Messages

// Noch ein Update:

Nachdem ich den Unifi Controller auf 9.3.45 aktualisiert habe, funktioniert es jetzt auch mit Default (und inzwischen) VLAN4 auf dem AP AC lite, ohne das es zu Anmeldefehlern oder Abbrüchen kommt.

VLAN tag: 2

Ändere mal das VLAN auf einem Wert größer / gleich 10
Unifi rät davon ab VLAN-ID zwischen 2 und 9 zu nutzen, da die diese selber intern nutzen, das macht immer wieder Probleme.

Aktuell funktioniert es, wenn es Probleme geben sollte werde ich das im Hinterkopf behalten.

// Update:

Ich habe das ganze jetzt mit einem Vigor AP 903 und statischen VLAN-Ports umgesetzt, das funktioniert problemlos. Die OPNSense macht also alles richtig, ich vermute das Problem beim Unifi-Controller bzw. AP.

Tja,

leider konnte ich die Probleme mit der Anmeldung der Geräte und der schlechten Performance nicht lösen, daher habe ich alles wieder zurückkonfiguriert. Nun läuft alles wieder problemlos.

Vielen Dank an alle Beteiligten.

 

Ich hatte das heute Morgen bereits korrigiert, der kann das.

Ich habe es einerseits hinbekommen, Setup wie folgt:

1. Switche

- GS308E hat auf Port 8 einen Uplink auf ein zus. Interface an der OPNSense-Appliance.
- GS308E VLAN im einfachen 802.1Q Modus, Port 8 auf Trunk konfiguriert
- GS308E Port 2 (da hängt der GS105E mit Port 1 dran) auf Trunk konfiguriert

- GS105E 802.1Q mit VLAN 1, default, alle Ports drin und VLAN10 mit Port 1, 2 (WLAN-AP) und 5 (Testzwecke)
- GS105E Port 1 (Uplink zum GS208E)) und Port 2 (WLAN AP) auf Trunk konfiguriert. Port 5 (Testzwecke) auf Untagged

2. OPNSense

- Neues Interface angelegt (igb2) 192.168.2.0/24, DHCP etc. konfiguriert
- Neues VLAN erstellt, Parent igb2, VLAN-ID 10, IP 172.16.254.1/24
- DHCP für VLAN10 konfiguriert (172.16.254.100-172.16.254.130
- Firewall Zugriff auf das LAN-Netz verboten
- Firewall DNS erlauben
- IPv4 any/any

// Hier besteht sicher Potential für Verbesserungen

2.1 Verschiedene Tests

- Port 7 und 8 an GS308E auf VLAN10 konfiguriert, Notebook bekam eine IP aus dem 172.16.254.1/24 Bereich und konnte ins Internet
- Port 8 auf Trunk und Port 7 an GS308E auf VLAN10 konfiguriert, Notebook bekam eine IP aus dem 172.16.254.1/24 Bereich und konnte ins Internet
- Port 8 an GS308E auf Trunk gelassen, Port 1 an GS105E auf Trunk, Port 5 an GS105 auf VLAN10 konfguriert, Notebook bekam eine IP aus dem 172.16.254.1/24 Bereich und konnte ins Internet     

3. Unifi Controller

- Neues Netzwerk angelegt, VLAN10 zugeordnet
- Neues WLAN hinzugefügt, das neue Netzwerk zugeordnet

// Info: das primäre WLAN läuft weiterhin über das default VLAN 1 und geht daher wohl nicht (?) über Port 8 in die OPNSense, sonder über Port 1 des GS803E (Standard Uplink Port Switch zur OPNSense)   

Andererseits:

4. Test mit Endgeräten

- Anmeldung im WLAN hakelig, klappt erst bei zweiten oder dritten mal
-- surfen, ping etc. funktioniert.
- Weitere Gerät (primär Fire TV Sticks und Echos verschiedener Generationen) ins neue WLAN integriert, stellenweise hakelig, machmal unmöglich. Fehlermeldungen der Geräte: Passwort falsch (Stimmt nicht), Verbindung konnte nicht hergestellt werden

Veruche die Geräte im vorherige WLAN anzumelden schlugen ebenfalls fehl mit denselben Fehlermeldungen.

Testweise mobilen Hotspot getestet, das funktionierte problemlos.

- Streaming über die Firetv Sticks bricht ab, buffert, etc.
- Im default WLAN keine Probleme außer Zugriff auf GS308E, funktioniert nur über LAN. GS105E und weiterer GS erreichbar
 

Etwas Recherche meinte, es könnte an spanning-tree liegen, das kann ich in den Switchen aber nicht konfigurieren. Vermutlich liegt der Fehler in meiner Konfiguration, ich kann ihn aber aktuell nicht sehen.

Meine Vermutungen:

- Uplink auf OPNsense auf Port 1 und Port 8 des GS308E verursacht das Problem
- Irgendwo auf dem Weg von Quelle zum Ziel werden die Pakete falsch geleitet
- [...]

Bin offen für Ideen woran es liegen kann.

Vielen Dank     

Moin kruemelmonster,

Ich weiß nicht, wie du auf die Idee kommst, den Port für den AP keiner PVID zuzuweisen oder warum du einen anderen Switch kaufen willst.

Wenn das verbundenen Gerät selbst taggt, Port auf Trunk, wenn nicht, dann portbasiert, so habe ich die Theorie zu VLAN verstanden.

// Edit:

Wenn ein getaggtes Paket an einem portbasierten VLAN ankommt wird überprüft, ob die ID im Header mit der ID des Port übereinstimmt. Wenn ja, dann weiterleiten, wenn nein, dann verwerfen oder umleiten.

Da der GS105E nur portbasierte VLAN kann habe ich halt vermutet das es zu Problemen kommen kann. Der GS305E, welcher dann in Frage käme, kann auch 802.1Q.

Und weiter unten schreibst Du

Der Trunk-Port am 1. Switch und der Trunk am 2. Switch bekommen alle PVID's getaggt, die auch am 2. Switch benötigt werden.

Der GS105E kann kein Trunk

Warum der GS105E keinen Trunk-Modus hat:
Nicht verwalteter Switch:
Der GS105E ist ein sogenannter "Smart Managed Switch", der keine komplexen Funktionen wie VLAN-Tagging über verschiedene Ports hinweg unterstützt.

//Edit:

Das ist in den Fall aber nicht relevant.

//Edit 2:

Der kann sehr wohl 802.1Q

Hallo patient0,

danke für die Rückmeldung, ich werde dann wie folgt vorgehen:

1. Freien Netzwerkport der OPNSense Appliance mit einem freien Port auf dem GS308E verbinden, Port auf 802.1Q einstellen, VLAN in OPnSense konfigurieren, einen zus. Port am GS308E auf das VLAN konfigurieren.

2. Laptop am GS308E VLAN Port anschließen und testen ob IP vergeben wird und Zugriff möglich ist (zunächst mit any/any Regel).

3. Falls 2. erfolgreich, VLAN auf GS105E einrichten und dort Test wiederholen.

4. Falls 3. erfolgreich, AP-Port auf GS105E auf VLAN und Default VLAN konfigurieren, testen ob Haupt-WLAN funktioniert.

5. Wenn 4. erfolgreich, zus. Netzwerk im Unifi-Controller einrichten, auf das VLAN konfigurieren und zus. WLAN aktivieren.

6. Firewallregeln im VLAN anpassen.

// Hab gerade gesehen das der AP selbst die Pakete taggt, dann muss ich den Switchport am GS105E gar nicht auf das VLAN einstellen. Ich befürchte jedoch das dann die Kommunikation zum GS308E nicht funktioniert über das VLAN und ich mir eine aktuelleren Switch holen muss.

Besten Dank

[Tl;dr:]

Hallo zusammen,

///

Tl;dr:

VLAN zwischen Opnsense, 802.1Q VLAN, portbasiertem VLAN und WLAN-AP funktioniert nicht.

///

ich habe aktuell folgendes Setup

Opnsense 25.7.2 -> Netgear GS308Ev4 -> Patchfeld -> Netgear GS105Ev2 -> Unifi AP AC lite

In der Opensense ist ein VLAN wie folgt konfiguriert

Code Select Expand

- Interfaces / Devices /VLAN

Device: vlan0
Parent: igb0 [LAN]
VLAN tag: 2

Code Select Expand

- Interfaces / Assignements

Interface: Name
Identifier opt1
vlan 01 Name (parent: igb0, Tag:2)

Code Select Expand

-Interfaces / Interface

Enabled
Static IPv4
IPv4 address: 172.16.254.1/24

Code Select Expand

Services / ISC DHCPv4 / Interface

Enabled
Range: 172.16.254.20 - 172.16.254.35
Gateway: 172.16.254.1

Code Select Expand

- Firewall / Rules / Interface

Automatically generaterd rules (anti-lockout, icmp, dhcp, etc.)
Protocol Source         Port Destination Port Gateway Schedule Description
IPv4 *         VLAN net * WAN net * * * Internet
IPv4 *         VLAN net * LAN net * * * LAN

- Auf dem GS308Ev4 ist der Port zum AP-Switch auf Trunk gestellt
- Auf dem GS105Ev2 ist das portbasierte VLAN am Port mit dem AP an, Port ist im default VLAN 1 und im VLAN 2

Im LAN steht noch ein Unifi-Controller für das AP-Management. Dort gibt es das Standard-WLAN mit VLAN ID 1 und 192.168.1.0/24 und das neue mit VLAN-ID 2, bisher ohne Netzwerk.

Der Controller erkennt das Netzwerk nicht. Wenn ich den Uplink Port am GS308Ev4 zur Opnsense auf Trunk stelle, läuft gar nichts mehr.

Wenn ich am GS105Ev2 einen zusätzlichen Port auf VLAN 2 stelle und dort ein Laptop anschließe, bekomme ich keine 172.16.254.x IP-Adresse. Ich kann weder in den Firewall- noch in den DHCP-Logs irgendetwas bez. 172.16.254.x finden.

Lt Recherche soll das mit dem Trunk und portbasiertem VLAN funktionieren:

Code Select Expand

Wenn ein Gerät an einem Access Port Daten sendet, wird der Port dem entsprechenden VLAN zugeordnet.
Um diesen Datenverkehr zu einem anderen Switch oder zu einem Gerät in einem anderen VLAN zu senden, wird der Datenverkehr über den Trunk-Port geleitet.
An der Schnittstelle zum Trunk-Port wird das Datenpaket mit dem entsprechenden VLAN-Tag versehen, das die VLAN-ID des Datenpakets enthält.
Der Trunk-Port leitet dann die getaggten Pakete über die physische Verbindung zum anderen Switch.
Ich finde keinen Ansatz wo hier das Problem liegt. Irgendwelche Ideen?

Vielen Dank.

MfG

 

Okay, schade. Das wird ja sicher zeitnah kommen, dann teste ich mal Wireguard.

Besten Dank.

Hallo zusammen,

ich habe wegen DS-lite IPv6 am WAN (DHCPv6) und im LAN (DHCPv6 und RA) aktiviert. Das funktioniert soweit. Ich möchte gerne über VPN über meinen Internetzugang surfen können, primär wegen Pi-Hole im LAN und schlechter Adblocker-Auswahl auf iOS. Mein Netzwerk sieht wie folgt aus:

Internet -> OPNsense -> Clients

Ich habe IPSec nach dieser Anleitung konfiguriert:

https://administrator.de/forum/opnsense-vpn-ikev2-laeuft-einfach-nicht-5190139942.html#comment-5198246557

und auf IPv6 umgebogen. Am WAN sind die Regeln:

Code Select Expand


Protocol Source Port Destination Port Gateway Schedule
IPv6 ESP * *       WAN address * * *         IPSec ESP
IPv6 TCP/UDP * * WAN address 500 (ISAKMP) * * IPSec ISAKMP
IPv6 TCP/UDP * * WAN address 4500 (IPsec NAT-T) * * ÎPSec NAT-T


und bei IPSec

Code Select Expand


IPv6 * * * LAN net * * *


automatisch hinzugefügt worden.

In der IPSec Mobile Client Konfiguration übergebe ich ein v6 Subnetz und die v6 IP des Pi-hole. Wenn die VPN-Verbindung aufgebaut ist, und ich z.B. wieistmeineip.de/ipv6-test/ aufrufe, wird jedoch die IPv6 und IPv4 LTE IP-Adresse angezeigt. Die Seite internet.nl zeigt beim Test an, das die LTE Nameserver meines Providers genutzt werden.

In iOS (BNordmittel VPN) kann ich jedoch sehen, das die VPN VErbindung zu meiner v6 WAN IP aufgebaut und eine v6 IP aus dem zugewiesenen Pool vergeben wurde.

Im eigentlichen Artikel zum VPN steht folgender Hinweis:

https://administrator.de/tutorial/ipsec-ikev2-vpn-fuer-mobile-benutzer-auf-der-pfsense-oder-opnsense-firewall-einrichten-337198.html

Wer so unter Windows den gesamten Datenverkehr in den Tunnel routet muss, wie oben bereits beschrieben, zusätzlich in der Phase 2 IPsec Konfiguration unter Local network "Network" wählen und eine Wildcard Route mit 0.0.0.0 /0 dort eintragen !
Damit werden dann auch für andere Clients (Apple, Smartphone, etc.) alles in den VPN Tunnel gesendet.
Der Thread Hinweis des Kollegen @justas unten in den weiterführenden Links hat weitere Infos dazu.

Wenn ich das konfiguriere sehe ich im Firewall Live-Log, das die IPsec Default deny / state violation rule getriggert wird und nichts im LAN ankommt.

Wo liegt hier mein Fehler?

Vielen Dank schonmal.