Ersatz eines Unifi-Systems durch OPNSense + Switche -> Problem beim Einrichten

[Ronny1978]

  Hallo Traviso,

TuxTom007 hat, glaube ich, alles erwischt.

[Traviso]

Vielen Dank für die Info.

LAGG hat ja erst mal nichts mit den VLAN's zu tun.
Du baust dein LAGG und packst dort deine VLAN's sein, die drauf liegen sollen.

Ok, das habe ich jetzt so angelegt.

Dann erstellst du für jeden VLAN einen DHCP-Server, legst den IP-Bereich fest.  Der DHCP-Server gilt dann für das VLAN, egal auf welchem Interface / LAGG das liegt, aus beiden LAGG's wird der selbe IP-Pool genutzt, da brauchst du nichts auftrennen.

Ok, das macht Sinn und so möchte ich es auch haben. Ich hatte in irgendeinem Guide auf einer Webseite gelesen, dass ich dann zwei DHCP-Server bei 2 LAGGs pro VLAN anlegen muss.
Da dem nicht so ist, werde ich dies gleich so umsetzen.

Feste IP's vergeben über DHCPv4 -> Leasses -> "+" klicken und die IP aus dem jeweiligen VLAN zuweisen.  Die festen IP-Adresse dürfen nicht innerhalb des DHCP-Pools liegen.  Ich machen es bei mir so, das die erste Hälfte des  IP-Pools pro VLAN für feste IP's sind, die zweite Hälfte dann für DHCP. ( ausnahmen z.b. Gäste-VLAN, das braucht kaum feste IP's )

Hört sich gut an. Dann werde ich auch versuchen, das so umzusetzen.

Jetzt noch eine Frage bezüglich der Adresse von OPNSense. Diese liegt ja auf 192.168.1.1, also im Standard Default Netzwerk. Ich möchte die OPNSense aber aus dem Default VLAN heraushaben. Wo kann ich es denn einstellen, dass die OPNSense Appliance z.B. im VLAN 10 als 192.168.10.1 liegt ? Oder habe ich da irgendwie einen Denkfehler drinnen ?

[Traviso]

LAGG hat ja erst mal nichts mit den VLAN's zu tun.
Du baust dein LAGG und packst dort deine VLAN's sein, die drauf liegen sollen.

Das habe ich so gemacht und dort eine statische IP-Adresse als Gateway eingegeben (z.B.: für VLAN 1: 192.168.1.1).
Hier sind dann auch die Probleme aufgetreten. Da ich VLAN 1 zweimal anlegen musste (einmal für LAGG0 und einmal für LAGG1) war es nicht möglich, die gleiche IP-Adresse als Router/Gateway bei der statischen IP-Adresse einzutragen.
Aus diesem Grund habe ich LAGG1 gelöscht und LAGG0 besteht jetzt aus 4 Ports. Die Aufteilung erfolgt jetzt theoretisch auf dem nachgeschalteten Zyxel-Switch.

Dann erstellst du für jeden VLAN einen DHCP-Server, legst den IP-Bereich fest.  Der DHCP-Server gilt dann für das VLAN, egal auf welchem Interface / LAGG das liegt, aus beiden LAGG's wird der selbe IP-Pool genutzt, da brauchst du nichts auftrennen.

Nach Umstellung auf nur einen LAGG, konnte ich dies machen.

Feste IP's vergeben über DHCPv4 -> Leasses -> "+" klicken und die IP aus dem jeweiligen VLAN zuweisen.  Die festen IP-Adresse dürfen nicht innerhalb des DHCP-Pools liegen.  Ich machen es bei mir so, das die erste Hälfte des  IP-Pools pro VLAN für feste IP's sind, die zweite Hälfte dann für DHCP. ( ausnahmen z.b. Gäste-VLAN, das braucht kaum feste IP's )

Das habe ich auch so eingestellt.

Der Switch ist jetzt über 4 Ports mit dem OPNSense Rechner verbunden. Leider finde ich aber weder in der ARP-Tabelle noch unter Services -> DHCP -> Leases einen Eintrag für den Switch.

Nachfolgend einmal meine Einstellungen für das Default VLAN (192.168.1.x):





Für den DHCP-Server für VLAN 1:







Und die entsprechende Firewall Regeln:



Beim Zyxel GS1900 Switch habe ich VLAN 1 als untagged und alle anderen VLANs als tagged eingestellt. Für die Link Aggregation wurde dort auch ein 4 Port LAGG konfiguriert.

Vielleicht sieht ja jemand meinen Fehler...

[Tuxtom007]

Das habe ich so gemacht und dort eine statische IP-Adresse als Gateway eingegeben (z.B.: für VLAN 1: 192.168.1.1).
Hier sind dann auch die Probleme aufgetreten. Da ich VLAN 1 zweimal anlegen musste (einmal für LAGG0 und einmal für LAGG1) war es nicht möglich, die gleiche IP-Adresse als Router/Gateway bei der statischen IP-Adresse einzutragen.
Aus diesem Grund habe ich LAGG1 gelöscht und LAGG0 besteht jetzt aus 4 Ports. Die Aufteilung erfolgt jetzt theoretisch auf dem nachgeschalteten Zyxel-Switch.

Ich habs mal gerade bei meiner Sense probiert - ich habe fast du Befürchtung, das man VLAN's nicht 2 Interfacen zuweisen kann, was aber sehr merkwürdig wäre.

[Traviso]

Ich habs mal gerade bei meiner Sense probiert - ich habe fast du Befürchtung, das man VLAN's nicht 2 Interfacen zuweisen kann, was aber sehr merkwürdig wäre.

Ja, sieht so aus. Ist aber kein Problem, da ich das auch mit einem LAGG umsetzen kann. Aber auch da habe ich das Problem, dass ich keine Verbindung zum Switch hinbekomme.

Falls also bei meiner Konfiguration alles i.O. ist, dann könnte es natürlich hauch ein Problem mit dem Zyxel Switch sein.
Diesen habe ich soeben einmal über ein LAN-Kabel an mein Unifi-Netzwerk gehängt. So ich mit keinen der LAGG-Ports am Zyxel verbinde, bekomme ich über die UDM eine IP zugewiesen. Verbinde ich einen der LAGG-Ports, so bekomme ich keine IP zugewiesen.
Ich teste das jetzt auch nochmal mit einem Cisco Switch, um zu sehen, ob ich dort eine Verbindung über einen der LAGG-Ports bekomme.

[Traviso]

Mit dem Cisco Switch habe ich es jetzt zum Laufen bekommen, da ich dort als Switch IP-Adresse eine aus VLAN 10 eingestellt habe. Offensichtlich klappt die Verbindung über VLAN 10.
Anscheinend wird VLAN 1 nicht als untagged bereitgestellt bzw. über VLAN 1 bekomme ich keine IP zugewiesen.
Beim Cisco Switch kann man ja mehrere Device IPs aus verschiedenen VLANs ziehen.
Am Cisco Switch ist das Native VLAN als 1 eingestellt und ist auch im Uplink LAGG als untagged im Trunk konfiguriert, trotzdem funktioniert es nicht über VLAN 1.
Der Zyxel Switch scheint sich die IP aus VLAN 1 ziehen zu wollen und bekommt keine IP zugewiesen.

Habe ich da etwas in OPNSense übersehen ? Kann ich die VLANs als tagged/untagged auf dem Ausgangsport setzen ?

Fragen über Fragen....

[Tuxtom007]

Ich hab selber nur einen Unifi-Switch per LACP an der OPNSense hängen und da nur die VLAN drauf.

Ich habs gestern abend noch mal probiert und eine zweites LACP auf der Sense angelegt aber bekomme da nicht die VLAN's drauf, gleiche Problem wie bei dir.

Ich bin mir fast sicher, das dies mal ging, oder ich irre mich da gewaltig.

[Traviso]

Ich hab selber nur einen Unifi-Switch per LACP an der OPNSense hängen und da nur die VLAN drauf.

So mache ich es jetzt auch. Allerdings mit einem Zyxel L2-Switch.

Hast Du das Default VLAN in OPNSense explizit als VLAN definiert oder ist dieses, wie auch immer, schon inkl. zugehörigem DHCP-Server standardmäßig vorhanden.
Ich bin gerade am Überlegen, meine Einstellungen für das Default VLAN (bei mir VLAN 1) zu löschen, um zu sehen, ob der Zyxel Switch dann eine IP zugewiesen bekommt. Mit von mir explizit eingerichtetem VLAN 1 funktioniert das beim Zyxel Switch nicht.

[Patrick M. Hausen]

Ihr könnt problemlos auf Interface 1 (phys oder lagg) ein VLAN 10 anlegen und auf Interface 2 auch ein VLAN 10. Allerdings sind die dann intern nicht miteinander verbunden! OPNsense ist kein Switch sondern ein Router. Das sind einfach nur geroutete (Sub-) Interfaces mit Tag. Wenn ihr das simulieren wollt, was ein Switch von Haus aus tut, müsst ihr für jedes VLAN ein eigenes Bridge-Interface anlegen.

Beispiel, VLANs 10, 20, 30 auf lagg0 und lagg1:

Bridge 10 - members: VLAN 10 auf lagg0 und VLAN 10 auf lagg1
Bridge 20 - members: VLAN 20 auf lagg0 und VLAN 20 auf lagg1
Bridge 30 - members: VLAN 30 auf lagg0 und VLAN 30 auf lagg1

Dann natürlich nicht vergessen, dass dass Assignment zu LAN, OPT1, ... auf die Bridge-Interfaces zeigen muss, ebenso wie IP-Adressen etc. pp.

Und mit VLAN auf beiden lagg meine ich, da können je ein Interface beide dasselbe Tag haben. Natürlich müssen die unterschiedlich heißen, so vong Name her ...

Und wenn man sich das ganze mal vor Augen führt und den Aufwand, und die Tatsache, dass dieser Software-Switch/Bridge natürlich niemals Wire Speed schafft, dann empfiehlt es sich doch eher, die ganze Layer2-Geschichte mit richtigen Switches aufzubauen und die OPNsense da an einer Stelle per lagg dran zu hängen. Nennt man auch Router on a Stick.

HTH,
Patrick

[Tuxtom007]

Danke für die Info !

Ich hab den Bedarf für mein kleines Heimnetz jetzt nicht aber gut zu wissen trotzdem.

[Traviso]

@pmhausen: Vielen Dank für die Info, Patrick. So (mit externem Switch) habe ich das jetzt auch aufgesetzt.

Kann mir jetzt vielleicht noch jemand auf die Sprünge helfen, woher ich das untagged VLAN 1 aus OPNSense herbekomme, um es auf lagg1 zusammen mit den tagged VLAN 10, 20... auszugeben ?
Denn das ist das Einzige, was derzeit bei mir noch nicht funktioniert.

VG,

Christian

[Patrick M. Hausen]

Das ist das lagg Interface selbst. Du solltest auf OPNsense aber tagged und untagged nicht mischen. Sag dem Switch, er soll auf dem lagg + Trunk das VLAN 1 auch getagged liefern. Bei einem Cisco Switch könnte man dazu z.B. "switchport trunk native vlan 999" konfigurieren und das VLAN 999 einfach nirgends benutzen.

Wer native VLAN erfunden hat, gehört erschossen. Ein Port ist ein Trunk, dann sind alle Frames tagged, oder er ist ein Access Port, dann ist nichts tagged.

[Traviso]

Das ist das lagg Interface selbst. Du solltest auf OPNsense aber tagged und untagged nicht mischen. Sag dem Switch, er soll auf dem lagg + Trunk das VLAN 1 auch getagged liefern. Bei einem Cisco Switch könnte man dazu z.B. "switchport trunk native vlan 999" konfigurieren und das VLAN 999 einfach nirgends benutzen.

Ich habe jetzt auf dem lagg die statische IP-Adresse als 192.168.1.1 angegeben und den DHCP-Server für den entsprechenden Adressbereich konfiguriert.

Am Cisco Switch habe ich im LAGG Uplink VLAN 1 als tagged eingestellt.

Trotzdem bekomme ich keine IP-Adresse für VLAN 1 auf dem Cisco Switch.

Wobei ich in OPNSense jetzt kein explizites VLAN 1 definiert habe.

[Patrick M. Hausen]

Wenn du im Cisco das VLAN 1 als tagged anlegst, dann musst du natürlich auch auf der OPNsense ein VLAN 1 mit Tag 1 und dem lagg als Parent anlegen.

Das Interface laggX direkt nehmen würde man tun, um das VLAN untagged zu betreiben. Was ich aber nicht empfehle.

[Traviso]

Wenn du im Cisco das VLAN 1 als tagged anlegst, dann musst du natürlich auch auf der OPNsense ein VLAN 1 mit Tag 1 und dem lagg als Parent anlegen.

Danke für die Infos.

VLAN 1 mit Tag 1 hatte ich schon einmal, habe aber möglicherweise vergessen, am Cisco auf Untagged für VLAN 1 zu stellen. Das werde ich gleich nochmal testen.

Das Interface laggX direkt nehmen würde man tun, um das VLAN untagged zu betreiben. Was ich aber nicht empfehle.

Das hatte ich probiert, habe aber keine IP im Cisco für untagged VLAN 1 bekommen.