Wie richte ich VLANs im Unifi-Netzwerk ein, wenn ich anstelle einer USG / UDM / UDMPro einen Router / Firewall anderer Hersteller nutze.
Warum wollen wir das?
Mehrfach wurde ich bereits gefragt, wie man VLANs im UniFi-Netzwerk einrichtet, aber anstelle eines USG / UDM / UDMPro eine Firewall wie OPNSense, PFSense oder anderen nutzen.
Der Weg ist recht einfach, ich beschreibe es mal in Kürze am Beispiel der OPNSense.
Ich gehe bewußt nicht auf weitere Konfigurationen der OPNSense ein, wer den Weg gehen möchte, sollte sich das selber einarbeiten, das System kommt aus dem Profibereich und entsprechend sind die Konfiguration-Möglichkeiten.
Was benötige ich?
- ein vorhandenen Unifi-Netzwerk mit Switchen, Access-Points
- den UniFi-Netzwerk-Kontroller, egal in welcher Form laufend im Netzwerk, das kann auf einem RasPi, einer VM oder ein CloudKey
- direkter Zugriff auf die WebGUI des UniFi-Controllers per Management-Netzwerk
- eine laufende OPNSense mit Zugriff auf die WebGUI
zwei Anmerkungen
- ich habe die Sprache der OPNSense bewußt auf englisch stehen und dazu würde ich auch jedem raten
- zum einen ist die Dokumentation in englisch
- zum anderen sind die Übersetzungen in der deutschen Einstellung nicht immer eindeutig
- es gibt die Empfehlung, bei der OPNSense keine VLANs und reine LAN-Netze auf einer physikalischen Netzwerkkarte zu legen
- es soll damit Probleme bei FreeBSD geben, ich könnte diese nicht feststellen, habe aber dennoch eine Trennung vorgenommen
- igb3 - Management-Netzwerk u.a. wo alle Unifi-Geräte drin hängen, darauf ist keine VLAN
- igb4 - sind alle VLANs drin
- entsprecht sind die Ports am Switch dahinter angepasst (Port 1 = admin, Port 2 = Profile mit allen VLANs)
(das nur am Rande)
Und wie geht das genau?
Schritt 1 - Anlegen der VLANs in der OPNSense
- Login auf die WebGUI der OPNSense
- Wechsel in -> Interfaces -> Other Types -> VLAN
- neues VLAN erstellen nach folgendem Beispiel:
- Parent Interface - die Netzwerkkarte, worauf das VLAN liegen soll, das Interface muss vorher eingerichtet sein.
- VLAN Tag - muss dann einheitlich später auch im UniFi-Teil angelegt
- VLAN priority - blebt auf Default = 0)
- Description = deine Beschreibung
- dann speichern
- Wechsel in Interfaces -> Assigments
- unter "new interfaces" das neue VLAN auswählen und mit "+" zufügen
- das neue Interface auswählen in im folgenden Dialog das Interface erst mal aktivieren mit "enable"
- IPv4 Configuration Type = Static IPv4
- IPv6 (lasse ich hier aus, da Provider abhängig)
- weiter unten. IPv4-Adresse: hier die gewünschte IP-Adresse für das Interface eintragen,
- Netz = /24
- mit "Save" speichern und mit "Apply changes" die Änderungen aktivieren.
Schritt 2 - DHCPv4 einrichten - damit die Clients im VLAN auch IP-Adressen usw. bekommen.
- Wechsel nach Services -> DHCPv4 -> in das neue VLAN
- erst mal DHCP für das VLAN mit "enable" einschalten
- Das mögliche Subnetz wird bereits vorgegeben, den DHCP-Pool kann man nach eigenen Wünschen eintragen
- Ich nutze immer die obere Hälfte des Class-C Netzwer für DHCP und die untere Hälfte für statische Adressen
- andere Einstellungen wie DNS usw. bei Bedarf selber anpassen
- mit "save" speichern
- Wenn der Pfeile oben rechts grün ist, ist alles ok, der DHCP-Server läuft, bleibt der auf Stop, habe ihr einen Konfigfehler
Das waren die Schritte auf der OPNsense - für weitere VLAN das selbe entsprechend wiederholen.
Weiter geht es auf der Unifi-Seite
Schritt 3 - VLAN auf Unifi anlegen ( ich nutze die alte WebGUI, die neue ist mir zuwider )
WICHTIG: sollten vorher schon VLAN konfiguration sein, z.b. mit der UDMPro, empfehle ich diese komplett zu löschen, aus eigener Erfahrung macht es nur Probleme, die vorhandenen Netze zu editieren.
- auf dem UniFi-Controller - Wechselt in Settings - Networks -> "Create new Network"
- Name: eine Name für das Netz
- Purpose: "VLAN Only" - nichts anderes
- VLAN: die VLAN-Id, die auf der OPNSense angelegt wurde.
- mehr wird nicht benötigt keine IP-Pools, nichts, das macht alles die OPNSense
- mit Save speichern
Soll noch ein WLAN damit angelegt werden, geht es den bekannten Weg:
- Setting -> Wireless Networks -> "Create new wireless network"
- Name / SSID vergeben
- unter Network, das neue VLAN auswählen
- mit "save" speichern
Das wars, jetzt nur noch die Switch-Ports dem entsprechenden VLAN-Profilen zuweisen und eure Clients bekommen per DHCP die Daten von der OPNSense zugewiesen.
Viel Spaß und viel Erfolg damit
Disclaimer:
Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.
Es gibt keine Garantie auf Erfolg. Im Falle eines Misserfolges hilft aber die Community hier sicherlich weiter.
Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.
Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden.
Eltern haften für ihre Kinder.
Kommentare 3
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Neu erstellte Kommentare unterliegen der Moderation und werden erst sichtbar, wenn sie durch einen Moderator geprüft und freigeschaltet wurden.
Ronny1978
Super Anleitung. Was mich noch etwas unklar ist, die Einrichtung des Management LAN's als LAN? VLAN? Mit welcher VLAN ID? Bei den Netzwerken gibt es jetzt die Einstellung Default oder ThirdPartyGateway?
Danke dir für deine Mühe.
Tomcat
Falls noch jemand die Infos benötigt:
- Management-LAN als LAN ohne VLAN-Id auf der OPNSense, in Unifi ist das dann VLAN-ID "1"
( IP-Netz kann man sich aussuchen, man muss nicht das 192.168.0.x nehmen )
- Netzwerkeinstellungen für die VLAN'S in Unifi dann "ThirdPartyGateway" ( früher war das mal VLAN-only )
defcon
Super! Vielen Dank für den Input!