(GELÖST) Unifi AP -> VLAN -> WLAN/LAN Bridge

[you]

Hi,

ich habe an der Sense noch einen Port frei. Meine Überlegung war, an diesen den Ubiquiti AP zu stecken. 3 VLAN für VLAN1: ADMIN, VLAN2: WLAN-LAN, VLAN3: WLAN-Gäste.

Wenn ich nun die VLAN2 und LAN zu einer Bridge mache und VLAN2 keine eigene IP gebe, bleiben dann die Einstellungen für LAN (inkl. DHCP) gültig für beide Mitglieder der Bridge oder muss ich die Einstellungen von LAN auf die Bridge "hochziehen"?

Je mehr ich lese, umso konfuser werde ich ... und ich kann grad nicht wirklich experimentieren.

Merci

[theq86]

Warum willst du denn bridgen? Ich würde 3 VLAN Interfaces erstellen (alle am selben realen eth device) und dort den AP anschließen. Die sense kümmert sich dann automatisch um das Routing.

Bridging brauchst du nur, wenn sich Adressbereiche überlappen. Da aber jedes VLAN ne andere Netzadresse haben sollte, sehe ich hier keine Notwendigkeit dafür.

edit:
sehe gerade eins der Drahtlos-Netze soll direkt ins LAN gehen. Dann stimmt es, brauchst du Bridging.

Andere Möglichkeit wäre, den AP direkt an den VLAN-fähigen Switch anzuschließen. Somit umgehst du die Notwendigkeit des Bridgings auf der Sense und müsstest nur 2 zusätzliche VLANs anlegen.

[you]

Danke Dir nasq.

Ja ... die Familien-WLAN-Geräte sollen ins LAN. Ich habe SATIP und andere Geräte, die leider nicht über Subnetzgrenzen hinweg funktionieren. Und wenn ich den iPads das TV entziehe, stehe ich daheim im Sturm :D

Was mir nicht klar ist, ist, was passiert, wenn ich bridge. Gelesen habe ich viel, allein ist es nicht erhellend gewesen.

Ich habe aktuell alles auf LAN (dhcp, rules) eingerichtet. Ist das dann auch für die Bridge wirksam, wenn ich die VLAN-Schnittstelle ohne eigene IP Adresse anlege? Oder muss ich die Einstellungen für die Bridge alle neu vornehmen?

Cheers

[Mks]

Andere Möglichkeit wäre, den AP direkt an den VLAN-fähigen Switch anzuschließen. Somit umgehst du die Notwendigkeit des Bridgings auf der Sense und müsstest nur 2 zusätzliche VLANs anlegen.

Würde ich auch so empfehlen und die Bridge vermeiden.

lg

[theq86]

Was mir nicht klar ist, ist, was passiert, wenn ich bridge. Gelesen habe ich viel, allein ist es nicht erhellend gewesen.

Stell dir vor, du hast 2 Netzwerkkarten: eth0 und eth1

Diese sind erstmal völlig unabhängig von einander und der Traffic an diesen Karten ist auch getrennt.

Es gibt nun 2 Möglichkeiten, eine Verbindung zwischen diesen Netzwerkkarten zu realisieren, beide funktionieren auf Betriebssystem (Software)-Ebene.

- Durch Forwarding:
Pakete werden von eth0 auf dem OS "zwischengespeichert" und von diesem Zwischenspeicher an eth1 weitergeleitet. Dazwischen kann auch NAT betrieben werden.

- Durch Bridging:
Bridging sorgt kurz gefasst dafür, dass eth0 und eth1 zu einer einzigen Netzwerkkarte "zusammengefasst" werden. Das heißt, dass ab dem Zeitpukt auch die komplette Bridge als "LAN-Interface" gelten muss.

Beispiel bei dir:
Bridge zwischen WLAN(Familie) und LAN: Die Bridge, die du erstellst, stellt dann dein neues LAN dar und für diesen Bridge-Adapter musst du auch alle IP Konfigurationen tätigen. Die Konfiguration von LAN wird damit obsolet. Du musst also auch deine IP und DHCP Konfiguration auf das Bridge-Interface umziehen.

Wie gesagt, das alles klappt, aber wäre nicht mein favorisierter Aufbau. Wenn der AP am Switch hängt ist er direkt mit dem "Haupt"-Netzwerk verbunden. Wenn du den Switchport nun als VLAN Trunkport konfigurierst kannst du auch die anderen VLANS über den AP benutzen.

[monstermania]

Ja ... die Familien-WLAN-Geräte sollen ins LAN. Ich habe SATIP und andere Geräte, die leider nicht über Subnetzgrenzen hinweg funktionieren. Und wenn ich den iPads das TV entziehe, stehe ich daheim im Sturm :D

Kenn ich. Frauen sind ja so etwas von verständnislos, wenn mal etwas nicht sofort funktioniert!  :D :D :D

Oder muss ich die Einstellungen für die Bridge alle neu vornehmen?

Ich habe zu Hause eine Bridge konfiguriert.
Alle Einstellungen (DHCP, FW-Regeln) musst Du auf die Bridge umstellen. Die per Bridge verbundenen Schnittstellen haben keine eigenen Einstellungen mehr.
Ist aber nicht weiter schlimm, da Du z.B. die FW-Regeln ja einfach vom LAN-Interface auf die Bridge kopieren kannst.
Ach ja, ich habe auch die in diesem Artikel genannten Einstellungen für die Bridge vorgenommen:
https://www.infotechwerx.com/blog/Creating-a-Simple-pfSense-Bridge

Gruß
Dirk

[you]

Danke Euch allen. Damit habe ich genug Material in Ruhe zu testen, wenn keiner im Haus ist :)

[Kruemel]

Um mal kurz mein Setup darzustellen, weil ich auch die Ubiquiti UAPs benutze:

eth0 => LAN
eth1 => WAN
eth2 => VLAN Trunk mit VLANs für WLAN intern, WLAN für IoT Geräte und Gäste WLAN

Jedes VLAN ist ein eigenes Netz, das Routing übernimmt die Sense. Das schöne dabei ist, dass ich nicht die Ubiquiti UAPs für das "Gäste WLAN" benutzen muss, sondern der Traffic getaggt zur Sense geschickt wird, die auch dann das Firewalling macht. Vom LAN in die jeweiligen VLANs ist alles frei, d.h. ich erreiche z.B. den Sat Receiver der im IoT Netz steht ohne Probleme aus dem LAN, aber andersherum kommt der Receiver nicht in mein LAN - so erhöhe ich meine  Sicherheit etwas.

VG
Krümel

[JeGr]

Sieht bei mir ähnlich aus, ich habe im Haus auch seit kurzem einen Unifi AC-LR und konfiguriere ihn mit einer SSID + Radius based VLANs, was _enorm_ schick ist!

Unifi AP hängt am Switch an einem Trunk Port mit allen VLANs. Insgesamt gibts auf der Sense diese VLANs:

270: Storage (nicht am AP angelegt)
271: LAN (PCs + Storage Frontends)
272: WLAN (WiFi Geräte)
273: Media (Media Kram, TVs, Konsolen, FireTV/Alexa/Chromecast, whatever)
279: MGMT (alle Config/Mgmt Ports von Switchen, Unifi AP Controller etc.)
123: Gäste

Auf der Sense läuft Freeradius, Unifi AP nutzt Radius based VLANs durch Anmeldung an der Sense. Angelegte User im Radius können sich so via 802.1x Enterprise AES am WLAN anmelden mit User/PW und bekommen darüber dann ihr VLAN Tag. Mein User bspw. kommt im WLAN Netz raus, der User von Kids und Freundin taggt automatisch ins Gäste VLAN (darf voll ins Internet aber nicht in irgendein anderes VLAN). Nur für Media Geräte hab ich noch eine zweite SSID mit festem Passwort direkt auf VLAN 273 getaggt, da solcher Streaming Kram leider kein Enterprise WLAN unterstützen. Damit kann man aber direkt über die Radius Anmeldung schnell steuern, in welchem VLAN ein Client auftaucht OHNE dass man den manuell anfassen muss und kann direkt einen User aussperren mit allen seinen Clients :)

Gruß

[theq86]

Kann man durchaus so machen. Ich würde jedoch eine feste Zuordnung von SSID und VLAN bevorzugen und nicht userbasierte Tags vergeben. Bei einem Multi-SSID fähigen Gerät ja auch kein Problem.

Wobei es in deinem Fall aufgrund der Fülle an VLANs dann doch Sinn machen könnte.

[JeGr]

> Bei einem Multi-SSID fähigen Gerät ja auch kein Problem.

Problem: jein.
Sinnvoll: nein

Warum? Problematisch ist es, wenn man mehr als 4 VLANs nutzt, da die Unify APs auf 4 SSIDs/Radio begrenzt sind. Das ist eine harte Begrenzung die man nicht umgehen kann.
Sinnvoll: ebenfalls IMHO nein, denn: damit spart man sich (so alle Clients enterprise-aes können) alle SSIDs bis auf eine. Da jede zusätzliche SSID die verfügbare Bandbreite nach unten begrenzt, ist das einsparen von unnötigen SSIDs auf jeden Fall eine Hilfe bzw. ein Performance Aspekt.

http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html
https://7signal.com/controlling-beacons-boosts-wi-fi-performance/

Daher wird es aus sinnvollen Gründen eh nicht empfohlen mehr als 2-3 SSIDs zu nutzen. Und jede, die verzichtbar ist, hilft den Beacon Spam aus der Nachbarschaft zu minimieren. Gerade die 2er Bänder sind eh inzwischen geflutet mit Spam und leider vielen freundlichen Idioten, die es gut meinen, aber keine Ahnung von WiFi haben und ihre APs dann auf Kanäle wie 2,3,4,8,10 setzen *seufz* :)

[theq86]

Momentan habe ich 2 SSIDs. Eine als Zugang über WPA Personal mittels PSK. Ich habe leider Geräte, die Enterprise nicht beherrschen, aber deren Abwesenheit den Hausfrieden gefährdet.

Eine zweite SSID ist für alle Geräte, die WPA Enterprise unterstützen und direkt ins LAN sollen. Dafür läuft auf meiner Sense auch der FreeRADIUS.

Die PSK SSID geht über ein VLAN das ich extra für alle "normalen" WiFi Clients angelegt habe. Da sind auch die E.T. nach haus telefonieren Features blockiert.

Die EAP SSID wird nich getagged und geht somit direkt ins LAN. Momentan sind da die Laptops und mein Handy drin.

[JeGr]

@nasq: Dito, wegen diversen Streaming Büchsen, die kein Enterprise können :)
Und auf der EAP Seite kann ich via User dann schnell ein Gerät entweder ins echte LAN oder WLAN Netz, oder auch mal ins Gäste Netz hängen. Sehr praktikabel :)

[chemlud]

Und auf der EAP Seite kann ich via User dann schnell ein Gerät entweder ins echte LAN oder WLAN Netz, oder auch mal ins Gäste Netz hängen. Sehr praktikabel :)

Bitte, wie? Kannst du das in 1-2 Sätzen nochmal verständlich machen, bitte?

[theq86]

Im Prinzip läuft das so:

Du aktivierst VLANs für den FreeRadius (Bild 1)
Und du weist dem Radius-Nutzer eine VLAN-ID zu (Bild 2)

Nun, je nach verwendeter Hardware das Feature am AP aktivieren (Bild 3: Beispiel UniFi Controller)

Jetzt ist die VLAN-ID, die ein drahtloser User bekommt abhängig von der im RADIUS-Server getätigten Einstellung.

Sehr flexibel.