149680
28.06.2022
10154
21
0
Connect UniFi and OPNsense
Hallo Community,
helft mir mal bitte beim bohren des Brettes welches ich vorm Kopf hab.
Ich möchte meine OPNsense mit meinen UniFi Equipment (Switch und AP) verbinden. Dazu folgende Idee:
- Alle benötigten VLANs erstellen und auf ein physikalisches Interface legen (nicht das LAN Interface)
- Den Switch an dieses Interface anschließen
- Access Point an den Switch
- Im UniFi Controller alle VLANs identisch zur OPNsense erstellen
Jetzt der Teil den ich einfach nicht verstehe:
Der UniFi Controller läuft per Docker auf einen Ubuntu Server
Dieser Server steht nicht in LAN sondern ebenfalls in einem VLAN
- Wie kann ich den Switch per Controller steuern wenn er konfiguriert sein muss dieser aber ebenfalls am Switch hängt?
- Idee: das VLan mit Controller auf ein weiteres physikalisches Interface legen, dadurch könnte der Server mit Controller laufen und die UniFi Komponenten managen.
- Was ich auch nicht verstehe: wie sollen der Switch und AP eine IP aus dem LAN bekommen? (Zumindest aus der UDM kenne ich das so) Dann müsste ich diese doch auch ans LAN connecten - Controller steht wie beschrieben aber in einem anderen
Danke für euer Feedback!
helft mir mal bitte beim bohren des Brettes welches ich vorm Kopf hab.
Ich möchte meine OPNsense mit meinen UniFi Equipment (Switch und AP) verbinden. Dazu folgende Idee:
- Alle benötigten VLANs erstellen und auf ein physikalisches Interface legen (nicht das LAN Interface)
- Den Switch an dieses Interface anschließen
- Access Point an den Switch
- Im UniFi Controller alle VLANs identisch zur OPNsense erstellen
Jetzt der Teil den ich einfach nicht verstehe:
Der UniFi Controller läuft per Docker auf einen Ubuntu Server
Dieser Server steht nicht in LAN sondern ebenfalls in einem VLAN
- Wie kann ich den Switch per Controller steuern wenn er konfiguriert sein muss dieser aber ebenfalls am Switch hängt?
- Idee: das VLan mit Controller auf ein weiteres physikalisches Interface legen, dadurch könnte der Server mit Controller laufen und die UniFi Komponenten managen.
- Was ich auch nicht verstehe: wie sollen der Switch und AP eine IP aus dem LAN bekommen? (Zumindest aus der UDM kenne ich das so) Dann müsste ich diese doch auch ans LAN connecten - Controller steht wie beschrieben aber in einem anderen
Danke für euer Feedback!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3200524627
Url: https://administrator.de/contentid/3200524627
Ausgedruckt am: 15.11.2024 um 19:11 Uhr
21 Kommentare
Neuester Kommentar
Moin,
zur einfachen Einrichtung mußt Du in der OPNSense ein paar Firewall-Regeln anlegen. Nur zum Einrichten bis alles funktioniert würde ich eine Any-Any-Allow-Regel auf jedes Interface (inkl. VLAN) legen.
Wenn damit der Zugriff wie gewünscht klappt, die Regeln durch die Finalen ersetzen.
Gruß
Looser
zur einfachen Einrichtung mußt Du in der OPNSense ein paar Firewall-Regeln anlegen. Nur zum Einrichten bis alles funktioniert würde ich eine Any-Any-Allow-Regel auf jedes Interface (inkl. VLAN) legen.
Wenn damit der Zugriff wie gewünscht klappt, die Regeln durch die Finalen ersetzen.
Gruß
Looser
Hi.
Im Unifi Controller kannst du einstellen, dass auch Layer 2 / 3 übergreifend Geräte mit ihm Kontakt aufnehmen können.
Das Switch und den (die) AP kannst du ja via SSH mit dem Controller verheiraten > set inform Befehl (z.B.: set-inform http://ip-of-controller:8080/inform).
Der Controller muss ja auch nur dann ständig an sein, wenn du an Statistik interessiert bist.
In der Regel stellt man ja nicht wöchentlich irgendwelche VLANs um
Gruß
Marc
Im Unifi Controller kannst du einstellen, dass auch Layer 2 / 3 übergreifend Geräte mit ihm Kontakt aufnehmen können.
Das Switch und den (die) AP kannst du ja via SSH mit dem Controller verheiraten > set inform Befehl (z.B.: set-inform http://ip-of-controller:8080/inform).
Der Controller muss ja auch nur dann ständig an sein, wenn du an Statistik interessiert bist.
In der Regel stellt man ja nicht wöchentlich irgendwelche VLANs um
Gruß
Marc
Ich teste das mal weiter aus...danke soweit.
Was mir noch eingefallenn ist. Aktuell nutze ich noch die UDM, die ja bereits WLAN integriert hat. An die UDM ist dann ein AP (drahtlos gekoppelt).
Aktuell gehe ich davon aus, dass ich einen AP direkt an die OPNsense Hardware anschließe (anders wird schwer) und den zweiten dann ebenfalls (nach der ersten Konfig) über den Controller koppeln kann. Müsste ich beide AP anschließen wäre das etwas suboptimal.
Was mir noch eingefallenn ist. Aktuell nutze ich noch die UDM, die ja bereits WLAN integriert hat. An die UDM ist dann ein AP (drahtlos gekoppelt).
Aktuell gehe ich davon aus, dass ich einen AP direkt an die OPNsense Hardware anschließe (anders wird schwer) und den zweiten dann ebenfalls (nach der ersten Konfig) über den Controller koppeln kann. Müsste ich beide AP anschließen wäre das etwas suboptimal.
Zur OPNsense kann ich Dir nichts sagen aber evtl. zum Unifi-Setup:
Zum Verständnis: In der OPNsense werden die vLANs aufgespannt, hier muss auch für jedes vLAN ein eigener DHCP-Server hinterlegt werden - sofern DHCP-Adressvergabe gewünscht ist.
Wichtig ist nur, welche IP (oder eben ggfs. Dyn-DNS-Adresse) im Unifi-Client hinterlegt ist (über SSH) und dass die Ports am Controller-Standorft entsprechend weitergeleitet werden.
Viel Erfolg!
Im UniFi Controller alle VLANs identisch zur OPNsense erstellen
Jo, im "legacy-Interface" unter Site > Einstellungen > Netzwerk neben dem bisherigen "Default" einfach weitere "vlans" anlegen.Wie kann ich den Switch per Controller steuern wenn er konfiguriert sein muss dieser aber ebenfalls am Switch hängt?
Wenn Du die FW - erstmal - zwischen den vLANs nicht aktivierst, können sich die Geräte über die vLAN-Grenze hinweg mit ihrer IP-Adresse kontaktieren. Alternativ in der aktivierten FW zwischen den vLANs die entsprechenden Ports freigeben: UDP3478 und TCP8080 müssten eigentlich genügen, ggfs. noch UDP10001 und TCP8883Idee: das VLan mit Controller auf ein weiteres physikalisches Interface legen, dadurch könnte der Server mit Controller laufen und die UniFi Komponenten managen.
Bestimmt möglich: Wenn Du eine FW zwischen Deinen vLANs laufen lässt, dann musst Du aber auch auf diesem Weg die oben genannten Ports freigeben wie sollen der Switch und AP eine IP aus dem LAN bekommen
Der Einfachheit halber würde ich die im vLAN1 laufen lassen. Und wenn Du fürs vLAN1 nen DHCP in der OPNSense definierst, bekommen die auch ihre IP. Alternativ - so mache ich das - liegen zwar die Netzwerk-Komponenten im vLAN1 - dieses hat aber keinen eigenen DHCP-Server, weshalb diese Geräte alle "fixe" IPs haben. vLAN1 ist ja eher so ein "Fallback-vLAN", wenn nix definiert ist. D.h. werden "fremde" ggfs. bösartige Geräte angeschlossen, bekommen die erstmal keine IP.Zum Verständnis: In der OPNsense werden die vLANs aufgespannt, hier muss auch für jedes vLAN ein eigener DHCP-Server hinterlegt werden - sofern DHCP-Adressvergabe gewünscht ist.
Controller steht wie beschrieben aber in einem anderen
Ganz prinzipiell ist völlig egal, wo der Controller steht! Bei meinem Kunden steht überhaupt kein Controller vor Ort. Der Controller/Synology steht zentral bei mir im Büro und ich verwalte das über unterschiedliche "Sites".Wichtig ist nur, welche IP (oder eben ggfs. Dyn-DNS-Adresse) im Unifi-Client hinterlegt ist (über SSH) und dass die Ports am Controller-Standorft entsprechend weitergeleitet werden.
Viel Erfolg!
Danke für euer Feddback. Den Part mit den AP habe ich hinbekommen 👍.
Leider geht es nun damit weiter dass der UniFi Flex Mini wohl nicht ssh fähig ist und ich kein Plan habe wie ich diesen nun adopten soll. Recherche ist gerade am Anfang.
Hat da jemand eine Idee? IP bekommt er von der der OPNsense auf static darf ich wohl aber nicht umstellen. Hat der Controller vielleicht eine Art Discocer Modus oder so?
Leider geht es nun damit weiter dass der UniFi Flex Mini wohl nicht ssh fähig ist und ich kein Plan habe wie ich diesen nun adopten soll. Recherche ist gerade am Anfang.
Hat da jemand eine Idee? IP bekommt er von der der OPNsense auf static darf ich wohl aber nicht umstellen. Hat der Controller vielleicht eine Art Discocer Modus oder so?
Dabei dürfte die Suchmaschine Deiner Wahl wohl ne Lösung anbieten. Alternativ:
https://help.cloudunifi.com/unifi/adopting-unifi-flex-mini/
https://help.cloudunifi.com/unifi/adopting-unifi-flex-mini/
Habe das mal probiert, leider noch ohne Erfolg.
Muss es tatsächlich eine lokale Controller Installation und connect sein?
Funktionieren tut es leider dennoch nicht.
- reset switch
- switch an nic mit vlan01 Admin (gleiche wie auch der ap)
- in OPNsense erhält er wieder eine richtige IP
- Ping bar aus allen VLANs
- firewall per floating rule auf allen Interfaces (außer) wan auf „allow“ any - any
- Controller in discover mode versetzt
- nach mehreren versuchen zusätzlich die inform host ip gesetzt , da der Docker Container des Controllers ja eine interne IP hat
Muss es tatsächlich eine lokale Controller Installation und connect sein?
Funktionieren tut es leider dennoch nicht.
Oha, ja, die Anleitung war Layer2. Vielleicht hakt das wegen der vLANs. Hier ist Layer3:
https://help.ui.com/hc/en-us/articles/204909754-UniFi-Network-Layer-3-Ad ...
(und lt. dieser geht auch ssh)
https://help.ui.com/hc/en-us/articles/204909754-UniFi-Network-Layer-3-Ad ...
(und lt. dieser geht auch ssh)
Also ich habe mir zwei Optionen näher angeschaut.
1. per loaker Controller Installation auf dem MacBook - scheitert daran, dass JAVA vorhanden sein muss. Da ich mir nicht den Rechner vollmüllen will - fällt die Option weg.
2. Option mit der DHCP 43 Option. Habe diese auf meinem Management VLAN gesetzt, rebbotet (OPNsense, COntroller) , Switch reset.
Was mir nicht fach klar ist auf welchen DHCP setzt ich dies? Da der Switch die richtige IP aus den Management vlan schon bekommt, habe ich es auch in diesem gesetzt.
Zu den einzutragen values. Schreibt man 0A oder reicht auch A in der Übersetzung von 10 in hexa?
Leider nach wie vor das identische Bild. Switch warted per LED auf Adoption, IP wird mit richtigem VLAN per OPNsense zugewiesen (Leases) in meinem Controller taucht der Switch leider nach wie vor nicht auf. PING etc. weiterhin möglich.
Firwall issues etc. kann ich eigentlich ausschließen, da die Konfig mit dem AP auch funktioniert hat. Nach meinem Verständnis wird ja bei der DHCP Option 43, beim Boot und IP in Richtung Switch mitgebenen unter welher IP der COntroller zu finden ist, worauf hin sich der Switch dann connecten kann. Dieser Kanal ist beim AP beretis freigewesen (inform command)
wo kann ich evtl logs etc finden? Im BLindflug ist ja alles bekanntlich etwas schwerer
1. per loaker Controller Installation auf dem MacBook - scheitert daran, dass JAVA vorhanden sein muss. Da ich mir nicht den Rechner vollmüllen will - fällt die Option weg.
2. Option mit der DHCP 43 Option. Habe diese auf meinem Management VLAN gesetzt, rebbotet (OPNsense, COntroller) , Switch reset.
Was mir nicht fach klar ist auf welchen DHCP setzt ich dies? Da der Switch die richtige IP aus den Management vlan schon bekommt, habe ich es auch in diesem gesetzt.
Zu den einzutragen values. Schreibt man 0A oder reicht auch A in der Übersetzung von 10 in hexa?
Leider nach wie vor das identische Bild. Switch warted per LED auf Adoption, IP wird mit richtigem VLAN per OPNsense zugewiesen (Leases) in meinem Controller taucht der Switch leider nach wie vor nicht auf. PING etc. weiterhin möglich.
Firwall issues etc. kann ich eigentlich ausschließen, da die Konfig mit dem AP auch funktioniert hat. Nach meinem Verständnis wird ja bei der DHCP Option 43, beim Boot und IP in Richtung Switch mitgebenen unter welher IP der COntroller zu finden ist, worauf hin sich der Switch dann connecten kann. Dieser Kanal ist beim AP beretis freigewesen (inform command)
wo kann ich evtl logs etc finden? Im BLindflug ist ja alles bekanntlich etwas schwerer
Ich habe jetzt auch die lokale Variante mittels Controller auf dem MAC getestet. Weiterhin kein Erfolg. Ich sehe den Switch einfach nicht im Controller.
Mach ich evtl. auf OPNsense Seite noch was falsch? Bin mir nicht sicher ob die Assignement für den Moment passen. Siehe Screenshot. aber IPs und erreichbarkeit ist aktuell so wie ich will.
Ein aktive WAN Verbindung habe ich in der Testumgebung nicht, zwingend erfordelrich?
Ist die Option 43 korrekt gesetzt mit IP als: 43 - String - "01:04:C0:A8:14:0A" auf dem v_management mit der 192.168.10.1/24 aus der der Switch ja auch wie gewollt die 192.168.10.10 bekommt und in der OPNsense angezeigt wird.
Ich hab langsam echt die "Sch.... " voll sollte doch alles besser werden
Mach ich evtl. auf OPNsense Seite noch was falsch? Bin mir nicht sicher ob die Assignement für den Moment passen. Siehe Screenshot. aber IPs und erreichbarkeit ist aktuell so wie ich will.
Ein aktive WAN Verbindung habe ich in der Testumgebung nicht, zwingend erfordelrich?
Ist die Option 43 korrekt gesetzt mit IP als: 43 - String - "01:04:C0:A8:14:0A" auf dem v_management mit der 192.168.10.1/24 aus der der Switch ja auch wie gewollt die 192.168.10.10 bekommt und in der OPNsense angezeigt wird.
Ich hab langsam echt die "Sch.... " voll
sollte doch alles besser werden
Ja, ich schmunzle mittlerweile immer, wenn die Leute meinen im Heimnetzwerk mit vLANs anzufangen.
Geht alles irgendwie und irgendwann – kostet halt nur Lebensjahre
Kann man die Unifis nicht mittlerweile auch übers iPhone konfigurieren? Und dann auf den späteren Controller übertragen? Oder alles gemeinsam temporär mal an ne Fritze hängen?
VG
Geht alles irgendwie und irgendwann – kostet halt nur Lebensjahre
Kann man die Unifis nicht mittlerweile auch übers iPhone konfigurieren? Und dann auf den späteren Controller übertragen? Oder alles gemeinsam temporär mal an ne Fritze hängen?
VG
Mach ich evtl. auf OPNsense Seite noch was falsch?
Das kannst du ja leicht selber überprüfen, denn das OPNsense VLAN Setup ist identisch zur pfSense:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Nur so viel:
Du musst die VLAN Interfaces alle zur Firewall hinzufügen und mit entsprechenden IP Adressen versehen. Das Parent Interface ist dein LAN Port.
Sprich das LAN Port geht dann als tagged Uplink (Trunk) in den Switch.
Beachte das das Parent Interface selber also der LAN Port direkt das Default VLAN (PVID) VLAN ist was immer UNtagged übertragen wird.
Bednek zusätzlich das ALLE diese neuen VLAN Interface im Default Firewall üblich komplett geblockt sind! Du musst also damit überhaupt IP Traffic über die Firewall geroutet werden kann das Regelwerk entsprechend bei allen diesen neuen Interfaces anpassen.
Testweise also eine "Scheunentor Regel" analog zum LAN Interface wie IPv4 ALLOW Source: <vlan-x_network> Destination: any
Details dazu stehen alle im o.a. Tutorial.
Ok soweit so gut. Danke für die Lektüre. Habe wieder etwas lernen können. Die genannten Schritte habe ich soweit durchlaufen.
Was ich nicht ganz verstehe: Den LAN Port wollte ich mir eigentlich frei halten. Der Switch soll auf rgb2 entsprechend müssten doch auch alle VLANs dort hingelegt werden?
Was ich nicht ganz verstehe: Den LAN Port wollte ich mir eigentlich frei halten. Der Switch soll auf rgb2 entsprechend müssten doch auch alle VLANs dort hingelegt werden?
So. Habe nun einfach mal den Switch an LAN geklemmt und alle VLANs auf igb1. Ergebnis alle Geräte bekommen eine IP aus dem LAN. Nltebook, Server mit Docker Controller und Switch. Adopten kann ich den Switch dennoch nicht. Option 43 entsprechend auf LAN gesetzt bringt alles nichts.
Hat jemand noch eine Idee? Vielleicht auch Reis alles ab und mach nach Vorlage abc neu?
Ansonsten mach ich wohl mal ein paar Pakete Versand fertig.
Hat jemand noch eine Idee? Vielleicht auch Reis alles ab und mach nach Vorlage abc neu?
Ansonsten mach ich wohl mal ein paar Pakete Versand fertig.
Frohe Bootschaft. Es ist geschaft. Jedenfalls die Basis.
Der Weg per lokaler Controller Installation auf dem Mac hat funktioniert. Fehler lag in einer etwas strikten Firewall auf dem Mac, dadurch kam wohl die Anfrage des Switches nicht rein.
Auf Grund der Konfig bekommt der Switch nun eine IP aus dem LAN, also 191.168.100.XX. Ich würde gerne alle Geräte Switch und AP in das VLAN10 Management schieben. Stelle ich das in der OPNsense ein? Hab meine Konfig beim Versuch gerade leider zerschossen.
Was geklappt hat ist, VLAN10 auf Poer 2 und VLAN20 auf den Port 3 des Switch gelegt. Mein Notebook als der Server haben entschsprechend die IP im richtigen Netz bekommen. Auf Port 1 liegen ja bekanntlich alle Netze. Nach dem Change wurde mir der Switch im Controller alelrdings als offline angezeigt und in der OPNsense war er auch nicht mehr auffindbar.
Der Weg per lokaler Controller Installation auf dem Mac hat funktioniert. Fehler lag in einer etwas strikten Firewall auf dem Mac, dadurch kam wohl die Anfrage des Switches nicht rein.
Auf Grund der Konfig bekommt der Switch nun eine IP aus dem LAN, also 191.168.100.XX. Ich würde gerne alle Geräte Switch und AP in das VLAN10 Management schieben. Stelle ich das in der OPNsense ein? Hab meine Konfig beim Versuch gerade leider zerschossen.
Was geklappt hat ist, VLAN10 auf Poer 2 und VLAN20 auf den Port 3 des Switch gelegt. Mein Notebook als der Server haben entschsprechend die IP im richtigen Netz bekommen. Auf Port 1 liegen ja bekanntlich alle Netze. Nach dem Change wurde mir der Switch im Controller alelrdings als offline angezeigt und in der OPNsense war er auch nicht mehr auffindbar.
Den LAN Port wollte ich mir eigentlich frei halten.
Sorry, aber DU selber hast doch die VLAN Interfaces auf das Parent Interface igb1 gelegt auf das der LAN Port gebunden ist. Siehe dein eigener Screenshot oben!!igb2 ist ja auf den Port "i.management" gebunden was dann NICHT Parent Interface der VLANs ist. Die hast du ja selber auf igb1 (LAN) gelegt.
Typischer PEBKAC Fehler dann wenn die VLANs auf igb2 haben willst.
ok, verstehe: ich bin doof - ja offensichtlich sonst würde ich nicht fragen.
Der Versuch die VLANS auf igb2 zu legen funktionierte leider nicht. Keine Gerät wurde erkannt.
Immerhin habe ich jetzt den Switch als auch einen AP per Controller aufnehmen können. "Routing" des WLAN per VLAN hackt noch etwas.
Aber die Frage nach der Belegung bleibt. Hat da jemand evtl. einen Ansatz? Docs von OPNsense bringen mich da nicht wirklich weiter.
Die zweite Sache die ich noch offen habe ist, wo weise ich denn jetzt IP adressen zu. Heißt mein Switch und meine AP´s sollen im management vlan stehen. Mit dem AP hat das mittels Portbelegung bereits geklappt, allerdings kann ich per OPNsense keine statische IP vergeben dann wird er im Controller als Offline gekennzeichnet.
Der Switch ist aktuell das größere Problem. Dieser stehet noch im LAN, soll aber auch ins management vlan. wechsel der IP in OPNsense führt auch dazu dass der Switch offline geht und gar nicht mehr nutzbar ist (neues Setup ist die Folge) . Nach meinem Verständnis vergebe ich dich IP´s der Geräte in der OPNsense oder nicht? Wobei WLAN Geräte ja eigentlich alle am AP also irgendwie auch am Unifi Controller hängen. WO passiert vomn Ansatz die Verwlatung?
sonst würde ich nicht fragen.Der Versuch die VLANS auf igb2 zu legen funktionierte leider nicht. Keine Gerät wurde erkannt.
Immerhin habe ich jetzt den Switch als auch einen AP per Controller aufnehmen können. "Routing" des WLAN per VLAN hackt noch etwas.
Aber die Frage nach der Belegung bleibt. Hat da jemand evtl. einen Ansatz? Docs von OPNsense bringen mich da nicht wirklich weiter.
Die zweite Sache die ich noch offen habe ist, wo weise ich denn jetzt IP adressen zu. Heißt mein Switch und meine AP´s sollen im management vlan stehen. Mit dem AP hat das mittels Portbelegung bereits geklappt, allerdings kann ich per OPNsense keine statische IP vergeben dann wird er im Controller als Offline gekennzeichnet.
Der Switch ist aktuell das größere Problem. Dieser stehet noch im LAN, soll aber auch ins management vlan. wechsel der IP in OPNsense führt auch dazu dass der Switch offline geht und gar nicht mehr nutzbar ist (neues Setup ist die Folge) . Nach meinem Verständnis vergebe ich dich IP´s der Geräte in der OPNsense oder nicht? Wobei WLAN Geräte ja eigentlich alle am AP also irgendwie auch am Unifi Controller hängen. WO passiert vomn Ansatz die Verwlatung?
Der Versuch die VLANS auf igb2 zu legen funktionierte leider nicht.
Sorry, aber das ist doch ziemlicher Unsinn was du da schreibst. igb1 und igb2 sind doch hardwaretechnisch vollkommen identisch und es ist doch vollkommen Wumpe auf welches dieser Parent Interfaces du deine VLAN legst!Dazu musst du natürlich zuerst die VLANs auf igb1 vollständig im Setup entfernen! Auch die dazu korrespondierenden IP Interfaces!
Dann legst du sie auf igb2 komplett neu an inklusive der IP Interfaces und schliesst dann dort den Switch Uplinkk an und gut iss.
Du hast vermutlich die ursprüngliche VLAN Konfig auf igb1 nicht gelöscht und das das dann zum Chaos kommt ist doch klar. Sowas weiss aber auch ein Dummie...
hackt noch etwas.
"hacken" ??? Sowas macht man im Garten mit einer Gartenhacke aber nicht in der IT!!Du solltest schon beim Thema bleiben...!
Aber die Frage nach der Belegung bleibt.
Was bitte meinst du genau mit "Belegung"?? Du sprichst hier in Rätseln... wo weise ich denn jetzt IP adressen zu
Du meist IP Adressen den VLANs zuweisen, oder ?Die IP Adressen weist du auf der Firewall zu. Du klickst auf + fügst das virtuelle VLAN Interface hinzu das du vorher über die VLAN Definition angelegt hast und weist dem eine statische IP zu, fertisch.
Dann natürlich das Regelwerk an dem Interface nicht vergessen denn ohne Regel blockiert eine Firewall erstmal ALLES an dem Interface.
Als letztes aktivierst du auf dem Interface auch noch einen DHCP Server sofern du in dem VLAN automatische Adressvergabe haben willst. Fertig....
Ist doch alles kein hexenwerk und in 10 Minuten im GUI zusammengeklickt.
Das hiesige VLAN Tutorial erklärt das doch auch einfach und für Laien verständlich.
Lesen und verstehen...
Dieser stehet noch im LAN, soll aber auch ins management vlan.
OK, das ist aber auch ein Kinderspiel und schnell erledigt.Wenn du den VLAN Trunk auf igb2 gelegt hast, dann ist dein Parent Interface (physisch) ja der Port "i_management" sprich OPT1 (Siehe dein Screenshot oben).
Alles was dieser Port ohne Tags also untagged sendet geht beim angeschlossenen Switch in das Default VLAN (PVID VLAN). Das ist in der Regel immer das Default VLAN 1.
Wenn du das am Switch in ein anderes VLAN haben willst musst du das Default VLAN bzw. das PVID VLAN an dem Trunk Port der auf die Firewall geht entsprechend mit einer anderen ID konfigurieren.
Ist doch alles kein Hexenwerk und im Handumdrehen erledigt...
Damit das Drama mal ein Ende hat hier deine detailierten ToDos:
Neue VLAN Interfaces mit Klick auf "Add +" dem Assignments hinzufügen.
Übersicht der angelegten VLAN IP Interfaces:
Damit solltest nun auch DU das problemlos zum Fliegen bekommen!! 😉
Inhaltsverzeichnis
Prinzipschaubild (Beispiel mit igb0 Interface)
Anlegen der VLANs und Binden auf das physische Firewall Interface
Anlegen der IP Interfaces
Neue VLAN Interfaces mit Klick auf "Add +" dem Assignments hinzufügen.Übersicht der angelegten VLAN IP Interfaces:
IP Adressierung
DHCP Server im VLAN anlegen
Damit solltest nun auch DU das problemlos zum Fliegen bekommen!! 😉
Hey ho...ich sage Prost, es ist vollbracht! Läuft. Vielen Dank für euren Support.
Hab es für mich jetzt so lösen können. Schlüssel war das i_management auf den phy. Port und das Setup des Switches war etwas knifflig, 4,5 mal gegen die Wand aber nun verstanden ;).
Nun heißt es noch die FW regeln tunen um damit die any - any geschichten loszuwerden und DNS mäöchte noch noch mal prüfen, aber da habe ich ja bereits ein Thread eröffnet.
Bis zum nächsten mal ;)
Läuft. Vielen Dank für euren Support.Hab es für mich jetzt so lösen können. Schlüssel war das i_management auf den phy. Port und das Setup des Switches war etwas knifflig, 4,5 mal gegen die Wand aber nun verstanden ;).
Nun heißt es noch die FW regeln tunen um damit die any - any geschichten loszuwerden und DNS mäöchte noch noch mal prüfen, aber da habe ich ja bereits ein Thread eröffnet.
Bis zum nächsten mal ;)
Hey ho...ich sage Prost, es ist vollbracht!
Glückwunsch! 👏 War ja auch eine schwere Geburt mit dir!und das Setup des Switches war etwas knifflig
Kein Wunder wenn man den Schrott von UBQT nutzt. Billigstes OEM Zeug, Controllerzwang, usw. Von dem Müll kann man nur dringenst abraten. Das können Andere deutlich besser. Aber nundenn, letztendlich klappt es damit ja auch wie du siehst.Nun heißt es noch die FW regeln tunen
Dann viel Erfolg damit!
