Ersatz eines Unifi-Systems durch OPNSense + Switche -> Problem beim Einrichten

Started by Traviso, May 31, 2023, 05:59:13 PM

Previous topic - Next topic
Print
Go Down Pages1 2 3
User actions
May 31, 2023, 05:59:13 PM
Hallo,

bei mir läuft derzeit ein Unifi-System, welches ich durch einen Mini PC mir OPNSense + diverse L2-Switche von Zyxel ersetzen wollte.
Für die Einrichtung wollte ich erst einmal den Mini PC mit OPNSense hinter die UDM hängen, damit das jetzige System weiterläuft und ich parallel das komplette OPNSense System inkl. Switche vorkonfigurieren kann.

Geplant ist folgendes:

Mini PC mit OPNSense

Verbindung zu den verschiedenen Switchen per LAGG

VLAN 1 (Default), 10 (Management), 20 (IoT), 30 (Multimedia), 50 (VPN), 178 (Computer)

D.h. OPNSense, die Switche etc. sollten alle im Management VLAN (IP: 192.168.10.x) liegen

Bei mir scheitert es nun bereits bei der Einrichtung. Lasse ich LAN + WAN automatisch zuordnen, so kann ich per Direktverbindung per LAN-Kabel und ohne Verbindung der WAN-Schnittstelle direkt per 192.168.1.1 auf die WebGUI zugreifen.
Versuche ich jetzt z.B. die statische IP des LAN-Interfaces auf 192.168.10.10 zu ändern, so kann ich danach nicht mehr zugreifen.

Vielleicht kann jemand einem Neueinsteiger einen Tipp geben, wo ich falsch liege bzw. was ich noch konfigurieren muss, um die Adresse der OPNSense Einheit inkl. Zugriff per WebGUI über 192.168.10.10 möglich zu machen.

Vielen Dank im Voraus für eure Hilfe!
May 31, 2023, 06:34:10 PM #1 Last Edit: May 31, 2023, 06:37:57 PM by micneu
moin, wenn du den assistenten (wizard) nutzt kannst du dort auch den ip bereich ändern, ganz simple
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
May 31, 2023, 07:24:04 PM #2
Danke dir für die schnelle Rückmeldung. Ich hatte die Adresse vorher per Kommandozeile geändert und hatte keinen Zugriff mehr. Dabei war das WebGUI Listening auf "All" gestanden.
Jetzt, mit dem Assistenten, funktioniert soweit alles.

Gibt es vielleicht noch irgendwelche Empfehlungen, so ich OPNSense hinter der Unifi UDM betreibe ? Ich nehme an, ich sollte erstmal den Firewall deaktivieren ?
May 31, 2023, 07:49:30 PM #3
Quote from: Traviso on May 31, 2023, 07:24:04 PM
Gibt es vielleicht noch irgendwelche Empfehlungen, so ich OPNSense hinter der Unifi UDM betreibe ? Ich nehme an, ich sollte erstmal den Firewall deaktivieren ?
Ich würde es etwas anders machen, kann dir mal kurz beschreibe, wie ich das damals gemacht habe:
IST war:
- UDMPRO
- Unifi Switch + AccessPoints mit diversen VLAN

SOLLte werden:
- UDMPRo weg, OPNSense hin
- Unifi-Controller seperat
- Switch und AP weiterhin Unifi ( weil die sind ganz gut )

Ich hab die OPNSenser erst mal als Client hinter die UDMPro gehangen und eingerichtet, bin per 2. Netzwerkkabel von meinem MacBook direkt da drauf gegangen ( an den LAN-Anschluss )
Dann hab ich erst mal alles so konfiguriert, wie es auf der UDMPro vorher war, also VLAN angelegt, DHCP konfiguriert und Firewall-Regeln erstellt und das intensiv getestet. OPNSense war für mich damals auch neu.

Step 2:  Der Netzwerkkontroller ist von der UDMPro temp auf einen RasperryPi umgezogen

Step 3:  UDMPRo abgeschaltet, OPNSense hat deren Stelle eingenommen und ich konnte direkt alles weiter nutze, hatte nur wenige Fehler, meist kleine Tippfehler in FW-Regeln

Step 4:  Unif-Netzwerkkontroller ist auf die OPNSense umgezogen ( habe ich mittlerweile aber nicht mehr, der läuft im Proxmox als Linux-Container )
May 31, 2023, 09:01:02 PM #4
Quote from: Tuxtom007 on May 31, 2023, 07:49:30 PM
Ich würde es etwas anders machen, kann dir mal kurz beschreibe, wie ich das damals gemacht habe:

Danke Dir für die Beschreibung. Dann werde ich das analog machen. Allerdings bin ich bei den APs bereits auf Ruckus umgestiegen (die habe ich sehr günstig gebraucht bekommen). Und die Zyxel L2-Switche sind auch schon vorhanden.

Evtl. werde ich trotzdem später noch einen Unifi Netzwerkcontroller per VM laufen lassen, da ich etwas Probleme mit der "wireless" Ankopplung des Gartenhauses mit Ruckus habe. Dies hat mit einem Unifi U6 Mesh + InWall super funktioniert und beide APs habe ich noch.
June 01, 2023, 06:25:45 AM #5
Hallo Traviso,

ich denke @Tuxtom007 hat hier schon viel (alles) erklärt. Er ist wirklich "fit" in solchen Sachen und hat mir auch geholfen. Ich hatte es damals so gemacht, um meine UDM Base abzulösen:

1. OpnSense auf dem MiniPC eingerichtet - OHNE Zugriff auf das Netzwerk. Alle Regeln geschrieben, Netzwerke angelegt, DHCP Server, UNBOUND, usw.
2. Unifi Controller unter Docker auf meiner Synology eingerichtet.
3. UDM Base ab- und OpnSense angeschalten.
4. Unifi Geräte im neuen Controller angelernt.
5. Fertig

Da sowohl die UDM Base als auch die OpnSense als Hauptnetz die 192.168.1.1 hatten, haben es die angeschlossenen Geräte gar nicht gemerkt  ;).

Mittlerweile läuft der Unifi Controller in einem LXC Container auf Proxmox und ich bin glücklich.  ;D Den Schritt weg von der UDM Base zur OpnSense habe ich keiner Weise bereut. Die restlichen Unifi Geräte (AP's und Switche) tun nach wie vor ihren Dienst.

Viel Erfolg.
June 01, 2023, 10:54:28 AM #6 Last Edit: June 01, 2023, 11:08:45 AM by Traviso
Hallo @Ronny1978,

vielen Dank für die Hinweise.

Ich werde es dann genauso machen, wie von dir und @Tuxtom007 beschrieben. Allerdings eben mit Ruckus APs und Zyxel Switchen. Hintergrund ist, dass meine Apple Geräte irgendwann nicht mehr richtig mit den Unifi APs konnten. Meinen Macbook musste ich dann per Kabel anschließen, da er die WLAN-Netze nach 5 Minuten Betrieb nicht mehr erkannt hatte. Das Problem ist wohl bekannt und wird sowohl in den Apple Foren als auch in den Unifi Foren diskutiert, aber eine wirkliche Lösung gab es nicht. Nachdem ich die Unifi APs durch Ruckus APs ausgetauscht hatte, lief alles wieder problemlos.

Hinsichtlich des Netzwerkaufbaus würde ich gerne ein Management VLAN einführen, so dass OPNSense und die zugehörigen Netzwerkkomponenten in diesem VLAN laufen und das Subnetz 192.168.1.X als "Default Netz" läuft, in welches neue Geräte aufgenommen werden.

June 17, 2023, 09:56:32 PM #7
Hallo,

ich bin erst jetzt wieder dazugekommen hier weiterzumachen.
Auf der OPNSense Appliance habe ich zwei LAGG´s angelegt, welche je 2 der Ethernetports enthalten. An beide LAGG´s werden je ein Zyxel L2-Switch angeschlossen.

Weiterhin habe ich für jedes einzelne LAGG 6 VLANs (10, 20, 30, 50, 51 und 178) angelegt.

Zum Einen würde mich nun interessieren, ob ich das Default VLAN 1 auch mit anlegen muss. Zum anderen würde mich interessieren, wie ich das jetzt mit dem DHCP-Server für die verschiedenen VLANs machen muss.
Ich würde ja gerne einen DHPC-Server pro VLAN (IPv4 und IPv6) verwenden, der dann die Adressen für die VLANs auf beiden LAGGs vergibt.

Kann mir vielleicht jemand einen Tipp geben, wie ich das umsetzen kann ?
Und wie sieht es mit statischer IP-Vergabe aus. Kann ich das, ähnlich wie bei Unifi, irgendwo mit der Maus festlegen oder muss ich das manuell für einzelne Geräte vornehmen ?

Vielen Dank im Voraus für eure Hilfe.
June 18, 2023, 10:26:49 PM #8
Quote from: Ronny1978 on June 01, 2023, 06:25:45 AM
Mittlerweile läuft der Unifi Controller in einem LXC Container auf Proxmox und ich bin glücklich.
Hallo Ronny,

wenn Du den Controller doch auf deiner Synology unter Docker laufen hattest, warum macht dann was neues mit neuer Hardware?

Noch läuft bei mir der Controller von Unifi auf dem CloudKey, wenn bei mir alles mit der OPNsense läuft, wollte ich den Controller auch die DS unter Docker installiren.
June 19, 2023, 04:58:41 AM #9
Hallo alex3003,

das hatte mehrere Gründe:

1. Ich habe einen kleinen Proxmox-Server angeschafft, da meine DS918+ trotz 16GB RAM und SSD als Volume, aufgrund des limitierten Prozessors einfach zu langsam für meine Windows 10 VM war. Außerdem konnte ich kein Windows 11 upgraden.
2. Der RAM ist dennoch zu wenig, da ebenso eine VM von Home Assistant wie auch Docker von ecoDMS und ecoMAILZ liefen. Alles in allem war der Prozessor auch hier zu "langsam".
3. Ich hatte mal den Fall, dass ich mich bei einem Unifi Switch beim Portprofil "vertan" hatte. Da die DS918+ per Bond am Switch verbunden war, konnte ich somit weder die Synology Oberfläche erreichen NOCH DEN UNIFI Controller  ;). Also große Sch... Ging da nur mit dem Short Reset von Synology.

Ebenso wurde mir in 2 Foren abgeraten, dass alles auf der OpnSense zu hosten, da schlechte Programmierung evtl. die Firewall selbst gefährden könnte. Und bei dir - glaube ich -> siehe Adguard - auch nicht alles fluffig läuft, wobei ich hier das Problem bei Adguard und dem Plugin und nicht der OpnSense sehe.

Daher war der logische Schritt es auf dem Proxmox auszulagern, der, aufgrund der VM's (Windows 11 und Home Assistant), eh da ist und mein Wunsch war. Ich bin jetzt mit der meiner Windows 11 VM BEDEUTEND schneller, gerade was die Anwendungen StarMoney, Lexware und ecoDMS und ecoMAILZ betrifft. Mittlerweile hat sogar meine Frau Freude an der VM. Und das will was heißen.  ;D Proxmox bietet mir die Möglichkeit produktiv zu arbeiten (Cloudflare Tunnel, Adguard, Rustdesk, MariaDB, Unifi Controller, VM's Windows 11/Home Assistant), aber auch mal zu spielen (MineCraft Server, Debian, Linux, usw.). Die Backup der einzelnen Maschinen werden am vDump File auf meiner DS918+ gesichert, sodass ich dann beim Neuaufsetzen des Proxmox-Server, sollte was passieren, recht schnell alles wieder herstellen kann. Bzw. kann ich recht schnell den Unifi Controller wieder auf die Synology bringen, sollte der Notfall eintreten.  ;)

Ich hoffe, ich konnte die meine Gründe nahebringen und ausreichend erläutern?

LG Ronny
June 19, 2023, 05:00:16 AM #10
QuoteZum Einen würde mich nun interessieren, ob ich das Default VLAN 1 auch mit anlegen muss. Zum anderen würde mich interessieren, wie ich das jetzt mit dem DHCP-Server für die verschiedenen VLANs machen muss.
Ich würde ja gerne einen DHPC-Server pro VLAN (IPv4 und IPv6) verwenden, der dann die Adressen für die VLANs auf beiden LAGGs vergibt.

Gibt es: Unter Dienste -> DHCP. DCHP für das jeweilige VLAN/LAN einschalten und einrichten.  ;)
June 19, 2023, 08:31:17 AM #11
Quote from: Ronny1978 on June 19, 2023, 05:00:16 AM
Gibt es: Unter Dienste -> DHCP. DCHP für das jeweilige VLAN/LAN einschalten und einrichten.  ;)

Ja, da ich aber für jedes der beiden LAGG ein VLAN10, VLAN20 etc. habe, müsste ich den entsprechenden Adressbereich (z.B. 192.168.10.x) auf die beiden LAGG´s aufteilen. Also z.B. VLAN10 für LAGG1 von 192.168.10.2 bis 192.168.10.128 und LAGG2 von 192.168.10.129 bis 192.168.10.253, richtig ?
Meine Frage zielte darauf ab, ob ich sozusagen einen DHCP-Server für den gesamten Adressbereich von z.B. 192.168.10.2 bis 192.168.10.253 für beide LAGG´s zusammen verwenden kann.
Oder verstehe ich da etwas falsch ?

June 19, 2023, 09:16:47 AM #12
Hallo Traviso,

hast du die VLAN's unter Schnittstellen aktiviert? Die LAGG läuft doch auf dem Hauptinterface, oder? Die VLANs verweisen doch dann auf das Hauptinterface. Wenn die aktiviert sind, tauchen die auch einzeln auf.

Poste mal bitte ein Bild von den Schnittstellen und der Einstellung des LAGG.
June 19, 2023, 11:23:14 AM #13
Quote from: Ronny1978 on June 19, 2023, 09:16:47 AM
hast du die VLAN's unter Schnittstellen aktiviert? Die LAGG läuft doch auf dem Hauptinterface, oder? Die VLANs verweisen doch dann auf das Hauptinterface. Wenn die aktiviert sind, tauchen die auch einzeln auf.

Poste mal bitte ein Bild von den Schnittstellen und der Einstellung des LAGG.

Hier mal ein paar Bilder. Die VLANs sind unter Schnittstellen aktiviert. Ich have zwei physikalische Ports (igc2 und igc3) als LAGG0 und als LAGG1 (icc 4 und igc5) gebündelt.



Die LAGG-Schnittstelle ist dabei so konfiguriert (LAGG1 ist identisch konfiguriert):



Die Konfiguration sieht dabei folgendermaßen aus:



Die Schnittstellen Zuweisung sieht wie folgt aus:



Nachfolgend dann noch die VLAN-Definitionen:



Und exemplarisch VLAN10 als Management VLAN auf LAGG0 und LAGG1:





Als Alternative, so dass mit einem einzelnen DHCP-Server für jedes VLAN auf beiden LAGG-Schnittstellen nicht geht, dass ich mit einem LAGG aus 4 Schnittstellen (icc 2-5) auf meinen 24 Port Zyxel Switch gehe und dort dann per LAGG auf die weiteren Switche verteile.
Hierdurch würde ich mit einem DHCP-Server pro VLAN auskommen, denke ich.


June 19, 2023, 12:21:52 PM #14
Quote from: Traviso on June 19, 2023, 08:31:17 AM
Ja, da ich aber für jedes der beiden LAGG ein VLAN10, VLAN20 etc. habe, müsste ich den entsprechenden Adressbereich (z.B. 192.168.10.x) auf die beiden LAGG´s aufteilen. Also z.B. VLAN10 für LAGG1 von 192.168.10.2 bis 192.168.10.128 und LAGG2 von 192.168.10.129 bis 192.168.10.253, richtig ?
Meine Frage zielte darauf ab, ob ich sozusagen einen DHCP-Server für den gesamten Adressbereich von z.B. 192.168.10.2 bis 192.168.10.253 für beide LAGG´s zusammen verwenden kann.
Oder verstehe ich da etwas falsch ?
LAGG hat ja erst mal nichts mit den VLAN's zu tun.
Du baust dein LAGG und packst dort deine VLAN's sein, die drauf liegen sollen.

Dann erstellst du für jeden VLAN einen DHCP-Server, legst den IP-Bereich fest.  Der DHCP-Server gilt dann für das VLAN, egal auf welchem Interface / LAGG das liegt, aus beiden LAGG's wird der selbe IP-Pool genutzt, da brauchst du nichts auftrennen.

Feste IP's vergeben über DHCPv4 -> Leasses -> "+" klicken und die IP aus dem jeweiligen VLAN zuweisen.  Die festen IP-Adresse dürfen nicht innerhalb des DHCP-Pools liegen.  Ich machen es bei mir so, das die erste Hälfte des  IP-Pools pro VLAN für feste IP's sind, die zweite Hälfte dann für DHCP. ( ausnahmen z.b. Gäste-VLAN, das braucht kaum feste IP's )
Print
Go Up Pages1 2 3
User actions