[Gelöst] DHCP zwischen OPNSense und Ubiquiti (VLANs) funktioniert nicht

Started by RicAtiC, July 24, 2018, 12:56:46 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
August 03, 2018, 08:31:21 PM #15
Hi Wayne,

funzt tatsächlich so ?! Hab ich ja noch nie gesehen. Warum kann ich nicht gleich per SSH entsprechende Befehle absetzen und muss per Telnet noch auf die 127.0.0.1 (loopback)?! Initialverbindung quasi absichern, Befehle werden aber "nur" über Telnet verstanden oder wie?... naja, wie auch immer, Hauptsache es geht :)

Die Befehle kennt man dann ja von IOS (Cisco OS) oder Arruba oder was auch immer.

Also hier der Output:

Code Select

interface 0/1
description 'Uplink Firewall'
ip dhcp snooping trust
vlan participation include 10,30,50
vlan tagging 10,30,50
lldp transmit
lldp receive
lldp transmit-tlv port-desc
lldp transmit-tlv sys-name
lldp transmit-tlv sys-desc
lldp transmit-tlv sys-cap
lldp med
exit



Code Select

interface 0/2
description 'Laptop'
ip dhcp snooping trust
vlan pvid 10
vlan participation exclude 1,30,50
vlan participation include 10
lldp transmit
lldp receive
lldp transmit-tlv port-desc
lldp transmit-tlv sys-name
lldp transmit-tlv sys-desc
lldp transmit-tlv sys-cap
lldp med
exit



Code Select

(UBNT) #show vlan brief

VLAN ID VLAN Name                        VLAN Type
------- -------------------------------- -------------------
1       default                           Default
10      VLAN0010                          Static
30      VLAN0030                          Static
50      VLAN0050                          Static



Code Select

                                         Link    Physical    Physical    Media                                                                                            Flow Control
Port       Name                          State   Mode        Status      Type                                                                                             Status
---------  ----------------------------  ------  ----------  ----------  -------                                                                             -----------  ------------
0/1        Uplink Firewall               Up      Auto        1000 Full   10/100/                                                                             1000-BaseTx  Inactive
0/2        Laptop                        Down    Auto                    10/100/                                                                             1000-BaseTx  Inactive


Code Select

(UBNT) #show vlan port 0/1

          Port       Port                 Ingress    Ingress
          VLAN ID    VLAN ID  Acceptable  Filtering  Filtering         Default
Interface Configured Current  Frame Types Configured Current    GVRP   Priority
--------- ---------- -------- ----------- ---------- --------- ------- --------
0/1       1          1        Admit All   Disable    Disable   Disable     0

Protected Port .............................. False
Switchport mode: General Mode
Operating parameters:
Port 0/1 is member in:


VLAN    Name                              Egress rule   Type
----    --------------------------------- -----------   --------
1       default                           Untagged      Default
10      VLAN0010                          Tagged        Static
30      VLAN0030                          Tagged        Static
50      VLAN0050                          Tagged        Static

Static configuration:

Port 0/1 is statically configured to:


VLAN    Name                              Egress rule
----    --------------------------------- -----------
10      VLAN0010                          Tagged
30      VLAN0030                          Tagged
50      VLAN0050                          Tagged

Forbidden VLANS:

VLAN    Name
----    ---------------------------------




Code Select

(UBNT) #show vlan port 0/2

          Port       Port                 Ingress    Ingress
          VLAN ID    VLAN ID  Acceptable  Filtering  Filtering         Default
Interface Configured Current  Frame Types Configured Current    GVRP   Priority
--------- ---------- -------- ----------- ---------- --------- ------- --------
0/2       10         10       Admit All   Disable    Disable   Disable     0

Protected Port .............................. False
Switchport mode: General Mode
Operating parameters:
Port 0/2 is member in:


VLAN    Name                              Egress rule   Type
----    --------------------------------- -----------   --------
10      VLAN0010                          Untagged      Static

Static configuration:

Port 0/2 is statically configured to:


VLAN    Name                              Egress rule
----    --------------------------------- -----------
10      VLAN0010                          Untagged

Forbidden VLANS:

VLAN    Name
----    ---------------------------------
1       default
30      VLAN0030
50      VLAN0050




Zum Default-VLAN sei noch gesagt, dass ich das nicht extra angelegt habe. Ich habe lediglich das VLAN in "Default" umgenannt. Es heißt zu Beginn LAN. Allerdings möchte ich das LAN in einem separaten VLAN haben und alles was unbekannt ins Netz kommt soll im Default landen, vielleicht wir`s dadurch deutlicher.

Gruß
Ric

August 07, 2018, 09:16:28 AM #16
Hi,

erstmal schön zu sehen, dass man doch noch an die CLI kann :-)
Check mal bitte abei Ubiquity selbst, ob du auf dem aktuellsten Release der Firmware bist. Wenn nicht, erstmal updaten.

https://www.ubnt.com/download/unifi-switching-routing

Ich hatte anfangs auch meine Startschwierigkeiten mit Ubiquity, bis ich festgestellt habe, dass sie sowohl den "Cisco-Dialekt" als auch ihre komische eigene Syntax schlucken. Mein Tipp: Lass diesen ganzen Ubiquity-spezifischen Kram weg und schreib das so, wie du das auch von IOs kennst. Ich glaube mittlerweile sogar, dass die das in den aktuelleren Releases eh nicht mehr weiterentwickeln. Egal. Wie auch immer. Sie erstmal zu, dass du deine beiden Ports auf eine saubere Initial-Config bekommst.
Und hau mal diesen ganzen LLDP-Kram raus.

Bis auf die "description" solltest du über den "enable" Mode erstmal alles mit "no vlan tagging..." usw. deaktivieren. Probier anschliessend mal folgendes auf Port 0/1:

Code Select
interface 0/1
description 'Uplink Firewall'
ip dhcp snooping trust
switchport mode trunk
switchport trunk allowed vlan 10,30,50
exit

Und auf Port 0/2 das hier:

Code Select
interface 0/2
description 'Laptop'
spanning-tree edgeport
spanning-tree guard root
spanning-tree tcnguard
switchport mode access
switchport access vlan 10
exit

Deine Frage bez. Telnet verstehe ich nicht ganz. Das macht vorne und hinten keinen Sinn, dass du zuerst per SSH auf das Switch musst und dann mit Telnet weitermachen ?

Wenn du schonmal dabei bist, schau doch mal mit "nmap -sS -p- DEINE_SWITCH_IP" was alles an Services aktiv ist. Telnet und so einen Schrott würde ich direkt mal deaktivieren. Ist mir sowieso ein Rätsel, warum das jeder Hersteller per default erstmal an hat...

Port 0/2 musst du übrigens nicht als "dhcp snooting trust" definieren. Dort werden ja keine DHCP-Offer versendet, sondern nur empfangen.

Probier das mal. Das sollte funktionieren, wenn du auf einem aktuellen Release bist.

MFG
Wayne



August 07, 2018, 09:51:44 PM #17 Last Edit: August 07, 2018, 09:59:15 PM by RicAtiC
Hi Wayne,

irgendwie weiß ich ja auch nicht, aber allmählich glaube ich, schmeiß ich den Krempel einfach in die Ecke und lass es sein. Frisst einen Haufen Zeit und funktioniert nicht.

Switchupdate habe ich gemacht. Danach die Config entsprechend angepasst und schon kam ich nichtmehr auf die Firewall?!?! So bekam ich plötzlich garkein DHCP Lease mehr *häääääää*

Hier die Configs:

Code Select
(UBNT) (Interface 0/2)#do show running-config interface 0/1

!Current Configuration:
!
interface  0/1
description 'Uplink Firewall'
ip dhcp snooping trust
switchport mode trunk
switchport trunk allowed vlan 10,30,50
exit

Code Select
(UBNT) (Interface 0/2)#do show running-config interface 0/2

!Current Configuration:
!
interface  0/2
description 'Laptop'
spanning-tree edgeport
switchport mode access
switchport access vlan 10
vlan participation auto 1
exit

Die Zeile "vlan participation auto 1" bekomme ich nicht weg. Normalerweise liegt auf dem Port ein "exclude" oder "include" und mit "auto" bekomme ich die Zweile weg, allerdings nicht bei VLAN 1.

spanning-tree guard root und spanning-tree tcnguard bietet mir der Switch darüber hinaus garnicht.

Es geht:

Code Select
(UBNT) (Interface 0/2)#spanning-tree ?

auto-edge                Configure a port as an auto edge .
cost                     Specify external pathcost for port used by a MST
                         instance.
edgeport                 Configure a port as an edge port.
mst                      Configure a multiple spanning tree instance.
port                     Specify spanning tree settings for a port.

Was die Ports angeht (nmap), so ist nur 22 offen:

Code Select
PORT   STATE SERVICE

22/tcp open  ssh

MAC Address: FC:EC:XX:XX:XX:XX (Ubiquiti Networks)

Wie gesagt, ohne ein telnet auf die 127.0.0.1 komme ich nicht weiter. Was weiß ich.... So stehts ja auch auf der Seite aus Deinem Link.

Nach einem Neustart des Switches ist im Übrigen auch die Config wieder weg! Da hilft auch nicht "write mem". Hab das auch schon mal irgendwo gelesen, dass der Controller das scheinbar immer wieder überpinselt.

Es is zum Mäusemelken und allmählich verlässt mich echt die Motivation....

Wie hast Du denn auf der FW die VLANs konfiguriert?

Danke Dir wie immer für die Hilfe!

Gruß
Ric
August 08, 2018, 10:56:03 AM #18
Hey,
nur ganz kurz, da ich gerade wenig Zeit habe:
Hau mal deine "vlan participation " mit raus. Nicht den Cisco-Like-Stuff mit dem von Ubiquity mixen.
Ich schreibe dir später mal was ausführlicher.
Check mal bitte, ob du vom Switch selbst her noch auf die FW pingen kannst und umgekehrt.
Dann ist dein trunk in Ordnung und das Problem liegt am Access-Port.
Schau dir auch mal den Arp-Cache auf beiden Geräten an.
MFG
Wayne
October 28, 2018, 08:04:27 PM #19
Der Thread kann zu.

Hab nach längerer "Frustphase" noch einmal von vorne angefangen.

Jetzt funzt das....

Scheint als wäre im Hintergrund irgend etwas böse verbogen gewesen.

Habe natürlich jetzt andere Probleme, aber dafür mach ich einen eigenen, neuen Thread auf.

So wirklich Plug & Play is das nicht mit OPNSense, he?!

October 28, 2018, 08:36:04 PM #20
QuoteSo wirklich Plug & Play is das nicht mit OPNSense, he?!

Wer hat behauptet dass OPNSense Plug & Play ist, speziell bei einer VLAN Konfig?
October 28, 2018, 08:42:05 PM #21
Quote from: Mks on October 28, 2018, 08:36:04 PM
QuoteSo wirklich Plug & Play is das nicht mit OPNSense, he?!

Wer hat behauptet dass OPNSense Plug & Play ist, speziell bei einer VLAN Konfig?
Genau diese Antwort hab ich erwartet. So war es auch nicht gemeint...

Ich erhoffe mir einfach das die Dinge funktionieren wie angegeben. Mehr nicht.

Das sowas nicht mit einfachem anschließen funzt is mir klar.


Gesendet von meinem FRD-L09 mit Tapatalk

October 29, 2018, 09:43:39 AM #22
> Ich erhoffe mir einfach das die Dinge funktionieren wie angegeben. Mehr nicht.

Was funktioniert denn nicht wie (und vor allem wo) angegeben?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
October 29, 2018, 10:12:09 AM #23
Hey,

also ich kann dir bestätigen, dass die Dinge "wie angegeben funktionieren". Sogar ziemlich gut und meiner persönlichen Meinung nach weitaus besser als bei vielen kommerziellen Produkten :-)
Du hättest das ganze auch komplettt von Cisco o.ä. kaufen können. Dann hättest du eine katastrophal zu konfigurierende ASA und die gleichen Probleme. Nur das du ganze Stange mehr Kohle losgeworden wärst.
Bei mir ist im ersten Anlauf mit den VLANs auch nicht alles 100%ig rund gelaufen, das lag aber nicht an der OPN. Daher habe ich dich mehrfach auf die beiden Syntax-Variationen bei Ubiquity aufmerksam gemacht.

MFG Wayne


October 29, 2018, 09:00:23 PM #24
Quote from: Wayne Train on October 29, 2018, 10:12:09 AM
Hey,

also ich kann dir bestätigen, dass die Dinge "wie angegeben funktionieren". Sogar ziemlich gut und meiner persönlichen Meinung nach weitaus besser als bei vielen kommerziellen Produkten :-)
Du hättest das ganze auch komplettt von Cisco o.ä. kaufen können. Dann hättest du eine katastrophal zu konfigurierende ASA und die gleichen Probleme. Nur das du ganze Stange mehr Kohle losgeworden wärst.
Bei mir ist im ersten Anlauf mit den VLANs auch nicht alles 100%ig rund gelaufen, das lag aber nicht an der OPN. Daher habe ich dich mehrfach auf die beiden Syntax-Variationen bei Ubiquity aufmerksam gemacht.

MFG Wayne
All right.
October 30, 2018, 04:11:36 PM #25
Quote from: JeGr on October 29, 2018, 09:43:39 AM
> Ich erhoffe mir einfach das die Dinge funktionieren wie angegeben. Mehr nicht.

Was funktioniert denn nicht wie (und vor allem wo) angegeben?

--> Siehe hier: https://forum.opnsense.org/index.php?topic=10078.0

Thread kann dann m.E.n. zu.

Gruß
Ric
Print
Go Up Pages 1 2
User actions