, weil der Kram bspw. radius based VLANs kann - oder einfach ne SSID für intern und eine für Gäste und in die entsprechenden VLANs rein. Fertig der Lack :D
ok.
Ich muss zugeben, ich komme gerade an meine grenzen.
Ich kenne es bisher so das wenn ich 2 Netzkeranschlüsse und dann nooch wlan haben will mache ich eine Bridge?
mein gäste lan (192.168.33.0/24).
Soll ich die NIC´s für das Gäste LAN jeweils einzeln in das VLAN33 packen?
Haste irgend wo ein HowTO wo sowas mal beschrieben ist wie du es meinst?
Wie wo was wieso NICs fürs Gäste LAN?
OK ich denke wir sollten da mal einen Schritt zurück und erstmal schauen was du möchtest. Verstehe ich das richtig, dass du ein LAN(privat) und eine Gäste-LAN("öffentlich") willst, die sich gegenseitig nicht sehen sollen? Verstehe ich weiterhin richtig, dass du WLAN Clients haben möchtest die direkt im LAN stehen und ebensowelche die im Gäste-Netz stehen, egal ob kabelgebunden (dann mit Switchport im entsprechenden Netz) oder kabellos?
Gruß
Ja, genau. Ich habe mein LAN (ETH und WLAN) 192.168.3.0/24. Gäste LAN (ETH und WLAN) 192.168.33.0/24
die Gäste LAN Ports sind direkt an meiner Fiirewall (igb3 und igb4)
LAN (igb0)
Das Gäste LAN soll keinen zugriff auf das LAN haben und darf ins Internet.
Ah die GästeLAN Ports direkt am Gerät? Muss das so oder kann da auch nen Switch hin? Fände es unnötig nur wegen der zwei Ports extra überhaupt was mit Bridging anzufangen.
Ansonsten muss nur der Unifi AP sowohl ins LAN "VLAN" und ins Gäste VLAN. Also den Port des Controllers und des APs entsprechend Taggen/Konfigurieren. Bei mir hängen die beispielsweise in einem Management Netz (untagged) und haben tagged dann die Netze die sie brauchen. LAN, WLAN, Media, IOT, Gast. Sprich 5 getaggte VLANs auf dem Port und untagged das Management. Über Management kann ich an den CloudKey Controller und die APs ran, eigenes Subnetz. Untagged, weil es dann "plug&play" einfacher ist die APs und den Controller zu koppeln. Einfach nen neuen AP kaufen, Port konfigurieren wie den anderen (Mgmt untagged, 5x tagged) und anschließen. Da initial untagged konfiguriert kann der AP dann sofort vom Controller gefunden und bespaßt werden (und bekommt per DHCP initial mal ne IP die dann später statisch wird).
So, sobald der AP somit korrekt konfiguriert ist, kann man im CloudKey Controller bspw. Radius-based VLAN anmachen. Da ich mir beim Funktionsumfang des FR bei OPNsense unsicher bin - keine Gewähr da mein Testsetup auf pfSense läuft - aber radius-based VLAN ist relativ einfach zu konfigurieren. Ähnlich OpenVPN mit FreeRadius muss dem Radius der Client bekannt sein. Das ist der AP. Einmal konfiguriert und getestet, kann man dann statt AES-TKIP auch AES-Enterprise wählen. Damit hat man dann Radius User, die einen eigenen User mit Passwort bekommen.
Schöner Nebeneffekt: Die eigenen User die man immer braucht haben dann ein eigenes Passwort und nutzen nicht den gleichen PSK wie alle. Beim user wird zusätzlich sein VLAN definiert. Verbindet sich also User1 mit der SSID MIC (bspw.), dann wird vom AP ins LAN verfrachtet. Verbindet sich User2 mit der gleichen(!) SSID, landet er im Gästenetz (weil braucht kein LAN bspw.). Will man nicht für jeden Gast eigene User, legt man sich einfach einen Gast-User mit Passwort an und druckt sich das aus. Auch nicht anders als der PSK für jeden - aber wenn man vom Gästeaccount mal das PW ändert damit sich das nicht verbreitet, können die eigenen User/Accounts trotzdem ohne Änderung noch aufs Netz zugreifen.
Wenn das zu kompliziert ist (für nur 2 Netze vielleicht) oder man unbedingt noch alte Clients hat, die nicht mit Enterprise AES WLAN umgehen können (mancher IoT Kram), kann man statt radius based VLAN einfach 2 SSIDs aufmachen. Bspw. MIC und MIC-Gast. Das eine landet im LAN, das andere über die VLAN Konfig direkt im Gästenetz (weil der AP das dann direkt ins Gästenetz tagged). Insgesamt ist die Methode extremst einfach zu konfigurieren. Und wenn man dem Gastnetz dann ggf. noch das Portal der Sense dranklebt (nicht das von Unifi!) gibts eigentlich kaum noch Wünsche offen.
Insgesamt braucht man dafür aber keinerlei Bridges da Gäste eh nicht ins normale Netz sollen und dein AP kann bei ordentlicher Konfiguration problemlos Leute ins eine oder andere Netz reinbridgen - das ist ja sein Zweck :)
Gruß
danke für deine inspiration.
werde mir mal einen plan machen und schauen ob ich es in meinem urlaub umgesetzt bekomme
Ansonsten fragen :)