VLAN1 und Omada Setup

[EliteGroup]

Ich habe mir ein Omada Setup zugelegt, die Firewall ist mir aber zu basic deshalb bleibe ich bei OpnSense.
Bestehend aus
- Omada Switch
- Omada Controller
- EAP Access Points

Meine Frage betrifft das VLAN1:
VLAN1 default ist der standard auf dem Switch und nicht löschbar (192.168.0.1 default).
Meine Netze sind VLAN10 (Home-LAN), VLAN20 & VLAN30. Das VLAN1 ist nur Managment.
Sollte ich dies auch in der OpnSense einrichten oder bleibt dies nur ganz alleine am Switch?

Wenn ich das Omada Setup richtig verstanden habe kommt der Controller auch ans VLAN1.
Ebenso die Access Points, da wird der SSID ein VLAN zugewiesen.
Für das Managment müsste ich aber aus dem VLAN10 zugriff auf den Controller haben im VLAN1.
Ist das richtig?

LG

[Tuxtom007]

Das ist im Grund das selben Konstrukt wie es Unifi nutzt,  VLAN1 als Management-LAN für Kontroller usw. und das legst du auch auf der OPNSense an.
Du willst ja sicherlich mal Konfigänderungen an deinem Netz machen, dann kannst du dir per Firewall-Regeln Zugriff aus anderen VLAN auf das VLAN1 einrichten.

In das VLAN1 kommen alle OMADA-Geräte rein, da diese darüber mit dem Controller kommunizieren.

[EliteGroup]

Das ist im Grund das selben Konstrukt wie es Unifi nutzt,  VLAN1 als Management-LAN für Kontroller usw. und das legst du auch auf der OPNSense an.
Du willst ja sicherlich mal Konfigänderungen an deinem Netz machen, dann kannst du dir per Firewall-Regeln Zugriff aus anderen VLAN auf das VLAN1 einrichten.

In das VLAN1 kommen alle OMADA-Geräte rein, da diese darüber mit dem Controller kommunizieren.

Danke das ist ein guter ansatz.
Wie sieht es mit den FW Regeln zu VLAN1 aus? WAN Zugriff blockieren und Zugriff auf VLAN10 + 20 + 30 ebenfalls nehme ich an.

LG und Danke

[Tuxtom007]

Danke das ist ein guter ansatz.
Wie sieht es mit den FW Regeln zu VLAN1 aus? WAN Zugriff blockieren und Zugriff auf VLAN10 + 20 + 30 ebenfalls nehme ich an.

Zugriff zum Internet würde ich blocken und bei Bedarf freigeben ( wenn du Updates auf den Geräten machen willst )
Zugriff auf andere VLAN's braucht das Management-Netz nicht, nur Zugriff von deinem PC solltest zu darauf zugreifen können für Konfigarbeiten.

Beim Bekannten haben wir das genauso gemacht, nur 2 Notebooks können auf den Controller zugreifen und sonst ist das VLAN in sich geschlossen, für Updates für der Internetzugriff aktiviert.

EDIT:  hab gestern nochmal beim Bekannten nachgeschaut, dort läiuft ein OMADA-Netz mit zwei OPNSense.
Da haben wir es genauso gemacht, VLAN 1 ist ausschliesslich Management für die Netwzerkgeräte und Zugriff darauf ist nur für bestimmte Clients freigegeben.
Internetzugang raus ist per Firewall-Regel freigegeben und die kann bei Bedarf für Updates aktiviert werden, ansonsten ist die deaktiviert.
Macht aber nur Sinn, wenn man keine Cloudanbindung nutzt, was bei OMADA aber im Gegensatz zu Unifi nur optional und keine Pflicht ist.

[EliteGroup]

...

Danke für die Infos.
So werde ich es auch einrichten.
Setup eigentlich wie man es gewohnt ist
+ zusätzlich ein Management-Netz mit Block-All Regel und ein Schalter für Internet Updates
Allein mein Stand-PC bekommt zugriff auf die Controller-IP

[dumbo]

Macht aber nur Sinn, wenn man keine Cloudanbindung nutzt, was bei OMADA aber im Gegensatz zu Unifi nur optional und keine Pflicht ist.

Bei UniFi ist die Cloud-Anbindung doch mittlerweile auch nur noch optional, oder?

[EliteGroup]

Wie funktioniert die Switch ACL?
Ich habe die verbindung zwischen 2 Netzen erlaubt.
Das läuft trotzdem immer über die OpnSense auch wenn ich die zwei Netze über "Switch ACL" erlaubt habe zu kommunizieren.

Wenn ich 2 Netze blockiere. Werden diese geblockt egal welche Regeln in der OpnSense stehen. Da funktioniert es also

[dumbo]

Du willst ja sicherlich mal Konfigänderungen an deinem Netz machen, dann kannst du dir per Firewall-Regeln Zugriff aus anderen VLAN auf das VLAN1 einrichten.

In das VLAN1 kommen alle OMADA-Geräte rein, da diese darüber mit dem Controller kommunizieren.

Lässt man dann eigentlich die Verbindung OPNsense zu Omada Switch auf "All" stehen, oder stellt man das nicht lieber auf:
- Native = LAN
- Tagged = VLAN10/20/30

Ist das nicht die bessere Variante?

[Wolke68]

Ja  ich weiß ich schon ein paar Tage alt der Thread hier


Ich habe es mir einfach gemacht hatte das Konstruktur lange mit pfsense und Ubiquiti

Habe aber mittlerweile mit opnsense und Omada das als Layer 3 konfiguriert.

Transfernetz zwischen opnsense und L3 Omada switch
Die Schwierigkeit ist den Omada switch wirklich routen zu lassen und klappt dann auch ohne Omada Gateway