OPNsense Forum
International Forums => German - Deutsch => Topic started by: JonnY90 on April 18, 2019, 12:17:56 pm
-
Hallo Zusammen,
ich bin gerade dabei auf meinem Ubiquiti Ac Pro ein Gäste WLAN per VLAN einzurichten, allerdings hakt es bei mir noch an einigen Stellen. Zwar bietet der Unifi Controller eine eigene Möglichkeit das LAN Netz zu isolieren, aber mit dem Gedanken kann ich mich nicht anfreunden.
Folgenden Aufbau habe ich bei mir.
Fritzbox --> OPNSense (APU2C4) --> Zyxel GS1900-24E --> Ubiquiti AC Pro.
Prinzipiell habe ich an der APU2C4 noch einen Port frei. Diesen würde ich gerne für ein eigenes Gästenetz benutzen.
Dafür habe ich in OPNSense eine neue Schnittstelle/Netz definiert und auf diesem ein neues VLAN definiert (VLAN Tag 44). Anschließend habe ich auf OPT1 den DHCP Server aktiviert und in der Firewall den Traffic ins LAN blockiert und sonst alles weitere erlaubt.
Im Switch habe ich einen neuen VLAN Untagged Port, ebenfalls mit VLAN Tag 44 an Port 24, erstellt und diesen mit dem freien Port der APU2C4 verbunden.
Im Unfi Controller habe ich ein neues WLAN erstellt und diesem den Tag 44 zugewiesen.
In meinem Kopf macht das alles Sinn, aber die Clients bekommen keine IP zugewiesen.
Ich bin mir auch noch nicht 100% Sicher, ob die VLAN Konfiguration am Switch korrekt ist. Prinzipiell könnte ich ja auch mit Tagged VLAN arbeiten und auf meinem LAN Interface ein neues VLAN erstellen oder? In meinem Kopf ist aber irgendwie sauberer, wenn die Gäste an einem eigenen Interface hängen.
Wieso bekommen ich im Gäste WLAN keine IP zugewiesen? Gibt es hier jemanden, der eine ähnliche Konfiguration hat?
Viele Grüße
-
Servus Jonny,
nachdem, was Du schreibst würde ich sagen, Du hast da einen "VLAN Drehwurm" reingebracht.
Zuerst einmal solltest Du Dich entscheiden, wie Du Dein Gäste-Netz anbinden willst:
Variante 1:
Du konfigurierst in der Sense auf Dein physikalisches LAN Interface (z.B. igb1) noch ein VLAN für das Gästenetz (z.B. VLAN 44 on igb1 - LAN), weist diesem ein Interface (z.B. OPT1) zu und konfigurierst dort das Subnetz für Deine Gäste (z.B. 192.168.44.1/24). Anschließend musst Du dafür noch den DHCP Server und die Firewall konfigurieren.
Jetzt musst Du das auf Deinem Switch entsprechend konfigurieren:
Der Port, der an der Sense hängt muss das LAN ungetaggt und das VLAN44 getaggt bekommen.
Gleiches gilt für alle Ports, an denen UAPs hängen sollen.
Abschließend musst Du im UniFi Controller für das Gästenetz eine eigene SSID einrichten und diese auf das VLAN 44 konfigurieren.
Variante 2:
Du willst unbedingt für das Gästenetz die 3. Schnittstelle des APU verwenden. Dann brauchst Du auf der Sense überhaupt kein VLAN machen, sondern konfigurierst auf der igb1 Dein Lan und auf der igb2 Dein GästeWLAN. Anschließend verbindest Du beide Ports mit dem Switch. Der Port, wo das LAN draufhängt bleibt so, wie er standardmäßig ist, der Port wo das GästeWLAN draufkommt muss konfiguriert werden als VLAN44 ungetaggt (ohne weitere VLANs!).
Ab da geht es genau wie oben beschrieben weiter, also alle Ports für UAPs müssen das LAN ungetaggt und das VLAN44 getaggt bekommen....
Für den UniFi Controller reicht es übrigens, wenn er nur im LAN hängt.
Das habe ich so mehrfach erfolgreich im Einsatz.
Viel Erfolg!
Gruß
Harry
-
Hi Harry,
danke für die deine Antwort. Du hattest recht, ich hatte da wirklich einen Denkfehler mit meinem VLAN.
Mittlerweile habe ich es über Variante 1 zum laufen gebracht.
Ich habe erst versucht, es über Variante 2 zum laufen zu bringen, aber ich habe es nicht komplett hinbekommen. Bei Variante zwei musste ich noch im Switch die PVID eingeben. Mit Variante zwei hat es zwar auch einigermaßen funktioniert, allerdings hat sich mein AP eine IP aus dem Gästenetz gezogen. Eigentlich sollte er eine IP aus dem LAN bekommen und über den VLAN Tag das Gästenetz anbieten.
An sich finde ich Variante zwei schöner. Ich habe sowieso noch keine Verwendung für die dritte Schnittstelle, aber egal, jetzt klappts erstmal :)
Danke für deine Hilfe!
-
Ich greife dieses Thema noch einmal auf.
Ich habe quasi die gleiche Grundkonfiguration, mit dem Unterschied, dass ich keine VLAN fähige Switche habe und in meinem Netz 10 Switche verbaut sind.
Wlan Clients bekommen aber keine IP zugewiesen.
Bfo
-
Was versuchst Du zu erreichen?
Unifi APs können einzelne VLANs auf WLANs abbilden. Wenn Deine Switches kein VLAN können, kann das heißen, dass sie alles ungefiltert weiterreichen oder dass sie VLAN-Pakete einfach unterdrücken, z.B. weil sie mit den zusätzlichen 4 Bytes nicht klarkommen (Framesize). Am Rande: Eine Konfiguration mit 10 (unmanaged) Switches, die eventuell noch unterschiedlichen Typs sind, ist bezüglich solcher Probleme sehr schwer zu diagnostizieren. Ich nehme an, dass Du zu wenig Hausverkabelung hast?
Im ersten Fall könntest Du auf der OpnSense VLANs definieren, die die Unifi APs auch sehen. Wenn Du dann das VLAN so konfigurierst, dass es per DHCP Adressen zuweist, müssten diese auf den Clients erscheinen. Problematisch ist nur, dass Du am Switch an jedem Port alle VLANs sichtbar machst, sie verhalten sich dann wie "Trunk" Ports.
Wenn das bei richtiger Konfiguration nicht passiert, ist es wahrscheinlich, dass die Switche (oder einer auf dem Weg) nur das untagged VLAN weitergeben, also getaggte VLAN-Pakete als fehlerhaft verwerfen.
Allemal einfacher ist es, wenn man managebare Switche verwendet, z.B. von Unifi selbst, dann lassen sich auch Ethernet-Ports einem VLAN zuweisen.
-
Guten Morgen meyergru,
danke für deine Ausführliche Antwort.
Ich versuche ein WLAN im gleichen Kabelnetz zu erstellen, was völlig getrennt vom Rest des Netzwerkes ist (quasi ein isoliertes Gast Netzwerk).
Ich habe an der OPNsense ein VLAN Tag erstellt, einem Interface zugewiesen und für dieses dann den DHCP Dienst aktiviert.
Ebenso habe ich am Unifi Kontroller ein Netzwerk erstellt mit dem entsprechenden "Tag" erstellt und es einem neuen WLAN zugewiesen. Fast alle AP's hängen an POE Switchen. Da der LAN Ausgang der FW natürlich an einem Switch hängt, kann ich dort keinen AP direkt anschliessen (um die Switche zu umgehen).
Der primäre Switch, den ich nach der FW nutze, ist wohl VLA fähig, ich habe aber keinerlei Zugangsdaten zum Switch, um dort etwas ein zu stellen. Würde es dennoch funktionieren, wenn ich einen AP direkt an diesen Switch hänge (und das am Switch selbst nicht verändert ist)?
Bfo
-
Du brauchst VLAN-Support und Trunk-Ports auf der ganzen Strecke vom AP bis zur OPNsense.
-
Der primäre Switch, den ich nach der FW nutze, ist wohl VLA fähig, ich habe aber keinerlei Zugangsdaten zum Switch, um dort etwas ein zu stellen. Würde es dennoch funktionieren, wenn ich einen AP direkt an diesen Switch hänge (und das am Switch selbst nicht verändert ist)?
Im Prinzip ja, falls der Switch so konfiguriert ist, dass er alle Ports als Trunk behandelt. Wie @pmhausen schon schrieb, Du musst auf der Strecke zwischen OpnSense und AP die VLAN-Tags durchgereicht bekommen. Falls der VLAN-fähige Switch aber nicht konfiguriert ist, ist der Default oft, dass VLAN-Tags an allen Ports verworfen werden.
Ein Rat: Ich würde mich davor hüten, mit nicht kontrollierbaren Seiteneffekten zu leben, wenn ich derart komplexe Netzwerkstrukturen aufbaue und eher darüber nachdenken, wie ich die Komplexität durch Reduktion der Anzahl der Switches und flexible Hardware in Summe reduziere. Im Zweifel heißt dass dann auch, noch ein paar Kabel zu ziehen.
Ich kann schon verstehen, dass man sparen will, ich höre heraus, dass Du die Switches vermutlich "ausgedient" "geerbt" hast. Meine Erfahrung ist, dass ich zuerst auch jeweils Switches mit gutem "bang for the buck" gekauft habe (D-Link). Ich bin dann letztlich doch bei Unifi gelandet, weil die APs gut sind und sich diese genau wie die Switche zentral administrieren lassen. Ich würde auf jeden Fall durchgängig bei einem Hersteller für die Switches, besser auch für die APs, bleiben. Es gibt ja inzwischen auch Alternativen, z.B. Omada.