VLAN-Probleme mit Unifi-Setup

[sbellon]

Hallo zusammen,

ich habe ein kleines Unifi-Netzwerk bestehend aus einem Unifi Security Gateway, einem Unifi Switch und zwei Unifi Access Points und bin nun dabei, das USG gegen eine OPNsense auszutauschen.

Die OPNsense (21.7.4) ist virtualisiert auf einem Proxmox VE und WAN sowie LAN Port sind per PCI Passthrough direkt an die OPNsense geleitet.

Ich habe den Umstieg von USG auf OPNsense quasi vollzogen und eigentlich funktioniert schon fast alles: IPv4/IPv6 Dual Stack (Telekom PPPoE via Vigor - inkl. Management-Zugriff), DHCP, DNS (inkl. Pihole und Unbound), Dynamic DNS, Firewall-Regeln (inkl. Port Forwarding und NAT Reflection).

Das einzige, womit ich noch kämpfe, ist ein Gäste-WLAN mit eigenem VLAN. In der Unifi-Welt war das einfach, da der Controller alles durchgängig vom USG über den Switch zu den APs entsprechend provisioniert. Jetzt - ohne USG - scheine ich irgendwas mit dem VLAN-Tagging noch nicht korrekt zu haben und brauche Hilfe.

Der relevante Teil sieht in etwa so aus:

Code Select Expand


            |
      .-----+------.
      |  OPNsense  +
      '-----+------'
            |
        LAN | 192.168.1.0/24   igb1
     Guests | 192.168.99.0/24  igb1_vlan99
            |
      .-----+------.
      | LAN-Switch |  (Unifi Switch)
      '-----+------'
            |
        LAN | 192.168.1.0/24
     Guests | 192.168.99.0/24
            |
      .-----+------.
      |  Wifi-AP   |  (Unifi Access Point)
      '------------'


Auf Unifi-Seite habe ich das alte "Gast-Netzwerk" zu einem "VLAN-only-Netzwerk" umgestellt. Switch Port "all" (der Default) beinhaltet LAN untagged und Gast-Netz tagged. Auf dem Unifi-Switch wird mir das auch so angezeigt, wenn ich die laufende Config anschaue (cat /tmp/running.cfg):

switch.managementvlan=1
switch.vlan.1.id=1
switch.vlan.1.mode=untagged
switch.vlan.1.status=enabled
switch.vlan.2.id=99
switch.vlan.2.mode=tagged
switch.vlan.2.status=enabled

Auf der OPNsense habe ich igb1 als Parent-Interface für LAN und igb1_vlan99 als das Gastnetz-Interface:

igb1_vlan99: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether ...
        inet 192.168.99.1 netmask 0xffffff00 broadcast 192.168.99.255
        inet6 ...
        groups: vlan
        vlan: 99 vlanpcp: 0 parent interface: igb1
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Verhalten ist nun Folgendes:

Wenn ich mich per WLAN ins Gastnetz einwähle, erhalte ich per DHCP die erste Lease als 192.168.99.10 zugewiesen (das taucht auch sowohl in der OPNsense unter Leases als auch im Unifi Controller auf, allerdings dort mit 0% Experience). Neben der IP bekomme ich auch korrekt Domain Name, Domain Search, DNS, etc. zugewiesen - für IPv4 ebenso wie für IPv6.

Allerdings habe ich kein Netz: Ich kann von der 192.168.99.10 nicht einmal das Gateway 192.168.99.1 pingen - geschweigedenn andere Netze. Mit "tcpdump -i br0.99" und "tcpdump -i eth0.99" auf dem Access Point sehe ich allerdings auch Traffic (DHCP hat ja auch funktioniert).

Firewall Regeln sind derart, dass aus dem Gast-Netz kein Zugriff ins LAN (und umgekehrt) ist, aber ansonsten Gast-Netz erstmal alles darf. Ich sehe im Live View der OPNsense auch keine blockierten Einträge, wenn ich z.B. den o.g. Ping absetze, daher gehe ich naiv nicht davon aus, dass es an den Firewall-Regel liegt.

Sieht jemand sofort, woran es liegt und was der Fehler ist?

Wenn nicht, was sind die nächsten Schritte, um das zu Debuggen?

Vielen Dank und viele Grüße
Stefan

[RicAtiC]

Hi sbellon,

ich hatte beim Initialen Setup (OPNSense mit Ubiquiti) auch so meine Probleme und ähnliche Phänomene.

Ich hab mich dann irgendwann dazu entschlossen alles via VLAN zu machen und habe das "native" Interface (in Deinem Fall das igb1) deaktiviert.

Im Ubiquiti Controller müssen natürlich die VLANs ebenso angelegt werden und vielleicht neue Profile erstellt oder bestehende angepasst werden. Da Du aber eine IP bekommst, scheint das mal grundsätzlich zu passen, Uplinks mit allen VLANs tagged...

Wenn ersteres nicht funzt, gesetzt den Fall Du willst es überhaupt so probieren, hilft am Ende, und ich sage es nur ungern, nochmal mit einem frisch aufgesetzten Image zu starten. Hat bei mir tatsächlich mal geholfen, als garnichts ging, obwohl ich keinen Konfigurationsfehler finden konnte...

HTH irgendwie...

Gruß RiC

[RicAtiC]

Ach ja, falls Du gedenkst später auch noch mehr VLANs einzuziehen, vor allem ein eigenes Management VLAN, dann wirds richitg sexy.

Ubiquiti is echt super, aber halt auch mit Fokus auf Plug 'n Play. Da wird das gerne mal zur Herausforderung.

Was ich auch erleben musste war eine komplette HW-Änderung im Bereich der US-8 Switches (ohne das man das mitbekommen hätte). Hier gab es mal den Wechsel zu ARM Prozessoren und damit einher ging eine Änderung der kompletten CLI und anderen Dingen. Ich fahre Hybrid (USC-8P & USW-8P), da machen sich so manche Unterschiede bemerkbar, wenn man eben über die "Plug 'n Play" Funktionen hinausgeht....

Gruß RiC

[sbellon]

Aus lauter Verzweiflung hab ich jetzt die Firmwares von USW und UAP auf die letzte Version geupdated und auf einmal funktioniert alles ohne weitere Konfigurationsänderungen. Entweder war es wirklich das Firmware-Update oder - vielleicht wahrscheinlicher - einfach der Reboot der Geräte. Ein "Force Provision" zuvor hatte jedoch keine Wirkung, das hatte ich schon versucht.

[RicAtiC]

Na das klingt doch gut. Reboot (oder eben Reconfig) tut gut :)

Noch ein kleiner Hinweis, wenn Du, wie gesagt, mal weiter VLANs einziehst, oder vom 1er Netz weggehst. Die Ubiquiti Switches benötigen fürs provisioning das 1er. Sollte also mal der Cloud Key in ein Management VLAN wander, wie bei mir, musst Du zumindest beim Provisioning das Routing zwischen Provisioning VLAN (1er oder 0er, weiß gerade nicht mehr genau) und Management VLAN ermöglichen ;) Das kann Dir viel Zeit ersparen.

Ansonsten weiterhin gutes Gelingen!

Gruß Ric