OPNsense Forum

Moin,

Gliederung:
1. Mein Netzwerk
2. Problemdarstellung
3. Eigentliches Ziel & Unklarheiten


Mein Netzwerk:
Ich habe hier im Forum gelesen mann sollte sein Netwerk (nach best practice) wie folgt aufteilen:
https://forum.opnsense.org/index.php?topic=5202.0

PRIVAT_VLAN               ( -> bei mir 192.168.2.1 - 192.168.2.254)
MANAGEMENT_VLAN     ( -> bei mir 192.168.5.1 - 192.168.5.254)
GUESTNET_VLAN          ( -> bei mir 192.168.200.100 - 192.168.200.200)

Da VLAN Konfigurationen mir neu sind habe ich mein LAN Interface auf igb0 gelassen und die VLAN Interfaces wie folgt eingestellt (siehe interfaces.PNG)

Die Firewall hab ich erstmal so konfiguriert, dass ich mit meinem PC vom 192.168.1.1, 192.168.2.1 und  192.168.5.1 Netzwerk auf alles zugreifen kann. Das funktioniert soweit auch (z.B. PC mit 192.168.2.2 greift auf OPNsense 192.168.1.1 zu). DHCP Server sind jeweils auch aktiviert.

Physisch sieht das Netzwerk so aus (siehe Netzwerk.png)

Das GUESTNET Interface habe ich nach dieser Anleitung eingerichtet:
https://docs.opnsense.org/manual/how-tos/guestnet.html?highlight=guest
alle anderen sind analog, nur mit offenen Firewall Regeln und ohne Inet Drosselung usw.

2. Problemdarstellung
Ich habe den Router am Switch Port 1 angeschlossen und die Port wie folgt konfiguriert:
ID      Name          tagged Port              untagged Port
1        default        1                             2 - 5, 7 - 11
5        VLAN 5        1                             6, 12 - 16
10      VLAN 10      1                             

Damit sind die APs und der Controller im 192.168.5.XXX Netz.

Im EAP Controller für die APs habe ich versucht die Wireless Setting-> Edit SSID mit VLAN 1 und VLAN 10 (GUESTNET) zu erstellen (siehe tplinkvlan.png)

Wenn ich nun mit dem Telefon im Netzwerk bin, bekomme ich jedoch kein Internet und die Interne IP 192.168.1.105.
Mit dem Server / NAS kann ich jedoch aus 192.168.5.3 (VLAN 5) mit ping google erreichen.

Ich habe keinen Port als Trunk markiert, da ich nicht wirklich weiß, wann man das brauch, da dieser so weit ich verstanden habe zum verbinden von zwei Switches benutzt werden kann um VLANs auszutauschen.


Eigentliches Ziel & Unklarheiten
Trennung vom Gast-, Privaten- und Management-Netzwerk.
Ich habe versucht in etwa sowas zu erstellen (siehe wantNetwork.png).


Was mir noch nicht ganz klar ist:

- Braucht man noch das Interface LAN? Hab gelesen mann sollte lieber nur VLANs nutzen...

- Wieso erkennt der Switch eigentlich nicht, welche VLANs es gibt, wenn er diese doch anhand der Pakete vom Router erkennen müsste?

- Wenn ein AP im Vlan 5 ist, wie stellt er dann die wireless Netzwerke für VLAN 1 und 10 zur Verfügung: Müssen die Ports an dem der AP Steckt auf Trunk gestellt sein oder reicht es VLAn 1 und 10 als tagged zu markieren?

Leider weiß ich nicht mehr weiter, vielleicht hat hier ja noch jemand eine Idee?

> Was mir noch nicht ganz klar ist:

Dafür gibts uns :)

> - Braucht man noch das Interface LAN? Hab gelesen mann sollte lieber nur VLANs nutzen...

Kommt darauf an wofür du LAN verwendest oder was du als LAN siehst. Im Prinzip splittet man normalerweise ja ein "normales 08/15" Home-LAN in mehrere (V)LANs auf. Ob du das ursprüngliche IP Netz ggf. noch brauchst oder nicht, kommt drauf an was du da rumstehen hast. Manche nutzen Server/NAS/sonstiges, das man nicht so einfach auf neue IPs umlegen möchte, also wird das "LAN" recycled.

Aber ja, wenn man Netze trennt, sollte man schon allein um Debugging und derlei zu vereinfachen nicht mit dem normalen "default" VLAN 1 / untagged LAN und zusätzlich VLANs anfangen, das kann schnell zu Konfusion führen und dann wundert man sich, warum Pakete vom einen im anderen VLAN rauskommen.

> - Wieso erkennt der Switch eigentlich nicht, welche VLANs es gibt, wenn er diese doch anhand der Pakete vom Router erkennen müsste?

Warum sollte er das? Ein Switch erkennt an einem Paket über das VLAN ID Feld, ob es getaggt ist oder nicht. Ist es nicht getagged, dann nimmt er es normal "untagged" an und tut, was auf dem Port konfiguriert wurde er tun soll. Wenn der Switch also auf Port 12 bspw. untagged VLAN 10 konfiguriert ist, dann wird er dort vom PC ankommende Pakete OHNE VLAN Tag annehmen und das Tag VLAN 10 hinzufügen. Umgekehrt wird Traffic an den PC durch den Switch an diesem Port dann abgehend das VLAN Tag entfernt, damit die Netzwerkkarte im PC die Pakete korrekt annimmt.

Würden Pakete getaggt ankommen, egal in welchem VLAN, würde sie der Switch laut Regularium verwerfen müssen, da hier NUR Pakete ohne Tag (untagged) konfiguriert sind. Umgekehrt natürlich das gleiche Spiel. Ist der Port auf Tagged VLAN 10 und es kommen Pakete an ohne Tag -> verwerfen. So ist VLAN Tagging definiert, ansonsten wäre es recht einfach die VLAN Isolation durcheinander zu bringen :)

Daher kann und SOLL der Switch überhaupt nichts automatisch "annehmen", denn er bekommt nur über seine Switchport Konfiguration mitgeteilt, was an welchem Port wie erlaubt ist und was nicht. "Automatisch" kann er dabei gar nichts erkennen, denn nicht alle VLANs müssen ja zum Router laufen. Woher sollte er also wissen, welche VLAN Tags an einem Port erlaubt sind, wenn du es ihm nicht sagst? ;)

> - Wenn ein AP im Vlan 5 ist, wie stellt er dann die wireless Netzwerke für VLAN 1 und 10 zur Verfügung: Müssen die Ports an dem der AP Steckt auf Trunk gestellt sein oder reicht es VLAn 1 und 10 als tagged zu markieren?

Das hängt stark vom Access Point ab, wie er gern konfiguriert werden möchte. Bei Ubiquiti bspw. gibt es in der AP Einstellung ein Management VLAN, über welches der AP selbst kommuniziert (und du mit ihm). Alle weiteren VLANs die benötigt werden - bspw. weil du eine SSID direkt in ein bestimmtes VLAN packen willst - müssen dann tagged auf dem Port sein. Das Mgmt muss untagged bzw. default sein. Sprich für dein Beispiel: Trunk Port mit Default 5 und die restlichen VLANs tagged obendrauf.


Generell würde ich dir empfehlen für alle internen Netze entsprechend VLANs zu nutzen und nicht VLAN ID 1 zu verwenden, da das immer Problemchen gibt wenn man tagged arbeiten möchte oder mal ein Denkproblem hat.

Ich würde auch der Einfachheit halber VLAN IDs und IP Ranges verwenden, die man ableiten kann, das macht es wesentlich einfacher zu sehen, wo der Wurm drin ist.

Beispiel: zufällig gewähltes 172er/16 Netz als Basis für alle /24er:

* Management: 172.17.0.0/24 -> VLAN ID 1700
* Lan/Heimnetz: 172.17.10.0/24 -> VLAN ID 1710
* Arbeits/Labnetz: 172.17.11.0/24 -> VLAN ID 1711
* IoT: 172.17.12.0/24 -> VLAN ID 1712
* Media: 172.17.13.0/24 -> VLAN ID 1713
* ... weitere Netze wie gewünscht
* Gästenetz: 172.17.20.0/24 -> VLAN ID 1720

Das Schema sieht man sicherlich. Und man weiß dann auch sofort: Hey da taucht eine IP mit 17.20 im VLAN 1711 auf, da muss irgendwas am Switch o.ä. verkehrt sein, das dürfte da gar nicht zu sehen sein! Erleichtert die Übersicht.

Gerade bei den TPLink Kisten im Screenshot bin ich mir bspw. nicht sicher, ob die VLAN ID 1 wirklich auch sauber als Tag verwenden oder nicht. TPLink ist da in der Vergangenheit schon ein zweimal aufgefallen bei den günstigen Switchen, dass sie VLANs nicht sauber vom Default 1 separiert haben, daher wäre ich da ggf. etwas auf der Hut.

Ansonsten wäre ich vorsichtig, dass du - wenn du ein klassisches MGMT machst - auch wirklich nur die Management Ports oder Schnittstellen in dieses VLAN hängst, damit da nicht drüber geroutet wird, sondern da wirklich nur Management drin läuft für Zugriff auf die UIs bspw. Zugriff in das Netz sollte aber stark begrenzt oder vollständig geblockt sein. Je nach Hardware kann man da nen expliziten Switchport definieren der dann im MGMT VLAN untagged hängt und/oder ein Mgmt WLAN damit man nen Rechner/Laptop/PC ins MGMT bekommt wenn man was einstellen muss, aber sonst kein Zugriff möglich ist.

Grüße
Jens

Moin,

das mit dem VLAN 1 hatte ich umgestellt und hat weiter super funktioniert. Dein Text war sehr hilfreich^^

Das mit den Access Points habe ich mittlerweile hinbekommen, wenn auch nur durch Zufall. Da ich im Internet nichts dazu gefunden habe, hier meine Lösung:

TP-Link AP auf einen Untagged Port für VLan Management am Switch anschließen (angenommen der Controller für die AP hat dort auch seine IP). Dann über den Omada Controller den AP übernehmen.

Einstellungen im Omada Controller:

- Management VLan aktivieren und die ID eintragen
- für die weiteren WLANs die man erstellt können die jeweils anderen VLan IDs eingetragen werden, z.B.:

Wireless Settings -> Add: Dort alles Einstellen und dabei SSID Broadcast enabled, Wireless VLAN enabled und die ID dazu eintragen.

An dem Punkt hat man z.B. SSID "Wlan10" mit Vlan 10 und die APs sind noch im Management VLan 200 (weil der Port noch Untagged ist). Erstellt man ein SSID "Wlan200" im Vlan 200 hat man über diesen Zugang zum Internet, über alle anderen jedoch nicht.

An der Stelle habe ich am Switch den Port vom AP für jeden Vlan als Tagged markiert (also in dem Beispiel Vlan200 und Vlan10 als Tagged). So funktioniert es super!

Vielleicht nicht besonders gut beschrieben, aber vielleicht hilft das irgendwann jemanden...


Soweit so gut... aber ein paar Fragen habe ich noch:

Verbleibendes Problem:

Ich möchte einen Service von außen erreichen (ähnlich wie VPN ins Heimnetzwerk). Da ich einen deutsche Glasfaser Anschluss habe, wurde mir mitgeteilt, dass ich einen Shared IP Anschluss habe und das es trotz dem kein Problem wäre in mein Netzwerk zu kommen. Anleitung von DG im Anhang wie man sowas hinbekommen sollte.

Fragen:

Ich habe meine externe IPv4 (obwohl ich eine IPv6 haben sollte). Wo kommen da die Anfragen an? Bzw. kann ich sehen ob diese überhaupt irgendwo geblockt wurden? Laut Anleitung sollte das nur mit IPv6 gehen...

Reicht es aus den Port im WAN freizuschalten und im Nat eine Portweiterleitung vom WAN ins DMZ Vlan zu erstellen?

Gruß Technix

mehr passte nicht in den Anhang...

Quote from: Technix on October 15, 2020, 03:56:07 PM
Moin,
Verbleibendes Problem:

Ich möchte einen Service von außen erreichen (ähnlich wie VPN ins Heimnetzwerk). Da ich einen deutsche Glasfaser Anschluss habe, wurde mir mitgeteilt, dass ich einen Shared IP Anschluss habe und das es trotz dem kein Problem wäre in mein Netzwerk zu kommen. Anleitung von DG im Anhang wie man sowas hinbekommen sollte.

Fragen:

Ich habe meine externe IPv4 (obwohl ich eine IPv6 haben sollte). Wo kommen da die Anfragen an? Bzw. kann ich sehen ob diese überhaupt irgendwo geblockt wurden? Laut Anleitung sollte das nur mit IPv6 gehen...

Reicht es aus den Port im WAN freizuschalten und im Nat eine Portweiterleitung vom WAN ins DMZ Vlan zu erstellen?

Gruß Technix

Versuch macht klug. Ist das denn eine ordentliche öffentliche IPv4 Adresse, die du da zugewiesen bekommst?

Ist die OPNsense direkt am WAN oder ist da noch ein Router dazwischen? Wenn direkt, sollte es relativ einfach sein, mal einen Port auf dem WAN zu öffnen und von außen testweise darauf zuzugreifen. Wenn das geht, wird offenbar seitens Deutsche Glasfaser alles ordentlich durchgeroutet.

Und bitte folge nicht diesem Beispiel aus Deinem Anhang. Kein RDP direkt ins Internet. Das klingt nämlich für mich nach "ähnlich wie VPN ins Heimnetzwerk"

Moin,

so hab nochmal etwas rumprobiert und ich habe mittlerweile mit DHCPv6 auch IPv6 Adressen zugewiesen bekommen. Mit 6rd ging das zwar auch, wird wohl aber demnächst von DG nicht mehr unterstützt.
Mit 6rd hatte mein Gateway WAN_DHCP6 eine IPv6 zugewiesen bekommen und mit DHCPv6 bekommt jetzt mein WAN und bspw. DMZ Interface IPv6 Adressen.

siehe auch hier: https://1drv.ms/u/s!AjCPxlBgJL6FiaszuuoydU4vE-U5pA?e=anBR0J (https://1drv.ms/u/s!AjCPxlBgJL6FiaszuuoydU4vE-U5pA?e=anBR0J)

Wenn ich die IPv6 Adressen Pinge sehe ich das in der Firewall bei Liveansicht auf der wan Schnittstelle. Soweit scheint das IPv6 also erstmal zu funktionieren / anzukommen.

Was ich noch nicht ganz verstehe ist, dass bei Gateway WAN_DHCP eine andere IP steht als die IPv4 wie ich bei z.B. wieistmeineip.de sehe. Ich vermute mal, dass ich somit keine eigene IPv4 habe (die shared IP) und deswegen auch keine blocks auftauchen, wenn ich diese anpinge o.ä.

verbliebene Fragen:

Kann die Opnsense auch Anfragen die an eine IPv6 gehen an eine IPv4 routen? Wenn der Service keine IPv6 unterstützt müsste man das ja irgendwie umrouten. Quasi ein eigener Tunnel im Netzwerk.

Kann man bei der Ipv6 Prefix ID irgendeine Zahl eintragen? Ich kann auf zwei Interfaces nicht die selbe Zahl benutzen. Was muss man da beachten?

Gruß Technix

Könnte mir vorstellen das du es mit dem HAptoxy umsetzen könntest


Gesendet von iPhone mit Tapatalk Pro