Das leidige Thema vLAN - OPNsense - Zyxel - Omada

[djcroman]

Hallo OPNsense Gemeinde,
bin bisher stiller Mitleser und versuche eigentlich immer alle Fragen durch Suche selbst zu lösen.
Aber beim Thema vLAN komme ich einfach an meine Grenzen und brauche nun mal Euer Schwarmwissen.
Ich betreibe eine OPNsense auf einem MiniPC. (2WAN & 1LAN)
Dazu habe ich einen L3 Switch von Zyxel und einen Omada Wlan AP.
Insgesamt habe ich 6 vLANs. Alles was direkt über LAN Ports läuft funktioniert soweit perfekt.
Dazu habe ich im Switch dem jeweiligen Port die notwendige PVID zugewiesen.

Code Select Expand

Server 1 --> LAN2 --> vLAN6 --> alle IPs im richtigen vLAN6
Server 2 --> LAN3 --> vLAN2 --> alle IPs im richtigen vLAN2
Server 3 --> LAN4 --> vLAN2 --> alle IPs im richtigen vLAN2
SSID "iOT" --> vLAN4 getagt im AP --> alle IPs im richtigen vLAN4
SSID "wifi" - vLAN1
            - vLAN2
            - vLAN3
            - vLAN4
            - vLAN5
Jetzt zu meinem Problem. Wie bekomme ich die verschiednen vLANs über den AP zum laufen?
Vermutlich muss ich dazu einen Radius Server einrichten. Aber wo? Auf dem Omada Controller, oder im Switch oder doch in der OPNsense?
Hier mal ein paar Screenshots meiner jetzigen Einstellungen.
Vielleicht kann mir einer mal auf die Sprünge helfen. Vielen vielen Danke

[Patrick M. Hausen]

Wie bekomme ich die verschiednen vLANs über den AP zum laufen?
Vermutlich muss ich dazu einen Radius Server einrichten.

Nein - wozu?

Du musst 6 verschiedene SSIDs also "WLANs" anlegen und die den einzelne VLANs zuordnen.

[djcroman]

Wie bekomme ich die verschiednen vLANs über den AP zum laufen?
Vermutlich muss ich dazu einen Radius Server einrichten.

Nein - wozu?

Du musst 6 verschiedene SSIDs also "WLANs" anlegen und die den einzelne VLANs zuordnen.

Ja, das ist der einfachste Weg. An dem Punkt war ich auch schon aber genau das wollte ich vermeiden. Zum Ersten um die Bandbreite je SSID nicht zu beschränken und zum zweiten, da ich über 100 Geräte in die neuen Wlans anmelden müsste.

[Patrick M. Hausen]

Wenn die Omada-APs VLAN per RADIUS mit ein und derselben SSID beherrschen, dann ist es egal, wo der RADIUS-Server läuft. Da, wo es für dich am bequemsten ist. Wie genau musst du in die Omada-Doku gucken, das ist dann kein OPNsense-Thema mehr.

[djcroman]

Wenn die Omada-APs VLAN per RADIUS mit ein und derselben SSID beherrschen, dann ist es egal, wo der RADIUS-Server läuft. Da, wo es für dich am bequemsten ist. Wie genau musst du in die Omada-Doku gucken, das ist dann kein OPNsense-Thema mehr.

Super, vielen Dank. Dann weiß ich, wo ich ansetzen muss. Dann mach ich mich mal ans Werk.

[Patrick M. Hausen]

Natürlich müssen alle APs zum Switch einen Trunk-Port haben, an dem alle VLANs tagged anliegen.

[JeGr]

Super, vielen Dank. Dann weiß ich, wo ich ansetzen muss. Dann mach ich mich mal ans Werk.

Stichwort ist Radius-based VLAN beim WiFi mit 802.1x Enterprise WPA. Dazu kann man auch den Freeradius der *sense ran ziehen und den nutzen. Da bei Enterprise WPA User/PW gebraucht wird statt PSK hängt man das VLAN im Radius einfach an den User - fertig. Gerät bekommt dann beim Einloggen mit der User/PW Kombi das VLAN wie definiert. Man hat dann eben die 2. Abhängigkeit bei WiFi, dass die Firewall mit Radius up&running sein muss, sonst gehen die Geräte nicht, aber wenn die FW nicht läuft hat man meist andere Probleme ;) Heißt aber auch: bei Update/Neustart der FW können Geräte aus dem WLAN fliegen. Daher überlegen, ob man das an der Stelle vertretbar auf der Firewall oder lieber extern haben möchte.

Cheers!