UniFi AP mit OPNsense

Started by sewo, April 22, 2021, 07:05:38 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 22, 2021, 07:05:38 AM
Hallo Leute,

habe mir für OPNsense ein Test Netzwerk aufgebaut.
Sieht so aus:

OPNsense WAN = per DHCP von meinem Produktiv Netzwerk (192.168.178.92)
OPNsense LAN  = 192.168.1.1/24

Im OPNsense Lan habe ich einen Unifi Switch & AP zum probieren.
Soweit OK

Jetzt will ich W-Lan einrichten. In der OPNsense und Unifi Controller habe ich VLAN eingerichtet. In der OPNsense wurde dafür ein neues Netzwerk erstellt (192.168.2.1/24)
Die W-Lan Clients bekomme auch die IP's per DHCP. Firewall Regeln wurde auch erstellt. Die Geräte haben aber kein Internet  :-[ 192.168.1.1er Netz kann ich anpingen.

Ich habe auf der Sense AdGuard Home installiert was in dem 192.168.1.1er Netz auch funktioniert. Ich vermute das im 192.168.2.1er Netz keinen DNS Server gibt.

Oder muss ich noch was Einstellen?

Gruß




April 22, 2021, 07:25:16 AM #1
hast du mal ein ping auf die üblichen ips von google oder cloudflare gemacht (geht das) den dann hast du recht das es an dns liegt.




Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
April 22, 2021, 08:17:10 AM #2
Ich nehme an das neue Netz fehlt beim Outbound NAT in der Regel. Kann das sein?
,,The S in IoT stands for Security!" :)
April 22, 2021, 10:01:04 AM #3
Quote from: micneu on April 22, 2021, 07:25:16 AM
hast du mal ein ping auf die üblichen ips von google oder cloudflare gemacht (geht das) den dann hast du recht das es an dns liegt.

google anpingen hatte ich als erstes probiert. Da kam nichts.

QuoteIch nehme an das neue Netz fehlt beim Outbound NAT in der Regel. Kann das sein?

Das kann sein. Da habe ich nichts eingestellt.
Wie soll die Weiterleitung in meinem Fall aussehen?

Gruß
April 22, 2021, 12:37:19 PM #4 Last Edit: April 22, 2021, 12:45:03 PM by kruemelmonster
Quote from: sewo on April 22, 2021, 07:05:38 AM
Hallo Leute,

habe mir für OPNsense ein Test Netzwerk aufgebaut.
Sieht so aus:
...
Im OPNsense Lan habe ich einen Unifi Switch & AP zum probieren.
Soweit OK
....

Oder muss ich noch was Einstellen?

Gruß

Habe mir letztens auch einen UniFi-UAP gegönnt. Allerdings hängt der bei mir direkt über den Switch an der OpnSense. Zudem habe ich mehrere vlan's auf dem UAP. Aber das ist nicht erheblich.

Neben den Outbound-Regeln auf der OpnSense musst du bei deinem AP möglicherweise auch auf die Einstellung für DHCP achten. Bei meinem UAP-nanoHD geht das wahlweise über die OpnSense (so habe ich das eingestellt, allein weil bequemer zu handhaben) oder auch direkt am UAP. Das musste ich entsprechend in der Unifi-Anwendung (Linux-Programm zur Konfiguration des UAP) einstellen.

Das war an der Stelle eigentlich schon alles.

Was die Regeln angeht, so habe ich sie eingerichtet:
Aktion: Erlauben
Schnittstelle:  deine Schnittstelle
Richtung:   in  (weil aus Richtung Gerät zur OpnSense)
TCP/IP Version:   IPv4/6 (ggf. zwei iedentische Regeln, 1x IPv4 1x IPv6)
Protokoll:  any (oder entsprechende [Mehrfach]-Auswahl)
Ziel:   jeglich
Zielportbereich: Jeglich,Jeglich
Quellbetriebssystem:    Jedes
Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
April 22, 2021, 05:16:20 PM #5 Last Edit: April 22, 2021, 05:46:22 PM by sewo
Hallo Leute,

habe paar Einstellunge probiert. Ohne Erfolg.

Was muss ich im NAT Einstellen?

Gruß

EDIT:

Habe im DHCP Dienst von meinem W-Lan die DNS Adresse auf 192.168.1.1 (LAN) gestellet. Damit geht es
April 22, 2021, 07:42:08 PM #6
Hallo Leute,

ich komme mit der Fireweall irgendwie nicht zurecht.
Habe mittlerweile 3 Netzwerke.

1 = LAN (192.168.1.1/24)
2 = WLan (192.168.2.1/24)
3 = Gast WLan (192.168.3.1/24)

DNS für alles ist AdGuard auf 192.168.1.1.

Ich möchte das Gäste Lan nur ins Internet darf. Egal welche regeln ich eintelle, die Clients im LAN sind erreichbar.

Ist es möglich LAN & WLAN mit einem DHCP Server?

Kann mir jemand Helfen?

Gruß
April 23, 2021, 11:03:08 AM #7 Last Edit: April 23, 2021, 11:10:38 AM by kruemelmonster
Habe gestern überlesen, das du auf dem UAP auch ein vlan eingerichtet hast.

Zuerst mal würde ich die das Desktop-Programm zur Konfiguration empfehlen. Ich hatte mir kurz die Android-App installiert. Aber mit der bin ich nicht zurecht gekommen. Also gleich wieder wech... Habe mir das Desktop-Programm auf einem virtualisierten Debian installiert. Dann läuft die Datenbank nur bei Bedarf und nicht ständig.

Zu den Netzen an sich auf dem UAP:
Das LAN auf dem UAP dient nur der Administration desselben. Für jedes WLAN mit vlan musst du auch ein entsprechendes vlan auf dem LAN-Anschluss einrichten. Das nutzt dann das betreffende vlan. Auf dem Switch braucht  es neben dem ungetaggten administrativen Zugang zum UAP  (UAP-Seite untagget, OpnSense-Seite tagget für das betreffende vlan) auch noch ein Tagging für jedes betreffende vlan (mit dem darauf zugewiesenem WLAN).

Und auf der OpnSense brauchst du natürlich auch das passende vlan, damit du die Netze voneinander trennen kannst.

Ich versuche mal, meinen Aufbau grob darzustellen:
- Admin-Lan des UAP = vlan9 (192.168.9.0/24 da hängt bei mir ausschließlich der UAP mit fester IP-Konfig. dran)
die PC hängen in  vlan8 (192.168.8.0/24) und der Zugriff ist entsprechend auf der OpnSense von vlan8 nach vlan9 geregelt. Ansonsten sind ausgehend alle vlan's gesperrt und damit gegeneinander isoliert. Das Routing zwischen den vlans macht die OpnSense allein, nix weiter dran zu machen.
- Switchport zur OpnSense vlan 8 + vlan9 tagget
- Switchport zur OpnSense weiterhin mit vlan-ID a... jeweils für jedes weitere benötigte vlan des UAP als tagget einrichten
- Switchport zum UAP vlan9 untagget (das ist der reine LAN-Anschluss des UAP)
- Switchport zum UAP weiterhin mit vlan-ID a... jeweils für jedes benötigte vlan des UAP als tagget einrichten
- Auf dem UAP:
- UAP LAN vorhanden mit passender Netzwerkeinstellung für vlan9 (192.168.9.0/24)
- vlan auf Lan eingerichtet mit vlan-ID für das gewünschte WLAN und anschließen WLAN einrichten und das betreffende vlan als Interface zuweisen.

Ich habe das bei mir so gemacht, das die vlan-ID mit dem 3. Oktett der IP-Adresse übereinstimmt. Ist mir persönlich übersichtlicher.





Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
April 23, 2021, 12:43:33 PM #8
Hallo kruemelmoster,

der UAP läuft ja ohne Probleme. Die OPNsense vergibt die IP's an die Clients.
Unifi Controller habe ja schon paar Jahre auf einer VM.

Mir geht es hauptsächlich um die Regeln.

LAN + WLAN dürfen Kommunizieren.
Gäste nur Internet.

Gruß

Mein Test Aufbau:

Code Select
                   +----------+                                                                                     
                   | OPNsense | 192.168.1.1/24                                                                     
                   +----------+                                                                                     
                       |                                                                                           
                       |                                                                                           
                  +----+--------+                                                                                   
                  |   SWITCH    |                                                                                   
                  +-----------+-+                                                                                   
                    |         |                                                                                     
                    |         |                                                                                     
     +--------------+         ------------+                                                                         
     |                                    |                                                                         
     |                                    |                                                                         
+--------+                            +--------------+                                                             
|CLIENT  |                            |   AP UNIFI   |                                                             
+--------+                            +--------------+                                                             
                                       |            |                                                               
                                  +---------+  +---------+                                                         
                   192.168.2.1/24 | WLAN    |  |  GAST   | 192.168.3.1/24                                           
                                  +---------+  +---------+                                                         
                                     VLAN        VLAN                                                               
                                     10          20                                                                 
April 24, 2021, 09:04:43 AM #9
Hallo Leute,

habe gestern viel Probiert und jetzt funktioniert es so wie ich es wollte.
Könnt ihr mal drüber gucken ob es grundsätzlich Richtig ist?

Gruß
April 24, 2021, 02:48:16 PM #10
Kann man schon so machen. Benutzt Du IPv6? Wenn nicht, abschalten.

Statt der Block Regel hättest du auch einen Alias anlegen können, wo alle privaten Netzwerke drin sind: 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16

Und dieses per Destination invert bei der untersten Wifigast als Destination angeben. Dann kann das Gäste-WLAN alles im Internet aber nichts bei Dir lokal. Die Regel für DNS würde ja trotzdem greifen, da sie zuerst überprüft wird.
,,The S in IoT stands for Security!" :)
Print
Go Up Pages1
User actions