OPNsense Forum

International Forums => German - Deutsch => Topic started by: you on April 15, 2018, 10:57:26 am

Title: (GELÖST) Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: you on April 15, 2018, 10:57:26 am
Hi,

ich habe an der Sense noch einen Port frei. Meine Überlegung war, an diesen den Ubiquiti AP zu stecken. 3 VLAN für VLAN1: ADMIN, VLAN2: WLAN-LAN, VLAN3: WLAN-Gäste.

Wenn ich nun die VLAN2 und LAN zu einer Bridge mache und VLAN2 keine eigene IP gebe, bleiben dann die Einstellungen für LAN (inkl. DHCP) gültig für beide Mitglieder der Bridge oder muss ich die Einstellungen von LAN auf die Bridge "hochziehen"?

Je mehr ich lese, umso konfuser werde ich ... und ich kann grad nicht wirklich experimentieren.

Merci
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: theq86 on April 15, 2018, 07:42:32 pm
Warum willst du denn bridgen? Ich würde 3 VLAN Interfaces erstellen (alle am selben realen eth device) und dort den AP anschließen. Die sense kümmert sich dann automatisch um das Routing.

Bridging brauchst du nur, wenn sich Adressbereiche überlappen. Da aber jedes VLAN ne andere Netzadresse haben sollte, sehe ich hier keine Notwendigkeit dafür.

edit:
sehe gerade eins der Drahtlos-Netze soll direkt ins LAN gehen. Dann stimmt es, brauchst du Bridging.

Andere Möglichkeit wäre, den AP direkt an den VLAN-fähigen Switch anzuschließen. Somit umgehst du die Notwendigkeit des Bridgings auf der Sense und müsstest nur 2 zusätzliche VLANs anlegen.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: you on April 16, 2018, 09:40:52 am
Danke Dir nasq.

Ja ... die Familien-WLAN-Geräte sollen ins LAN. Ich habe SATIP und andere Geräte, die leider nicht über Subnetzgrenzen hinweg funktionieren. Und wenn ich den iPads das TV entziehe, stehe ich daheim im Sturm :D

Was mir nicht klar ist, ist, was passiert, wenn ich bridge. Gelesen habe ich viel, allein ist es nicht erhellend gewesen.

Ich habe aktuell alles auf LAN (dhcp, rules) eingerichtet. Ist das dann auch für die Bridge wirksam, wenn ich die VLAN-Schnittstelle ohne eigene IP Adresse anlege? Oder muss ich die Einstellungen für die Bridge alle neu vornehmen?

Cheers
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: Mks on April 16, 2018, 10:17:58 am
Quote
Andere Möglichkeit wäre, den AP direkt an den VLAN-fähigen Switch anzuschließen. Somit umgehst du die Notwendigkeit des Bridgings auf der Sense und müsstest nur 2 zusätzliche VLANs anlegen.

Würde ich auch so empfehlen und die Bridge vermeiden.

lg
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: theq86 on April 16, 2018, 11:14:30 am
Was mir nicht klar ist, ist, was passiert, wenn ich bridge. Gelesen habe ich viel, allein ist es nicht erhellend gewesen.

Stell dir vor, du hast 2 Netzwerkkarten: eth0 und eth1

Diese sind erstmal völlig unabhängig von einander und der Traffic an diesen Karten ist auch getrennt.

Es gibt nun 2 Möglichkeiten, eine Verbindung zwischen diesen Netzwerkkarten zu realisieren, beide funktionieren auf Betriebssystem (Software)-Ebene.

- Durch Forwarding:
Pakete werden von eth0 auf dem OS "zwischengespeichert" und von diesem Zwischenspeicher an eth1 weitergeleitet. Dazwischen kann auch NAT betrieben werden.

- Durch Bridging:
Bridging sorgt kurz gefasst dafür, dass eth0 und eth1 zu einer einzigen Netzwerkkarte "zusammengefasst" werden. Das heißt, dass ab dem Zeitpukt auch die komplette Bridge als "LAN-Interface" gelten muss.

Beispiel bei dir:
Bridge zwischen WLAN(Familie) und LAN: Die Bridge, die du erstellst, stellt dann dein neues LAN dar und für diesen Bridge-Adapter musst du auch alle IP Konfigurationen tätigen. Die Konfiguration von LAN wird damit obsolet. Du musst also auch deine IP und DHCP Konfiguration auf das Bridge-Interface umziehen.

Wie gesagt, das alles klappt, aber wäre nicht mein favorisierter Aufbau. Wenn der AP am Switch hängt ist er direkt mit dem "Haupt"-Netzwerk verbunden. Wenn du den Switchport nun als VLAN Trunkport konfigurierst kannst du auch die anderen VLANS über den AP benutzen.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: monstermania on April 16, 2018, 11:47:12 am
Ja ... die Familien-WLAN-Geräte sollen ins LAN. Ich habe SATIP und andere Geräte, die leider nicht über Subnetzgrenzen hinweg funktionieren. Und wenn ich den iPads das TV entziehe, stehe ich daheim im Sturm :D
Kenn ich. Frauen sind ja so etwas von verständnislos, wenn mal etwas nicht sofort funktioniert!  :D :D :D
Quote
Oder muss ich die Einstellungen für die Bridge alle neu vornehmen?
Ich habe zu Hause eine Bridge konfiguriert.
Alle Einstellungen (DHCP, FW-Regeln) musst Du auf die Bridge umstellen. Die per Bridge verbundenen Schnittstellen haben keine eigenen Einstellungen mehr.
Ist aber nicht weiter schlimm, da Du z.B. die FW-Regeln ja einfach vom LAN-Interface auf die Bridge kopieren kannst.
Ach ja, ich habe auch die in diesem Artikel genannten Einstellungen für die Bridge vorgenommen:
https://www.infotechwerx.com/blog/Creating-a-Simple-pfSense-Bridge

Gruß
Dirk
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: you on April 16, 2018, 04:32:37 pm
Danke Euch allen. Damit habe ich genug Material in Ruhe zu testen, wenn keiner im Haus ist :)
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: Kruemel on April 16, 2018, 10:58:07 pm
Um mal kurz mein Setup darzustellen, weil ich auch die Ubiquiti UAPs benutze:

eth0 => LAN
eth1 => WAN
eth2 => VLAN Trunk mit VLANs für WLAN intern, WLAN für IoT Geräte und Gäste WLAN

Jedes VLAN ist ein eigenes Netz, das Routing übernimmt die Sense. Das schöne dabei ist, dass ich nicht die Ubiquiti UAPs für das "Gäste WLAN" benutzen muss, sondern der Traffic getaggt zur Sense geschickt wird, die auch dann das Firewalling macht. Vom LAN in die jeweiligen VLANs ist alles frei, d.h. ich erreiche z.B. den Sat Receiver der im IoT Netz steht ohne Probleme aus dem LAN, aber andersherum kommt der Receiver nicht in mein LAN - so erhöhe ich meine  Sicherheit etwas.

VG
Krümel
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: JeGr on April 17, 2018, 11:12:06 am
Sieht bei mir ähnlich aus, ich habe im Haus auch seit kurzem einen Unifi AC-LR und konfiguriere ihn mit einer SSID + Radius based VLANs, was _enorm_ schick ist!

Unifi AP hängt am Switch an einem Trunk Port mit allen VLANs. Insgesamt gibts auf der Sense diese VLANs:

270: Storage (nicht am AP angelegt)
271: LAN (PCs + Storage Frontends)
272: WLAN (WiFi Geräte)
273: Media (Media Kram, TVs, Konsolen, FireTV/Alexa/Chromecast, whatever)
279: MGMT (alle Config/Mgmt Ports von Switchen, Unifi AP Controller etc.)
123: Gäste

Auf der Sense läuft Freeradius, Unifi AP nutzt Radius based VLANs durch Anmeldung an der Sense. Angelegte User im Radius können sich so via 802.1x Enterprise AES am WLAN anmelden mit User/PW und bekommen darüber dann ihr VLAN Tag. Mein User bspw. kommt im WLAN Netz raus, der User von Kids und Freundin taggt automatisch ins Gäste VLAN (darf voll ins Internet aber nicht in irgendein anderes VLAN). Nur für Media Geräte hab ich noch eine zweite SSID mit festem Passwort direkt auf VLAN 273 getaggt, da solcher Streaming Kram leider kein Enterprise WLAN unterstützen. Damit kann man aber direkt über die Radius Anmeldung schnell steuern, in welchem VLAN ein Client auftaucht OHNE dass man den manuell anfassen muss und kann direkt einen User aussperren mit allen seinen Clients :)

Gruß
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: theq86 on April 17, 2018, 11:55:16 am
Kann man durchaus so machen. Ich würde jedoch eine feste Zuordnung von SSID und VLAN bevorzugen und nicht userbasierte Tags vergeben. Bei einem Multi-SSID fähigen Gerät ja auch kein Problem.

Wobei es in deinem Fall aufgrund der Fülle an VLANs dann doch Sinn machen könnte.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: JeGr on April 17, 2018, 02:44:45 pm
> Bei einem Multi-SSID fähigen Gerät ja auch kein Problem.

Problem: jein.
Sinnvoll: nein

Warum? Problematisch ist es, wenn man mehr als 4 VLANs nutzt, da die Unify APs auf 4 SSIDs/Radio begrenzt sind. Das ist eine harte Begrenzung die man nicht umgehen kann.
Sinnvoll: ebenfalls IMHO nein, denn: damit spart man sich (so alle Clients enterprise-aes können) alle SSIDs bis auf eine. Da jede zusätzliche SSID die verfügbare Bandbreite nach unten begrenzt, ist das einsparen von unnötigen SSIDs auf jeden Fall eine Hilfe bzw. ein Performance Aspekt.

http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html
https://7signal.com/controlling-beacons-boosts-wi-fi-performance/

Daher wird es aus sinnvollen Gründen eh nicht empfohlen mehr als 2-3 SSIDs zu nutzen. Und jede, die verzichtbar ist, hilft den Beacon Spam aus der Nachbarschaft zu minimieren. Gerade die 2er Bänder sind eh inzwischen geflutet mit Spam und leider vielen freundlichen Idioten, die es gut meinen, aber keine Ahnung von WiFi haben und ihre APs dann auf Kanäle wie 2,3,4,8,10 setzen *seufz* :)
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: theq86 on April 17, 2018, 07:24:38 pm
Momentan habe ich 2 SSIDs. Eine als Zugang über WPA Personal mittels PSK. Ich habe leider Geräte, die Enterprise nicht beherrschen, aber deren Abwesenheit den Hausfrieden gefährdet.

Eine zweite SSID ist für alle Geräte, die WPA Enterprise unterstützen und direkt ins LAN sollen. Dafür läuft auf meiner Sense auch der FreeRADIUS.

Die PSK SSID geht über ein VLAN das ich extra für alle "normalen" WiFi Clients angelegt habe. Da sind auch die E.T. nach haus telefonieren Features blockiert.

Die EAP SSID wird nich getagged und geht somit direkt ins LAN. Momentan sind da die Laptops und mein Handy drin.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: JeGr on April 18, 2018, 09:21:32 am
@nasq: Dito, wegen diversen Streaming Büchsen, die kein Enterprise können :)
Und auf der EAP Seite kann ich via User dann schnell ein Gerät entweder ins echte LAN oder WLAN Netz, oder auch mal ins Gäste Netz hängen. Sehr praktikabel :)
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: chemlud on April 18, 2018, 11:19:59 am
Und auf der EAP Seite kann ich via User dann schnell ein Gerät entweder ins echte LAN oder WLAN Netz, oder auch mal ins Gäste Netz hängen. Sehr praktikabel :)

Bitte, wie? Kannst du das in 1-2 Sätzen nochmal verständlich machen, bitte?
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: theq86 on April 18, 2018, 12:14:12 pm
Im Prinzip läuft das so:

Du aktivierst VLANs für den FreeRadius (Bild 1)
Und du weist dem Radius-Nutzer eine VLAN-ID zu (Bild 2)

Nun, je nach verwendeter Hardware das Feature am AP aktivieren (Bild 3: Beispiel UniFi Controller)

Jetzt ist die VLAN-ID, die ein drahtloser User bekommt abhängig von der im RADIUS-Server getätigten Einstellung.

Sehr flexibel.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: JeGr on April 18, 2018, 12:43:01 pm
Aye eben das. Und man kann auch über die UI bei einem User einfach mal schnell das Tag ändern und beim nächsten connect ist der User einfach im anderen VLAN. Funktioniert einfach und schnell.

Selbst die Radius Loginzeiten werden tatsächlich genutzt: bei Einstellung bspw. bis 2300 kann ab 2301 keine neue Verbindung mit dem WLAN aufgebaut werden. Wenn der Client noch verbunden ist, bleibt er natürlich verbunden, das wollte ich aber noch untersuchen, ob sich hier eine zwangstrennung nach x min ggf. realisieren lässt, damit der reconnect erzwungen wird.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: theq86 on April 18, 2018, 07:10:57 pm
Welche Einstellung ist das denn mit dem Zeitlimit? Sehe da nichts in den FreeRADIUS Einstellungen außer einem Session Limit.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: JeGr on April 19, 2018, 10:15:36 am
Ich bin noch unschlüssig ob die Unifi Kisten bzw. die User den "Session Timeout" von Radius auslesen und nutzen, aber die Possible Login Times (bspw. Any0800-2300) wird definitiv befolgt und bei einem neuen/Re-Connect nach 2300 bspw. kommt der User nicht mehr ins WLAN.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: theq86 on April 19, 2018, 09:54:18 pm
Ja, verstehe. Was ich meine ist: Wo finde ich diese Einstellung: Possible Login Times

In der FreeRADIUS GUI sehe ich sie nicht. Und im Controller sehe ich auch nichts, es sei denn ich übersehe etwas.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: JeGr on April 21, 2018, 10:41:47 am
Ah my bad. Der AP und die Produktivumgebung zu Hause laufen auf pfSense, das Labor auf OPNsense. Das FreeRadius Package von OPNsense hat leider einige der User Settings von pfSense nicht. Z.B. habe ich hier pro User:

Time Config:
- Expiration Date
- Session Timeout
- Possible Login Times (Format Example: Wk0855-2305,Sa,Su2230-0230)
- Amount of Time
- Time Period (Daily/Weekly/Monthly/Forever)

Bei gesetzten Login Times mit Wk0800-2300,Sa,So bspw. kann man sehen, dass alle Anmeldungen ab 23h Werktags abgelehnt werden mit User denied. Was sehr schick ist. Ich muss nur noch ausknobeln, ob Session Timeout bzw. Amount of Time hier in Kombination genutzt werden können, damit die Re-Auth nach bspw. 30min o.ä. stattfindet, damit man wirklich spätestens bspw. nach Login Time + Re-Auth (bspw. 2330) dann aus dem WLAN fliegt. Das wäre schick ;)
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: you on April 26, 2018, 07:37:28 am
Ich stehe im Wald und sehe keinen einzigen Baum mehr. Je mehr ich lese, umso verwirrter bin ich. Ich habe jetzt einen managed Switch (US-8, Ubiquiti) und drehe mich mächtig im Kreis :(

edit:
sehe gerade eins der Drahtlos-Netze soll direkt ins LAN gehen. Dann stimmt es, brauchst du Bridging.

Der AP soll in drei Netze/an drei Ports der Sense:
1. WLAN-Guest (neu, 192.168.100.x)
2. Lan (WLAN-Familie soll in das vorhandene 192.168.10.x)
3. Server (Admin soll in das vorhandene 192.168.1.x).

Ist es überhaupt möglich, 2. und 3. über den Switch ohne Bridge in die vorhandenen Netze zu bringen? Der Switch kann VLAN, Trunked.

Meine Vermutung: Ich kann das eine AP Kabel nur über VLANs in 3 Segmente teilen. Und, wenn ich das mache, komme ich nicht umhin, zusätzliche Subnetze anzulegen und zu managen ODER zwei Bridges zu bauen.

Eine weitere Frage: Wie verhalten sich dann die Clients, die sich im WLAN-Guest anmelden? Ist der VLAN-Status transparent? Eingeben kann ich eine VLAN ID bspw. bei macos für WLAN nicht so ohne Weiteres.

Danke für Eure Geduld mit mir ... die Fragen sind sicherlich sehr "Basic"  :-[
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: theq86 on April 26, 2018, 11:19:35 am
Ist es überhaupt möglich, 2. und 3. über den Switch ohne Bridge in die vorhandenen Netze zu bringen? Der Switch kann VLAN, Trunked.

Ja, das ist möglich.

Code: [Select]
                     [AP][?] [?] [?] [?] [?] [?] 
                      |   |   |   |   |   |   |
[ UniFi Switch | [1] [2] [3] [4] [5] [6] [7] [8] | ]
                  |
                  |
[OPNsense      | [1] [2] [3] | ]
                      |   |
                     [?] [?]

Wenn du dir obiges Schaubild ansiehtst: Deine Sense mit 3 Ethernet-Ports (wieviele deine wirklich hat und wie sie belegt sind spielt bei dieser Betrachtung keine Rolle) ist an einem Port mit dem Switch verbunden.

Sagen wir mal es ist der LAN Port deiner OPNsense und er hat das Gerät eth0.
Jetzt legst du 2 VLAN Interface an. Beide VLAN Interfaces bekommen eth0 als physische Schnittstelle.
Dadurch entsteht ein sogenannter Trunk-Port an der OPNsense.

Am UniFi Switch legst du jetzt über den Controller deine gewünschten Netze an und konfigurierst den Port, der mit der Sense verbunden ist (im obigen Fall Port 1) UND  den Port, der mit dem AP verbunden ist (im obigen Fall Port 2) so, dass auf diesen Ports auch alle VLANs anliegen. Ist standardmäßig der Fall. Oder du gibst den Port das Profil "All".

Jetzt kannst du die Drahtlos-Netze mit dem Controller einrichten. Drahtlos-Netze, die in ein VLAN routen sollen denen gibst du das gewünschte VLAN Tag.

Sowohl AP, Switch, als auch OPNsense haben nun konfigurierte Trunk-Ports. Das sind Netzwerkports, die Traffic für verschiedene VLANs zugleich weiterleiten. Da nun alle Geräte in der Kette VLAN-aware sind reicht diese eine Kabelverbindung aus. Da auch das Hauptnetz über den Trunk-Port läuft brauchst du nirgends eine Bridge, von der ich dir auch eher abrate, da sie mMn. das Setup nur verkompliziert.

Eine weitere Frage: Wie verhalten sich dann die Clients, die sich im WLAN-Guest anmelden? Ist der VLAN-Status transparent? Eingeben kann ich eine VLAN ID bspw. bei macos für WLAN nicht so ohne Weiteres.

Clients bekommen nichts vom VLAN-Tagging mit und müssen auch kein VLAN-Tagging beherrschen. Switch und AP sorgen dafür, dass das eventuell vorhandene VLAN Tag automatisch entfernt wird, bevor sie das Ethernet-Frame weiterleiten.
Title: Re: Unifi AP -> VLAN -> WLAN/LAN Bridge
Post by: you on April 26, 2018, 11:49:26 am
Vielen lieben Dank, nasq ! Super Hilfestellung. Jetzt hat es Klick gemacht.

Ich habe mittels der Controller Software jetzt

1) die benötigten VLANs unter Netzwerke angelegt (in meinem Fall 2 für WLAN-Family und WLAN-Guest). Das Standard-Netzwerk (Subnetz der Controller-Software) ist mein drittes Netzwerk, genannt "Management".

2) im AP die SSIDs mit VLANs versehen (siehe Drahtlose Netzwerke)

3) korrespondierende Profile gefunden, inkl. "Management" (siehe Profile)

4) im USwitch die Ports benannt und als Switch-Port-Profil je einem Port VLANA, VLANB und Management, also analog Netzwerke aus (3), zugeordnet.

5) Vom USwitch geht an die Sense ein Kabel direkt (WLAN-Guest/VLANA an GUEST Port der Sense). Das Kabel WLAN-Family/VLANB geht an den dummen LAN Switch (von da an LAN Port der Sense) und das Kabel "Management" geht an den dummen SERVER Switch (von da an SERVER Port der Sense).

So hat alles geklappt ... WLAN-Family ist im LAN und es braucht keine Bridge :D ...


Hinweis:

Sobald man ein VLAN in der Controller Software anlegt (1), wird automatisch ein korrespondierendes Profil angelegt (3). Letzteres verweist dann ausschliesslich auf das jeweilige Netzwerk, also bspw. VLAN100 auf VLAN100 oder Management auf Management oder ... je nachdem, was man in den Netzwerken angelegt hat (1).

Diese automatisch generierten Profile sind nicht änderbar und weisen ausschliesslich auf das zugrunde liegende Netzwerk. Damit liegt an Ports auch jeweils nur das zugeordnete Netzwerk an. Will man mehr über eine Leitung tragen, muss man ein Profil Manuell anlegen.


Ich bin seelig :D