Hallo,
ich bin neu und hab hier ein Problem, dass ich nicht verstehe und ich habe auch noch nicht verstanden, wie ich das analysiere.
Ich habe eine Proxmox in der OPNsense als VM läuft. Ein 4*NIC habe ich per passthrough in die VM übergeben, so dass Proxmox damit nichts mehr zu tun haben sollte. An einem der Ports habe den WAC-2000 mit seinen AP angeschlossen. Dieser baut 2 WLAN auf: Eines mit und eines ohne VLAN-ID. Der Controller und die AP können VLANs (nach deren Beschreibung im Handbuch/Specs)
grober Aufbau:
+----------------------+
|Proxmox |
| |
| +----------------+ |
| | OPNsense | |
| | | |
| | | |
| +------|---------+ |
| | |
| |Passthrough |
| |4 NIC |
+---------|------------+
|
+-----------------+
|LevelOne WAC2000 |
| |
|WLAN Controller |
+----|--------|---+
| |
/ |
+---|---+ +---|---+
|WAP6121| |WAP8121|
| | | |
|WLAN AP| |WLAN AP|
+-------+ +-------+
ich habe nun nach verschiedenen Anleitungen (und der OPNsense Dokumentation):
- Ein VLAN Device auf dem "normalen" Device aufgebaut
- Eine statische IPv4 vergeben
- Den DHCP aktiviert
- Eine "Alles darf ins Internet" Regel in der Firewall eingestellt
Das Problem ist nun, dass im WLAN OHNE VLAN-ID funktioniert alles, in dem WLAN MIT VLAN-ID geht nichts.
Da ich neu in OPNsense bin:
Wie sehe ich ob tatsächlich Pakete (DHCP requests?) auf dem Interface ankommen?
Wie sehe ich ob die korrekt VLAN ID an den Paketen dran steht?
Muss ich am Proxmox irgendetwas einstellen, damit der passthrough auch VLAN kann?
Irgendwie stehe ich da auf dem Schlauch und bin mehr als dankbar für Hilfe!
VG
watchme
1. also, ich habe mir mal die anleitung für deinen LevelOne WAC-2000 geladen, leider finde ich nichts in der anleitung zu vlan. kannst du mich mal aufklären auf welcher seite der anleitung du es gelesen hast?
ich habe das gefühl das es nicht "richtig" vlan ünterstützt.
2. soll das ding auch eine firewall sein, bist du dir sicher das sie dir nicht dazwischen funkt?
3. ich empfehle ubnt, die dinger laufen, und können so gut wie alles, besonders mit dem controller
Danke für deine Antwort :-)
Quote from: micneu on December 02, 2020, 05:57:38 AM
1. also, ich habe mir mal die anleitung für deinen LevelOne WAC-2000 geladen, leider finde ich nichts in der anleitung zu vlan. kannst du mich mal aufklären auf welcher seite der anleitung du es gelesen hast?
ich habe das gefühl das es nicht "richtig" vlan ünterstützt.
Das habe ich gefunden auf der LevelOne Produktseite http://global.level1.com/Wireless-LAN-Controller/WAC-2000/p-3898.htm (http://global.level1.com/Wireless-LAN-Controller/WAC-2000/p-3898.htm) unter "Security". Außerdem im Handbuch (selber Link unter Downloads) auf Seite 10 bei der Einrichtung der WLAN SSIDs und im Datasheet.
Allerdings finde ich auch die Featureumschreibung "Support VLAN based on different policy" eigentümlich. Kann aber auch einfach eine schlechte Übersetzung sein?
Quote from: micneu on December 02, 2020, 05:57:38 AM
2. soll das ding auch eine firewall sein, bist du dir sicher das sie dir nicht dazwischen funkt?
Ja, Ich habe alle Funktionen (FW, WAN, DHCP, ... ) aus gemacht, die woanders geregelt werden.
Quote from: micneu on December 02, 2020, 05:57:38 AM
3. ich empfehle ubnt, die dinger laufen, und können so gut wie alles, besonders mit dem controller
Danke für die Empfehlung. Aber wenn ich noch einmal >1000€ ausgebe würde ich AP mit PoE und Wifi-6 kaufen.
Wie kann ich denn untersuchen, ob die Pakete korrekt laufen?
Wie kann ich untersuchen ob bei OPNsense überhaupt VLAN-IDs eingehen?
Quote from: watchme on December 02, 2020, 11:20:33 AM
Danke für deine Antwort :-)
Danke für die Empfehlung. Aber wenn ich noch einmal >1000€ ausgebe würde ich AP mit PoE und Wifi-6 kaufen.
POE und wifi 6 können die ubnt ap´s
https://eu.store.ui.com/collections/unifi/products/unifi-6-long-range-access-point
und die kosten nicht mal viel (und du benötigts nicht noch irgendwelche lizenzen für den controller)
Gut, aber wenn ich nicht Mal weiß wie ich überprüfe was an der opnsense ankommt, kann ich auch nicht sagen ob es an den AP liegt oder an der opnsense. Vielleicht macht die Host Maschine was kaputt?
Ich würde mir das gerne ansehen, weiß aber nicht wie
Interfaces: Settings
Anhaken:
Disable hardware checksum offload
Disable hardware TCP segmentation offload
Disable hardware large receive offload
VLAN Hardware Filtering auf disable
Dann brauchst Du auf dem Interface, welches zum WLAN Controller führt, neben dem normalen Interface noch das VLAN Interface mit der richtigen ID. Auf dem WLAN Controller musst du dem natürlich auch sagen, dass der Port zur OPNsense der Trunk (alle VLANs) sein soll. Dann sollten die Pakete eigentlich an der OPNsense ankommen und es sollte eine DHCP IP verteilt werden an Clients aus einem VLAN-WLAN.
Die Einstellungen habe ich so gemacht. Aber keinen Erfolg. Gibt es dafür nicht eine Art der Diagnose auf der opnsense, ob die ankommenden Pakete überhaupt eine vlan ID mitbringen?
Also ich habe den Access Point jetzt direkt an den Port gehängt. Und selbst dann wird auf opnsense keine Verbindung aufgebaut.
Die Konfiguration habe ich so angehakt wie oben beschrieben.
Also entweder schickt der AP kein vlan raus oder die opnsense kann damit nicht umgehen...
Kann ich auf der opnsense die einzelnen ankommenden Pakete analysieren?
Kann dein Problem auch wo anderes sein:
- deinem ap?
Die meisten hier im Forum nutzen ubnt ap.
Ich setze die auch ein und mit den geht es.
Gesendet von iPhone mit Tapatalk Pro
Quote from: watchme on December 09, 2020, 01:35:18 AM
Gibt es dafür nicht eine Art der Diagnose auf der opnsense, ob die ankommenden Pakete überhaupt eine vlan ID mitbringen?
Weshalb benutzt Du nicht einfach tcpdump?
Quote from: pmhausen on December 16, 2020, 06:02:10 PM
Weshalb benutzt Du nicht einfach tcpdump?
weil ich bis zu deinem Hinweis den Punkt "packet Filter" gar nicht gesehen habe ;-D Danke dafür... Da sehe ich aber, dass auf dem VLAN nichts ankommt. Das scheint alles ohne VlanID gesendet zu werden. im AP ist aber ein VLAN definiert... entweder kann das Gerät das doch nicht (es scheinen im Handbuch tatsächlich features zu stehen, die das Gerät nicht hat) oder ich habe noch einen Denkfehler in dem Aufbau.
Ich hab auch die WAC-2000 gegen einen DSG-1210-08P getauscht und dort einen Port untagged auf mein VLAN konfiguriert. Als ich mich mit dem Laptop daran angeschlossen habe, war alles so, wie es sein sollte. Also scheint die OPNSense richtig konfiguriert zu sein. Der AP macht aber weiterhin nichts mit VLAN...
Dieser LevelOne - Mist >:(
Habe ich nicht von Anfang an sowas gesagt?
Meine Empfehlung ubnt
Gesendet von iPhone mit Tapatalk Pro
Quote from: watchme on December 17, 2020, 01:34:28 AM
Quote from: pmhausen on December 16, 2020, 06:02:10 PM
Weshalb benutzt Du nicht einfach tcpdump?
weil ich bis zu deinem Hinweis den Punkt "packet Filter" gar nicht gesehen habe ;-D
Den kannte ich bis gerade eben auch noch nicht. Ich meinte SSH auf das Gerät und dann tcpdump. So mache ich das überall, wo ich es mit Unix und Netzwerkproblemen zu tun habe. ;)