[Gelöst] DHCP zwischen OPNSense und Ubiquiti (VLANs) funktioniert nicht

[RicAtiC]

Hi Wayne,

funzt tatsächlich so ?! Hab ich ja noch nie gesehen. Warum kann ich nicht gleich per SSH entsprechende Befehle absetzen und muss per Telnet noch auf die 127.0.0.1 (loopback)?! Initialverbindung quasi absichern, Befehle werden aber "nur" über Telnet verstanden oder wie?... naja, wie auch immer, Hauptsache es geht

Die Befehle kennt man dann ja von IOS (Cisco OS) oder Arruba oder was auch immer.

Also hier der Output:

Code: [Select]

interface 0/1
description 'Uplink Firewall'
ip dhcp snooping trust
vlan participation include 10,30,50
vlan tagging 10,30,50
lldp transmit
lldp receive
lldp transmit-tlv port-desc
lldp transmit-tlv sys-name
lldp transmit-tlv sys-desc
lldp transmit-tlv sys-cap
lldp med
exit


Code: [Select]

interface 0/2
description 'Laptop'
ip dhcp snooping trust
vlan pvid 10
vlan participation exclude 1,30,50
vlan participation include 10
lldp transmit
lldp receive
lldp transmit-tlv port-desc
lldp transmit-tlv sys-name
lldp transmit-tlv sys-desc
lldp transmit-tlv sys-cap
lldp med
exit


Code: [Select]

(UBNT) #show vlan brief

VLAN ID VLAN Name                        VLAN Type
------- -------------------------------- -------------------
1       default                           Default
10      VLAN0010                          Static
30      VLAN0030                          Static
50      VLAN0050                          Static


Code: [Select]

                                         Link    Physical    Physical    Media                                                                                            Flow Control
Port       Name                          State   Mode        Status      Type                                                                                             Status
---------  ----------------------------  ------  ----------  ----------  -------                                                                             -----------  ------------
0/1        Uplink Firewall               Up      Auto        1000 Full   10/100/                                                                             1000-BaseTx  Inactive
0/2        Laptop                        Down    Auto                    10/100/                                                                             1000-BaseTx  Inactive


Code: [Select]

(UBNT) #show vlan port 0/1

          Port       Port                 Ingress    Ingress
          VLAN ID    VLAN ID  Acceptable  Filtering  Filtering         Default
Interface Configured Current  Frame Types Configured Current    GVRP   Priority
--------- ---------- -------- ----------- ---------- --------- ------- --------
0/1       1          1        Admit All   Disable    Disable   Disable     0

Protected Port .............................. False
Switchport mode: General Mode
Operating parameters:
Port 0/1 is member in:


VLAN    Name                              Egress rule   Type
----    --------------------------------- -----------   --------
1       default                           Untagged      Default
10      VLAN0010                          Tagged        Static
30      VLAN0030                          Tagged        Static
50      VLAN0050                          Tagged        Static

Static configuration:

Port 0/1 is statically configured to:


VLAN    Name                              Egress rule
----    --------------------------------- -----------
10      VLAN0010                          Tagged
30      VLAN0030                          Tagged
50      VLAN0050                          Tagged

Forbidden VLANS:

VLAN    Name
----    ---------------------------------



Code: [Select]

(UBNT) #show vlan port 0/2

          Port       Port                 Ingress    Ingress
          VLAN ID    VLAN ID  Acceptable  Filtering  Filtering         Default
Interface Configured Current  Frame Types Configured Current    GVRP   Priority
--------- ---------- -------- ----------- ---------- --------- ------- --------
0/2       10         10       Admit All   Disable    Disable   Disable     0

Protected Port .............................. False
Switchport mode: General Mode
Operating parameters:
Port 0/2 is member in:


VLAN    Name                              Egress rule   Type
----    --------------------------------- -----------   --------
10      VLAN0010                          Untagged      Static

Static configuration:

Port 0/2 is statically configured to:


VLAN    Name                              Egress rule
----    --------------------------------- -----------
10      VLAN0010                          Untagged

Forbidden VLANS:

VLAN    Name
----    ---------------------------------
1       default
30      VLAN0030
50      VLAN0050



Zum Default-VLAN sei noch gesagt, dass ich das nicht extra angelegt habe. Ich habe lediglich das VLAN in "Default" umgenannt. Es heißt zu Beginn LAN. Allerdings möchte ich das LAN in einem separaten VLAN haben und alles was unbekannt ins Netz kommt soll im Default landen, vielleicht wir`s dadurch deutlicher.

Gruß
Ric

 

[Wayne Train]

Hi,

erstmal schön zu sehen, dass man doch noch an die CLI kann :-)
Check mal bitte abei Ubiquity selbst, ob du auf dem aktuellsten Release der Firmware bist. Wenn nicht, erstmal updaten.

https://www.ubnt.com/download/unifi-switching-routing

Ich hatte anfangs auch meine Startschwierigkeiten mit Ubiquity, bis ich festgestellt habe, dass sie sowohl den "Cisco-Dialekt" als auch ihre komische eigene Syntax schlucken. Mein Tipp: Lass diesen ganzen Ubiquity-spezifischen Kram weg und schreib das so, wie du das auch von IOs kennst. Ich glaube mittlerweile sogar, dass die das in den aktuelleren Releases eh nicht mehr weiterentwickeln. Egal. Wie auch immer. Sie erstmal zu, dass du deine beiden Ports auf eine saubere Initial-Config bekommst.
Und hau mal diesen ganzen LLDP-Kram raus.

Bis auf die "description" solltest du über den "enable" Mode erstmal alles mit "no vlan tagging..." usw. deaktivieren. Probier anschliessend mal folgendes auf Port 0/1:

Code: [Select]

interface 0/1
description 'Uplink Firewall'
ip dhcp snooping trust
switchport mode trunk
switchport trunk allowed vlan 10,30,50
exit
Und auf Port 0/2 das hier:

Code: [Select]

interface 0/2
description 'Laptop'
spanning-tree edgeport
spanning-tree guard root
spanning-tree tcnguard
switchport mode access
switchport access vlan 10
exit
Deine Frage bez. Telnet verstehe ich nicht ganz. Das macht vorne und hinten keinen Sinn, dass du zuerst per SSH auf das Switch musst und dann mit Telnet weitermachen ?

Wenn du schonmal dabei bist, schau doch mal mit "nmap -sS -p- DEINE_SWITCH_IP" was alles an Services aktiv ist. Telnet und so einen Schrott würde ich direkt mal deaktivieren. Ist mir sowieso ein Rätsel, warum das jeder Hersteller per default erstmal an hat...

Port 0/2 musst du übrigens nicht als "dhcp snooting trust" definieren. Dort werden ja keine DHCP-Offer versendet, sondern nur empfangen.

Probier das mal. Das sollte funktionieren, wenn du auf einem aktuellen Release bist.

MFG
Wayne

[RicAtiC]

Hi Wayne,

irgendwie weiß ich ja auch nicht, aber allmählich glaube ich, schmeiß ich den Krempel einfach in die Ecke und lass es sein. Frisst einen Haufen Zeit und funktioniert nicht.

Switchupdate habe ich gemacht. Danach die Config entsprechend angepasst und schon kam ich nichtmehr auf die Firewall?!?! So bekam ich plötzlich garkein DHCP Lease mehr *häääääää*

Hier die Configs:

Code: [Select]

(UBNT) (Interface 0/2)#do show running-config interface 0/1

!Current Configuration:
!
interface  0/1
description 'Uplink Firewall'
ip dhcp snooping trust
switchport mode trunk
switchport trunk allowed vlan 10,30,50
exit

Code: [Select]

(UBNT) (Interface 0/2)#do show running-config interface 0/2

!Current Configuration:
!
interface  0/2
description 'Laptop'
spanning-tree edgeport
switchport mode access
switchport access vlan 10
vlan participation auto 1
exit
Die Zeile "vlan participation auto 1" bekomme ich nicht weg. Normalerweise liegt auf dem Port ein "exclude" oder "include" und mit "auto" bekomme ich die Zweile weg, allerdings nicht bei VLAN 1.

spanning-tree guard root und spanning-tree tcnguard bietet mir der Switch darüber hinaus garnicht.

Es geht:

Code: [Select]

(UBNT) (Interface 0/2)#spanning-tree ?

auto-edge                Configure a port as an auto edge .
cost                     Specify external pathcost for port used by a MST
                         instance.
edgeport                 Configure a port as an edge port.
mst                      Configure a multiple spanning tree instance.
port                     Specify spanning tree settings for a port.
Was die Ports angeht (nmap), so ist nur 22 offen:

Code: [Select]

PORT   STATE SERVICE

22/tcp open  ssh

MAC Address: FC:EC:XX:XX:XX:XX (Ubiquiti Networks)
Wie gesagt, ohne ein telnet auf die 127.0.0.1 komme ich nicht weiter. Was weiß ich.... So stehts ja auch auf der Seite aus Deinem Link.

Nach einem Neustart des Switches ist im Übrigen auch die Config wieder weg! Da hilft auch nicht "write mem". Hab das auch schon mal irgendwo gelesen, dass der Controller das scheinbar immer wieder überpinselt.

Es is zum Mäusemelken und allmählich verlässt mich echt die Motivation....

Wie hast Du denn auf der FW die VLANs konfiguriert?

Danke Dir wie immer für die Hilfe!

Gruß
Ric

[Wayne Train]

Hey,
nur ganz kurz, da ich gerade wenig Zeit habe:
Hau mal deine "vlan participation " mit raus. Nicht den Cisco-Like-Stuff mit dem von Ubiquity mixen.
Ich schreibe dir später mal was ausführlicher.
Check mal bitte, ob du vom Switch selbst her noch auf die FW pingen kannst und umgekehrt.
Dann ist dein trunk in Ordnung und das Problem liegt am Access-Port.
Schau dir auch mal den Arp-Cache auf beiden Geräten an.
MFG
Wayne

[RicAtiC]

Der Thread kann zu.

Hab nach längerer "Frustphase" noch einmal von vorne angefangen.

Jetzt funzt das....

Scheint als wäre im Hintergrund irgend etwas böse verbogen gewesen.

Habe natürlich jetzt andere Probleme, aber dafür mach ich einen eigenen, neuen Thread auf.

So wirklich Plug & Play is das nicht mit OPNSense, he?!

[Mks]

So wirklich Plug & Play is das nicht mit OPNSense, he?!

Wer hat behauptet dass OPNSense Plug & Play ist, speziell bei einer VLAN Konfig?

[RicAtiC]

So wirklich Plug & Play is das nicht mit OPNSense, he?!

Wer hat behauptet dass OPNSense Plug & Play ist, speziell bei einer VLAN Konfig?

Genau diese Antwort hab ich erwartet. So war es auch nicht gemeint...

Ich erhoffe mir einfach das die Dinge funktionieren wie angegeben. Mehr nicht.

Das sowas nicht mit einfachem anschließen funzt is mir klar.


Gesendet von meinem FRD-L09 mit Tapatalk

[JeGr]

> Ich erhoffe mir einfach das die Dinge funktionieren wie angegeben. Mehr nicht.

Was funktioniert denn nicht wie (und vor allem wo) angegeben?

[Wayne Train]

Hey,

also ich kann dir bestätigen, dass die Dinge "wie angegeben funktionieren". Sogar ziemlich gut und meiner persönlichen Meinung nach weitaus besser als bei vielen kommerziellen Produkten :-)
Du hättest das ganze auch komplettt von Cisco o.ä. kaufen können. Dann hättest du eine katastrophal zu konfigurierende ASA und die gleichen Probleme. Nur das du ganze Stange mehr Kohle losgeworden wärst.
Bei mir ist im ersten Anlauf mit den VLANs auch nicht alles 100%ig rund gelaufen, das lag aber nicht an der OPN. Daher habe ich dich mehrfach auf die beiden Syntax-Variationen bei Ubiquity aufmerksam gemacht.

MFG Wayne

[RicAtiC]

Hey,

also ich kann dir bestätigen, dass die Dinge "wie angegeben funktionieren". Sogar ziemlich gut und meiner persönlichen Meinung nach weitaus besser als bei vielen kommerziellen Produkten :-)
Du hättest das ganze auch komplettt von Cisco o.ä. kaufen können. Dann hättest du eine katastrophal zu konfigurierende ASA und die gleichen Probleme. Nur das du ganze Stange mehr Kohle losgeworden wärst.
Bei mir ist im ersten Anlauf mit den VLANs auch nicht alles 100%ig rund gelaufen, das lag aber nicht an der OPN. Daher habe ich dich mehrfach auf die beiden Syntax-Variationen bei Ubiquity aufmerksam gemacht.

MFG Wayne

All right.

[RicAtiC]

> Ich erhoffe mir einfach das die Dinge funktionieren wie angegeben. Mehr nicht.

Was funktioniert denn nicht wie (und vor allem wo) angegeben?

--> Siehe hier: https://forum.opnsense.org/index.php?topic=10078.0

Thread kann dann m.E.n. zu.

Gruß
Ric