VLAN für Promox an OpnSense weitergeben

Hallo Zusammen,

nachdem ich gestern den Controller zur OpnSense gezogen habe, bin ich immer noch nicht so richtig weiter was das Thema VLAN betrifft. Ich habe im Controller alles als VLAN angelegt. Auf der OpnSense gibt es physische NICs wie folgt:

LAN 192.168.1.1 (hier läuft auch das Management LAN des Controllers

IoT 192.168.10.1

Mitarbeiter 192.168.20.1

Gäste 172.16.1.1

Im Controller

DEFAULT = 192.168.1.1 (Management LAN)

VLAN 10 = IoT

VLAN 20 = Mitarbeiter

VLAN = Gäste

Die Ports auf dem Unifi Switch sind

Port 9 VLAN 40 -> geht zum NIC Opnsense Gäste

Port 11 VLAN 20 -> geht zum NIC Opnsense Mitarbeiter

Port 12 VLAN 10 -> geht zum NIC Opnsense IoT

Wenn ich jetzt NUR in der OpnSense die VLANs anlege, aber die Schnittstelle NICHT aktiviere und somit kein DHCP am VLAN aktiviere geht alles einwandfrei. Sobald ich die Schnittstelle auf VLAN xx aktiviere, die Firewall Regeln einstelle und den DHCP aktiviere, geht nix. Keine IP Zuweisung, kein Internet, nix.

Irgendetwas mache ich noch falsch. Naja, der Controller läuft erst einmal. Ich habe jetzt wieder Zeit zum Spielen, nachdem meine Kinder und meine Frau gestern 6 Stunden ohne Internet auskommen musste, bis ich den Fehler gefunden hatte.

Vielleicht hat ja einer von euch noch eine "zündende" Idee?

Ich wünsche euch einen schönen Sonntag.

Hallo swag,

danke für deine Hilfe.

Zitat von swag

Oder ist hängt der Controller jetzt direct an der Open Sense ?

Der Controller hängt DIREKT auf der OpnSense auf IP 192.168.100.1. Das Management LAN = 192.168.1.1.

Zitat von swag

sind Deine Frau und Kinder "Gäste" oder Mitarbeiter ?

Die hängen im Management LAN drin. Sollte ich das mit dem VLAN auf die Reihe bekommen, kann ich das noch ändern.

Zitat von swag

würde ich vermuten das es auch hier an den Portprofilen liegt

Das vermute ich auch.

Zitat von swag

Ist Dein Netzwerk ausgefallen ?

Nein, ich habe nur den Unifi Controller auf der OpnSense neu aufgesetzt, ohne Config Leichen.

Zitat von swag

Dann kann aber auch sein das Du Dir ein roundtrip eingebaut hast und Dein Netz dann quasi mit einem slbstgemachten DoS lahmlegst.

z.B Paket über Vlan rein und übers Native Lan wieder ohne Tag raus.

Das habe ich noch nicht geprüft, weil mir hier Hintergrundkenntnisse fehlen bzw. nur mangelhaft da sind. Ich versuche das aber rauszufinden.

Nochmals lieben Dank.

Zitat von swag

sind dort jeweils getrennte Nics (Netzwerkkarten) ohne Vlan ?

Hallo swag,

ich versuche mein Aufbau mal in einem Bild darzustellen. Melde mich schnellstmöglich.

Zitat von swag

wie läuft die Verbindung von Frau un Kinder zur OpenSense

LAN 192.168.1.1 (hier läuft auch das Management LAN des Controllers

Ja, auch über das LAN (Management) 192.168.1.1. Das LAN Netz war aber nie das Problem.

Zitat von swag

Durch einen Unify switch ?

Ja: USW-16 PoE Lite. Wie gesagt: Die Topologie und das Bild meines Netzwerkes folgt.

Hallo swag,

so sieht es aus.

Die Portprofile sind auf dem Unifi Switch wie folgt:

192.168.1.1 -> all (Port 15)

192.168.10.1 -> IoT (Port 14)

192.168.20.1 -> Mitarbeiter (Port 11)

172.16..1.1 -> Gast (Port 9)

Die VLANs 10, 20, 40 sind in der OpnSense angelegt, verweisen auf das Parent-Interface (siehe Bild), sind aber nicht aktiviert. Die Regeln sind für das Parent-Interface geschrieben und funktionieren. So weit, so gut. Ich kämpfe mich jetzt am Wochenende noch einmal an das Thema VLAN raus. Dadurch das mein Mini PC, wo ich Proxmox einrichten möchte, 2 LAN NIC's hat, kann ich eines für die Administration und das zweite für die VM's und LXC Container nehmen.

Ich werde berichten. Und .... natürlich noch einmal danke für deine/eure Hilfe.

Zitat von swag

Deine Mini's unterstützen keine VLAN's

An den 2 USW Flex Minis von meinem Kindern steht der UPLINK Port zum USW 16 Lite auf ALL und die Port 2+3 (Fernseher und FireTV Stick) auf VLAN IoT). Bei mir funktioniert das aber . Ich weise aber auch allen Geräte eine feste IP aus dem VLAN IoT 192.168.10.x zu. Aber wie gesagt: Bei mir funktioniert es.

Zitat von swag

Hast Du nochmal ein aktuelles Bild von der Lite konfiguration ?

Ich mache noch einmal ein Screenshot von der OpnSense. Anbei die Portbelegung auf dem USW 16 Lite.

Meinst du so?

Zitat von swag

benutzt Du auch einen Mini ?

Ich würde denken das der Traffic duchs normale Netz läuft und es durch die festen IP's dann klappt und nicht wirklich mit VLan tags versehen ist. Aber evt irre ich mich hier.

Schon mal getestet was passiert wenn Du feste IP änderst oder die Geräte an einem anderen Port anschließt ?

Ja, ich benutze 2 Stück. Das mit dem VLAN und VLAN-DHCP kann ich bei Gelegenheit mal prüfen. Habe ich nicht nicht gemacht. Willst du von der Portbelegung der Minis auf noch einmal ein Bild? Wäre kein Problem. Da ja dort nur "feste" Geräte dran sind (TV und FireTV Stick), kann ich auch mit fixen IPs arbeiten und es klappt.

SSH müsste ich mal spaßeshalber probieren und LAGG geht am Mini definitiv nicht. Das weiß ich schon.

Zitat von swag

Ich weiß nicht was die Minis da genau machen aber interessieren würde mich das schon.

Ich probiere es bei Gelegenheit mal aus.

Hallo swag,

ich habe es nun hinbekommen: Es war wahrscheinlich ein Problem bei den Portprofilen. Ich habe es jetzt wie folgt gelöst:

Gastschnittstelle OpnSense -> VLAN 60 + 80 auf EM5 (Gäste)

Unifi USW Flur Port 9 (Gast) per LAN zu OpnSense Gast (EM5)

Unifi USW Flur Port 9 -> Portprofil Gast+Proxmox (VLAN 60+80)

Proxmox -> der VM/dem LXC den VLAN TAG mitgegeben -> funktioniert

Nochmals danke für deine / eure Unterstützung. Ich wünsche einen schönen Restsonntag.