Keine Verbindung zum Internet mit WLAN über VLAN

[karl_v]

Hallo,
ich kenne mich mit Netzwerken nicht so besonders gut aus. Ich habe ein Problem mit dem ich nicht weiterkomme.
Internet kommt bei mir über DSL an eine FritzBox 7490. Die hat die IP-Adresse 192.168.178.1. An der Fritzbox hängt mein OPNsense-Rechner über das (physikalische) WAN-Interface. Diese Interface hat die feste IP-Adresse 192.168.178.12. Am (physikalischen) LAN-Interface von OPNsense, dass die IP-Adresse 192.178.1.0/24 hat, hängt ein Netgear GS308EP Switch. An diesem wiederum hängt ein WLAN-AP (Zyxel NWA50AX). Für das LAN-Interface ist in der FritzBox eine statische Route eingetragen, ausserdem ist DHCP eingeschaltet. Im WLAN-AP ist ein SSID konfiguriert. Soweit funktioniert alles ohne Probleme. Ein Computer, der über Kabel am Switch hängt bekommt per DHCP eine IP-Adresse und kann ins Internet, über WLAN bekommt man auch per DHCP eine IP-Adresse und kann ins Internet.

Code Select Expand


I-Net                           WAN      LAN
----------> FritzBox <----------> OPNsense <----------> Switch <----------> WLAN-AP


Jetzt möchte ich auf dem WLAN-AP ein weiteres SSID (z.B. Gäste-WLAN) einrichten. Das soll -aus Sicherheitsgründen- von dem Netz des LAN-Interfaces getrennt sein. Dieses SSID bekommt den VLAN-Tag 7. Auf dem Switch habe ich die beiden Ports von WLAN-AP und OPNsense in eine VLAN-Gruppe für das Tag 7 gepackt. Auf OPNsense habe ich ein VLAN Device für das Tag 7 eingerichtet mit dem LAN-Interface als Parent. Mit diesem Device habe ich ein weiteres Interface OPT1 konfiguriert mit der IP-Adresse 192.168.7.0/24. Für OPT1 habe ich DHCP eingeschaltet und ich habe eine statische Route auf der FritzBox dafür eingetragen.
Das SSID des Gäste-WLANs ist sichtbar und ein Computer kann sich daran anmelden. Der Computer bekommt dann auch eine IP-Adresse via DHCP aus dem 192.168.7.0-Netz und im Webinterface von OPNsense wird das DHCP-Lease auch aufgelistet. Aber ins Internet komme ich nicht über diese WLAN-Verbindung. Habe ich irgendwo einen Denkfehler oder habe ich etwas vergessen?

[Patrick M. Hausen]

Das LAN Interface hat tatsächlich die Adresse 192.178.1.0/24? Das ist keine gültige Adresse. 0 im letzten Octett bei /24 ist verboten, das muss also 192.178.1.1-254/24 - irgendeine aus diesem Bereich sein.

Außerdem sieht die 178 auch nach einem Tippfehler aus. Wenn du Hilfe in Netzwerkdingen suchst, versuch präzise zu sein, da genau diese Kleinigkeiten über "geht" oder "geht nicht" entscheiden. 0 ganz hinten geht auf jeden Fall nicht. 192.178.1 kannst du technisch betrachtet lassen, ist aber unschön, da das eine offizielle Internet-Adresse ist, die irgendjemandem gehört. Alle privaten Adressen in diesem Bereich fangen mit 192.168 an ...

[karl_v]

"192.178.1.0" ist auf jedenfall ein Tippfehler. Das soll 192.168.1.0 heißen. Alle IP-Adressen beginnen bei mir mit 192.168.*. Das LAN-Interface hat dann auch höchst wahrscheinlich die IP-Adresse 192.168.1.1/24. Dieser Bereich funktioniert ja.
Ob das OPT1-Interface dann entsprechend die IP-Adresse 192.168.7.1/24 hat, werde ich dann noch mal nachprüfen.

[karl_v]

Also, das LAN-Interface hat die IP-Adresse 192.168.1.1/24 und das OPT1-Interface hat die IP-Adresse 192.168.7.1/24. Der IPv4 Konfigurationstype bei beiden interfaces ist "Static IPv4". Es gibt noch ein Feld für IPv4 Upstream Gateway, dort ist bei beiden Interfaces "Auto-detect" eingetragen.
Muss noch irgendo eine Route eingetragen werden, damit die Daten bzw. Anfragen rausgeschickt werden? Oder dass die Antworten auch wieder zurückkommen?

[micneu]

Bitte Screenshots:
- Firewall Regeln von OPT oder wie du es auch genannt hast

[karl_v]

Bitte Screenshots:
- Firewall Regeln von OPT oder wie du es auch genannt hast

Firewallregeln war das richtige Stichwort. Die haben noch gefehlt. Es gibt jetzt eine Regel, die zuerst alles blockt, was in das LAN-Netz gehen soll und eine Regel, die dann alles erlaubt.
Jetzt funktioniert das WLAN!