Hallo,
bei mir läuft derzeit ein Unifi-System, welches ich durch einen Mini PC mir OPNSense + diverse L2-Switche von Zyxel ersetzen wollte.
Für die Einrichtung wollte ich erst einmal den Mini PC mit OPNSense hinter die UDM hängen, damit das jetzige System weiterläuft und ich parallel das komplette OPNSense System inkl. Switche vorkonfigurieren kann.
Geplant ist folgendes:
Mini PC mit OPNSense
Verbindung zu den verschiedenen Switchen per LAGG
VLAN 1 (Default), 10 (Management), 20 (IoT), 30 (Multimedia), 50 (VPN), 178 (Computer)
D.h. OPNSense, die Switche etc. sollten alle im Management VLAN (IP: 192.168.10.x) liegen
Bei mir scheitert es nun bereits bei der Einrichtung. Lasse ich LAN + WAN automatisch zuordnen, so kann ich per Direktverbindung per LAN-Kabel und ohne Verbindung der WAN-Schnittstelle direkt per 192.168.1.1 auf die WebGUI zugreifen.
Versuche ich jetzt z.B. die statische IP des LAN-Interfaces auf 192.168.10.10 zu ändern, so kann ich danach nicht mehr zugreifen.
Vielleicht kann jemand einem Neueinsteiger einen Tipp geben, wo ich falsch liege bzw. was ich noch konfigurieren muss, um die Adresse der OPNSense Einheit inkl. Zugriff per WebGUI über 192.168.10.10 möglich zu machen.
Vielen Dank im Voraus für eure Hilfe!
moin, wenn du den assistenten (wizard) nutzt kannst du dort auch den ip bereich ändern, ganz simple
Danke dir für die schnelle Rückmeldung. Ich hatte die Adresse vorher per Kommandozeile geändert und hatte keinen Zugriff mehr. Dabei war das WebGUI Listening auf "All" gestanden.
Jetzt, mit dem Assistenten, funktioniert soweit alles.
Gibt es vielleicht noch irgendwelche Empfehlungen, so ich OPNSense hinter der Unifi UDM betreibe ? Ich nehme an, ich sollte erstmal den Firewall deaktivieren ?
Quote from: Traviso on May 31, 2023, 07:24:04 PM
Gibt es vielleicht noch irgendwelche Empfehlungen, so ich OPNSense hinter der Unifi UDM betreibe ? Ich nehme an, ich sollte erstmal den Firewall deaktivieren ?
Ich würde es etwas anders machen, kann dir mal kurz beschreibe, wie ich das damals gemacht habe:
IST war:
- UDMPRO
- Unifi Switch + AccessPoints mit diversen VLAN
SOLLte werden:
- UDMPRo weg, OPNSense hin
- Unifi-Controller seperat
- Switch und AP weiterhin Unifi ( weil die sind ganz gut )
Ich hab die OPNSenser erst mal als Client hinter die UDMPro gehangen und eingerichtet, bin per 2. Netzwerkkabel von meinem MacBook direkt da drauf gegangen ( an den LAN-Anschluss )
Dann hab ich erst mal alles so konfiguriert, wie es auf der UDMPro vorher war, also VLAN angelegt, DHCP konfiguriert und Firewall-Regeln erstellt und das intensiv getestet. OPNSense war für mich damals auch neu.
Step 2: Der Netzwerkkontroller ist von der UDMPro temp auf einen RasperryPi umgezogen
Step 3: UDMPRo abgeschaltet, OPNSense hat deren Stelle eingenommen und ich konnte direkt alles weiter nutze, hatte nur wenige Fehler, meist kleine Tippfehler in FW-Regeln
Step 4: Unif-Netzwerkkontroller ist auf die OPNSense umgezogen ( habe ich mittlerweile aber nicht mehr, der läuft im Proxmox als Linux-Container )
Quote from: Tuxtom007 on May 31, 2023, 07:49:30 PM
Ich würde es etwas anders machen, kann dir mal kurz beschreibe, wie ich das damals gemacht habe:
Danke Dir für die Beschreibung. Dann werde ich das analog machen. Allerdings bin ich bei den APs bereits auf Ruckus umgestiegen (die habe ich sehr günstig gebraucht bekommen). Und die Zyxel L2-Switche sind auch schon vorhanden.
Evtl. werde ich trotzdem später noch einen Unifi Netzwerkcontroller per VM laufen lassen, da ich etwas Probleme mit der "wireless" Ankopplung des Gartenhauses mit Ruckus habe. Dies hat mit einem Unifi U6 Mesh + InWall super funktioniert und beide APs habe ich noch.
Hallo Traviso,
ich denke @Tuxtom007 hat hier schon viel (alles) erklärt. Er ist wirklich "fit" in solchen Sachen und hat mir auch geholfen. Ich hatte es damals so gemacht, um meine UDM Base abzulösen:
1. OpnSense auf dem MiniPC eingerichtet - OHNE Zugriff auf das Netzwerk. Alle Regeln geschrieben, Netzwerke angelegt, DHCP Server, UNBOUND, usw.
2. Unifi Controller unter Docker auf meiner Synology eingerichtet.
3. UDM Base ab- und OpnSense angeschalten.
4. Unifi Geräte im neuen Controller angelernt.
5. Fertig
Da sowohl die UDM Base als auch die OpnSense als Hauptnetz die 192.168.1.1 hatten, haben es die angeschlossenen Geräte gar nicht gemerkt ;).
Mittlerweile läuft der Unifi Controller in einem LXC Container auf Proxmox und ich bin glücklich. ;D Den Schritt weg von der UDM Base zur OpnSense habe ich keiner Weise bereut. Die restlichen Unifi Geräte (AP's und Switche) tun nach wie vor ihren Dienst.
Viel Erfolg.
Hallo @Ronny1978,
vielen Dank für die Hinweise.
Ich werde es dann genauso machen, wie von dir und @Tuxtom007 beschrieben. Allerdings eben mit Ruckus APs und Zyxel Switchen. Hintergrund ist, dass meine Apple Geräte irgendwann nicht mehr richtig mit den Unifi APs konnten. Meinen Macbook musste ich dann per Kabel anschließen, da er die WLAN-Netze nach 5 Minuten Betrieb nicht mehr erkannt hatte. Das Problem ist wohl bekannt und wird sowohl in den Apple Foren als auch in den Unifi Foren diskutiert, aber eine wirkliche Lösung gab es nicht. Nachdem ich die Unifi APs durch Ruckus APs ausgetauscht hatte, lief alles wieder problemlos.
Hinsichtlich des Netzwerkaufbaus würde ich gerne ein Management VLAN einführen, so dass OPNSense und die zugehörigen Netzwerkkomponenten in diesem VLAN laufen und das Subnetz 192.168.1.X als "Default Netz" läuft, in welches neue Geräte aufgenommen werden.
Hallo,
ich bin erst jetzt wieder dazugekommen hier weiterzumachen.
Auf der OPNSense Appliance habe ich zwei LAGG´s angelegt, welche je 2 der Ethernetports enthalten. An beide LAGG´s werden je ein Zyxel L2-Switch angeschlossen.
Weiterhin habe ich für jedes einzelne LAGG 6 VLANs (10, 20, 30, 50, 51 und 178) angelegt.
Zum Einen würde mich nun interessieren, ob ich das Default VLAN 1 auch mit anlegen muss. Zum anderen würde mich interessieren, wie ich das jetzt mit dem DHCP-Server für die verschiedenen VLANs machen muss.
Ich würde ja gerne einen DHPC-Server pro VLAN (IPv4 und IPv6) verwenden, der dann die Adressen für die VLANs auf beiden LAGGs vergibt.
Kann mir vielleicht jemand einen Tipp geben, wie ich das umsetzen kann ?
Und wie sieht es mit statischer IP-Vergabe aus. Kann ich das, ähnlich wie bei Unifi, irgendwo mit der Maus festlegen oder muss ich das manuell für einzelne Geräte vornehmen ?
Vielen Dank im Voraus für eure Hilfe.
Quote from: Ronny1978 on June 01, 2023, 06:25:45 AM
Mittlerweile läuft der Unifi Controller in einem LXC Container auf Proxmox und ich bin glücklich.
Hallo Ronny,
wenn Du den Controller doch auf deiner Synology unter Docker laufen hattest, warum macht dann was neues mit neuer Hardware?
Noch läuft bei mir der Controller von Unifi auf dem CloudKey, wenn bei mir alles mit der OPNsense läuft, wollte ich den Controller auch die DS unter Docker installiren.
Hallo alex3003,
das hatte mehrere Gründe:
1. Ich habe einen kleinen Proxmox-Server angeschafft, da meine DS918+ trotz 16GB RAM und SSD als Volume, aufgrund des limitierten Prozessors einfach zu langsam für meine Windows 10 VM war. Außerdem konnte ich kein Windows 11 upgraden.
2. Der RAM ist dennoch zu wenig, da ebenso eine VM von Home Assistant wie auch Docker von ecoDMS und ecoMAILZ liefen. Alles in allem war der Prozessor auch hier zu "langsam".
3. Ich hatte mal den Fall, dass ich mich bei einem Unifi Switch beim Portprofil "vertan" hatte. Da die DS918+ per Bond am Switch verbunden war, konnte ich somit weder die Synology Oberfläche erreichen NOCH DEN UNIFI Controller ;). Also große Sch... Ging da nur mit dem Short Reset von Synology.
Ebenso wurde mir in 2 Foren abgeraten, dass alles auf der OpnSense zu hosten, da schlechte Programmierung evtl. die Firewall selbst gefährden könnte. Und bei dir - glaube ich -> siehe Adguard - auch nicht alles fluffig läuft, wobei ich hier das Problem bei Adguard und dem Plugin und nicht der OpnSense sehe.
Daher war der logische Schritt es auf dem Proxmox auszulagern, der, aufgrund der VM's (Windows 11 und Home Assistant), eh da ist und mein Wunsch war. Ich bin jetzt mit der meiner Windows 11 VM BEDEUTEND schneller, gerade was die Anwendungen StarMoney, Lexware und ecoDMS und ecoMAILZ betrifft. Mittlerweile hat sogar meine Frau Freude an der VM. Und das will was heißen. ;D Proxmox bietet mir die Möglichkeit produktiv zu arbeiten (Cloudflare Tunnel, Adguard, Rustdesk, MariaDB, Unifi Controller, VM's Windows 11/Home Assistant), aber auch mal zu spielen (MineCraft Server, Debian, Linux, usw.). Die Backup der einzelnen Maschinen werden am vDump File auf meiner DS918+ gesichert, sodass ich dann beim Neuaufsetzen des Proxmox-Server, sollte was passieren, recht schnell alles wieder herstellen kann. Bzw. kann ich recht schnell den Unifi Controller wieder auf die Synology bringen, sollte der Notfall eintreten. ;)
Ich hoffe, ich konnte die meine Gründe nahebringen und ausreichend erläutern?
LG Ronny
QuoteZum Einen würde mich nun interessieren, ob ich das Default VLAN 1 auch mit anlegen muss. Zum anderen würde mich interessieren, wie ich das jetzt mit dem DHCP-Server für die verschiedenen VLANs machen muss.
Ich würde ja gerne einen DHPC-Server pro VLAN (IPv4 und IPv6) verwenden, der dann die Adressen für die VLANs auf beiden LAGGs vergibt.
Gibt es: Unter Dienste -> DHCP. DCHP für das jeweilige VLAN/LAN einschalten und einrichten. ;)
Quote from: Ronny1978 on June 19, 2023, 05:00:16 AM
Gibt es: Unter Dienste -> DHCP. DCHP für das jeweilige VLAN/LAN einschalten und einrichten. ;)
Ja, da ich aber für jedes der beiden LAGG ein VLAN10, VLAN20 etc. habe, müsste ich den entsprechenden Adressbereich (z.B. 192.168.10.x) auf die beiden LAGG´s aufteilen. Also z.B. VLAN10 für LAGG1 von 192.168.10.2 bis 192.168.10.128 und LAGG2 von 192.168.10.129 bis 192.168.10.253, richtig ?
Meine Frage zielte darauf ab, ob ich sozusagen einen DHCP-Server für den gesamten Adressbereich von z.B. 192.168.10.2 bis 192.168.10.253 für beide LAGG´s zusammen verwenden kann.
Oder verstehe ich da etwas falsch ?
Hallo Traviso,
hast du die VLAN's unter Schnittstellen aktiviert? Die LAGG läuft doch auf dem Hauptinterface, oder? Die VLANs verweisen doch dann auf das Hauptinterface. Wenn die aktiviert sind, tauchen die auch einzeln auf.
Poste mal bitte ein Bild von den Schnittstellen und der Einstellung des LAGG.
Quote from: Ronny1978 on June 19, 2023, 09:16:47 AM
hast du die VLAN's unter Schnittstellen aktiviert? Die LAGG läuft doch auf dem Hauptinterface, oder? Die VLANs verweisen doch dann auf das Hauptinterface. Wenn die aktiviert sind, tauchen die auch einzeln auf.
Poste mal bitte ein Bild von den Schnittstellen und der Einstellung des LAGG.
Hier mal ein paar Bilder. Die VLANs sind unter Schnittstellen aktiviert. Ich have zwei physikalische Ports (igc2 und igc3) als LAGG0 und als LAGG1 (icc 4 und igc5) gebündelt.
(https://i.postimg.cc/RC11qgRC/LAGG.jpg)
Die LAGG-Schnittstelle ist dabei so konfiguriert (LAGG1 ist identisch konfiguriert):
(https://i.postimg.cc/PxWDpq1V/Schnittstellen-LAGG0.jpg)
Die Konfiguration sieht dabei folgendermaßen aus:
(https://i.postimg.cc/9FWd9y8d/LAGG0-Konfiguration.jpg)
Die Schnittstellen Zuweisung sieht wie folgt aus:
(https://i.postimg.cc/3wDmh1NT/Schnittstellen-Zuweisung.jpg)
Nachfolgend dann noch die VLAN-Definitionen:
(https://i.postimg.cc/vBF9Znx6/VLAN-Definitionen.jpg)
Und exemplarisch VLAN10 als Management VLAN auf LAGG0 und LAGG1:
(https://i.postimg.cc/g2j3SmPr/Management-LAGG0.jpg)
(https://i.postimg.cc/282473MP/Management-LAGG1.jpg)
Als Alternative, so dass mit einem einzelnen DHCP-Server für jedes VLAN auf beiden LAGG-Schnittstellen nicht geht, dass ich mit einem LAGG aus 4 Schnittstellen (icc 2-5) auf meinen 24 Port Zyxel Switch gehe und dort dann per LAGG auf die weiteren Switche verteile.
Hierdurch würde ich mit einem DHCP-Server pro VLAN auskommen, denke ich.
Quote from: Traviso on June 19, 2023, 08:31:17 AM
Ja, da ich aber für jedes der beiden LAGG ein VLAN10, VLAN20 etc. habe, müsste ich den entsprechenden Adressbereich (z.B. 192.168.10.x) auf die beiden LAGG´s aufteilen. Also z.B. VLAN10 für LAGG1 von 192.168.10.2 bis 192.168.10.128 und LAGG2 von 192.168.10.129 bis 192.168.10.253, richtig ?
Meine Frage zielte darauf ab, ob ich sozusagen einen DHCP-Server für den gesamten Adressbereich von z.B. 192.168.10.2 bis 192.168.10.253 für beide LAGG´s zusammen verwenden kann.
Oder verstehe ich da etwas falsch ?
LAGG hat ja erst mal nichts mit den VLAN's zu tun.
Du baust dein LAGG und packst dort deine VLAN's sein, die drauf liegen sollen.
Dann erstellst du für jeden VLAN einen DHCP-Server, legst den IP-Bereich fest. Der DHCP-Server gilt dann für das VLAN, egal auf welchem Interface / LAGG das liegt, aus beiden LAGG's wird der selbe IP-Pool genutzt, da brauchst du nichts auftrennen.
Feste IP's vergeben über DHCPv4 -> Leasses -> "+" klicken und die IP aus dem jeweiligen VLAN zuweisen. Die festen IP-Adresse dürfen nicht innerhalb des DHCP-Pools liegen. Ich machen es bei mir so, das die erste Hälfte des IP-Pools pro VLAN für feste IP's sind, die zweite Hälfte dann für DHCP. ( ausnahmen z.b. Gäste-VLAN, das braucht kaum feste IP's )
;) Hallo Traviso,
TuxTom007 hat, glaube ich, alles erwischt.
Vielen Dank für die Info.
Quote from: Tuxtom007 on June 19, 2023, 12:21:52 PM
LAGG hat ja erst mal nichts mit den VLAN's zu tun.
Du baust dein LAGG und packst dort deine VLAN's sein, die drauf liegen sollen.
Ok, das habe ich jetzt so angelegt.
Quote from: Tuxtom007 on June 19, 2023, 12:21:52 PM
Dann erstellst du für jeden VLAN einen DHCP-Server, legst den IP-Bereich fest. Der DHCP-Server gilt dann für das VLAN, egal auf welchem Interface / LAGG das liegt, aus beiden LAGG's wird der selbe IP-Pool genutzt, da brauchst du nichts auftrennen.
Ok, das macht Sinn und so möchte ich es auch haben. Ich hatte in irgendeinem Guide auf einer Webseite gelesen, dass ich dann zwei DHCP-Server bei 2 LAGGs pro VLAN anlegen muss.
Da dem nicht so ist, werde ich dies gleich so umsetzen.
Quote from: Tuxtom007 on June 19, 2023, 12:21:52 PM
Feste IP's vergeben über DHCPv4 -> Leasses -> "+" klicken und die IP aus dem jeweiligen VLAN zuweisen. Die festen IP-Adresse dürfen nicht innerhalb des DHCP-Pools liegen. Ich machen es bei mir so, das die erste Hälfte des IP-Pools pro VLAN für feste IP's sind, die zweite Hälfte dann für DHCP. ( ausnahmen z.b. Gäste-VLAN, das braucht kaum feste IP's )
Hört sich gut an. Dann werde ich auch versuchen, das so umzusetzen.
Jetzt noch eine Frage bezüglich der Adresse von OPNSense. Diese liegt ja auf 192.168.1.1, also im Standard Default Netzwerk. Ich möchte die OPNSense aber aus dem Default VLAN heraushaben. Wo kann ich es denn einstellen, dass die OPNSense Appliance z.B. im VLAN 10 als 192.168.10.1 liegt ? Oder habe ich da irgendwie einen Denkfehler drinnen ?
Quote from: Tuxtom007 on June 19, 2023, 12:21:52 PM
LAGG hat ja erst mal nichts mit den VLAN's zu tun.
Du baust dein LAGG und packst dort deine VLAN's sein, die drauf liegen sollen.
Das habe ich so gemacht und dort eine statische IP-Adresse als Gateway eingegeben (z.B.: für VLAN 1: 192.168.1.1).
Hier sind dann auch die Probleme aufgetreten. Da ich VLAN 1 zweimal anlegen musste (einmal für LAGG0 und einmal für LAGG1) war es nicht möglich, die gleiche IP-Adresse als Router/Gateway bei der statischen IP-Adresse einzutragen.
Aus diesem Grund habe ich LAGG1 gelöscht und LAGG0 besteht jetzt aus 4 Ports. Die Aufteilung erfolgt jetzt theoretisch auf dem nachgeschalteten Zyxel-Switch.
Quote from: Tuxtom007 on June 19, 2023, 12:21:52 PM
Dann erstellst du für jeden VLAN einen DHCP-Server, legst den IP-Bereich fest. Der DHCP-Server gilt dann für das VLAN, egal auf welchem Interface / LAGG das liegt, aus beiden LAGG's wird der selbe IP-Pool genutzt, da brauchst du nichts auftrennen.
Nach Umstellung auf nur einen LAGG, konnte ich dies machen.
Quote from: Tuxtom007 on June 19, 2023, 12:21:52 PM
Feste IP's vergeben über DHCPv4 -> Leasses -> "+" klicken und die IP aus dem jeweiligen VLAN zuweisen. Die festen IP-Adresse dürfen nicht innerhalb des DHCP-Pools liegen. Ich machen es bei mir so, das die erste Hälfte des IP-Pools pro VLAN für feste IP's sind, die zweite Hälfte dann für DHCP. ( ausnahmen z.b. Gäste-VLAN, das braucht kaum feste IP's )
Das habe ich auch so eingestellt.
Der Switch ist jetzt über 4 Ports mit dem OPNSense Rechner verbunden. Leider finde ich aber weder in der ARP-Tabelle noch unter Services -> DHCP -> Leases einen Eintrag für den Switch.
Nachfolgend einmal meine Einstellungen für das Default VLAN (192.168.1.x):
(https://i.postimg.cc/T2JzWGFx/Default-VLAN-1.jpg)
(https://i.postimg.cc/Wz8xR6gz/Default-VLAN-2.jpg)
Für den DHCP-Server für VLAN 1:
(https://i.postimg.cc/wj7ZPNvx/DHCP-Default-VLAN-1-jpg.jpg)
(https://i.postimg.cc/Pr602ydF/DHCP-Default-VLAN-2-jpg.jpg)
(https://i.postimg.cc/DwHHKzJr/DHCP-Default-VLAN-3-jpg.jpg)
Und die entsprechende Firewall Regeln:
(https://i.postimg.cc/8PkqR9g6/Firewall-Default-VLAN-1-jpg.jpg)
Beim Zyxel GS1900 Switch habe ich VLAN 1 als untagged und alle anderen VLANs als tagged eingestellt. Für die Link Aggregation wurde dort auch ein 4 Port LAGG konfiguriert.
Vielleicht sieht ja jemand meinen Fehler...
Quote from: Traviso on June 21, 2023, 04:40:07 PM
Das habe ich so gemacht und dort eine statische IP-Adresse als Gateway eingegeben (z.B.: für VLAN 1: 192.168.1.1).
Hier sind dann auch die Probleme aufgetreten. Da ich VLAN 1 zweimal anlegen musste (einmal für LAGG0 und einmal für LAGG1) war es nicht möglich, die gleiche IP-Adresse als Router/Gateway bei der statischen IP-Adresse einzutragen.
Aus diesem Grund habe ich LAGG1 gelöscht und LAGG0 besteht jetzt aus 4 Ports. Die Aufteilung erfolgt jetzt theoretisch auf dem nachgeschalteten Zyxel-Switch.
Ich habs mal gerade bei meiner Sense probiert - ich habe fast du Befürchtung, das man VLAN's nicht 2 Interfacen zuweisen kann, was aber sehr merkwürdig wäre.
Quote from: Tuxtom007 on June 21, 2023, 05:22:18 PM
Ich habs mal gerade bei meiner Sense probiert - ich habe fast du Befürchtung, das man VLAN's nicht 2 Interfacen zuweisen kann, was aber sehr merkwürdig wäre.
Ja, sieht so aus. Ist aber kein Problem, da ich das auch mit einem LAGG umsetzen kann. Aber auch da habe ich das Problem, dass ich keine Verbindung zum Switch hinbekomme.
Falls also bei meiner Konfiguration alles i.O. ist, dann könnte es natürlich hauch ein Problem mit dem Zyxel Switch sein.
Diesen habe ich soeben einmal über ein LAN-Kabel an mein Unifi-Netzwerk gehängt. So ich mit keinen der LAGG-Ports am Zyxel verbinde, bekomme ich über die UDM eine IP zugewiesen. Verbinde ich einen der LAGG-Ports, so bekomme ich keine IP zugewiesen.
Ich teste das jetzt auch nochmal mit einem Cisco Switch, um zu sehen, ob ich dort eine Verbindung über einen der LAGG-Ports bekomme.
Mit dem Cisco Switch habe ich es jetzt zum Laufen bekommen, da ich dort als Switch IP-Adresse eine aus VLAN 10 eingestellt habe. Offensichtlich klappt die Verbindung über VLAN 10.
Anscheinend wird VLAN 1 nicht als untagged bereitgestellt bzw. über VLAN 1 bekomme ich keine IP zugewiesen.
Beim Cisco Switch kann man ja mehrere Device IPs aus verschiedenen VLANs ziehen.
Am Cisco Switch ist das Native VLAN als 1 eingestellt und ist auch im Uplink LAGG als untagged im Trunk konfiguriert, trotzdem funktioniert es nicht über VLAN 1.
Der Zyxel Switch scheint sich die IP aus VLAN 1 ziehen zu wollen und bekommt keine IP zugewiesen.
Habe ich da etwas in OPNSense übersehen ? Kann ich die VLANs als tagged/untagged auf dem Ausgangsport setzen ?
Fragen über Fragen....
Ich hab selber nur einen Unifi-Switch per LACP an der OPNSense hängen und da nur die VLAN drauf.
Ich habs gestern abend noch mal probiert und eine zweites LACP auf der Sense angelegt aber bekomme da nicht die VLAN's drauf, gleiche Problem wie bei dir.
Ich bin mir fast sicher, das dies mal ging, oder ich irre mich da gewaltig.
Quote from: Tuxtom007 on June 22, 2023, 03:14:38 PM
Ich hab selber nur einen Unifi-Switch per LACP an der OPNSense hängen und da nur die VLAN drauf.
So mache ich es jetzt auch. Allerdings mit einem Zyxel L2-Switch.
Hast Du das Default VLAN in OPNSense explizit als VLAN definiert oder ist dieses, wie auch immer, schon inkl. zugehörigem DHCP-Server standardmäßig vorhanden.
Ich bin gerade am Überlegen, meine Einstellungen für das Default VLAN (bei mir VLAN 1) zu löschen, um zu sehen, ob der Zyxel Switch dann eine IP zugewiesen bekommt. Mit von mir explizit eingerichtetem VLAN 1 funktioniert das beim Zyxel Switch nicht.
Ihr könnt problemlos auf Interface 1 (phys oder lagg) ein VLAN 10 anlegen und auf Interface 2 auch ein VLAN 10. Allerdings sind die dann intern nicht miteinander verbunden! OPNsense ist kein Switch sondern ein Router. Das sind einfach nur geroutete (Sub-) Interfaces mit Tag. Wenn ihr das simulieren wollt, was ein Switch von Haus aus tut, müsst ihr für jedes VLAN ein eigenes Bridge-Interface anlegen.
Beispiel, VLANs 10, 20, 30 auf lagg0 und lagg1:
Bridge 10 - members: VLAN 10 auf lagg0 und VLAN 10 auf lagg1
Bridge 20 - members: VLAN 20 auf lagg0 und VLAN 20 auf lagg1
Bridge 30 - members: VLAN 30 auf lagg0 und VLAN 30 auf lagg1
Dann natürlich nicht vergessen, dass dass Assignment zu LAN, OPT1, ... auf die Bridge-Interfaces zeigen muss, ebenso wie IP-Adressen etc. pp.
Und mit VLAN auf beiden lagg meine ich, da können je ein Interface beide dasselbe Tag haben. Natürlich müssen die unterschiedlich heißen, so vong Name her ...
Und wenn man sich das ganze mal vor Augen führt und den Aufwand, und die Tatsache, dass dieser Software-Switch/Bridge natürlich niemals Wire Speed schafft, dann empfiehlt es sich doch eher, die ganze Layer2-Geschichte mit richtigen Switches aufzubauen und die OPNsense da an einer Stelle per lagg dran zu hängen. Nennt man auch Router on a Stick.
HTH,
Patrick
Danke für die Info !
Ich hab den Bedarf für mein kleines Heimnetz jetzt nicht aber gut zu wissen trotzdem.
@pmhausen: Vielen Dank für die Info, Patrick. So (mit externem Switch) habe ich das jetzt auch aufgesetzt.
Kann mir jetzt vielleicht noch jemand auf die Sprünge helfen, woher ich das untagged VLAN 1 aus OPNSense herbekomme, um es auf lagg1 zusammen mit den tagged VLAN 10, 20... auszugeben ?
Denn das ist das Einzige, was derzeit bei mir noch nicht funktioniert.
VG,
Christian
Das ist das lagg Interface selbst. Du solltest auf OPNsense aber tagged und untagged nicht mischen. Sag dem Switch, er soll auf dem lagg + Trunk das VLAN 1 auch getagged liefern. Bei einem Cisco Switch könnte man dazu z.B. "switchport trunk native vlan 999" konfigurieren und das VLAN 999 einfach nirgends benutzen.
Wer native VLAN erfunden hat, gehört erschossen. Ein Port ist ein Trunk, dann sind alle Frames tagged, oder er ist ein Access Port, dann ist nichts tagged.
Quote from: pmhausen on June 22, 2023, 04:59:45 PM
Das ist das lagg Interface selbst. Du solltest auf OPNsense aber tagged und untagged nicht mischen. Sag dem Switch, er soll auf dem lagg + Trunk das VLAN 1 auch getagged liefern. Bei einem Cisco Switch könnte man dazu z.B. "switchport trunk native vlan 999" konfigurieren und das VLAN 999 einfach nirgends benutzen.
Ich habe jetzt auf dem lagg die statische IP-Adresse als 192.168.1.1 angegeben und den DHCP-Server für den entsprechenden Adressbereich konfiguriert.
Am Cisco Switch habe ich im LAGG Uplink VLAN 1 als tagged eingestellt.
Trotzdem bekomme ich keine IP-Adresse für VLAN 1 auf dem Cisco Switch.
Wobei ich in OPNSense jetzt kein explizites VLAN 1 definiert habe.
Wenn du im Cisco das VLAN 1 als tagged anlegst, dann musst du natürlich auch auf der OPNsense ein VLAN 1 mit Tag 1 und dem lagg als Parent anlegen.
Das Interface laggX direkt nehmen würde man tun, um das VLAN untagged zu betreiben. Was ich aber nicht empfehle.
Quote from: pmhausen on June 22, 2023, 06:30:10 PM
Wenn du im Cisco das VLAN 1 als tagged anlegst, dann musst du natürlich auch auf der OPNsense ein VLAN 1 mit Tag 1 und dem lagg als Parent anlegen.
Danke für die Infos.
VLAN 1 mit Tag 1 hatte ich schon einmal, habe aber möglicherweise vergessen, am Cisco auf Untagged für VLAN 1 zu stellen. Das werde ich gleich nochmal testen.
Quote from: pmhausen on June 22, 2023, 06:30:10 PM
Das Interface laggX direkt nehmen würde man tun, um das VLAN untagged zu betreiben. Was ich aber nicht empfehle.
Das hatte ich probiert, habe aber keine IP im Cisco für untagged VLAN 1 bekommen.
Ok, warum auch immer, jetzt hat alles funktioniert. Sowohl mit VLAN 1 tagged als auch untagged. Vielen Dank nochmal für die Hilfe.
Wie sieht es denn jetzt mit den Gateways aus. Muss ich da jeweils einen für die verschiedenen VLANs anlegen ?
Nein. Gateways sind die, die die OPNsense für sich benutzt, um bestimmte Netze zu erreichen. Also der Default-GW für "Internet". Und wenn du in irgendeinem VLAN einen Router hängen hast, und hinter dem, ist noch ein weiteres Netz, dann ist der der Gateway für diese Route.
Wenn die OPNsense ein Router für Geräte im VLAN ist, musst du keine Gateways anlegen. Aber natürlich per DHCP den Geräten die OPNsense als Router mitteilen.
Quote from: pmhausen on June 22, 2023, 09:56:43 PM
Wenn die OPNsense ein Router für Geräte im VLAN ist, musst du keine Gateways anlegen. Aber natürlich per DHCP den Geräten die OPNsense als Router mitteilen.
Perfekt. Vielen Dank für die Erklärung.