OPNsense und UniFi WLAN ohne VLAN

Es gibt 23 Antworten in diesem Thema, welches 6.033 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    Hey,


    ich bereite aktuell den Umstieg auf OPNsense vor. Die Grundkonfig sollte soweit fertig sein, das zumindest Internet und die verschiedene Netze da sind. IPS etc. kommt dann noch.

    Morgen wollte ich dann die UDMP rauswerfen und die VLANs im VM Controller erstellen, damit ich auch die Netze im WLAN habe. Ich wollte einfach das Backup einspielen und alles löschen was ich nicht brauche.


    IST Stand:

    - Ich habe einen Port fürs Management ohne VLAN angelegt

    - Einen Port (in Zukunft dann LAGG aus 2 x 2,5GBit Ports) nur für die aktuell 4 VLANs


    WLAN in UniFi mit dem VLAN anlegen bzw. editieren ist klar.


    Nun meine Frage:

    Wie soll ich ein WLAN anlegen, wenn das Management kein eigenes VLAN besitzt? Dies muss ich ja bei der Konfig auswählen.

    LAN und VLAN sollte man ja angeblich nicht auf den gleichen Port legen, sonst könnte ich dem Mang. einfach VLAN10 geben.


    PS: Wenn ich alles Resetten würde, kann ich die gleichen SSIDs erstellen und die Geräte verbinden sich wieder? Sollte doch klappen.

    Zitat von hYtas

    Wenn ich alles Resetten würde, kann ich die gleichen SSIDs erstellen und die Geräte verbinden sich wieder?

    Solange gleiche SSID und gleiches Passwort (und die anderen Basic Sachen wie Security Protocol)

    Ja das geht. Habe ich so gemacht also ich von mein CISCO WLAN auf die Unifi AP gegangen bin.


    Zitat von hYtas

    Wie soll ich ein WLAN anlegen, wenn das Management kein eigenes VLAN besitzt?

    Das verwirrt mich (mit dem was du davor geschrieben hast). Aber vielleicht gibt das den richtigen Gedanken Impuls:


    Auf Unifi Seite die Netzwerke anlegen als ThirdPartyGateway (VLAN Only in der alten UI)

    Wie du siehst kannst du hier keine IP Kreise anlegen Sondern wirklich nur VLANs

    Diese kannst du dann deinen WLAN SSID zuweisen wie sonst auch.


    Ip Netze, Bereiche, DHCP, Gateway, DNS kram müssen dann passend für das jeweilige VLAN

    auf der auf der OPNsense eingestellt werden.


    Die Tagged Lan auf den PORT der zu dem UNFI Switches/AP geht und dann sollte

    das laufen. Ach ja de "Management“ kann auch auf den gleichen Port as untagged / Natives mit drauf.

    (ich kenne die Namens Nomuklatur nicht bei opensense)


    Also z.B:


    10.0.0.0/24 -> mit der 10.0.0.1/24 als IP auf der opensense als -> Native / untagged

    10.10.0.0/24 -> mit der 10.10.0.1/24 als IP auf der opensense als -> VLAN 10 Tagged

    10.20.0.0/24 -> mit der 10.20.0.1/24 als IP auf der opensense als -> VLAN 20 Tagged


    Alles auf den gleichen Port / LAGG..



    Acho hattest du überhaupt UNFI Switche ? Sonst halt die VLAN Id passend auf

    deiner Switch Hardware.. Also den Opensede Port als Trunk für alle Vlan genau so

    wie die Ports zum AP. (was ja Profil „ALL“ bei unifi ist)

    Ich bin mir nicht sicher, ob ich Dich richtig verstanden habe, oder was Du genau möchtest.


    Wenn Du einen UniFi-Switch im Einsatz hast (erst mal ohne LAGG):


    Die einfache Variante:


    Beide Ports vom OPNsense auf einen "ALL" Port auf dem Switch.


    Dein Management Netz ohne VLAN befindet sich bei UniFi im Netzwerkwerk "Default" (VLAN 1). Wenn Du die APs jetzt auch auf einen "ALL" Port hängst, bekommen die APs selber eine IP aus dem Management-Netz und verbinden Deine SSID mit dem Konfigurierten VLAN.


    ALL = "Default" Netzwerk ist auf dem Port untagged und alle anderen Netzwerke sind tagged.


    Die komplizierte Variante:


    Du konfigurierst Dein Management-Netzwerk auch mit einem VLAN (dann sparst Du Dir den separaten Port) und lässt das "Default" Netzwerk ungenutzt. Allerdings wird es dann aufwändig neue und vorhandene Geräte zu konfigurieren und in das Management-Netz zu integrieren.


    ---------------------


    Untagged und Tagged auf einem Port soll bei OPNsense, in machen Konfigurationen, wohl Probleme machen.

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs

    2 Mal editiert, zuletzt von usr-adm ()

    Gefällt mir 1 Danke 1
    Zitat von usr-adm

    Untagged und Tagged auf einem Port soll bei OPNsense,

    Lol, wenn das so ist dann Halt das wie du sagtest auch als Tagged Vlan, und dann auf den UNFI Switchen

    ein selbstgebautes „ALL“ PortProfil das dieses als natives wieder rausgibt an den Ports und die anderen Tages lässt.


    Aber viele Wege führen nach Rom und auch davon wieder weg...

    Die ganzen VLANs etc. habe ich schon in OPNsense angelegt.

    Die Frage bezog sich nur auf das default VLAN1, damit sollte es klappen wie ich möchte. Diese Info hatte ich nirgends wo gefunden :thumbs_up:


    Das sollte helfen.

    Ich brauch nochmal etwas Verständishilfe :grinning_squinting_face:


    Ich habe mal zum Testen mein Modem an WAN angeschlossen. Bekomme auch eine IP öffentliche IP 79.xx unter Gateway taucht aber 62.xx auf.

    Hat auch keine Verbindung zum Internet.

    WAN ist offline da ich erstmal den Stecker wieder gezogen habe.


    Unter Point to Point hatte ich unter Link Interface das VLAN01 ausgewählt, das ist Telekom VLAN 7. Die Schnittstelle Telekom_VLAN ist nicht aktiviert (muss laut Doku auch nicht).

    igc5 ist mein WAN NIC.


    Sollte doch soweit richtig sein oder? WAN Regeln gibt es aktuell noch keine.



    Edit: Bin zwar aktuell unterwegs aber ich glaube es geht nicht, da OPNsense keine Verbindung zu meinen Piholes hat. Die sind mein DNS.


    Probier ich später mal aus mit Google oder ko.

    Einmal editiert, zuletzt von hYtas ()

    PPPoE Einstellungen sehen richtig aus, ist bei mir genauso.


    Wie hast Du das Internet getestet?


    Kann Du von der OPNsense-Konsole z.B. 8.8.8.8 anpingen?


    Wenn Du von einem Client getestet hast: Sind die Firewall-Regeln richtig? Kannst Du die OPNsense anpingen? Sind DNS und Gateway richtig?


    Laufen alle "Services" auf der OPNsense (Dashboard)?


    Hast Du unter System > Settings > General einen DNS Server eingetragen ODER den Haken bei "Allow DNS server list to be overridden by DHCP/PPP on WAN" gesetzt?


    Evtl. erstmal ohne PiHole testen und wenn alles läuft, diesen wieder integrieren.

    30 Sites - 500 APs - 150 Switche - EdgeRouter - UXG-Pro - UDM-Pro - USG-PRO-4 - OPNsense - IPUs

    Hatte einfach nur das Modem ans WAN angeschlossen und dann zeigte er mir die IP.


    Werde es heute Abend testen.


    Ich hatte jedem Interface einen eigenen DNS zugewiesen. Das mit general wusste ich nicht, aber geht ja auch so :smiling_face:

    Läuft alles außer v6 DHCP.


    Es wird am aktuell nicht falschen DNS liegen. Die gehen alle auf 10.10.10.3 und 4 aber die Sense hat noch keine Verbindung in mein LAN.

    Einmal editiert, zuletzt von hYtas ()

    Scheint an dem "falschen" DNS gelegen zu haben. Konnte auch Updates machen. Wenn die sense im Netzwerk hängt, wie es auf die Piholes geändert.

    Morgen muss ich mich noch mal an die Freigaben für 3CX setzen, WireGuard will auch noch nicht die Ports sind trotz NAT Forwarding zu. Nur NAT forwarding scheint nicht zu reichen.


    Scheint man doch mehr machen zu müssen:

    https://www.3cx.com/docs/pfsense-firewall/


    Kann das jemand so bestätigen?

    Einmal editiert, zuletzt von hYtas ()

    Ja, die Anleitung solltest du schon so befolgen für 3CX. Den Link hab ich dir übrigens im 3CX Forum gepostet. :winking_face:

    Habe ich 1:1 befolgt. Ich scheine aber ein DNS Problem zu haben mit 3CX. Ich kann stun.t-online.de nicht anpingen und daher bekomme ich auch keine Verbindung.

    Vom Laptop aus geht es.


    Muss ich nachher mal schauen.

    Wundert mich aber da ich nichts an den Piholes und 3CX geändert habe.

    Die 3CX sollte nicht über den Pihole sondern direkt auf 8.8.8.8 als DNS gehen. Der Stun Server der Telekom ist unwichtig, wichtiger ist der SIP Server, sollte an deinem Privat Anschluss tel.t-online.de sein.

    Der Firewallcheck schlägt sofort fehl, zumindest muss der DNS ja stimmen. Da muss ich nachher mal schauen.


    Der ganze SIP Kram ist unverändert, das passt.

    Hmmm, dann geh mal auf die Console von der 3CX und prüfe mal welchen DNS sie hat und ob von da ein Ping möglich ist zu zb google.de.

    Hatte ich in etc/network/interface stand erst die IP von OPNsense und die hatte ich zu 1.1.1.1 geändert. Da hat sich nichts getan.


    Gibt noch eine resolve sonstwas cfg da muss ich auch mal reinschauen.

    Da die 3CX auf einem normalen Debian läuft, sollte der DNS hier zu finden sein:

    Code
    /etc/resolv.conf

    EDIT: Du könntest mit

    Code
    echo “nameserver 8.8.8.8” > /etc/resolv.conf

    den DNS hinzufügen.

    Zitat von hYtas

    Kann das jemand so bestätigen?

    Jo, bei der Sophos ist es ähnlich (Gott sei Dank gibt es da aber einen Assistenten) und dann musst Du noch schauen, ob das mit dem/den Stun-Server funktioniert. An sonst kennt die 3CX nämlich deine öffentliche IP nicht (es sei denn, du hast eine feste IP und diese eingetragen) und zumindest die App funktioniert nicht.

    Zitat von jkasten

    Da die 3CX auf einem normalen Debian läuft, sollte der DNS hier zu finden sein:

    Code
    /etc/resolv.conf

    EDIT: Du könntest mit

    Code
    echo “nameserver 8.8.8.8” > /etc/resolv.conf

    den DNS hinzufügen.

    Also ich habe da meinen eigenen internen DNS-Server, die eigene Domain und die eigene Such-Domain eingetragen, das funktioniert einwandfrei.