OPNsense Forum
International Forums => German - Deutsch => Topic started by: FirstSoul on September 11, 2018, 10:19:56 pm
-
Hi,
ich hoffe ich bekomme es gut beschrieben.
Es gibt vier physikalische Netzwerke mit einem 4 Port Intel NIC.
Die OPNsense ist eine VM auf einem ESX Host. Die VM bekommt die Intel Karte direkt als PCIe Passthrough.
igb0 = WAN
igb1 = LAN = 10.80.1.0/24
igb2 = DMZ = 10.80.2.0/24
igb3 = Kids = 10.80.3.0/24
VLAN4_igb1 = 10.80.99.0/24
Der Aufbau ist wie folgt:
Modem --> ESX (Intel NIC igb0) -->
OPNsense VM --> LAN (Intel NIC igb1) -->Switch Netgear DSM7248V2 (VLAN1 Default) Port 1
OPNsense VM --> DMZ (Intel NIC igb2) -->Switch Netgear DSM7248V2 (VLAN2 DMZ) Port 19
OPNsense VM --> Kids (Intel NIC igb3) -->Switch Netgear DSM7248V2 (VLAN3 Kids) Port 25
OPNsense VM --> WLANGUEST (Intel NIC VLN4 auf igb1) -->Switch Netgear DSM7248V2 (VLAN4 WLANGUEST) Port 1
Die Ubiquiti APs stecken auf Port 37 und 38.
ESX LAN ist auf Port 31 (für die Unifi Controller VM)
Auf dem Switch sieht es so aus:
VLAN1 untagged = 1-18, 31-48
VLAN2 untagged = 19-24
VLAN2 tagged = 1, 31, 37, 38
VLAN3 untagged = 25-30
VLAN3 tagged = 1, 31, 37, 38
VLAN4 tagged = 1, 31, 37, 38
Die WLANs auf dem APs haben natürlich entsprechend den VLANs zugeordnet.
Das normale WLAN bekommt IP Adressen vom DHCP 10.80.1.0/24.
Das DMZ WLAN bekommt Adressen vom DHCP 10.80.2.0/24.
Das Kids WLAN bekommt Adressen vom DHCP 10.80.3.0/24.
Soweit so gut! nun kommt das Virtuelle Interface der Sense ins Spiel.
Das WLAN Gäste ist mit 4 getagged, auf dem Sense angelegt mit der 4, als Interface angelegt und DHCP Server angelegt.
Es kommen keine Pakete auf der Sense an. Ich bekomme keine IP in diesem WLAN, manuelle IP Adressvergabe bringt mich auch nicht ins Netz.
Somit vermute ich ein Problem mit der Sense bzw mit dem VLAN Interface.
Ich finde keine Logs dazu, nur dass der Client beim DHCP versucht eine IP von igb1 (ohne VLAN) zu bekommen.
Ich weiß leider nicht mehr weiter.
Alles nach Anleitungen und Tutorials und Tipps eingerichtet. Es wundert mich eben, dass es für LAN, DMZ und Kids funktioniert. Daher schließe ich den Switch mal aus.
Jemand einen Tipp?
Wenn euch Infos fehlen, dann immer raus damit.
-
Kurze Frage dazu - ich will dir ja nicht das ganze Netz umbauen - aber warum alles einzelne Links auf der Sense? Brauchst du ernsthaft 4x Gigabit für die Netze? Ansonsten hätte ich das meiste eigentlich per VLANs auf dem gleichen NIC gelöst, anstatt mit 4 Adern in den Switch zu gehen. Macht einiges leichter und mixt vor allem untagged und tagged nicht. Vor allem sollte man m.E. bei VLANs NIE mit VLAN1 hantieren (weil default VLAN bzw. untagged default), das macht dann oft alles noch unnötig schwerer, aber das nur nebenbei. :)
Nächste Sinnfrage: Warum die ganzen VLANs als Tagged auf Port 1? Du greifst auf Port 1 nur untagged VLAN1 und tagged VLAN4 auf der Sense ab, warum die anderen dann überhaupt dort konfigurieren?
Frage zum DHCP Problem: Die Access Points _sicher_ richtig eingerichtet? Das hört sich nämlich danach an, als ob deine Gäste im WLAN NICHT im VLAN 4 sind, sondern im Default/VLAN1 reingemappt werden und dort einen DHCP Request schicken. Ansonsten würde ich nochmals sicherstellen, dass die Ports 1, 37 und 38 wirklich sauber für VLAN4 getagged sind und die Sense auch sauber in VLAN4 konfiguriert. Evtl. kannst du einen der anderen Ports (32-36?) mal untagged VLAN4 konfigurieren und damit testen ob das VLAN4 sauber auf der Sense ankommt und dann bis zu den APs debuggen. Aber ohne da mehr zu sehen ist das jetzt schwierig zu sagen. Genau deshalb bevorzuge ich es, keine Mixtur von tagged und untagged auf den Interfaces zu haben :)
-
Ja, das ist eine gute Frage... Ansich brauche ich die Netze nicht und könnte Kabel sparen.
Mit VLAN1 habe ich auch nicht hantiert ;) Das ist mir bewusst.
Recht hast du schon. Aber ich habe nun die Quad Port NIC, also warum nicht nutzen? ;-)
Du hast recht! Das ist ja total Banane. Port 1 ist jetzt nur noch untagged VLAN1 und Tagged VLAN4. Ob das die Lösung war, kann ich erst heute Abend sagen.
EDIT: Nein, war nicht die Lösung.
Ja sehr sicher. Die anderen WLANs sind eben genau so konfiguriert nur eben eine andere VLAN ID, statt die 3 eben die 4, logisch oder? ;-)
Gute Idee mal einen Port zu untaggen auf 4. Das könnte zum testen hilfreich sein. Danke!
In dem blöden Netgear Switch gibt es noch eine PVID Funktion. Die habe ich noch nicht ganz gerafft... Ich bin HP verwöhnt.
Hier mal zwei Screenshots. Vielleicht kann jemand was damit anfangen.
Das PVID musste ich konfigurieren, damit das ganze überhaupt klappt. Evtl. ist da schon das Problem...
Übersicht:
https://screenshots.firefox.com/j9McyglfHlFktZag/10.80.1.2 (https://screenshots.firefox.com/j9McyglfHlFktZag/10.80.1.2)
Hilfe:
https://screenshots.firefox.com/n9wL95sJIAz356pg/10.80.1.2 (https://screenshots.firefox.com/n9wL95sJIAz356pg/10.80.1.2)
-
PVID sollte eigentlich mit der untagged Konfiguration des Ports übereinstimmen. Bei Netgear sollte das wenn ich mich recht entsinne das pendant zu Private VLAN ID sein. Sieht im Shot auch so aus als obs passt. Ich würde da sonst aber wirklich erstmal Step by Step testen:
* Sense Einstellung prüfen (VLAN 4 auf igbX)
* einen VLAN 4 untagged Port auf dem Switch ranholen, Laptop oder sowas dran und einfach mal DHCP machen lassen, dann mitlauschen und ggf. auf Laptop und Sense TCPdump mitloggen. Kommt es überhaupt an wie es soll?
* erst wenn das passt, dann mal die AP Seite bzw. den Unifi Controller nochmal durchschauen, ob da das VLAN Tag bis hin zur SSID alles passt.
Hast du Radius based VLANs? Oder SSIDs die im entsprechenden VLAN stecken?
Ich kann dir bei mehr als 2 VLANs nur dazu raten das ganze - sofern keine allzu dummen WiFi Clients im Netz sind - auf radius based VLAN und WPA2-Enterprise WLAN umzustellen. Freeradius auf der Sense als Gegenstelle und gut. Einziger Knackpunkt sind solche "schlauen" Geräte wie Sonos, Alexa, etc. die nur normales WPA2-AES mit Key können.
Ich habe das bei mir so gelöst: LAN, Gästenetz, Medien-Netz (mit TVs und Konsolen, die ja ggf. andere Einstellungen brauchen), 2-3 andere Netze. Per Unifi AP gibts nur 2 SSIDs: eine generische und eine für das Medien Netz. Bei Radius-based VLANs muss man da bei Unifi aufpassen, da man per Radius in kein Netz reinkommt, das direkt verdrahtet in einer anderen SSID drin steckt. Daher eine generische SSID für alles außer Media und eine Media SSID mit WPA2-AES. Klappt hervorragend, via Radius User wird das VLAN Tag mitgegeben und so kann man sehr einfach und schnell mal einen User vom "public WLAN" ins LAN stecken wenn man muss - oder er bekommt noch nen anderen User für ein anderes Gerät etc. Möglichkeiten gibts da viele. Zudem kann man sofern im entsprechenden Radius unterstützt auch Login Zeiten definieren (gerade für die Kids bspw. 0-6h als Ausnahme definieren -> damit gibts dann in der Zeit kein WLAN ohne dass man den AP abschalten muss)
Nur ein paar Ideen :)
-
Moin.
Danke Nochmals.
Leider hat nichts geholfen. Bin nochmal alles durchgegangen... Keinen Fehler gefunden.
Hier einige Screenshots:
https://cloud.first-s0ul.de/index.php/s/XSW5HNrRTTBg3a3
Vielleicht übersehe ich etwas...
Meine Vermutung ist immer noch der Switch... Der hat mir immer irgendein Mist reingehauen. Habe aber aktuell keinen anderen managed da...
Dann habe ich dem Port 46 nur untagged 4 gegeben. PVID auch.
Laptop dran. Nichts. Kein DHCP. Static IP gab auch kein Ergebnis. Keine Verbindung in Netz oder zu Sense. Kein Ping, kein DNS. Nichts.
Kläre mich kurz auf was ich genau mit TCPDump machen soll. Wireshark? Das Protokoll würde ich dann ranhängen.
RADIUS läuft hier nicht und möchte ich auch nicht. Hier gibt es viele "schlaue" Geräte und "dumme" Anwender ;-)
-
>Dann habe ich dem Port 46 nur untagged 4 gegeben. PVID auch.
>Laptop dran. Nichts. Kein DHCP. Static IP gab auch kein Ergebnis. Keine Verbindung in Netz oder zu Sense. Kein Ping, kein DNS. Nichts.
>Kläre mich kurz auf was ich genau mit TCPDump machen soll. Wireshark? Das Protokoll würde ich dann ranhängen.
TCPDump ist ja Wireshark (bzw. umgekehrt). Ich meinte einen TCPDump auf dem Laptop und auf der Sense um zu sehen, ob DHCP Request rausgeht (sehr wahrscheinlich) und ob der auf der Sense ankommt (anscheinend nicht).
> RADIUS läuft hier nicht und möchte ich auch nicht. Hier gibt es viele "schlaue" Geräte und "dumme" Anwender ;-)
Hat ja nichts mit dummen Anwendern zu tun. Ob die nun an den Geräten ein generelles PW eingeben oder eines für sie selbst ist den meisten ja egal, das klappt ja sogar bei meinen Kids und Frau problemlos :) War aber lediglich ein Denkanstoß, da wie gesagt die Bandbreite etc. darunter leidet.
Gruß
-
Okay. Neuer Switch, neues Glück... Kein Erfolg.
Selbes Problem. Anbei das Protokoll vom Wireshark vom Laptop.
Den Dump von der Sense habe ich leider versäumt. Habe es erstellt und vergessen zu stoppen... Habe dann das Interface gelöscht. Warum?
Ich vermute, dass das mit ESX und der LAN Karte zusammenhängt, dass die Sense einfach kein sauberes VLAN erstellen kann. Ich habe dann gesehen, dass ich auf dem ESX noch einen Port frei ist... Kurz einen vSwitch erstellt, Port erstellt und an die Sense VM gegeben. Interface und alles erstellt und... es geht!
Also würde ich sagen ESX + VLAN von der Sense = Nö.
Damit kann ich arbeiten und leben :-)
Danke für die Hilfe.
-
> Also würde ich sagen ESX + VLAN von der Sense = Nö.
Dann muss da ESX seitig was falsch eingestellt gewesen sein. Ich fahre hier selbst einige Test VMs von pf- und OPNsense auf ESXi mit VCenter ohne Probleme an Trunk- oder auch an spezifischen Ports. Vermute hier eher, dass dein vSwitch (oder dSwitch?) ggf. nicht korrekt konfiguriert war um alle Tags als Trunk reinzulassen, aber so es jetzt geht ist das ja erstmal gut so :)
-
Nur mal ganz schnell ein paar Ideen in die Runde geworfen (nach dem ersten überfliegen). Hab gerade leider nicht mehr Zeit...
Probier im ESX mal eine Intel NIC (Intel Pro irgendwas), falls noch nicht geschehen.
Schau mal ob du im TCPDump einen VLAN-Header hast, wenn du ein Port probe aus einem bestimmten Netz machst. Alternativ einfach auf der Shell mit NCat testen und mitschneiden.
Was nutzt du für ein Switch ? Auch ein Ubiquity ? Zufällig EdgeMax ?
Zum UniFi-Controller:
1) Hast du in deinem Wireless Netzwerk "Apply guest policies (captive portal, guest authentication, access)" aktiviert ?
2) Ebenso "Use VLAN XYZ"
3) Unter Networks checken, ob du deinem Netzwerk auch das entprechende TAG verpasst hast...
4) Jetzt unter "Guest Control" im "Pre-.Authorization-Access" dein CaptivePortal, also die OPN eintragen und falls du im Captive Portal einen DNS-Namen verwendest zusehen, dass der Record aus dem Gästenetz auch aufgelöst werden kann.
5) Den Haken bei "Guest Portal" (Unifi) NICHT aktivieren.
6) Falls du einen anderen DNS als die OPN verwendest musst du diesen unter "Allowed Addresses" im CP der OPN noch whitelisten.
7) Achte bei der OPN auch darauf, dass du in der CP-Config unter "Authenticate using" das CP ausgewählt hast.
Die APs brauchen auf dem Switchport übrigens all die Netze auf dem Trunk, die du darüber zur Verfügung stellen willst. Falls du ein Ubiquity hast, kann ich dir morgen auch meine Config kurz pasten. Bei mir funktioniert das alles sauber.
So. Hoffe das war jetzt nicht zu konfus... Falls doch, meld dich einfach :-)
MFG
Wayne
-
Nett von dir, danke. Aber das hat sich schon alles erledigt.
Ich bin inzwischen von einer VM auf eine Hardwarefirewall umgestiegen und hiermit klappt es nun alles problemlos ;-)