[UPDATE#3] OPNSense hinter FB 6490 Cable

Started by Thargor, September 22, 2017, 10:22:38 AM

Previous topic - Next topic
Print
Go Down Pages 1 ... 3 4 5 6 7
User actions
October 17, 2017, 06:43:03 PM #60
Hi

habe jetzt Schnittstelle nochmal komplett neu angelegt.
Anpingen lässt sich der AP jetzt einwandfrei, sowohl in OPNSense als auch vom LAN am PC her.

In der Leases Tabelle seh ich den auch, aber komm mit diesem verk**** Unifi Controller Tool nicht auf den AP drauf um den passend zu konfigurieren.

Auch per Putty bekomme ich Zugang wenn ich die IP des AP eingebe...





October 17, 2017, 06:48:32 PM #61
Was sagt denn das Firewall-Protokoll? Müsste ja eigentlich irgendwas drin stehen, wenn die was blockt.
Die Routingtabelle passt auch? Sprich eine Route vom LAN zum WLAN Netz und umgekehrt ist vorhanden?

Gruß,

Stephan
October 17, 2017, 07:12:05 PM #62
Wenn Du unter System -> Routen -> Alle meinst, dort ist nichts eingetragen.

October 17, 2017, 09:18:41 PM #63
Ok, mit routing unter freebsd kenn ich mich noch nicht so aus - aber das sollte eigentlich standardmäßig passen...?

Ich würd mir mal parallel bei Deinen Zugriffstest das Firewall log unter die Lupe nehmen, ob die Zugriffe von/zu dem AP ins Lan geblockt wird.

und evtl auch bei Deinen Regeln anstelle von dem Adressbereich mal den Alias von den Netzen nehmen (so wie Du's auch bei der Quelle gemacht hast)
October 17, 2017, 09:31:45 PM #64 Last Edit: October 17, 2017, 09:39:19 PM by Oxygen61
Hey,

statische Routen braucht man erst, wenn das Netzwerk/Subnetz oder die Netzwerke nicht directly connected mit der Firewall sind. Wenn dein AP für sein WLAN also ein komplett unterschiedliches, eigenständiges Subnetz aufbaut und quasi selber Router spielt und die Pakete dann nur noch zum Interface der Firewall schickt, dann brauchst du eine statische Route in genau das Netz, welches dein AP Router für die WLAN Clients nutzt. Dieses ist der OPNsense ja nicht bekannt.

Wenn dein WLAN Interface im Subnetz 192.168.10.0/24 ist und selber die .1 hat und der AP die .2 und alle Clients von mir aus per DHCP ab .100 aufwärts bis .254 IP's bekommen (nur als Beispiel), dann brauchst du keine statische Route bei deiner Firewall.

Einfacher gesagt: Alle Interface Subnetze der Firewall kennen sich standardmäßig untereinander, diese sind durch die Firewall quasi "direkt verbunden" und müssen nicht extra statisch nachgetragen werden. (Das kann man auch irgendwo in der OPNsense Routing Übersicht nachschauen, welche Routen grade aktiv sind.)

Falls du dir nicht sicher bist, kannst du mit Tracert/Traceroute entweder vom Client selber oder auch direkt von der Firewall aus die Hops überprüfen. Da wird dann meist schnell klar, woran es scheitert.

Außerdem wie schon Stephan vor mir sagte, wenn was geblockt wird steht es im Firewall Log. Da also mal nebenbei ein Auge drauf haben. Tools und Webschnittstellen von Hardwaregeräten nutzen meist sehr hohe Portnummern um andere Geräte und Dienste nicht zu stören.
Denk daran, dass du aber auch eine Regel aktiv haben musst, ganz am Ende der Regelkette, die auch das "Logging" aktiv hat und die geblockten Pakete ins Log schreibt. Ansonsten greift die Default Deny Any Regel und da weiß ich grade nicht aus dem Kopf ob die standardmäßig in das Log schreibt oder nicht. :)

Schöne Grüße
Oxy
October 18, 2017, 06:38:35 AM #65
Hi Oxy

ist ja alles gut und schön und Danke für deine/eure Hilfe.

Aber was ich nicht verstehe ist, dass, wenn auf der Sense beide Interface offen wie ein Scheunen Tor sind, also die ALLOW ANY ANY Regel aktiviert sind, warum es dann trotzdem nicht funktioniert?

Siehe Bilder auf Seite 4.

Sobald ich das Mi** Ding auf den LAN Switch hänge findet das Tool den AP...
October 18, 2017, 09:21:06 AM #66
ich würde mal darauf tippen https://help.ubnt.com/hc/en-us/articles/204976094-UniFi-What-protocol-does-the-controller-use-to-communicate-with-the-UAP-

QuoteBy default, AP "discovery" occurs via Layer-2 broadcast / multicast traffic in order for a "local" controller to see it. The AP beacons, controller replies.

October 18, 2017, 09:54:44 AM #67
Hi

ok... aber was heißt das für mein WLAN_AP Interface?

Was müsste ich jetzt da einstellen damit ich das von meinem LAN Interface darauf zugreifen und den AP einstellen kann?
October 18, 2017, 06:04:39 PM #68
Ich hab jetzt nicht alles hier gelesen  - sind ja mittlerweile 5 Seiten :D
Wenn Du jetzt einen PC an das Netzwerk hängst wo Dein AP drin ist - bekommt der dann eine IP-Adresse und hat der Zugriff auf das LAN Netzwerk?
October 18, 2017, 07:01:03 PM #69 Last Edit: October 18, 2017, 07:02:52 PM by Thargor
QuoteIch hab jetzt nicht alles hier gelesen  - sind ja mittlerweile 5 Seiten :D
Wenn Du jetzt einen PC an das Netzwerk hängst wo Dein AP drin ist - bekommt der dann eine IP-Adresse und hat der Zugriff auf das LAN Netzwerk?

Hi Stephan

habe das jetzt mal mit meinem Laptop probiert, das funktioniert einwandfrei. habe jetzt erstmal die Regel ALLOW ANY ANY auf diesem Interface aktiviert, für Testzwecke.

Komme auch auf die Sense rauf... sowie ins Internet, das funktioniert also
October 18, 2017, 07:25:23 PM #70
Das ist schon mal gut - aber geht auch der letzte , entscheidende Schritt: von Deinem Laptop auf ein Gerät das im anderen Netz hängt?
October 18, 2017, 07:41:52 PM #71 Last Edit: October 18, 2017, 10:11:32 PM by Thargor
Quote from: Stephan on October 18, 2017, 07:25:23 PM
Das ist schon mal gut - aber geht auch der letzte , entscheidende Schritt: von Deinem Laptop auf ein Gerät das im anderen Netz hängt?

So

hab jetzt den Laptop wieder im WLAN_AP drin, Komme auf den NAS Server und 192.168.0.99 vom 192.168.10.3 Netz einwandfrei drauf, auch auf meinen Switch bekomme ich Zugang.

Code Select

Model:       UAP-AC-Lite
Version:     3.4.14.3413
MAC Address: f0:9f:c2:d6:42:64
IP Address:  192.168.10.2
Hostname:    UBNT
Uptime:      94764 seconds

Status:      Unable to resolve (http://unifi:8080/inform)


Ich werd morgen mal einen Switch am WLAN_AP Interface hängen und dann dort mit dem AP und dem Laptop mal die Unifi Controller Software testen.
Irgendwas passt dem Tool nicht.... im Chrome ist die Zugriff Adresse auch nicht sicher: https://localhost:8443/managed klappt nicht.... 
October 20, 2017, 07:44:06 AM #72
Moin Moin

unglaublich aber wahr.... der AP ist nun mit dem WLAN_AP Interface der OPNSense verbunden und läuft einwandfrei.

Aber:  um diesen einzurichten muss man sich im gleichen Subnetz befinden wie der AP, anders funktioniert das nicht. Ich kann nicht von dem LAN Netz über den UNIFI Controller auf das WLAN_AP Netz zugreifen....

Nichtsdestotrotz ist das ein Super AP mit ordentlicher Leistung.

Jetzt kann ich endlich wieder alles einrichten und zumachen auf der Sense.
October 20, 2017, 11:31:12 AM #73
Hmmm, kann es sein das du per DHCP einen Domainnamen übergeben kannst (solltest), der dem AP dann für den Controler mitgegeben wird?
Status:      Unable to resolve (http://unifi:8080/inform)

sollte zu http://unifi.mydomain.local:8080/inform werden, dann kannst du auf der OPNsense im DNS Resolver einen lokalen Eintrag dafür machen und auf die IP des Controllers im anderen Netz verweisen lassen.
Alternativ wäre auch die "Domain search list" im DHCP möglich, dann sollte das unifi automatisch auch mit der Search List aufgelöst werden.

Vielleicht hilft dir sonst auch https://help.ubnt.com/hc/en-us/articles/204909754-UniFi-Device-Adoption-Methods-for-Remote-UniFi-Controllers
October 20, 2017, 12:10:29 PM #74
Hi

ja das könnte gut sein. Müsste mir das mal heute genauer anschauen.

Code Select


Model:       UAP-AC-Lite
Version:     3.4.14.3413
MAC Address: f0:9f:c2:d6:42:64
IP Address:  192.168.10.2
Hostname:    UBNT
Uptime:      94764 seconds

Status:      ... (http://192.168.10.5/inform)

steht dann da wenn ich via dem Laptop im WLAN_AP bin und ich per PuttY via SSH auf den AP zugreife.

Print
Go Up Pages 1 ... 3 4 5 6 7
User actions