Trunk zwischen OPNSense und Unifi-XG16 (VLANs tagged/untagged)

[white_rabbit]

Hallo.
Ich möchte einen Trunk zwischen unserer OPNSense (noch auf 25.1.12) und einem Unifi-US-16-XG (10 GBit Ports) neu konfigurieren, weil ich glaube, dass da bei uns ein Konfigurationsfehler vorliegt.

Im Moment ist es so, dass ich auf der OPNsense-Seite unter den Zuweisungen für alle VLANs, die auf der OPNSense ankommen sollen, eine Schnittstelle eingerichtet habe, die immer so lautet:

Code Select Expand

ax0_vlan<xy> Nach meinem Verständnis werden diese VLANs damit tagged über den Trunk übertragen, richtig?

"Aus Gründen" (leider weiß ich nicht mehr warum) gibt es die Ausnahme für VLAN1. Dort haben wir lediglich die Zuweisung

Code Select Expand

ax0 gemacht (also ganz ohne VLAN). Ist es richtig, dass damit über diese Schnittstelle VLAN1 (automatisch?) untagged übertragen wird? Ich denke, dass das ungünstig bzw sogar falsch ist, da z.B. bei den Statistiken zu den Schnittstellen viel zu viel Traffic über VLAN1 angezeigt wird, der da eigentlich gar nicht hingehört.

Wenn man es richtig/vernünftig machen will, muss offensichtlich auf beiden Seiten die gleiche Konfiguration eingestellt werden und hier kommen meine Fragen ins Spiel: Reicht es aus, wenn man auch für vlan1 die Zuordnung 

Code Select Expand

ax0_vlan1  erstellt?
Auf der Unifi-Seite sieht das ganze so aus wie im angehängten Screenshot zu sehen. Ich habe dort schon mal vorab ein Profil erzeugt, bei dem alle VLANs tagged übertragen werden sollen. Was ich aber nicht weiß: Wie ist es mit den Optionen ganz unten? Welche davon sind notwendig und welche nicht?

Leider weiß ich nicht mehr, warum wir das damals zunächst anders eingerichtet hatten. Ist es möglich, dass eine ältere Version des Unifi-Controllers immer ein VLAN untagged mit übertragen will?
Über kurze Hilfe würde ich mich freuen.
Vielen Dank.

[white_rabbit]

-deleted-

[meyergru]

Unifi interpretiert - wie viele Hersteller - implizit VLAN 1 "intern" als "untagged". Deswegen kann / sollte man bei Unifi das VLAN 1 nicht nutzen und nur VLANs 2-4095 verwenden.

Allerdings kann Unifi neben tagged VLANs auf Trunk Ports auch ein untagged Netzwerk nutzen, es heißt meist "Default". FreeBSD kommt mit diesem Mix nicht so gut klar, es gibt ein paar Probleme - darunter das von Dir beobachtete, dass das untagged "Parent"-Interface ax0 den Traffic aller VLANs mitzählt.

Aufgrund der Tatsache, dass das Anlernen von Unifi-Geräten über "untagged" deutlich einfacher geht, sollte man es dennoch "mixed", d.h. mit tagged und untagged VLANs, betreiben (ist jedenfalls meine Meinung und ich mache es so).

Was bei Dir offenbar schiefgeht, ist, dass dass "Native VLAN/Network" auf "None" steht - somit wird der untagged traffic gar nicht durchgelassen. Du müsstest das auf "Default" stellen, damit der Verkehr von ax0 durchkommt.

[Patrick M. Hausen]

Oder wenn man einen Port an der Sense frei hat, dann steckt man da das VLAN1 untagged vom Switch rein. Mache ich hier im Büro.

[white_rabbit]

Was bei Dir offenbar schiefgeht, ist, dass dass "Native VLAN/Network" auf "None" steht - somit wird der untagged traffic gar nicht durchgelassen. Du müsstest das auf "Default" stellen, damit der Verkehr von ax0 durchkommt.

Danke für die Erklärung. Also im Moment funktioniert es schon ... ich habe nicht die laufende Konfiguration des Unifi-Switches sondern die geplante Konfig geschickt. Im Moment ist es so eingestellt wie von Dir beschrieben: VLAN1 ist untagged und alles andere kommt tagged mit. Wenn nur die falsche Statistik auf der OPNSense ein Problem ist, kann ich es vielleicht ja doch so lassen wie es ist (Stichwort "Never touch a running system!")?? Falls es mit diesem Aufbau aber noch weitere Probleme auf der OPNSense gibt (???), wäre eine Änderung vielleicht doch ganz gut?!

Wir sind irgendwann mal mit dem Management-Netz in das VLAN.1 umgezogen. Vermutlich war der Grund genau wie von Dir beschriben: "Nur" da wurden die Accesspoints ohne größere Klimmzüge sofort gefunden?!?

Oder wenn man einen Port an der Sense frei hat, dann steckt man da das VLAN1 untagged vom Switch rein. Mache ich hier im Büro.

Das geht hier leider nicht, da sich zwischen dem Unifi-Switch und der OPNSense 6 Etagen befinden und "nur" eine 10GBit-Glasfaser-Leitung als direkte Verbindung zwischen den beiden zur Verfügung steht.

[meyergru]

Bei mir ist es so ähnlich, ich will auch nur einen 10 Gbit-Link zwischen OpnSense und Switch.

Man kann das Unifi-Management-LAN schon auf ein VLAN konfigurieren und dann den Network Controller auch auf das VLAN verlegen. Die Unifi-Geräte können das - das Umschalten ist allerdings ein bisschen kitzlig, weil man erst die Geräte und dann den Controller umschalten muss. Mit einer VM als Controller habe ich das schon mal gemacht - zuerst falsch herum, was ein großer Spaß war, weil ich nicht bedacht hatte, dass ich zunächst nichts mehr ändern konnte, als der Controller erstmal weg war.

Problematisch wird es dann nur beim Anlernen von neuen Unifi-Geräten - die lauschen anfangs nur auf "untagged". Was man tun kann, ist, einen Switch-Ports als Access-Port auf das Management-VLAN zu konfigurieren und neue Unifi-Geräte an diesem Port anzulernen.

Damit hätte man nur noch getaggte VLANs.

[Patrick M. Hausen]

Wir sind irgendwann mal mit dem Management-Netz in das VLAN.1 umgezogen. Vermutlich war der Grund genau wie von Dir beschriben: "Nur" da wurden die Accesspoints ohne größere Klimmzüge sofort gefunden?!?

Das ist so richtig und der Grund, weshalb man das in der ganzen Unifi-Infrastruktur auch haben will.

Es sollte aber möglich sein, nur für den Port zur OPNsense auch das VLAN 1 auf "tagged" zu stellen. Evtl. musst du dazu ein Dummy-VLAN (ich nehme gerne 99 oder 999 oder ...) anlegen, das du dann untagged konfigurierst, weil der Switch ohne PVID nicht mag. Da das dann nirgend wo anders verwendet wird, richtet das keinen Schaden an.