[solved] Opnsense und Unifi VLAN Setup

Started by simp, March 24, 2020, 10:31:49 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 24, 2020, 10:31:49 AM Last Edit: April 10, 2020, 03:22:04 PM by simp
Hallo Zusammen,

ich habe ein Problem mit einem OPNsense (20.1.3) und Unifi Netzwerk (Controller:5.12.35) VLAN Setup.
Ich bin neu bei OPNsense und versuche mich gerade bei der Netzwerksegmentierung und der Einrichtung eines Gast LAN Netzwerks.

Ich habe mehrere Anleitungen durch und auch die Tipps aus dem Unifi Forum zur Abschaltung des DHCP Snoopings befolgt. Dank des Controller Updates (5.12.35) kann man diese Funktion bereits in der GUI ausschalten.

Dennoch funktioniert es nicht, wie gewünscht.
Nun zu meinem Setup:

(igb2) WAN: xxxxx
(igb0) LAN: 192.168.15.x
(igb0:VLAN25) LAN_GAST_VLAN25: 192.168.25.x

DHCP Bereiche sind auf den Interfaces eingerichtet und aktiv.
Die Firewall Regel für LAN sind aktiv
Die Firewall Regel für LAN_GAST_VLAN steht auf Vollzugriff in alle Netze nur das LAN Netzwerk ist blocked.

Im Unifi Controller habe ich einen Port 1 auf VLAN(0): LAN stehen. Hier erhalte ich erwartungsgemäß vom DHCP Server meine IPs aus dem 192.168.15.x Netzwerk.

Port 2. habe ich auf LAN_GAST_VLAN(25) gesetzt. Hier erhalte ich keine DHCP Adresse.
Starte ich jedoch die Opnsense neu, erhalte ich eine DHCP Adresse aus dem 192.168.25.x Netzwerk und der Ping funktioniert ins WAN.

Allerdings nur solange wie die DHCP Release Time läuft.
Mach ich ein ipconfig /renew bekomme ich wieder keine IP.
Nach einem OPNsense Neustart geht es wieder.

Ich bekomme folgende Meldung im DHCP Server:
--
2020-03-24T09:44:30   dhcpd: DHCPREQUEST for 192.168.25.100 from 00:50:b6:29:93:eb via igb0: wrong network.
2020-03-24T09:44:26   dhcpd: DHCPNAK on 192.168.25.100 to 00:50:b6:29:93:eb via igb0
2020-03-24T09:44:26   dhcpd: DHCPREQUEST for 192.168.25.100 from 00:50:b6:29:93:eb via igb0: wrong network.
2020-03-24T09:41:48   dhcpd: Sending on BPF/igb0_vlan25/dc:58:bc:e0:04:32/192.168.25.0/24
2020-03-24T09:41:48   dhcpd: Listening on BPF/igb0_vlan25/dc:58:bc:e0:04:32/192.168.25.0/24
2020-03-24T09:39:46   dhcpd: DHCPACK on 192.168.25.100 to 00:50:b6:29:93:eb (TAB-MS) via igb0_vlan25
2020-03-24T09:39:46   dhcpd: DHCPREQUEST for 192.168.25.100 (192.168.25.1) from 00:50:b6:29:93:eb (TAB-MS) via igb0_vlan25
2020-03-24T09:39:46   dhcpd: DHCPOFFER on 192.168.25.100 to 00:50:b6:29:93:eb (TAB-MS) via igb0_vlan25
2020-03-24T09:37:57   dhcpd: Sending on BPF/igb0_vlan25/dc:58:bc:e0:04:32/192.168.25.0/24
2020-03-24T09:37:57   dhcpd: Listening on BPF/igb0_vlan25/dc:58:bc:e0:04:32/192.168.25.0/24
2020-03-24T09:36:11   dhcpd: DHCPNAK on 192.168.25.100 to 00:50:b6:29:93:eb via igb0

Habt Ihr eine Idee, wonach ich suchen kann.
Sollten Infos fehlen, bitte melden.

March 26, 2020, 02:14:09 PM #1
> Port 2. habe ich auf LAN_GAST_VLAN(25) gesetzt. Hier erhalte ich keine DHCP Adresse.

Wie ist er gesetzt und wie ist er in der Sense angelegt?

Grüß
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
April 05, 2020, 07:01:07 PM #2
Hallo JeGr,

sorry dass ich erst jetzt dazu komme zu antworten.
Ich musste das Setup zurücksetzen.

Ich werde das Setup gleich noch einmal einrichten, vielleicht habe ich nun mehr Glück.
April 05, 2020, 08:13:47 PM #3 Last Edit: April 05, 2020, 09:54:11 PM by simp
So neuer Versuch, gleiches Ergebnis:

LAN (igb0)      -> v4: 192.168.15.1/24
WAN (igb3)    -> v4: WAN IP
WLAN_GAST (igb0_vlan50) -> v4: 192.168.25.1/24

DHCP:
igb0 - 192.168.15.100-200
igb0_vlan50 - 192.168.25.100-200

Firewall:
LAN -> WAN Regeln funktioneren wie vorgesehen
WLAN_Gast -> Alles erlaubt, LAN block

Unif Netzwerk:
1. LAN - 192.168.15.0/24
2. WLAN_GAST - nur VLAN 50

Unifi WLAN
1. WLAN - kein vlan - Netzwerk Ok, erhalte eine IP vom DHCP aus dem 192.168.15.0/24 Bereich
2. WLAN_GAST - keine DHCP Adresse, keinerlei Log im /var/log/dhcp.log


Unifi Config
!Current Configuration:
!
!System Software Version "4.0.80.10875"
!Additional Packages     QOS,IPv6 Management
!
network parms 192.168.15.x 255.255.255.0 192.168.15.1
vlan database
vlan 50
exit

flowcontrol
spanning-tree mode rstp
snmp-server sysname "Switch-1"
!
set igmp reportforward lldp
set mld reportforward lldp
cos-queue min-bandwidth 0 10 10 10 10 0 0 0
keepalive

interface 0/1
description 'Port 1'
no ip dhcp snooping trust
mtu 9216
vlan ingressfilter
vlan participation include 50
vlan tagging 50
port-security max-dynamic 0
lldp transmit
lldp receive
lldp transmit-tlv port-desc
lldp transmit-tlv sys-name
lldp transmit-tlv sys-desc
lldp transmit-tlv sys-cap
lldp med

Starte ich die OPNsense einmal neu, gekomm ich eine DHCP Adresse über das WLAN_GAST.
Genau ein mal, danach geht es nicht mehr, bis zum Neustart

Ändere ich die Konfig auf:
LAN (igb0)      -> v4: 192.168.15.1/24
WAN (igb3)      -> v4: 192.168.0.2/24
WLAN_GAST (igb1_vlan50) -> v4: 192.168.25.1/24

Benutze ich igb1 für das VLAN50 und verbinde dies mit dem Unifi Switch funktioniert alles ?
Und selbst mit zwei VLANs 50/60 über igb1 funktioniert es...

LAN (igb0)      -> v4: 192.168.15.1/24
WAN (igb3)      -> v4: 192.168.0.2/24
WLAN_GAST (igb1_vlan50) -> v4: 192.168.25.1/24
WLAN_GAST2 (igb1_vlan60) -> v4: 192.168.60.1/24



April 05, 2020, 10:27:13 PM #4 Last Edit: April 06, 2020, 06:38:51 AM by stefanpf
Sorry ich verstehe deine Switch Nutzung nicht.
Was steckt den nun an Port1? Wo steckt die Sense?

Hier mal ein Auszug aus meiner Switch Config (ist ein Unifi 8 Port Poe)
Port 1: die Sense, alle VLANS tagged
Port 2: ein Beispiel für ein untagged Port im Vlan 10 zum Testen
Port 6: einer der AccessPoints, alle VLANS tagged
Code Select

interface 0/1
description 'OpnSENSE'
vlan ingressfilter
vlan participation include 10,21-23,30
vlan tagging 10,21-23,30
port-security max-dynamic 0
lldp transmit
lldp receive
lldp transmit-tlv port-desc
lldp transmit-tlv sys-name
lldp transmit-tlv sys-desc
lldp transmit-tlv sys-cap
lldp med
exit

interface 0/2
description 'Nuc'
vlan pvid 10
vlan ingressfilter
vlan participation exclude 1,21-23,30
vlan participation include 10
port-security max-dynamic 0
lldp transmit
lldp receive
lldp transmit-tlv port-desc
lldp transmit-tlv sys-name
lldp transmit-tlv sys-desc
lldp transmit-tlv sys-cap
lldp med
exit
...
interface 0/6
description 'wz_APEG'
vlan ingressfilter
vlan participation include 10,21-23,30
vlan tagging 10,21-23,30
port-security max-dynamic 0
lldp transmit
lldp receive
lldp transmit-tlv port-desc
lldp transmit-tlv sys-name
lldp transmit-tlv sys-desc
lldp transmit-tlv sys-cap
lldp med
exit


Edit:
Habe mich gerade daran erinnert, dass ich seit Ewigkeiten
über eine config.properties auf dem Unifi Controller dhcp snooping deaktiviert habe.
Vielleicht hat sich das überlebt oder ist inzwischen einfacher umgesetzt...ich wollte es nur erwähnt haben.
Code Select

root@UniFi-CloudKey:/srv/unifi/data/sites/default# less config.properties
config.system_cfg.fcecda413d63.1=switch.dhcp_snoop.status=disabled
config.properties (END)...skipping...


https://community.ui.com/questions/Disable-DHCP-Snooping-on-USW/47a417a8-f560-4924-a156-47e20e3a52c8#answer/05d759c3-e018-4dbe-949b-c8cd7fd517a6
Edit 2:
Hast du das Vlan einer Ssid fest zugewiesen oder ist da irgendwo Radius mit im Spiel?
Bei Nutzung von WPA2 und Zuweisung von VLANS per Mac-Adresse fällt der Client in das Standard Netzwerk (VLAN1) zurück, wenn kein User mit der passenden Adresse angelegt wurde und bezieht dort auch die IP
April 06, 2020, 06:25:59 PM #5
Alsoooo... ich hab diverse APs an ner OPNsense (und auch an ner UTM, solange das Abo noch bezahlt ist, aber das tut hier nix zur Sache.

Der Controller läuft für alle Standorte zentral auf ner Ubuntu-VM. Bei nem neuen Standort erst den Standort im Controller anlegen, dann spioniert der Controller dort automatisch rum und provisioniert. Falls nicht, einfach set-inform http://<<IPaddr>>:8080/inform

Setup je Standort ist immer VLAN0 untagged = internes WLAN. Hier gibt es aus historischen Gründen unterschiedliche Standorte, die entweder eine separate Maske für WLAN (versus LAN) haben oder auch nicht (dann ist WLAN und LAN einfach zusammen). Gäste-WLAN ist VLAN 100 tagged, das liegt natürlich auf demselben physischen Port, auf dem auch der WLAN-Anschluss liegt. Das VLAN habe ich natürlich auch auf den entsprechenden Ports ALLER dazwischen liegenden Switche konfiguriert (VLAN0 untagged und VLAN100 tagged).

Ergebnis: Läuft. Erstaunlich problemlos. Hin und wieder mal Updates aussenden, ansonsten absolut pflegeleichte Dinger, diese kleinen unscheinbaren Ufos.
April 06, 2020, 10:21:02 PM #6 Last Edit: April 06, 2020, 10:27:47 PM by simp
Hallo Zusammen,

ich versuche es mal grafisch darzustellen:

1. Setup: VLAN geht nicht
WAN / Internet
            :
            :
      .-----+-----.
      |  Gateway  |  Router
      '-----+-----'
            |
        WAN |           (igb3)        -> v4: WAN IP
            |
      .-----+------.
      |  OPNsense  +
      '-----+------'   
            |
        LAN | LAN/WLAN  (igb0)        -> v4: 192.168.15.1/24
            | WLAN_GAST (igb0_vlan50) -> v4: 192.168.25.1/24
            |
      .-----+------.
      | LAN-Switch | Unifi Netzwerk + WLAN Accesspoints
      '-----+------'
            |
      .-----+------. 
      |  AP PRO    +
      '-----+------'
            | WLAN       (192.168.15.0/24) -> geht
            | WLAN_GAST  (192.168.25.1/24) -> geht nicht
    ...-----+------... (Clients/Servers)

2. Setup geht :-)

WAN / Internet
            :
            :
      .-----+-----.
      |  Gateway  |  Router
      '-----+-----'
            |
        WAN |                   (igb3)        -> v4: WAN IP
            |
      .-----+------.
      |  OPNsense  +
      '-----+------'   
          |     |   
     LAN1 |     |               LAN1      (igb0)        -> v4: 192.168.15.1/24
          |     | LAN2          LAN2      (igb1_vlan50) -> v4: 192.168.25.1/24
          |     |               LAN2      (igb1_vlan60) -> v4: 192.168.60.1/24   
          |     |
      .-----+------.
      | LAN-Switch | Unifi Netzwerk + WLAN Accesspoints
      '-----+------'
            |
      .-----+------. 
      |  AP PRO    +
      '-----+------'
            | WLAN        (192.168.15.0/24) -> geht
            | WLAN_GAST1  (192.168.25.1/24) -> geht
            | WLAN_GAST2  (192.168.60.1/24) -> geht
    ...-----+------... (Clients/Servers)

@stefanpf
Ja ich habe am Unifi Controller dhcp snooping deaktiviert.
Das geht mittlerweile angeblich in der Controller GUI.

Und nein, ich habe kein Radius Setup, dass ist der nächste Schritt.
Und ich habe pro SSID ein eigenes VLAN
WLAN_Gast1 = VLAN50
WLAN_GAST2 = VLAN60

Ich kann nur keine VLANS über den LAN1 Port verteilen?

April 06, 2020, 10:54:44 PM #7
Hast du "VLAN Hardware Filtering" auf
disabled gesetzt?
April 07, 2020, 09:28:46 AM #8
Hallo Stefanpf,

nein, das habe ich noch nicht getestet, da es in den Anleitungen nicht mal erwähnt wird.
Du meinst Interface > Settings > VLAN Hardware Filtering = leave default -> disable
April 07, 2020, 11:50:34 AM #9
Genau,
ich meine das schon einige Mal im Zusammenhang mit Unifi und DHCP Problemen gelesen zu haben.
Habe es bei meine APU allerdings vom ersten Tag an aus.
April 10, 2020, 03:21:15 PM #10
Ja, das wars.

Interface > Settings > VLAN Hardware Filtering = leave default -> disable
hat das Problem gelöst.

Ich danke euch!
Print
Go Up Pages1
User actions