OPNsense Forum
International Forums => German - Deutsch => Topic started by: Dieter Bosli on January 12, 2022, 02:30:42 pm
-
Hallo zusammen
Ich habe auf meiner OPNsense auf einem physikalischen Interface den DHCP Server aktiviert. Neben dem dynamischen Range auch etliche fixe Zuordnungen gemacht. Funktioniert so seit längerem bestens.
Jetzt habe ich auf dem selben Interface eine zusätzliches VLAN definiert und auf dem VLAN-Interface wiederrum einen DHCP Server eingerichtet. Den dynamischen Range an das VLAN-Subnetz angepasst.
Bin ich nun im VLAN angemeldet, bezieht mein Gerät immer eine IP vom DHCP Server des physikalischen Interfaces und nicht des VLAN Interfaces.
Was muss ich bei der Konfiguration beachten, dass auch tatsächlich der DHCP Server des VLAN Interfaces zum genutzt wird?
Besten Dank und Gruss.
-
Mische nicht getaggte und ungetaggte Netze auf einem Interface. Leg alles getaggt an. Dann funktioniert es, sonst nicht.
-
Phuuuu jetzt kommts aber knüppeldick… :(
Aber zuerst mal Danke für die schnelle Antwort!
Bin gerade am Überlegen was das in meinem nicht ganz kleinen und bisher sehr bewährten Setup bedeuten könnte.
1. Wenn ich Deine Antwort richtig verstehe, muss der DHCP Server auf dem physikalischen Interface abgeschaltet werden und ausschliesslich in den VLAN Interfaces aktiviert sein. Richtig?
2. Ich binde über das physikalische Interface heute viele Geräte per Kabel ein und zwar über unmanaged Switches ins Netzwerk ein. Muss ich die dann speziell konfigurieren? Müssen diese Geräte alle VLAN kompatibel sein?
Ich meine, wie finden die kabelgebundenen Geräte den richtigen DHCP Server?
3. Gleichzeitig sind da auch WiFi Router/AP eingebunden. Müssten die Geräte welche das normale WLAN nutzen alle VLAN kompatibel sein?
Ich denke das übernimmt dann das entsprechende WLAN. Richtig?
4. Der Grund für die VLAN Konfig ist, dass für Gäste ein zweites virtuelles VLAN aufgebaut wurde, welches auf der OPNsenses über ein Captive Portal läuft. Zumindest funktioniert dies soweit, dass die Gäste korrekt auf der Landing Page des CP landen und sich korrekt anmelden können. Das saubere Firewalling funktioniert aber wegen den IP’s aus dem Range des physikalischen Interfaces nicht richtig. Womit der Sinn des ganzen schon mal zu einem grossen Teil verloren geht.
5. Ich müsste jetzt also auf dem physikalischen Interface ein weiteres VLAN anlegen und die Einstellungen des DHCP Servers auf dem physikalischen Interface auf den DHCP Server des neuen VLANS übernehmen. Um dann den DHCP Server auf dem physikalischen Interface zu deaktivieren. Richtig?
6. Welche Probleme könnten mich noch erwarten, wenn ich eine solche Umstellung auf VLAN in Angriff nehmen würde?
Ich ahne, das gibt ein grösseres Projekt, so ein Fass ohne Boden quasi….
-
Du hast doch auf einem Interface sowohl VLANs als auch eine IP-Adresse direkt auf dem physikalischen Interface liegen, richtig? Am anderen Ende dieses Kabels muss dann doch ein managed Switch hängen, der zumindest VLANs kann?
Dann änderst Du das untagged "native VLAN" (so heißt das bei Cisco) einfach in ein tagged VLAN. An den anderen Ports dieses Switches, an dem das VLAN untagged anliegt, änderst Du nichts - da kannst Du weiterhin dumme Switche oder andere Dinge dran hängen.
Tagged/untagged ist immer nur konkret auf einem Port relevant. Und auf der Verbindung von der OPNsense zu $IRGENDWAS darf man nicht tagged und untagged mischen.
-
Genau da liegt wohl jetzt mein Problem. Ja ich habe im Moment ein Mischbetrieb. Grundsätzlich sind hier alle Switches unmanaged.
Daran hängen unter anderem WiFi-Router, die haben managed Switches. Deshalb konnte ich ein WLAN mit VLAN einrichten und das auch mit der OPNsense verbinden. Bis auf die DHCP Problematik läuft das auch. Sonst würde ja das Captive Portal von den Geräte am Gäste WLAN nicht gefunden.
Alle Geräte an meinen Switches laufen jetzt direkt auf dem DHCP Server des physikalischen Interfaces. Wir sprechen hier über ca. 10 Switches, welche verteilt im ganzen Haus installiert sind. Die müsste ich also alle ersetzten, damit ich allen Ports dieser Geräten das entsprechende VLAN Tag mitgeben könnte. Richtig?
Dann wird beim Einschalten auch der richtige (dem VLAN zugeordnete) DHCP Server angesprochen. Richtig?
Oder stehe ich immer noch auf dem Schlauch?
-
Die OPNsense hängt mit einem Port, auf dem tagged VLANs anliegen, an einem unmanaged Switch? Das kann doch gar nicht gehen. Deine Wifi Router haben managed Switches, sagst Du? Diese Managed Switches können doch auf dem Kabel zur OPNsense einfach alle VLANs tagged betreiben und gut ist. Der Rest bleibt wie es ist.
Mach doch mal einen vollständigen Netzplan ...
-
Naja, der Netzplan braucht ein wenig Zeit, da es nicht eine 0815 Installation ist...
Zumindest ist es von der Verkabelung im Gebäude nicht möglich nur über die WiFi Router zu gehen.
Aus meiner Sicht geht der Mischbetrieb zumindest halb. Wie sonst sollten die Geräte am getaggten WLAN in der OPNsense auf das richtige Interface gelenkt werden und am Captive Portal ankommen. Während die Geräte im untaggeten WLAN daran vorbei geroutet werden. Aber anscheinend funktioniert das mit DHCP nicht. Da wird dann nicht auf den richtigen DHCP Server geroutet.
Bedeutet für mich, dass getaggter Traffic problemlos über die unmanaged Switches bis zur OPNsense fliesst.
Auch die anderen WLAN zu taggen wäre kein Problem.
Vielleicht könnte ich mit dem Austausch von 2 bis 3 Switches (möglichst direkt bei der OPNsense) die kabelgebundenen Geräte einbinden, da ja an einem getaggten Port wieder ein Switch (unmanaged) hängen kann. Richtig?
-
Ein unmanaged Gerät, das selbst keinen Plan von VLANs hat, sollte stets nur an einem untagged Port hängen. Dass Deine unmanaged Switche die tagged Frames transparent durchreichen, ist reine Glückssache. Die sind nämlich größer als 1500 Bytes, daher wäre es völlig standardkonform, wenn die Switche die einfach droppen würden.
-
Möchte mich bei Dir bedanken. Habe mir jetzt zwei EdgeSwitch 18X von Ubiquiti geholt und mit Deinen Hinweisen recht schnell das Problem gelöst gehabt.
Herzlichen Dank!
-
Gut zu wissen.
Ich muss das bei mir auch noch umstellen, das Unifi-Adminlan lässt sich nicht auf den Unifi-Geräte mit ner anderen VLAN-ID versehen, entweder klapp das anders oder ich mache dafür auf der OPNSense ein extra Interface.
-
> Ich muss das bei mir auch noch umstellen, das Unifi-Adminlan lässt sich nicht auf den Unifi-Geräte mit ner anderen VLAN-ID versehen, entweder klapp das anders oder ich mache dafür auf der OPNSense ein extra Interface.
Warum sollte sich das Admin-LAN bei Unifi nicht verstellen lassen? Das geht doch problemlos in den Geräten?
Gerät auswählen, "Konfiguration" (Zahnrad), Dienste, Management-VLAN im Dropdown auswählen. Da kann man es auf ein anderes VLAN umpolen. Sie müssen nur den Controller erreichen können, sonst gibts natürlich Probleme ;)
-
Alternativ spricht überhaupt nichts dagegen, z.B. VLAN 1 bei den Unifi-Geräten untagged und überall sonst tagged zu betreiben. Tagged/untagged ist keine per-VLAN sondern einer per-Port Einstellung.
-
Warum sollte sich das Admin-LAN bei Unifi nicht verstellen lassen? Das geht doch problemlos in den Geräten?
Das LAN kannst du ändern ( IP etc ) , aber die VLAN-ID davon nicht - die ist fest eingestellt.
-
Hi,
sicher kannst du bei den Unifi Geräten das Managment-VLAN umstellen. Geh auf das Gerät, dann unter Einstellungen -> Dienste. Dort gibt es als obersten Punkt Managment-VLAN.
KH