VLAN-WLAN Segmentierung im Heimnetz

Es gibt 22 Antworten in diesem Thema, welches 7.568 mal aufgerufen wurde. Der letzte Beitrag () ist von KayThe95.

    Hallo zusammen,


    ich bin neu hier und erhoffe mir ein paar Ratschläge bzw. um eine kleine Hinführung zu meinem derzeitigen Problem.


    Hardware:

    • Ubiquiti U6 LR Access Point
    • Controller auf Ubuntu-Server VM -> Host: Unraid
    • Switch: QNAP QSW-M400C 10GBit
    • FW: OPNsense Hardware Firewall


    Mein Problem ist, dass ich es leider nicht hinbekomme eine funktionierende VLAN-Konfiguration im meinem Netzwerk zustande zu bringen.


    Setup soll so aussehen:

    • VLAN200 - Servernetz
    • VLAN210 - Clients (WLAN, LAN)
    • VLAN220 - Smarthome (WLAN, LAN)
    • VLAN230 - Gäste


    Strecke: AP -> OPNsense FW -> Switch -> Unraid-Host -> Controller (Ubuntu-VM)

    Aus einfachheitsgründen der Verkabelung ist der AP nicht am Switch sondern halt an der OPNsense selbst.


    Nun war meine Idee erstmal das ganze über WLAN (per SSID) aufzuteilen also z.B.

    • Clients (Netzwerk-VLAN-ID: 210)
    • Smarthome -> VLAN-ID: 220.

    Auf der OPNsense das VLAN 210 und 220 erstellt. DHCP soll eigentlich ein Windows-Server auf dem Unraid-Host machen, der dann je nach VLAN die Zuteilung einer IP im jeweiligen Netz macht. Auf dem Host sind die VLANs auch eingetragen. Sobald ich aber am Switch ein VLAN außerhalb von VLAN1 (default) tagge, kommt gar keine Kommunikation mehr zu Stande. Irgendwas mache ich also grundlegend falsch.


    Eventuell hat einer schon eine Vorstellung wie man das am besten macht.

    Ich habe zwar schon Erfahrung im Netzwerkbereich aber was VLANs betrifft bin ich irgendwie noch ein ziemlicher Grünschnabel.


    Danke im Voraus für eure hilfreichen Ratschläge.:smiling_face:

    Hallo,


    die Mischbestückung von Hersteller ist immer etwas problematisch.


    Mir erschliesst sich allerdings noch nicht, warum die OPNsense hinter dem Switch hängt, vielleicht kannst du das ganze mal aufmalen, vom Internetanschluss angefangen. Eine Firewall sollte ja immer die erste Stelle hinterm dem Internetrouter / Modem sein und nicht irgentwo mittem im Netz stehen.


    Um mal den Weg aufzu zeigen, wie das in der reine Unifi-Welt gemacht würde:

    • im Controller ( mal egal wo der drauf läuft ) die entsprechenden LAN's erstellen, denen VLAN-Id's zuweisen
    • dort trägst du dann auch den DHCP-Server und DNS-Serber pro LAN ein.
    • VLAN1 ist das Management-LAN, daran kommen alle Netzwerkkomponenten inkl. der AP's
    • Im Controller erstellst du dann WLAN's und weisst diesem WLAN dann die VLAN-ID zu
    • dann entscheidest du, welcher AP welche WLAN's ausstrahlen soll.
    • Den Switchports, woran die Clients hängen gibt du das jeweilige VLAN, bei Unifi heisst das dann Switchprofil
    • Die AP'S müssen im VLAN 1 sein damit die alle VLAN ausstrahlen können.
    • Der Client logt sich in das entsprechende WLAN ein und ist damit automatisch im VLAN und sollte dann vom DHCP-Server eine IP aus dem jeweiligen Pool bekommenn.

    Der DHCP-Server muss dann eben in alle VLAN hängen, könnte gehen ( ich habs noch nie probiert ) den in VLAN 1 zu hängen.


    Ich kann dir aber nicht sagen, wie man das ganze mit einem Fremdhersteller Switch am besten umsetzt, aber da gibt es sicher hier noch Leute, die damit Erfahrung haben.

    Zitat von Tuxtom007

    Der DHCP-Server muss dann eben in alle VLAN hängen, könnte gehen ( ich habs noch nie probiert ) den in VLAN 1 zu hängen.

    Vielleicht habe ich die Aussage falsch verstanden, dann sorry.


    Nein der DHCP Server ist in irgendeinem VLAN und soll auch keine andere "Beide" haben in andere VLANS. Diesen Part erledigt das Routigt auf der Sense. Dazu muss man auf der Sense (wird bei OpenSense nicht anderes sein als sonst) DHCP Relay aktivieren. Dabei gibst Du die IP Adresse vom DHCP Server. Damit wird der Broadcast der Klients über Netzgrenzen weitergereicht. Die Sense muss halt ein Bein im gleichen VLANS haben wie der DHCP Server.


    Zitat von KayThe95

    Eventuell hat einer schon eine Vorstellung wie man das am besten macht.

    An sich ist das nicht schwer. Für viel Verwirrung wie ich meine sorgt UbiQuiti mit eigener "Nomenklatur" in dem es heißt VLAN1 ist Management. Hier gilt was schon immer galt "Namen sind Schall und Rauch".

    Den IP Bereich in dem die geräte "für sich" arbeiten, nennen die halt VLAN1 - so what. Zugegeben - es kann mal einfacher sein, wenn der Controller mit seiner IP im gleichen Netz ist wo Switch/ AP's ihre IP Adressen haben.


    Du hast "den Vorteil" dass der Switch nicht von Ubiquiti ist und damit kaum eine Chance hast Dich selbst auszusperren :smiling_face:


    Fange doch damit an, dass Du die Handys ins andere VLAN bringst


    Als erstes auf der Sense die VLANS definieren und im DHCP Server natürlich auch die passende Ranges

    Dann im Controller in Einstellungen/ Netzwerke definierst Du die Netze. Hier ein Beispiel





    Dann in Drahtlose-Netzwerke definierst Du die WLANS und weißt jedem WLAN ein VLAN zu.



    So weit der Part wäre fertig.


    Jetzt kommt aber noch Dein Switch zum tragen. Bei den Ports wo die AP hängen setzt Du das VLAN wo die IP's ihre Ip haben als natives VLAN und alle anderen VLANS die einem WLAN zugeordnet sind als "getaggt".


    So fern ich nichts vergessen habe - fertig ist der Kram.


    Natürlich musst Du auf der Sense auch passende Regeln für die einzelne VLANs erstellen Angefangen von DHCP Broadcast bis hin zum Sirfen, Mail isw.

    Zitat von RobiWan

    Vielleicht habe ich die Aussage falsch verstanden, dann sorry.


    Nein der DHCP Server ist in irgendeinem VLAN und soll auch keine andere "Beide" haben in andere VLANS. Diesen Part erledigt das Routigt auf der Sense. Dazu muss man auf der Sense (wird bei OpenSense nicht anderes sein als sonst) DHCP Relay aktivieren. Dabei gibst Du die IP Adresse vom DHCP Server. Damit wird der Broadcast der Klients über Netzgrenzen weitergereicht. Die Sense muss halt ein Bein im gleichen VLANS haben wie der DHCP Server.

    ah o.k.,


    Ich kenne es nur so, das der DHCP-Server ein Bein in jedem VLan haben muss, damit er eben IP's zu den VLan verteilen kann.

    Wenn das anders geht über die Sense, dann um so besser.


    Vielleicht sollte ich mir doch mal die PFSense endlich näher ansehen :smiling_face:

    Zitat von Tuxtom007

    Wenn das anders geht über die Sense, dann um so besser.


    Vielleicht sollte ich mir doch mal die PFSense endlich näher ansehen

    Das geht so mit jedem "brauchbaren" Router. Also einem der DHCP Relay machen kann.

    Dann steht halt in dem Broadcast Paket alles was der DHCP Server wissen muss :winking_face:

    Ich habe hier mal ein paar Bilder von den Konfigurationen gemacht:

    Auf den QNAP-Switch (Bild 1) ist natürlich noch der Port 1 (von FW kommend) jeweils mit den VLANS getaggt.


    Ich habe im Livelog der OPNsense geschaut und habe keinerlei Verkehr über die VLAN-Schnittstelle feststellen können.

    Ich glaube entweder kommt nichts vom AP was dieses Netzwerk betrifft oder ich habe bei der OPNsense irgendwas vergessen. Also die VLANS sind auf die (bridge-LAN) gemappt. Habe mal mit WireShark geschaut was passiert wenn ich mich mit dem Netzwerk verbinde -> DHCP-Discover wird verschickt es kommt aber keinerlei Antwort etc. Ich denke es wird an der OPNsense aus irgendeinem Grund verworfen, oder der AP spielt halt nicht mit.



    Hier habe ich auch nochmal die Zuweisungen auf der OPNsense. Sieht wild aus ich weiß, liegt auch daran, dass ich eine Brücke bauen musste da einige Geräte direkt an der OPNsense hängen (physikalisch) z.B. AP, Hue Bridge, Homematic IP AP, Raspberry Pi. Habe ja 8 Schnittstellen an der Kiste also wieso nicht :grinning_face_with_smiling_eyes:

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von KayThe95 mit diesem Beitrag zusammengefügt.

    Zitat von KayThe95

    Habe ja 8 Schnittstellen an der Kiste also wieso nicht

    Na ja ich hätte gesagt - weil die alle an den Switch gehören. :face_with_tongue:


    Von wem kommt dieses Bild?



    DHCP Relay musst Du in OpenSense aktivieren und den DHCP Server eintragen nicht im UniFi Controller (Ich nehme zumindest an, dass es von da das Screenshot kam)



    Und trace in so einem Fall immer am Ziel also bei dem DHCP Server. Der Klient wird schon sein Request abschicken - ist zumindest davon auszugehen. Interessanter ist zu erfahren ob dieser Request beim Ziel ankommt und auch eine Antwort vom Ziel kommt.

    Das Bild kommt vom Unifi Controller. Relay ist in der OPNsense aktiviert, habe das zusätzliche Relay vom Controller nun abgeschaltet, tut aber immer noch nicht. Habe den DHCP-Verkehr mal auf der FW geloggt, da kommen Pakete vom nativen Netz (192.168.200.0/24) zwar an, aber alles andere z.B. das VLAN210 (192.168.210.0/24) nicht.


    Was mir gerade einfällt, das 200er Netz hat ja kein VLAN-Tag, kann es sein dass es dadurch zu Problemen kommt, wenn sozusagen untagged und tagged übertragen werden gleichzeitig vom Unifi AP?


    Ist echt seltsam das garkeine DHCP-Pakete die getagged sind an der FW ankommen.

    Nun, was die "Brücken" machen in Deinem Fall, kann ich nicht sagen.


    Zitat von KayThe95

    ann es sein dass es dadurch zu Problemen kommt, wenn sozusagen untagged und tagged übertragen werden gleichzeitig vom Unifi AP?

    Nein. Es muss natürlich aber passend auf dem Switchport definiert sein.



    Male vielleicht ein Bild mit dem Switch und OpenSense und AP - wo was steckt und wo welches VLAN wie anlegt.


    Ich hoffe man erkennt das Gekritzel. Im Moment sind zwei Brücken auf der Opensense definiert. 1. LAN-Brücke (Port 2-4)

    2. Smart-Home Brücke (Port 5-8). Port 1 ist WAN -> zu FritzBox.


    Subnetz für LAN ist noch (192.168.200.0/24) und für Smarthome (192.168.220.0/24) -> soll ja dann später über VLANS erfolgen.

    Also Server (alles auf dem Unraid-Host) -> VLAN200 und Clients wie PC,Laptops, Handys -> VLAN210.

    IoT (Steckdosen, RaspberryPi etc.) soll in VLAN220. Über Management-Netz / Guest mach ich mir gerade noch keine Gedanken, bis ich überhaupt mal ein VLAN zum laufen bekomme ;D


    Die Aufteilung ist deshalb so blöd, weil Unraid-Host und QNAP-Switch in einem anderen Raum stehen und ich halt zwecks Abdeckung die Hue-Bridge / Homematic IP AP, RaspberryPi mit Zigbee-Adapter relativ zentral haben möchte. Zur Not kauf ich mir gerne auch einen VLAN-fähigen Zweitswitch nur für die dortigen Geräte. Allerdings habe ich mir halt gedacht eventuell geht das auch so.

    Puh, also zum einem mit den "Brücken" habe ich absolut keine Erfahrung und was ein Router damit wirklich macht...... K.A

    Zum einem hast Du aber die UnifiAP und Controller in anderen VLANS. Das geht - einfacher ist es wenn die im gleichen Netz sind.


    Bei der Zeichnung hätte ich jetzt gesagt - da wo Du jetzt OpenSense hast einen Switch und die Sense an den QNap Switch

    Was Du Vorzugsweise in Betracht ziehen musstest, je nach I-Net Leitung die Du hast - entweder die beide Switche über 10G oder weitere Cat6/7 Kabel miteinander zu verbinden.

    Ach ja warum ist die Sense als Exposed Host definiert? Wäre an der Stelle Portweiterleitung nicht "besser/ einfacher"?

    Ich arbeite auch mitr einer opnsense aber hinter eine gebridgden FritzBox 6660 das gibt dir auch eine richtige IP an der opnsense.


    Ich würde nur das Mangement LAN in Unifi als LAN Unternehmen anlegen (nicht als VLAN!) alles andere nur als VLAN. Das erleichtert hier insbesondere mußt Du nicht zig mal die IP Bereiche eingeben sondern nur die VLAN ID diese ziehen sich automatisch alles andere wenn es richtig konfiguriert ist.

    Und wie schon geschrieben das Mangement LAN benötigen alle Unfi Geräte weil Du sonst nachher auch Probleme bekommst zwischen den Unifi Geräten.

    Tl;TR:

    Bridge != Routing das ist grundlegend was krumm bei dir.


    Long:

    „Brücke“ eher Bridge is ein Gerät das am einfachsten als zwei Port Switch beschrieben werden kann.

    Üblicherweise (und dafür sind sie da) um zwei Topologie zu verbinden.

    Es gibt sie natürlich auch grade virtuell mit mehr Ports.


    SO ist z.b hat z.B jeder Unifi AP eine Bridge eingebaut um WLAN und LAN

    miteinander zu verbinden. Damit währen beide Segmente dann in der gleichen

    Broadcast Domain und die einzigste Möglichkeit das beide im gleichen netz sind /

    gleiche IP bekommt.


    Wenn du auf deinem QNAS Switch die Verschiedenen VLAN über eine

    Bridge mit einander verbindest hast du eigentlich nur noch ein Großes

    Netzwerk. Da kann man auch verschiedene IP Netze drüber fahren

    aber Sinn macht das dann nicht.


    Das währe auch eine Erklärung warum DHCP/Relay nicht so will.


    DHCP relay basiert darauf das du im VLAN (genauer in der Broadcast domain,

    denn es könnte ja auch ein separates Netz sein) jemanden hast der

    auf die DHCP Anfragen lauscht und sie dann an den DHCP über

    normales L3 Routing weiterreicht. Das ist üblicherweise

    immer das GATEWAY in dem Netz, da hier erwartet werden kann

    das das Gateway den weg zum DHCP kennt.

    Einmal editiert, zuletzt von gierig ()

    Gefällt mir 2

    Danke für die ausführliche Antwort.

    Habe gerade einen Test gemacht. Habe einen Port auf der OPNsense definiert und als VLAN230 getaggt. Laptop dran und diesen in VLAN230 genommen -> DHCP ging wunderbar. Sobald ich aber den Laptop an den Switch hänge (wo über den Port untagged VLAN1 (default) läuft, aber auch mein getagged VLAN230, will er keine IP ziehen. Sobald ich den Laptop dann wieder ins Default VLAN nehme, dann bekommt er wieder eine IP. Kann es sein, dass es Probleme gibt wenn man untagged (VLAN1 denke ich) und 230 z.B. über das selbe Kabel laufen lässt. Oder ist es eher dass Problem dass der QNAP-Switch einfach nichts damit anzufangen weiß. Heißt mein Laptop macht einen DHCP-Request vom VLAN230 und der Switch weiß nicht wohin damit?


    Eventuell ist es aber nur die "Brücke" auf der OPNsense die nicht mit mehreren VLANS zurecht kommt...

    Zitat von RobiWan

    Das geht gar nicht.

    Untagged geht immer nur 1 VLAN. Alle anderen müssen getagged sein.

    Klar geht das, also warum sollte da nicht gehen ?

    Bei Unifi kann ich sagen welchen das Native VLAN sein soll

    und welche anderen dazu getagt sein sollen auf einen Switchport (Customer Switport Profile)


    Ob sinnvoll oder nicht kommt auf den Port und seiner Verwendung an....

    Zitat von gierig

    Klar geht das, also warum sollte da nicht gehen ?

    Entweder hast Du nicht verstanden was ich geschrieben habe oder ich habe nicht verstanden was der TO geschrieben hat :face_with_tongue:


    Es kann nur 1 ungetaggtes/ natives VLAN geben auf einem Port. Alle anderen sind automatisch getaggt.

    Es kann an einer Strasse auch nicht 2x Haus Nr. 1 geben :face_with_tongue: