OPNsense Forum

Hallo opnsense Freunde,

der Titel ist evtl. etwas irreführend, daher meine Idee am Anhang. Ich habe eine APU4, bei der ich den gesamten WLAN Kram auf eine von den 4 Dosen legen wollte um ggf. alles mit einmal sperren/ziehen zu können.
Aktuell gibt es bei mir keine DMZ und das Unifi UFO hängt bei mir im LAN, konfiguriert via Unifi Controller auf einem Mini PC als Docker Image. Das geht soweit gut, obwohl mir da schon als Freizeit Admin unwohl ist. Daher alles auf die igb2.

Die Tutorials, welche ich gefunden habe, haben alle? mit VLAN und vom Unifi-Controller aus gearbeitet. Mir ist aber nicht klar, wie ich einen dummen AP aus dem AC Lite machen soll - um alles auf der opnsense zu machen - Vaucher etc. Auch läuft der Uni Controller ja im LAN und weiß erst'mal nichts vom VLAN .... Wie geht man da am besten vor - mit Für und Wider - ich finde den Unifi Controller einfach überfrachtet ...

Auch sollte der Unifi Controller, dem Rat aus diesem Forum folgend, nicht unbedingt auf opnsense laufen. Srv1 hat noch andere Aufgaben und IIR muss der Unifi Controller nicht ständig laufen (wir nur zur Konfig. benötigt).

Also, wenn ich es richtig verstanden habe geht es um dein Netzwerk zuhause.
Ich habe bei mir zuhause den cloud-Key auch in meinem lan laufen und habe noch ein Gäste lan/wlan in einem anderen vlan.

Warum mache ich es so: ich will mich nicht zu Tode Konfigurieren und deshalb habe ich für das wlan KEIN eigenes Netz. Ist ja nur bei mir zuhause.. ich hänge mal mein netzwerkplan an.
(http://cloud.tapatalk.com/s/5eb31e4a45061/Netzaufbau.gif)


Gesendet von iPhone mit Tapatalk Pro

Quote from: micneu on May 06, 2020, 10:30:08 PM
Also, wenn ich es richtig verstanden habe geht es um dein Netzwerk zuhause.

Warum mache ich es so: ich will mich nicht zu Tode Konfigurieren und deshalb habe ich für das wlan KEIN eigenes Netz. Ist ja nur bei mir zuhause.. ich hänge mal mein netzwerkplan an.
(http://cloud.tapatalk.com/s/5eb31e4a45061/Netzaufbau.gif)

Ja, es geht um das Netzwerk zu Hause. Für VLAN müssen aber auch die Firewall u.a. Regeln erstellt werden - m.M. ist der Aufwand der Selbe. Nur erlauben VLANs mehrere Netzsegmente über die gleiche Leitung, aber dennoch getrennt, zu schubsen. Mein Switch macht da sogar mit IIRC.

Ich hab mit dem Wechsel auf Unifi mein "Heim-LAN" in ein VLAN gepackt. Dann die verschiedenen WLANs (SSIDs) ebenfalls alle in getaggte VLANs. Das "Heim-WLAN" nutzt entspr. dieselbe VLAN-ID wie das "Heim-LAN". Auf der OPNsense VLAN-Interfaces + FW-Rules angelegt (der Aufwand dafür ist sehr überschaubar).
Ich hab bei mir den Controller als Docker-Image auf ner Synology laufen. Nutze allerdings kein Ticketsystem, sondern nur die Konfiguration + Logging.
Der Controller läuft im Managent-VLAN. Das ist das einzige ungetaggte VLAN in meinem Netz.

Danke für Eure Darstellungen. Anbei einige Fragen.

Meine Unifi AP hatte ich vor einem Jahr schon einmal eingebunden in einem anderen Netz als heute (das heutige Projekt hatte ich schon einmal vor einem Jahr angefangen, aber als div. Gründen abbrechen müssen), und hatte arge Probleme den wieder in mein jetziges einzubinden (reset, per SSH auf das UFO und dann die inform URL fixen IIRC). Wie klappt das wenn das Teil am VLAN hängt? IMO ist da busybox drauf ....

Unabhängig davon habe ich etwas mit dem VLAN experimentiert. Ich habe bei meinem alten Alix ein VLAN #20 am vr1 LAN port mit IP 192.168.20.1 an der pfsense mit aktivierten DHCP:

(https://abload.de/thumb/pfsense_vlan20fekjs.png) (https://abload.de/image.php?img=pfsense_vlan20fekjs.png)

Bei den FW rules habe ich den Zugriff erlaubt, aber alle privaten LAN Bereiche ausgesperrt, so dass es nur ins WAN kann (diese Regeln habe ich auch bei meinem alten WLAN von irgendeinem Tutorial aus dem INET - lange ist's her):

(https://abload.de/thumb/pfsense_unifi_rules9xjae.png) (https://abload.de/image.php?img=pfsense_unifi_rules9xjae.png)

Auf dem Unifi Controller habe ich nun neben dem localen Netzwerk (mein Heim Netz) auch das VLAN:

(https://abload.de/thumb/unif_vlan20cbjc1.png) (https://abload.de/image.php?img=unif_vlan20cbjc1.png)

und das neue WiFi Net:

(https://abload.de/thumb/unifi_wifi1rok0p.png) (https://abload.de/image.php?img=unifi_wifi1rok0p.png) (https://abload.de/thumb/unifi_wifi2euj8k.png) (https://abload.de/image.php?img=unifi_wifi2euj8k.png)

Wenn ich mich nun auf den AP einlogge, bekomme ich keine IP per DHCP. Vergebe ich dem Client eine statische IP hat er kein Internet.

Was habe ich da falsch gemacht?

Ich würde z.B. 3 Interfaces auf einem Port verwenden:
Igb2 untagged
Igb2_vlan10 für SSID1
Igb2_vlan20 für SSID2

Das Management LAN von dem AP lässt du im Untagged, den das hat das größte Potential zum Aussperren.

Falls du einen Vlan fähigen Switch besitzt, wäre es eventuell sinnvoller die Sense mit einen Trunk Port mit dem Switch zu verbinden. Dann könntest du z.B. SSID1 im gleiche Subnetz wie dein LAN betreiben, ohne dass du Routen (oder eine Bridge einrichten) musst.

Quote from: stefanpf on May 08, 2020, 06:53:35 PM
Ich würde z.B. 3 Interfaces auf einem Port verwenden:
Igb2 untagged
Igb2_vlan10 für SSID1
Igb2_vlan20 für SSID2

Das Management LAN von dem AP lässt du im Untagged, den das hat das größte Potential zum Aussperren.

Falls du einen Vlan fähigen Switch besitzt, wäre es eventuell sinnvoller die Sense mit einen Trunk Port mit dem Switch zu verbinden. Dann könntest du z.B. SSID1 im gleiche Subnetz wie dein LAN betreiben, ohne dass du Routen (oder eine Bridge einrichten) musst.

Das ist die Lösung, die ich gerade versuche umzusetzen. Wie ich zudem gerade gelesen habe, ist das Management des Controllers/AP nur von untagged LAN aus möglich.
Nur klappt es dann praktisch nicht :(

Management Switch vorhanden? Dann teste Leg dir erstmal 3 Ports untagged in jedes Vlan und teste ob DHCP funktioniert.
(zumindest bei der Apu3 muss "Disable VLAN Hardware Filtering" gesetzt werden, sonst klappt das nicht)

Ohne Switch würde ich erstmal nen Lapti an den Port hängen, DHCP kontrollieren. Schauen ob du über den Lapi Port 8080? (den aus der Inform-Url) am Kontroller erreichen kannst
Wenn das klappt den AP anhängen.
Solltest du im Kontroller "Controller Hostname/IP" gesetzt haben und "Override inform host with controller hostname/IP" aktiviert haben, so muss das DNS diesen Namen auch korrekt auflösen.

Nachträgliche Änderungen bringen nichts, da der App den Kontroller ja nicht kontaktieren kann. Da kannst du nur per SSH mit set-inform-url nachhelfen (das hilft aber nur einmalig, solange du nicht die richtige Konfig abholen lässt.)

Erst wenn das klappt mit der WiFi Konfig beginnen.

Quote from: stefanpf on May 08, 2020, 08:38:30 PM
Management Switch vorhanden? Dann teste Leg dir erstmal 3 Ports untagged in jedes Vlan und teste ob DHCP funktioniert.
(zumindest bei der Apu3 muss "Disable VLAN Hardware Filtering" gesetzt werden, sonst klappt das nicht)

Ohne Switch würde ich erstmal nen Lapti an den Port hängen, DHCP kontrollieren. Schauen ob du über den Lapi Port 8080? (den aus der Inform-Url) am Kontroller erreichen kannst

Bei meinem Switch habe ich Port #6 auf tagged gesetzt - da hängt der POE Adapter mit dem Unifi AP dran. Habe ich das recht verstanden, dass dies der trunk ist (über den alles tagged/untagged läuft)?

Auf meiner Linux Box habe ich mein "eth0" ebenfalls getagt:


        $ sudo ip link add link enp5s0 name enp5s0.20 type vlan id 20
        $ sudo ip addr add 192.168.20.20/24 brd 192.168.20.255 dev enp5s0.20
        $ sudo ip link set dev enp5s0.20 up
        $ ip addr show dev enp5s0.20
        6: enp5s0.20@enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
            link/ether 00:1f:d0:9d:e7:81 brd ff:ff:ff:ff:ff:ff
            inet 192.168.20.20/24 brd 192.168.20.255 scope global enp5s0.20
               valid_lft forever preferred_lft forever
        $ route -n
        Kernel IP Routentabelle
        Ziel            Router          Genmask         Flags Metric Ref    Use Iface
        0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp5s0
        192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp5s0
        192.168.20.0    0.0.0.0         255.255.255.0   U     0      0        0 enp5s0.20
        192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0


Für mein Verständnis sollte nun zumindest ein ping auf das gateway möglich sein:


        $ ping 192.168.20.1
        PING 192.168.20.1 (192.168.20.1) 56(84) bytes of data.
        From 192.168.20.20 icmp_seq=1 Destination Host Unreachable
        From 192.168.20.20 icmp_seq=2 Destination Host Unreachable
        From 192.168.20.20 icmp_seq=3 Destination Host Unreachable


Auf der pfsense gab es auch keine DHCP Vergabe, auch wenn lt. log dort gelauscht wird:


May 8 21:01:31 dhcpd Sending on BPF/vr1_vlan20/00:0d:b9:32:41:71/192.168.20.0/24
May 8 21:01:31 dhcpd Listening on BPF/vr1_vlan20/00:0d:b9:32:41:71/192.168.20.0/24


Aber auch wenn ich ein gateway per Hand eingebe.


        $ sudo ip route add default via 192.168.20.1
        $ route -n
        Kernel IP Routentabelle
        Ziel            Router          Genmask         Flags Metric Ref    Use Iface
        0.0.0.0         192.168.20.1    0.0.0.0         UG    0      0        0 enp5s0.20
        0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 enp5s0
        192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 enp5s0
        192.168.20.0    0.0.0.0         255.255.255.0   U     0      0        0 enp5s0.20
        192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
        $ping 192.168.20.1
        PING 192.168.20.1 (192.168.20.1) 56(84) bytes of data.
        From 192.168.20.20 icmp_seq=1 Destination Host Unreachable
        From 192.168.20.20 icmp_seq=2 Destination Host Unreachable


klappt es nicht. Nebenbei habe ich eben/oben das Netzwerk abgeschossen? Nachdem ich das VLAN device gelöscht habe war ich wieder online ...

In der Theorie klingt das taggen recht einfach, nur die Praxis fehlt mir hier wohl ... (nie zuvor damit gearbeitet).

Edit: Wie ich gerade am Unifi Controller gesehen habe, darf ich den Port #6 nicht VLAN 'taggen', da sonst die Einbindung nicht klappt - also wieder untagged gemacht. Somit hängen AP und Controller wieder im normalen LAN.

Am Anfang Versuch Mal nicht die Server etc. mit VLANs zu konfigurieren. Dann hast du irgendwann zuviele Unbekannte
Mal eine Beispielkonfig:
VLANs:
1- Management
2 - normales LAN
3- Gäste LAN

Angenommen du hast einen 8 Port Switch
P1 - Opnsense
        Untagged:VLAN1,
        Tagged:  VLan 2&3
P2 - Unifi Ap
        Untagged:VLAN1,
        Tagged:  VLan 2&3
P3 - Unifi Controller
        Untagged: VLAN 1
P4,5&6- Irgend ein Client im LAN
        Untagged: VLAN 2
P8- Irgend ein Client im Gästenetz (per Kabel)
        Untagged: VLAN 3

Prinzip grundsätzlich verstanden?
Alle Untagged Ports im gleichen VLAN bilden eine Art virtuellen Switch.

Die Begriffe sind bei den Herstellern teilweise unterschiedlich.
Aruba redet von un-/tagged, bei anderen kommt dann noch Begriffe wie  PVID mit ins Spiel.

Vielleicht noch ein paar Details zum besseren Verständnis:
Du kannst für jeden einzelnen Switch-Port einstellen, wie er getaggte und ungetaggte Pakete behandelt.

Im obigen Bsp. von stefanpf:

(a) ein ungetaggtes Paket an P1 wird vom Switch mit 1 getaggt und intern weiter geleitet. Verlässt es den Switch an P2, wird das Tag entfernt. Das Paket erreicht als "normales ungetaggtes" Paket den AP.

(b) ein ungetaggtes Paket an P4 wird mit 2 getaggt. Verlässt es den Switch an P2, wird das Tag NICHT entfernt. Der AP ordnet es deshalb der SSID zu, die mit VLAN2 konfiguriert ist.

(c) ein mit 3 getaggtes Paket an P1 behält sein Tag. Es könnte den Switch an P2 (weiterhin getaggt) oder an P8 (danach ungetaggt) verlassen. Alle anderen Ports sind für das Paket gesperrt, da sie nicht zu VLAN3 gehören.

Der Unifi AP erwartet für seine Konfiguration immer ungetaggte Pakete. Du musst deinen Switch deshalb so einstellen, dass die Pakete des Controllers den AP ungetaggt erreichen (im Bsp. als VLAN1 realisiert).

Wenn du auf der OPNsense zusätzliche VLAN Interfaces (zB IF2, IF3) anlegst und sie dem "physischen" Interface  zuordnest, kann sie über das physische If ungetaggt, über IF2 und IF3 getaggt kommunizieren. Du würdest deshalb den Controller über das physische Interface ansprechen, das "normale LAN" über IF2 und das "Gäste LAN" über IF3. Genauso würden deine beiden WLAN SSIDs auf IF2 bzw. IF3 abgebildet werden.

Warum sind P3..P8 ungetaggt?
Da "gewöhnliche PCs" erst mal nicht VLAN-fähig sind, würden sie getaggte Pakete nicht verarbeiten können.

Zur Wahl der VLAN-IDs:
Ich habe (abgesehen von PVID1) erst ab >= 10 genutzt, da mein Netgear Switch diverse einstellige IDs standardmäßig für protokollbasierte Dinge verwendet (zB. VoIP Traffic)...

Guter Hinweis mit den einstelligen IDs!
Unifi benutzt z.B. auch ID 1 für das normale LAN, so dass die ID dort nicht zur Verfügung steht.

Btw. man kann auch das Management Netz bei Unifi in ein Vlan packen. Ich würde  aber dringend davon abraten. 
Wenn man dann noch die 'tollen' Unifi Switche benutzt, hat man im Fehlerfall eine riesen Denksportaufgabe vor sich.

Ich war mir im Nachhinein tatsächlich nicht ganz sicher bzgl. der (un)?getaggten Kommunikation für die AP Config.
Da aber in meinem Controller das "Corporate LAN" keine VLAN-ID gelistet hat, hab ich's mal so unterstellt ;)
Ja, ich hab die APs an einem Unifi 8P  hängen...

Ich hab desweiteren bei meinen Switches und der OPNsense drauf geachtet, mindestens einen ungetaggten Port zu haben, über den die Management-Oberfläche erreichbar ist. Ich hatte mich mal aus meiner alten Sophos UTM ausgesperrt nach einer verunglückten VLAN Konfiguration, war nicht schön :))

Ersteinmal vielen Dank für die Geduld und Erklärungen. Ich hoffe, ich habe das Prinzip verstanden - bis auf den Trunk Port im zweiten Posting, welche Rolle er nun in diesem Beispiel spielt.

Ich habe nun 3 VLAN mit dem parent auf dem LAN device erstellt, VLAN10 (management) ist noch inaktiv, Normal (20) und Guest(30) LAN mit statischer IP auf 192.168.{20,30}.1 und DHCP in dem entsprechenden Netzsegment.

(https://abload.de/thumb/pfs_interface_assign7bkgk.png) (https://abload.de/image.php?img=pfs_interface_assign7bkgk.png)

Auf dem Switch (Zyxel GS1900) habe ich nun folgendes eingestellt:

(https://abload.de/thumb/zyxel_vlan_settings6skks.png) (https://abload.de/image.php?img=zyxel_vlan_settings6skks.png)

Ich hoffe, es spiegelt obiges Bsp. korrekt wieder (bis auf die Trunk Port Frage - nach den Dokus muss das der opnsense port sein). IMO sehr intuitiv ist das API von dem Zyxel nicht - eher pragmatisch/funktional.

Die Idee ist nun zu checken, ob am Port 10, 12, 14 das DHCP mir die IPs im Netz 192.168.{10,20,30}.0/24 vergeben werden. Eben getestet: klappt nicht mit den Settings bzw. Alix Board (die Settings für's APU3 habe ich bei mir nicht gefunden)

Kenne mich mit Zyxel nicht aus, aber für mich sieht das so aus als hängen alle Ports noch Mal untagged in VLAN1.

Bei den Untagged genutzten Ports sollte die PVID auf das gleiche VLAN eingestellt werden.
Bisschen Lesestoff:
https://support.zyxel.eu/hc/de/articles/360001390814-So-konfigurieren-Sie-VLAN-auf-Zyxel-Switche

Was meinst du mit APU3 Einstellungen? Etwa das Disable Vlan Hardware Filtering? Die Einstellung ist unter Interfaces / Settings zu finden.

Also wenn dein Zyxel so ähnlich parametriert wird wie mein Netgear (Bezeichner in deiner Tabelle sind quasi gleich), dann dürfte das so gar nicht konfigurierbar sein. Du hast bei allen Ports als PVID =1, d.h. alle ungetaggten Pakete, die in den Switch reingehen, erhalten als Tag die 1 (VLAN1 zugeordnet). Es gibt (zumindest bei mir) pro Port genau 1 Möglichkeit, ungetaggte Pakete zu taggen: mit der PVID. Port 12 zB kann danach gar nicht ungetaggt in VLAN20 sein.
Der Trunk-Port leitet einfach ALLE VLANs weiter, Ports mit E sind dagegen NICHT in allen VLANs und würden getaggte "fremde" Pakete einfach droppen.

Mit Zyxel's Doku zu VLAN  habe ich mich nicht mir Ruhm bekleckert - das Manual hatte ich aber zuvor gefunden.

OK, nächster Versuch:

(https://abload.de/thumb/zyxel_vlan_2020-04-10yskfp.png) (https://abload.de/image.php?img=zyxel_vlan_2020-04-10yskfp.png)

jetzt sollten zB. am Port 14 des Switch alle intern mit 30 getaggten und gerouteten Packete untagged den Switch verlassen (bzw. umgekehrt). Würde jetzt für das Netz DHCP funktionieren wäre alles gut - aber mein Client bekommt dort keine IP und hat entsprechend kein INet....

Irgendwo habe ich noch einen Knoten ...

Ungetaggte Packete bekommen durch die PVID = 1 am Port{1,3,4} automatisch die VLAN 1. Damit schieße ich mich nicht selber ab - vorher ging es ja ohne VLAN auch so. Das Management Net/VLAN ignoriere ich erst'mal bis es mit den 20er und 30er funktioniert.

Bzgl. Port 4 (Unifi AP) bekommen alle ungetaggten intern VLAN1 (da PVID=1) Zugehörigkeit, alle mit 20 und 30 getaggten Packete behalten ihre Tags und kommen so am Port rein/raus.

Der opnsense Port ist Trunk und arbeitet alle VLANS und ungetaggten Packete ab.

Quote from: hkp on May 09, 2020, 10:36:23 PM
Also wenn dein Zyxel so ähnlich parametriert wird wie mein Netgear (Bezeichner in deiner Tabelle sind quasi gleich), dann dürfte das so gar nicht konfigurierbar sein. Du hast bei allen Ports als PVID =1, d.h. alle ungetaggten Pakete, die in den Switch reingehen, erhalten als Tag die 1 (VLAN1 zugeordnet). Es gibt (zumindest bei mir) pro Port genau 1 Möglichkeit, ungetaggte Pakete zu taggen: mit der PVID. Port 12 zB kann danach gar nicht ungetaggt in VLAN20 sein.

Ich hänge mal die Bilder von den Einstellungen mit ran, evtl. habe ich auch die Tabelle falsch erstellt:

(https://abload.de/thumb/zyxel-vlan15rj8u.png) (https://abload.de/image.php?img=zyxel-vlan15rj8u.png)(https://abload.de/thumb/zyxel_vlan10rpjyo.png) (https://abload.de/image.php?img=zyxel_vlan10rpjyo.png) (https://abload.de/thumb/zyxel_vlan20jxko9.png) (https://abload.de/image.php?img=zyxel_vlan20jxko9.png) (https://abload.de/thumb/zyxel_vlan3038jwr.png) (https://abload.de/image.php?img=zyxel_vlan3038jwr.png)

Aktueller Stand ist also, das Clients (PC) an Port 10, 12, 14 keine IP bekommen.

Hast du auf deinen VLAN Interfaces in der OPNsense den DHCP Server enabled und parametriert?

ja, DHCP ist für alle VLAN aktiviert (inzwischen habe ich VLAN10 - Management - auch aktiviert).

(https://abload.de/thumb/pfs_dhcp_mng_landwjtx.png) (https://abload.de/image.php?img=pfs_dhcp_mng_landwjtx.png) (https://abload.de/thumb/pfs_dhcp_unifi_guesty3jsk.png) (https://abload.de/image.php?img=pfs_dhcp_unifi_guesty3jsk.png) (https://abload.de/thumb/pfs_dhcp_unifi_lan7yk0e.png) (https://abload.de/image.php?img=pfs_dhcp_unifi_lan7yk0e.png)

Die anderen Felder sind on default, dort habe ich nichts geändert.

wie ich gerade gesehen habe, stimmt die Switch Portbelegung in der Tabelle nicht mit der Realität überein - ich melde mich nochmal. Sorry, aber der Zyxel hat eine un-intuitive Nummerierung und steht im Schatten ...

Ziemlich dämlich von mir - jetzt bekommen zumindest im WiFi die Clients in beiden VLAN eine IP, wenn auch kein Internet wegen der Rules. Das kommt dann hoffentlich morgen. Die Switch Ports {10,12,14} probiere ich morgen, da der andere PC okkupiert ist ...

Edit: DHCP klappt auch an den anderen Switch Ports. Da habe ich mich nicht mit Ruhm bekleckert - Sorry.

Vom PC Client geht Ping auf die Gateways 192.168.{10,20,30}.1, aber nur von dem Guest VLAN30 komme ich in das Internet. Die anderen beiden Netze scheinen aber DNS Auflösung zu haben - nslookup www.github.com gab eine public Addresse zurück. Auch erreiche ich vom VLAN20 nicht mehr meinen Docker Server. Das gleiche trifft auch auf die WLAN Clients zu. Igendwie muss ich ja auch den Zugriff auf opnsense begrenzen, aber die anderen Docker/Server zugänglich machen. Welche regel fehlt da?