OPNsense Forum
International Forums => German - Deutsch => Topic started by: torcolato on January 11, 2018, 10:41:41 pm
-
Hallo zusammen,
beiße mir grade an einem eigentlich leichten Setup die Zähne aus.
Ich habe eine (neue) Opnsense Box mit (noch) 2 Interfaces.
em0 ist das WAN Interface, verbunden mit der Fritzbox.
em1 ist das LAN Interface.
Nun muss ich die LAN Seite so konfigurieren wie es bei anderen Herstellern "trunk" genannt wird, Sprich em1 geht in einen trunk Switchport; am gleichen Switch hängt ein Access Point welcher pro VLAN eine SSID broadcastet.
Was auch immer ich ausprobiert habe, hat leider nicht funktioniert. :(
Für jeden Tip dankbar,
Christian
-
Naja du musst uns auch mitteilen, welchen Switch du hast, und was du in der OPNsense konfiguriert hat.
Normalerweise legst du die VLAN Einstellungen entweder über das Webinterface fest. Oder über "Assign Interfaces" in der CLI, was ich selber bevorzuge.
-
Das sind Meraki Switches, die in der jetzigen Konfiguration auch klaglos ihren Dienst verrichtet haben.
Nur möchte ich das Meraki Security Gateway unbdingt durch Opnsense ersetzen :)
Und da scheitere ich grade.
Mein Ansatz war, im GUI die VLANs entsprechend der VLAN IDs zu konfigurieren.
Aber habe ich dann einen "Trunk"?
-
Ja, die werden dann getagged
-
Ein VLAN Trunk Port ist an sich nur die Beschreibung der Tatsache, dass an diesem Port Pakete mit verschiedenen VLAN Tags ein - und ausgehen.
Bei der OPNsense handelt es sich ja unter anderem auch um einen Router. Aus Routersicht brauchst du für jedes VLAN ein Interface. Da du bei VLAN ja nur einen realen Port benutzt sind die VLAN Interfaces in der sense ja "virtuell"
Wenn du in der sense ein VLAN Interface anlegst, gibst du natürlich auch das zugrunde liegende reale Interface an (den realen Netzwerkport). Auf dem laufen dann all deine konfigurierten VLANs und der "normale" ungetaggte Verkehr. Womit du dann definitionsgemäß auch einen Trunkport an der sense hast.
-
Danke.
Aber leider noch kein Erfolg. :(
Was mache ich denn mit dem parent interface (in dem Falle em1)?
Ich habe es momentan auf "aktiviert" und "IPV4/6 Konfigurationstyp = keines".
Ist das so korrekt?
-
Dein Parent Interface ist für den tag-losen Verkehr zuständig. Deaktivierst du die IP Konfiguration dort kannst du nicht getaggten Traffic nicht mehr verarbeiten.
Wenn du eh nur WAN und LAN hast, dann hast du damit auch dein LAN abgeschnitten. Ist deine opnSense jetzt überhaupt noch erreichbar ???
-
Ja, ist noch erreichbar da ich bis ich das mit den VLANs gerafft habe den pf disabled habe.....
-
Greifst du also quasi von FritzBox Seite drauf zu ...
Versuch mal LAN(em1) zu aktivieren und ihm auch eine IP zu geben.
Eine Schnittstelle für das konfigurierte VLAN hast du auch unter Schnittstellen/Zuweisung eingerichtet sowie eine IP Konfiguration eingestellt?
Ein paar konkrete Beispiele wie was konfiguriert ist wäre hilfreich. zB. Welche Netze sollen existieren, welches Netz geht über welches VLAN usw.
-
Ich brauche 2 Vlans. VLAN 202 und VLAN 204, weil der Access Point da jeweils eine SSID drauf broadcastet.
Das Netzt ist eigentlich ganz einfach:
fritz------Opnsense------switch1-------switch2------AP2
|
|
AP1
Zusätzlich hängt an switch1 noch ein server welcher DHCP fürs VLAN 202 macht.
Opnsense hat an WAN Seite per DHCP eine IP Adresse von der Fritz Box gekriegt (192.168.178.38) und auf LAN Seite habe ich das Interface em1 nun aktiviert und per DHCP eine Adresse zuweisen lassen (192.168.202.145).
Es gibt 2 VLAN Interface em1_vlan202 und em1_vlan204 mit den Adressen 192.168.202.1 und 192.168.204.1
Die oben eingezeichneten Switch Ports sind alle als Trunk konfiguriert.
Hänge ich nun ein Laptop an einen weiteren Port (als Access Port VLAN 202 konfiguriert) kriegt es per DHCP *KEINE* IP Adresse.
Weise ich ihm händisch eine zu (192.168.202.253) kann ich den Server pingen, aber das Opnsense VLAN Interface und die Switche *NICHT*. Ich komme auch nicht ins Internet, logisch da Opnsense mit der 192.168.202.1 das Gateway ist.
Hoffe das ist so verständlich!
Und Danke für Deine/Eure bisherigen Mühen!
-
und auf LAN Seite habe ich das Interface em1 nun aktiviert und per DHCP eine Adresse zuweisen lassen (192.168.202.145).
Da ist mMn. schon mal Fehler 1. em1 (also LAN) bekommt per DHCP eine Adresse 192.168.202.145.
Wenn ich deine Nomenklatur richtig verstehe ist 192.168.202.0/24 der Name des VLAN 202 Netzes.
In diesem Fall darf em1 (LAN) diese Adresse nicht bekommen, da es NICHT für das VLAN 202 zuständig ist.
Desweiteren würde ich dir dringend abraten bei Geräten die einen Verwaltungszweck haben und somit nicht wirklich Nutzerclients sind, DHCP zu verwenden. Würde ich die Netze aufbauen sähe das ugf. so aus:
Fritz!Box (192.168.178.0/24) - Standardnetz der FritzBox
OPNSense WAN: Feste IP (192.168.178.2) - .1 ist von der FritzBox selbst belegt.
OPNSense LAN: Feste IP (192.168.x.1) - achte hier darauf, dass x nicht die selbe Zahl ist wie in den VLAN Netzen
VLAN_202 (an em1): Feste IP (192.168.202.1) - das hast du schon korrekt.
VLAN_204 (an em1): Feste IP (192.168.204.1) - auch das hast du schon.
Im Prinzip würde ich den an Switch1 befindlichen DHCP Server weg machen. Die OPNsense kann für jedes ihrer verwalteten Netze selbst DHCP anbieten. Somit entfällt auch eine kompliziertere Konfiguration, weil du bei der Sense alles unter einem Dach hast.
Deine Access Points müssen so konfiguriert sein, dass sie die VLAN Tags 202 respektive 204 verwenden.
Die OPNSense muss am Switch an einen Trunk-Port an dem ungetaggter Verkehr, sowie der Verkehr für 202 und 204 läuft. Somit ist sichergestellt, dass die Sense auch alle Pakete für diese Netze empfängt.
Auch sehr wichtig ist, dass du entsprechende Firewallregeln setzt. Du sagtest du hast den Paketfilter abgeschaltet. Ich weiß nicht ob das gut ist. Denn mMn. funktioniert dann auch kein NAT und eine Kommunikation mit der FritzBox zwecks Internet wäre dann auch nicht ohne weiteres möglich.