Probleme mit der Netzwerksegmentierung (VLAN)

[AnthonyStark]

Guten Morgen,

seit dieser Woche habe ich eine OPNsense Firewall im Einsatz.
Ich verwende folgende Hardware:

• OPNsense Hardware mit zwei zusätzlichen NICs (PCIe)
• VDSL-Modem
• Netgear Switch (VLAN-fähig)
• TP-Link Omada-Acces Point

Das beschriebene Setup lief vorher mit einem OpenWrt Router (Pi4). Da der Pi4 nur eine NIC hat, als "Router on a Stick". Diese Konstellation hat problemlos funktioniert. Diese möchte ich im ersten Moment wieder mit der OPNSense abbilden als Ausgangsbasis.

Code Select Expand


                                            +-------------------------+
                                            |                         |
                                            |          MODEM          | Digitalisierungs Box Basic - OPNSense übernimmt die Einwahl (PPPoe)
                                            |          Router         |
                                            |                         |
                                            +------------+------------+
                                                         |
                                            +------------+------------+
                                            |                         |  igb0 - LAN
                                            |        OPNSENSE         |  igb1 - WAN
                                            |        Firewall         |
                                            |                         |  Interfaces: LAN (VLAN1) - 192.168.0.1/24 ; IoT (VLAN2) - 192.168.102.1/24; GUEST (VLAN 3) - 192.168.103.1/24
                                            +------+-----------+------+
                                                         |       
                                                         |           
                                                 +----------------+
                                                 |                | Port 1: Trunk - VLAN1, VLAN2, VLAN3 - tagged => OPNsense
                                                 +     SWITCH     |
                                                 |      LAN       | Port 2: TrunK - VLAN1, VLAN2, VLAN3 - tagged => AccessPoints
                                                 +-------+--------+
                                                         |
                                                         |
                                                +--------+---------+ 
                                                |    AccessPoint   |  SSIDs: HOME (VLAN1); IoT (VLAN2); GUEST (VLAN3)
                                                |                  |   
                                                +------------------+ 


Sieht ihr grundsätzlich ein Problem bei diesem Aufbau? Habe ich etwas übersehen?

Nun zu meinem Problem:
Wenn ich Geräte in das IoT bzw. GUEST Wlan packe, erhalten diese keine IP-Adresse. Die Netzwerkeinstellungen manuell setzen, hilft auch nicht.
Es funktioniert nur mit HOME (VLAN1).

Wie das IoT-Interface, die Firewall (Any-any zu Testzwecken) und DHCP konfiguriert sind, findet ihr im Anhang.

Was habe ich übersehen? Warum klappt meine Netzsegmentierung nicht?

Grüße

[Tuxtom007]

Hast du die Problem nur im WLAN oder auch per LAN, wenn der Switchport auf das entsprechende VLAN getagged ist ?

Wie sind den deine Access-Points konfiguriert und vor allem womit ?

[AnthonyStark]

Das Problem tritt auch mit Geräten auf, die direkt am Switch hängen. Mein AndroidTV ist per Kabel verbunden und der dazugehörige Port war im VLAN 2 für (IoT). Das Gerät hat keine IP bekommen, manuelle IP hat auch nicht geklappt. Als temporäre Lösung habe ich den Switch-Port auf Vlan 1 untagged konfiguriert und schon hat alles geklappt.

Die Access Points habe ich mit der Omada Controller Software auf einem RaspberryPi konfiguriert.
Die beiden Access Points hängen an einem Switch-Port, da die Access Points in Reihe geschalten sind.

Warum es direkt auf dem LAN-Port nicht klappt ist mit ein Rätsel.

[micneu]

danke das du einen grafischen netzwerkplan angehängt hast
- bitte screnshot deiner dhcp-server
- screenshot deiner interfaces
- screenshot deiner firewall regeln

[AnthonyStark]

Die Einstellungen von IoT befinden sich im 1. Post und die Einstellungen von LAN habe ich noch hinzugefügt.

[micneu]

ich bin ein wenig verwirrt, warum hast du firewall regeln für bootp?
ich habe noch nie regel erstellt für bootp?
ich habe das gefühl das du regeln erstellt hast die eigentlich nicht benötigt werden?
ich bin jetzt nicht jede regel durchgegangen aber nach meiner meinung solltest du alle regel die du für dhcp/bootp erstellt hast deaktivieren/löschen. warum hast du die angelegt, aus welcher doku hast du das du diese regel anlegen musst?

[AnthonyStark]

Die Regeln wurden automatisch angelegt, diese sieht man auch nur, wenn man diese auf der rechten Seite ausklappt. Am Symbol links, dem Zauberstab, wird es auch ersichtlich.

[lilsense]

I think your source should be IoTnet and not * on the firewall rule.

google translate:
Ich denke, Ihre Quelle sollte IoTnet sein und nicht * in der Firewall-Regel.

[AnthonyStark]

Die Anfrage hat sich mittlerweile erledigt. Ich habe nochmal alles zurückgesetzt und erneut konfiguriert. Der einzige Unterschied ist, dass ich das default VLAN1 untagged und nicht tagged auf den Ports konfiguriert habe, auf denen ich es benötige. Die Separierung klappt jetzt wie gewünscht.

Danke für Eure Bemühungen.