OPN(sense) und Unifi mit VLANs (Broadcast)
Hallo,
ich stolpere über ein Problem mittels OPN(sense) Firewall und Ubiquiti Unifi. Das Problem sehe ich auch bei anderen öfter.
Kurz zum allgemeinen Aufbau. Es ist immer eine OPNsense oder ähnliches als Firewall im Einsatz und dahinter sind VLAN getrennte Netzwerke, die über Unifi Switche und Access Points laufen. Die VLAN's funktionieren auch soweit Problemlos, außer dass die Broadcast Anfragen nicht schnell genug beantwortet werden.
Die Clients fordern im Kabelgebundenen Netzwerk per DHCP Request eine IP-Adresse im Netzwerk an. Diese Anfragen werden immer erst nach ca. einer Minute beantwortet.
Im WLAN ist das Problem mit aktivierten Captive Portal in anderer Weise vorzufinden. Sobald man sich am Portal authentifiziert hat und man sich zum nächsten WLAN Access Point bewegt, muss man sich erneut authentifizieren. Hierbei öffnet sich das Portal aber nur für einen Moment und es schließt sich sofort wieder. Dann ist man wieder im Internet.
Wenn man statt einer OPN(sense) das Unifi Gateway verbaut, tritt das Problem nicht auf. Kennt jemand dafür eine Lösung?
ich stolpere über ein Problem mittels OPN(sense) Firewall und Ubiquiti Unifi. Das Problem sehe ich auch bei anderen öfter.
Kurz zum allgemeinen Aufbau. Es ist immer eine OPNsense oder ähnliches als Firewall im Einsatz und dahinter sind VLAN getrennte Netzwerke, die über Unifi Switche und Access Points laufen. Die VLAN's funktionieren auch soweit Problemlos, außer dass die Broadcast Anfragen nicht schnell genug beantwortet werden.
Die Clients fordern im Kabelgebundenen Netzwerk per DHCP Request eine IP-Adresse im Netzwerk an. Diese Anfragen werden immer erst nach ca. einer Minute beantwortet.
Im WLAN ist das Problem mit aktivierten Captive Portal in anderer Weise vorzufinden. Sobald man sich am Portal authentifiziert hat und man sich zum nächsten WLAN Access Point bewegt, muss man sich erneut authentifizieren. Hierbei öffnet sich das Portal aber nur für einen Moment und es schließt sich sofort wieder. Dann ist man wieder im Internet.
Wenn man statt einer OPN(sense) das Unifi Gateway verbaut, tritt das Problem nicht auf. Kennt jemand dafür eine Lösung?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7459426849
Url: https://administrator.de/forum/opnsense-und-unifi-mit-vlans-broadcast-7459426849.html
Ausgedruckt am: 12.05.2025 um 00:05 Uhr
12 Kommentare
Neuester Kommentar
Diese Anfragen werden immer erst nach ca. einer Minute beantwortet.
1 Minute?? Das ist definitiv nicht normal und da stimmt generell mit deinem DHCP Setup etwas nicht! WER ist denn DHCP Server in den Segmenten oder arbeitest du mit einem zentralen DHCP Server und DHCP Forwarding?Es könnte aber auch eine falsche Spanning Tree Konfig sein sofern du mit Spanning Tree auf den Switches arbeitest.
Normalerweise gehen Switchports die nicht per Default im sog. Portfast Modus arbeiten erst nach ca. 40 Sekunden in den Forwarding Mode und können erst dann die DHCP Requests der Clients forwarden. Würde ungefähr mit deiner "Wartezeit" übereinstimmen.
Das solltest du also nochmal genau überprüfen und ist mit einem Wireshark schnell in 3 Minuten erledigt ob das ggf. der Fall ist.
Klemme den an einen Switchport und setze den Capture Filter auf DHCP und lass ihn mindestens 2 Minuten rennen falls du ein STP Portfast Problem hast.
Dann steckst du einen Client an einen Switchport mit bekannter Mac Adresse un checkst ob der DHCP Request Broadcast sofort am Wireshark auftaucht oder erst nach 40 Sekunden.
Taucht er sofort auf solltest du auch sofort einen Reply vom Server sehen der im Millisekundenbereich eintreffen sollte. Siehst du die 40 Sek. hast du sehr wahrscheinlich ein Portfast Problem oder ein problem mit dem DHCP Server.
muss man sich erneut authentifizieren.
Auch das ist nicht normal und deutet eher auf einen Konfig Fehler des Portals. Das CP funktioniert so das für die Dauer der Gültigkeit eines Vouchers oder User Logins die Client Mac Adresse im ARP Cache der Firewall gespeichert wird. Ist das der Fall poppt die Portalseite bei TCP 80 Traffic nicht hoch und der IP Traffic dieses Clients wird auch ohne Authentisierung geforwardet. Irgendwas stimmt da also an deinem Setup nicht.Vielleicht hilft dir das hiesige CP Tutorial was das Setup an einer pfSense beschreibt dessen ToDos ja zur OPNsense identisch sind.
Hallo,
Also Grundsätzlich funktioniert eine OPNsense mit Unifi. Ich selbst betreue 3 Netzwerke in der Konstellation mit vielen Geräten.
Hast du DHCP Snooping auf den Unifi switchen aktiviert? Wenn ja, welchen DHCP hast du hinterlegt?
Also Grundsätzlich funktioniert eine OPNsense mit Unifi. Ich selbst betreue 3 Netzwerke in der Konstellation mit vielen Geräten.
Hast du DHCP Snooping auf den Unifi switchen aktiviert? Wenn ja, welchen DHCP hast du hinterlegt?
Die OPN(sense) ist dort immer der DHCP-Server.
Ja, im Netzwerk wird mit Spanning Tree gearbeitet. Ein Wireshark Log habe ich mir gezogen. Dann schaue ich mal danach.
Ja, im Netzwerk wird mit Spanning Tree gearbeitet. Ein Wireshark Log habe ich mir gezogen. Dann schaue ich mal danach.
Die OPN(sense) ist dort immer der DHCP-Server.
Die antwortet auch bei 200 aktiven Usern im Millisekundebereich und ist de facto nicht das Problem.Ein Wireshark Log
Log?? 🤔
Ok… beantwortet aber nicht die Frage, ob du ggf DHCP snooping bei Unifi aktiviert hast
DHCP Snooping ist abgeschaltet.
Zitat von @tleifight89:
Wenn man statt einer OPN(sense) das Unifi Gateway verbaut, tritt das Problem nicht auf.
Nur um sicher zu gehen, Du verwendest die USG und OPNsense aber nicht parallel?Wenn man statt einer OPN(sense) das Unifi Gateway verbaut, tritt das Problem nicht auf.
Denn die teilen sich sonst die Router IP und Dinge wie DHCP.
Ich hab bei einem Kunden eine virtuelle PFSense, virtuelle Unifi Software unter Linux und Unifi Switche und APs.
Unifi macht nur die VLANs und SSIDs. Ich nutze dort kein WLAN Portal.
DHCP, DNS und Routing macht die pfsense. Dabei gibt es keine Probleme und keine Verzögerung.
Stefan
Zitat von @StefanKittel:
Denn die teilen sich sonst die Router IP und Dinge wie DHCP.
Ich hab bei einem Kunden eine virtuelle PFSense, virtuelle Unifi Software unter Linux und Unifi Switche und APs.
Unifi macht nur die VLANs und SSIDs. Ich nutze dort kein WLAN Portal.
DHCP, DNS und Routing macht die pfsense. Dabei gibt es keine Probleme und keine Verzögerung.
Stefan
Zitat von @tleifight89:
Wenn man statt einer OPN(sense) das Unifi Gateway verbaut, tritt das Problem nicht auf.
Nur um sicher zu gehen, Du verwendest die USG und OPNsense aber nicht parallel?Wenn man statt einer OPN(sense) das Unifi Gateway verbaut, tritt das Problem nicht auf.
Denn die teilen sich sonst die Router IP und Dinge wie DHCP.
Ich hab bei einem Kunden eine virtuelle PFSense, virtuelle Unifi Software unter Linux und Unifi Switche und APs.
Unifi macht nur die VLANs und SSIDs. Ich nutze dort kein WLAN Portal.
DHCP, DNS und Routing macht die pfsense. Dabei gibt es keine Probleme und keine Verzögerung.
Stefan
Das Problem mit dem Roaming tritt nur auf, wenn das Portal aktiviert ist. Ich habe das Phänomen schon öfter gesehen. Die meisten schalten dann einfach das Portal ab. Was jetzt nicht die ideale Lösung ist.
Das USG und die OPNsense laufen parallel, aber auf einem ist der DHCP-Server deaktiviert. Nachdem das USG das Netzwerk (Gäste und Default) verhält es sich deutlich besser, aber noch nicht perfekt.
Zitat von @tleifight89:
Das USG und die OPNsense laufen parallel, aber auf einem ist der DHCP-Server deaktiviert. Nachdem das USG das Netzwerk (Gäste und Default) verhält es sich deutlich besser, aber noch nicht perfekt.
Das USG und die OPNsense laufen parallel, aber auf einem ist der DHCP-Server deaktiviert. Nachdem das USG das Netzwerk (Gäste und Default) verhält es sich deutlich besser, aber noch nicht perfekt.
Dann musst Du bei der Definition der Netzwerk aber bitte auch auf die IPs achten.
Nicht das opnsense und usg beide die .1 für die jeweiligen vlans bekommen.
Stefan
1Ich habe das Phänomen schon öfter gesehen.
Ist hier bei 4 Firewalls mit ca. 50-70 Gastusern über mehrere Jahre noch nie aufgetreten.Das USG und die OPNsense laufen parallel
Tödlich! Ein Backdoor Router also, das ist sehr mieses L3 Netzwerk Design und ein NoGo, ganz besonders bei Gastnetzen. Die zu Recht vom Kollegen Kittel angesprochene Problematik ist nur ein kleiner Teil dieses fehlerhaften Designs. Wozu macht man solch einen Usinn??
Die IP's sind alle unterschiedlich in den Firewalls. Ich hatte gesehen, dass das STP-Protokoll auf der Default Einstellung war (32768).
Die IP's sind alle unterschiedlich in den Firewalls
Welche denn?? Ist aber letztlich auch egal, dein Frickeldesign ist ein sehr schlechtes und aus Security Sicht ein NoGo.
