OPNsense Forum

International Forums => German - Deutsch => Topic started by: Rocker on November 30, 2019, 10:40:15 am

Title: User bei Login in Wlan einen vordefinierten Gateway zuweisen
Post by: Rocker on November 30, 2019, 10:40:15 am
Hallo,

Mein Bruder und ich würden gerne unsere beiden Häuser mit einem LWL verbinden, bei ihm läuft eine OPN und bei mir auch. (er und ich nutzen bereits andere Subnetze, somit sollte das mit einem Interface und ein Paar FW-Regeln laufen.)

Wir würden aber gerne das Wlan zusammenlegen, (Unifi Hardware ist vorhanden)
Es soll einen Zentralen Unifi-Controller geben, der eine zentrale SSID bereitstellt.
Jetzt würden wir aber gerne folgendes realisieren:
Loggt sich ein User von Haus1 in das Wlan ein, bekommt dieser auch den Gateway von Haus1.
Loggt sich z.B. der User von Haus2 ein soll diesem der Gateway von Haus2 zugewiesen werden.
usw.
Für das Gäste Netz soll natürlich das gleiche gelten. (ein Captive Portal für das Gästenetzwerk läuft bereits - aber ohne rooting - mit einem Gästenutzer der in der lokalen DB erstellt wurde)

Wie kann man so etwas umsetzen - bzw. ist so etwas überhaupt möglich?

Vielen Dank

Gruß Rocker
Title: Re: User bei Login in Wlan einen vordefinierten Gateway zuweisen
Post by: JeGr on December 09, 2019, 10:58:11 am
> er und ich nutzen bereits andere Subnetze, somit sollte das mit einem Interface und ein Paar FW-Regeln laufen.
...
> Mein Bruder und ich würden gerne unsere beiden Häuser mit einem LWL verbinden

Dann verbindet die Häuser aber nicht einfach, indem ihr die Netze zusammenstöpselt, sondern legt die LWL auf einem extra Interface/VLAN der Sense auf, macht ein Transfernetz (von Sense zu Sense via LWL) und routet euren Kram darüber. Zwei unterschiedliche Netze einfach zusammenzustöpseln führt immer zu Problemen, zumal dann auch die Broadcasts im gleichen Netz mit verschiedenen IPs rumdümpeln. Von DHCP Panic ganz zu schweigen, weil plötzlich beide Kisten denken sie sind DHCP fürs Netz. Will man nicht. Also sauber trennen und mit Transfernetz verbinden.

> Wir würden aber gerne das Wlan zusammenlegen, (Unifi Hardware ist vorhanden)

Zusammenlegen würde ich da nichts, aber siehe weiter unten.

> Es soll einen Zentralen Unifi-Controller geben, der eine zentrale SSID bereitstellt.

Jup, machbar.

> Loggt sich ein User von Haus1 in das Wlan ein, bekommt dieser auch den Gateway von Haus1.
> Loggt sich z.B. der User von Haus2 ein soll diesem der Gateway von Haus2 zugewiesen werden.
> Für das Gäste Netz soll natürlich das gleiche gelten. (ein Captive Portal für das Gästenetzwerk läuft bereits - aber ohne rooting - mit einem Gästenutzer der in der lokalen DB erstellt wurde)

Nope, stop. Man könnte sicherlich irgendwelche BlackMagic betreiben um das zu erreichen, wäre aber einfach nicht sauber und würde Probleme bringen (und zwei Netze einfach im gleichen Segment siehe oben, doofe Idee).

Was ihr braucht: auf beiden Seiten Switche, die VLAN können. Dann definiert ihr jedes Heimnetz unter einer Heimnetz VLAN ID, also statt der standardverwendeten "VLAN 1" Geschichte, macht ihr bspw. auf der einen Seite alle Ports zu VLAN 10 und auf der anderen Seite werden alle zu VLAN20. Ein Gästenetz packt ihr in VLAN 30. Und das Netzsegment zwischen den Häusern in einen Transferbereich, was ganz anderes, vllt. 99. Da rein würde ich auch den Controller und den/die APs packen zum konfigurieren. Der AP hat dann das Transfernetz untagged wie der Controller und spricht darüber mit dem. Zusätzlich konfigurieren wir tagged VLAN 10, 20 und 30 da auch noch drauf und konfigurieren den Access Point auf WiFi mit AES-Enterprise und konfigurieren Radius based VLANs. Kann man ggf. den Freeradius von der Sense für nutzen.

Vorteil dann:
* EINE SSID (<deinSSIDName)
* man loggt sich mit User/PW statt mit WLAN Key ein, wenn jemand gesperrt wird läufts bei allen anderen trotzdem weiter.
* Gästenetz extra konfigurieren (extra SSID, die direkt in VLAN 30 reinkommt und dann das Portal nutzen kann)
* abhängig von WLAN User/PW werden die Clients in das jeweilige VLAN eingetütet und sind dann somit im einen oder anderen Hausnetz
* sauberes Routing und man kann die Netze ordentlich gegeneinander absichern mit Regeln etc.

Ist aufwändiger und braucht ein wenig Planung, wird aber sicher am Ende besser laufen und mehr Spaß machen :)

Grüße
Title: Re: User bei Login in Wlan einen vordefinierten Gateway zuweisen
Post by: Rocker on December 15, 2019, 04:10:19 pm
WOW! - Danke für die ausführliche Antwort!

Wir werden deinem Rat folgen und es versuchen genau so zu lösen.

Vielen Dank

Gruß Rocker
Title: Re: User bei Login in Wlan einen vordefinierten Gateway zuweisen
Post by: JeGr on December 17, 2019, 10:40:04 am
Gerne! Bei Fragen, fragen. Kann man auch dann ggf. ein kurzes Bild/Netzplan erarbeiten und dann sollte das problemlos laufen. Ist einmalig natürlich mehr Aufwand, macht sich aber später durch mehr Laufruhe bemerkbar weil man nicht ständig dran rumbasteln muss ;)

Im Grunde ist der Aufbau (den ich auch Vorschlage) der typische "2 Standorte, eigenes Internet auf beiden Seiten, Standorte mit direkter Leitung verbunden" Szenario von vielen Firmen. Nur dass ihr quasi das WiFi über beide Standorte aufspannt und zentral (dank Unifi Controller) verwaltet und durch unterschiedliche Logins ins WLAN separiert/entscheidet, in welchem Netz man auftaucht. :) Dafür müssen dann nur die einzelnen loaklen LANs ordentlich in das gemeinsame LWL Netz reingetaggt werden aber dann läuft das.