Hallo zusammen,
vorab: ich bin ganz frisch hier im Forum und möchte mich daher kurz vorstellen. Pascal, 28J, Einsteiger im OPNsense-Bereich. Bisher habe ich eher Erfahrungen im Proxmox-Bereich gesammelt. OPNsense ist für mich wirklich Neuland. Ich freue mich hier sein zu dürfen. :-)
Nun zu meinem Anliegen.
Ausgangssituation:
Fritzbox 5590 Fiber als Modem, OPNsense stellt auf eth0 eine PPPoE-Verbindung zum Provider her. Auf eth1 befindet sich mein LAN Interface. An eth1 ist ein 8-Port-Switch unmanaged angeschlossen. Hierüber ist u.a. mein Proxmox Node angeschlossen sowie ein Fritzbox 1200 WiFi Repeater. Das WLAN der Fritzbox 5590 ist deaktiviert.
Der Datenverkehr aller per Kabel und WLAN verbundenen Geräte läuft vollständig über die OPNsense.
Mein LAN (eth1) ist 192.168.178.0. DHCPv4 ist aktiviert. Sämtliche Geräte ohne statisch konfigurierte IP-Adresse erhalten eine IP-Adresse aus der range 192.168.178.50 bis 192.168.178.245.
Ziel/Wunsch:
Ich möchte mit dem Fritzbox AP verbundene Smart Home Geräte (Rollladensteuerung, Lichter, Steckdosen, Gartenbewässerung etc.) komplett von den anderen Geräten des LANs abkoppeln.
Problem:
Alle WLAN-Geräte verbinden sich bisher über den Fritzbox 1200 WLAN AP über dieselbe SSID. Das führt unweigerlich dazu, dass alle Geräte im 192.168.178.0 landen. Bisher habe ich keine Möglichkeit gefunden, wie ich Geräte, z.B. anhand der MAC-Adresse, einem anderen VLAN zuordnen könnte.
Insbesondere die Smart Home Geräte lassen sich teilweise nicht mit statischer IP-Adresse konfigurieren. Somit kann ich diese nicht von vornherein auf ein anderes Subnetz/VLAN (192.168.179.0) konfigurieren.
Lösungsvarianten:
Variante 1: Ich könnte ein komplett separates WLAN-Mesh-Netzwerk mit eigener SSID aufspannen, in dem sich die Smart Home Geräte befinden. Die Nachteile sind zusätzliche Investitionskosten und zum anderen ein weiteres WLAN in der Nachbarschaft. ::)
Variante 2: Alle Geräte, die nicht in die Kategorie des Smart Homes fallen, werden händisch mit statischer IP-Adresse, z.B. aus dem 192.168.179.0 Netz, konfiguriert und die smart devices bleiben im 178er Netz. Nachteil: Manueller Aufwand, der immer wieder auftritt. Insbesondere dann, wenn neue Geräte dazukommen.
Variante 3: Ich aktiviere das Gastnetz des Fritzbox AP. Hier habe ich es bisher nicht geschafft, dass sich im Gastnetz befindliche Geräte eine IP-Adresse aus dem 192.168.179.0 Netz vom DHCP-Server der OPNsense ziehen.
Die Lösungsvarianten 1 und 2 stellen mich nicht wirklich zufrieden. Variante 3 finde ich charmant, aber ich finde einfach keine Lösung, wie ich über dasselbe (eth1) Interface aus zwei verschiedenen Subnetzen/VLANs IP-Adressen verteilen kann.
Ich hoffe, dass ich mein Anliegen verständlich beschrieben. Vielleicht habt ihr ja Tipps und Hinweise für mich, wie ich zum Ziel kommen könnte. Sollte etwas offen geblieben sein, dann fragt gern nach.
Viele Grüße
Pascal
VLAN und subnetz sind nicht das selbe. Für unterschiedliche VLANs brauchst du geeignete Hardware. Der Switch muss VLAN fähig sein und der WLAN AP auch. Die Fritz Produkte können kein VLAN.
Nochmal etwas klarer: du brauchst zwingend einen anderen AP, der VLANs kann. Oder zwei getrennte Fritzboxen - eine für Smart Home, eine für reguläre Geräte. Dann kann man das mit genügend Ports direkt an der OPNsense aufteilen oder über einen VLAN-fähigen Switch.
Hallo,
wenn du die WLAN's komplette trennen willst, kommst du nicht um den Kauf von geeigneter AP und Switch Hardware rum.
Viel und gerne genommen werden dafür die Geräte von Unifi, die einen preislich noch ertragbaren Rahmen sind.
Voraussetzung ist dann aber auch ein sog. Netzwerk-Controller, der die Steuerung und Konfiguration der Geräte übernimmt. Dafür gibt es mehrer Optionen, CLoudkey - fertig Lösüng, eine RaspberryPi oder eine virtuelle Maschine auf Proxmox und Co.. Für reine Konfiguration reicht auch die Software auf dem PC laufen zu lassen.
Dann kannst du mit der OPNSense VLAN einrichten und deine Netze trennen und auf der Unifi-Seite mehrere WLAN-SSID anlegen, die dann den VLAN zugeordnet werden und die Geräte voneinander trennen.
Ich nutze genau das komplette Konstrukt bei mir auch - OPNSense, Unifi-Switch und Unifi-AccessPoints mit derzeit 4 WLAN-SSIDs und 8 VLAN
Ganz lieben Dank! Ich bin jetzt gefühlt schon eine ganze Ecke schlauer und weiß, dass ich in neue APs investieren werde.
Neben UniFi ist mir hier auch TP-Link Omada aufgefallen. Sah auf den ersten Blick ganz gut aus. Beherrscht VLAN und Multi SSID. Ansonsten habe ich noch einen TL-SG108E Switch in meiner Grabbelkiste gefunden. Das Teil ist managed und beherrscht wohl auf VLAN. Meine IP-Kameras (sollen auch ein eigenes VLAN erhalten) sind bereits mit einem PoE-Switch (TL-SG108PE) verbunden.
Das scheinen schonmal ganz gute Voraussetzungen zu sein. Zumindest für die kabelgebundenen Geräte.
Worüber ich gerade gestolpert bin: Netzwerkcontroller (@Tuxtom007).
Welche Aufgaben soll der Controller übernehmen? In meiner Vorstellung konnte ich direkt auf der Weboberfläche des APs die verschiedenen SSIDs generieren und den entsprechenden VLANs zuordnen, die ich in der OPNsense konfiguriert und dem Interface (eth1) zugewiesen habe, an dem der AP angeschlossen ist.
Gerade erschließt sich mir nicht, welche Aufgabe der zusätzliche Netzwerkcontroller übernehmen soll... Kannst du mir hier auf die Sprünge helfen?
Die Unifi APs haben keine eigene Oberfläche sondern der Controller hat die Oberfläche und der konfiguriert dann die APs, Switche, etc.
Quote from: pascal585 on July 21, 2022, 08:59:37 AM
Neben UniFi ist mir hier auch TP-Link Omada aufgefallen. Sah auf den ersten Blick ganz gut aus. Beherrscht VLAN und Multi SSID. Ansonsten habe ich noch einen TL-SG108E Switch in meiner Grabbelkiste gefunden. Das Teil ist managed und beherrscht wohl auf VLAN. .......
Worüber ich gerade gestolpert bin: Netzwerkcontroller (@Tuxtom007).
Welche Aufgaben soll der Controller übernehmen? In meiner Vorstellung konnte ich direkt auf der Weboberfläche des APs die verschiedenen SSIDs generieren und den entsprechenden VLANs zuordnen, die ich in der OPNsense konfiguriert und dem Interface (eth1) zugewiesen habe, an dem der AP angeschlossen ist.
Gerade erschließt sich mir nicht, welche Aufgabe der zusätzliche Netzwerkcontroller übernehmen soll... Kannst du mir hier auf die Sprünge helfen?
TP-Link OMADA ist vergleichbar mit Unifi, fragt sich da wer von wem kopiert hat :-)
Das ganze macht aber nur Sinn, wenn alle Geräte OMADA-tauglich sind oder eben aus der Unifi-Serie, weil...
Der Netzwerkkontroller ist die zentralle Konfiguration des Netzwerkes, dort stellst du die VLAN und WLAN-SSIDs ein und verteilst die auf alle AP und Switchports im Netzwerk, egal ob 1 oder 100 AP vorhanden sind, die sind alle gleich dann.
Die APs und Switch bei Unifi sind nur per ssh erreichbar, daber darüber willst du nicht wirklich eine Konfiguration machen.
TP-Link OMADA hat WebGUIs bei den Switchen, AP bin ich gerade nicht sicher.
Aber die Konfiguration am Gerät macht den ganzen Vorteil der zentralen Konfiguration über den Controller zunichte.
Bei OMADA brauchst du den Controller übrigens genauso, egal ob als Hardware oder Software.
( Wenn du eh eine OPNSense nutzen willst, den Unifi-Controller kann man auch darauf mitlaufen lassen - mache ich z.b. so )
Für die reine Konfiguration reicht es aber, den auf dem PC zu haben, der braucht dann nicht 24/7 zu laufen.
24/7 muss der Controller nur laufen, wenn man die Firewallfunktionen der Router oder Statistiken nutzt - das setzt aber dann auch entsprechende Geräte von OMADA ( Router ) oder Unifi ( DreamMaschine, USG ) voraus, welche überhaupt die Funktionen bieten.
> TP-Link OMADA ist vergleichbar mit Unifi, fragt sich da wer von wem kopiert hat :-)
Der der früher da war. Omada gibts erst so wirklich 1-2 Jahre. Unifi länger :)
> Gerade erschließt sich mir nicht, welche Aufgabe der zusätzliche Netzwerkcontroller übernehmen soll... Kannst du mir hier auf die Sprünge helfen?
Mehrere. Unifi (by Ubiquiti) und Omada (by TPlink kopiert ^^) sind grob SDNs - software defined networks. Deine Hardware hat also keine (alleinige) Logik mehr, sondern die Logik übernimmt der Controller. Der konfiguriert die Switche und APs mit dem was gebraucht wird. Du legst ein VLAN an? Dann wird das automatisch auf alle Geräte gepusht, die bspw. "all VLANs" konfiguriert haben oder die gezielt dieses VLAN auf einem Port konfiguriert haben. Du machst Änderungen an einer Einstellung des WiFi? Dann wird das auf alle APs gepusht, die diese WiFi-konfig nutzen. Du musst nicht mehr überlegen "hab ich das jetzt überall angepasst?" - das erledigt der Controller.
Wenn man zusätzliche Features wie Roaming o.ä. nicht braucht, könnte man auch sagen - "OK config ist durch, Controller mach ich aus" und alles würde weiterlaufen da alle ihre Config haben. Ist aber umständlich und unschön den immer wieder anmachen zu müssen. Außerdem sind dann einige Features nicht oder nur schlechter verfügbar. Roaming profitiert davon, dass die APs sich mit dem Controller austauschen und die Clients hin und herschubsen. Meistens können sie auch selbst eine Art GästePortal ähnlich dem CP der Sense. Oder man konfiguriert automatische FW Updates in der Nacht, damit hoffentlich morgens alle Geräte aktualisiert wurden.
Wie schon andere sagen: die Geräte selbst haben keine große Oberfläche oder Konfigurationen mehr, das läuft dann über eine URL zentral und du kannst dann via schicken Dashboards auch sehen, wie dein Netz aufgebaut ist, wo ein Client verbunden ist und wie das gesamte Netz zusammenhängt.
> ( Wenn du eh eine OPNSense nutzen willst, den Unifi-Controller kann man auch darauf mitlaufen lassen - mache ich z.b. so )
Kann man machen - meiner Meinung nach NEVER DO THAT. Die Controller Software läuft (bei Unifi) bspw. mit Java und DAS Theater mit Java Security Bugs will man auf seiner Firewall nicht haben. Ein einfacher Container, VM oder RasPi tut es wesentlich besser und hängt nicht potentiell am Internet und kann damit wesentlich einfacher "eingesperrt" werden, wenn man das möchte :)
Cheers
\jens