Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PFsense + Unifi - Wlan in Vlan

Mitglied: finius

finius (Level 1) - Jetzt verbinden

09.11.2019, aktualisiert 14:41 Uhr, 467 Aufrufe, 11 Kommentare, 3 Danke

Hallo zusammen,

ich verliere langsam die Nerven. Ich versuche mit Pfsense und Unifi über einen Unifi AP das Gastnetz in ein Vlan zu bekommen und scheitere. Vielleicht hat ja jemand von euch eine Idee oder sieht etwas was ich übersehen habe.

Aufbau:
PFsense auf der Netgate 3100 über PPPOE an ein Draytek Vigor im Bridgemode

Netgate an Unifi Switch an Unifi AP

Unifi Controller auf einer Ubuntu VM

Derzeitige Konfiguration:

2019-11-09 14_31_52-meinepfsense.localdomain - status_ dashboard - Klicke auf das Bild, um es zu vergrößern
2019-11-09 14_32_37-meinepfsense.localdomain - interfaces_ guest (mvneta1.30) - Klicke auf das Bild, um es zu vergrößern
2019-11-09 14_33_07-meinepfsense.localdomain - interfaces_ vlans_ edit - Klicke auf das Bild, um es zu vergrößern
2019-11-09 14_32_24-meinepfsense.localdomain - interfaces_ guest (mvneta1.30) - Klicke auf das Bild, um es zu vergrößern
2019-11-09 14_32_52-meinepfsense.localdomain - interfaces_ interface assignments - Klicke auf das Bild, um es zu vergrößern
2019-11-09 14_34_25-meinepfsense.localdomain - services_ dhcp server_ guest - Klicke auf das Bild, um es zu vergrößern
2019-11-09 14_35_04-meinepfsense.localdomain - firewall_ rules_ guest - Klicke auf das Bild, um es zu vergrößern
2019-11-09 14_36_02-unifi - Klicke auf das Bild, um es zu vergrößern
2019-11-09 14_35_38-unifi - Klicke auf das Bild, um es zu vergrößern
2019-11-09 14_36_16-ecodms connection-manager - Klicke auf das Bild, um es zu vergrößern

Ich kann mich mit der SSID (Schmarotzer) verbinden bekomme jedoch keinen Zugang zum Internet und der Client bekommt keine Adresse aus dem definierten Adressbereich.

Sieht jemand meinen Denkfehler?
Vielen Dank
Finius
Mitglied: Spirit-of-Eli
09.11.2019 um 15:00 Uhr
Moin,

ist LAN zu WLAN Multicast deaktiviert?
Das war bei mir letztens ein Problem.

Zusätzlich einmal die Funktion des vlans prüfen. Gibt es schon firewall regeln?

Gruß
Spirit
Bitte warten ..
Mitglied: farddwalling
09.11.2019 um 15:16 Uhr
Und der Port an dem deine Ubuntu VM hängt ist auch vlan 30 getagged?
Bitte warten ..
Mitglied: finius
09.11.2019 um 15:41 Uhr
2019-11-09 15_38_45-unifi - Klicke auf das Bild, um es zu vergrößern
nein ist aktiv.

Wie die funktion des Vlan prüfen?

Firewallregeln:
2019-11-09 15_40_46-efe1251a44f8455f124c464fa1b5bc04 (1160×116) - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: finius
09.11.2019 um 15:43 Uhr
nach meinem Verständnis übernimmt der Controller (in der Ubuntu VM) nur die Konfiguration. Die Steuerung übernehmen die einzelnen Netzwerkkomponenten (Switch und AP).
Also nein die VM hängt nicht im Vlan
Bitte warten ..
Mitglied: aqui
09.11.2019 um 15:54 Uhr
Das dazu korrespondierende VLAN Tutorial hast du gelesen ??
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Dort werden eigentlich alle Details zu diesem Setup erklärt. Ganz besonders nochmal im Praxis_Beispiel das ja exakt deinem Setup entspricht !

Um das wasserdicht zu testen solltest du am VLAN Switch erstmal einen Untagged Kupfer Testport einrichten in diesem Gast VLAN. Dort dann einen PC oder Laptop aufstecken und checken das er in diesem Gast VLAN auch sauber eine IP Adresse von der pfSense bekommt und auch ins Internet kommt.
Dann weisst du sicher das die Adressierung usw. in diesem Gast VLAN sauber und sicher funktioniert.
Ggf. kannst du auch dort gleich ein Captive_Portal einrichten und das ebenfalls wasserdicht testen für die Gäste.
Achtung !!
Die VLAN Interfaces haben Firewall üblich eine DENY any any Regel aktiv blocken also ALLEN Verkehr ! Nur das du das auf dem Radar hast und hier eine entsprechende regel einrichtest. Das Praxis Tutorial weist explizit auf diese Falle hin !!
Erst wenn das alles sauber klappt machst du dich an den Access Point und checkst dort die SSID zu VLAN ID Zuweisung im Setup usw.
Bitte warten ..
Mitglied: finius
09.11.2019 um 17:30 Uhr
ja das habe ich gelesen ...
Die Firewallregel besteht auch (siehe erster Post)

den test werde ich so mal durchführen ... danke für den Tipp.
Bitte warten ..
Mitglied: finius
09.11.2019 um 23:13 Uhr
01.
Nov 9 21:58:25	dhcpd		DHCPNAK on 192.168.5.186 to MAC-Adresse via mvneta1.30
02.
Nov 9 21:58:25	dhcpd		DHCPREQUEST for 192.168.5.186 from MAC-Adresse (Surface) via mvneta1.30: wrong network.
03.
Nov 9 21:58:25	dhcpd		DHCPNAK on 192.168.5.186 to MAC-Adresse via mvneta1.30
04.
Nov 9 21:58:41	dhcpd		DHCPDISCOVER from MAC-Adresse via mvneta1.30
05.
Nov 9 21:58:42	dhcpd		DHCPOFFER on 10.1.30.101 to MAC-Adresse (Surface) via mvneta1.30
06.
Nov 9 21:58:46	dhcpd		DHCPDISCOVER from MAC-Adresse (Surface) via mvneta1.30
07.
.
08.
.
09.
.
10.
.
11.
Nov 9 22:05:19	dhcpd		DHCPDISCOVER from MAC-Adresse (Surface) via mvneta1
12.
Nov 9 22:05:20	dhcpd		DHCPOFFER on 192.168.5.186 to MAC-Adresse (Surface) via mvneta1
13.
Nov 9 22:05:20	dhcpd		reuse_lease: lease age 596 (secs) under 25% threshold, reply with unaltered, existing lease for 192.168.5.186
14.
Nov 9 22:05:20	dhcpd		DHCPREQUEST for 192.168.5.186 (192.168.5.1) from MAC-Adresse (Surface) via mvneta1
15.
Nov 9 22:05:20	dhcpd		DHCPACK on 192.168.5.186 to MAC-Adresse (Surface) via mvneta1
Das spuckt mir das log aus wenn ich das ding via Kabel verbinde. MAC-Adresse = eigentliche MAC-Adresse
Bitte warten ..
Mitglied: Spirit-of-Eli
09.11.2019 um 23:15 Uhr
Das Device bekommt die response nicht würde ich sagen.
Bitte warten ..
Mitglied: finius
10.11.2019 um 09:54 Uhr
an was kann das liegen?
Bitte warten ..
Mitglied: Looser27
10.11.2019 um 10:41 Uhr
Hat der AP tagged Ports für alle VLAN, im Die Clients verschoben werden sollen?
Bitte warten ..
Mitglied: aqui
10.11.2019, aktualisiert um 10:50 Uhr
Die Firewallregel besteht auch (siehe erster Post)
Und ist falsch.
Sie dir die mal genau an !!!
Als Destination steht da ein Netzwerk Alias deines Privat Netzes drin ! Sprich die Regel lässt einzig und allein nur IP Pakete durch dessen Quellnetzadresse das Gastnetz ist und dessen Zieladresse das Private Netz ist.
Mal abgesehen das diese Regel für ein Gastnetz völliger Unsinn ist (man will Gäste ja gerade NICHT im Privatnetz haben !!!) ist sie auch falsch. DHCP hat als Source 0.0.0.0 und als Destination 255.255.255.255.
Ändere deine Gastenetz Adresse testweise erstmal ab in:
PASS, Source: <Gast_net>, Port: ANY --> Destination: ANY, Port: ANY

Danach sollt es klappen !
Um das Gastnetz nachher zu sperren vom Privatnetz wäre:
DENY, Source: <Gast_net>, Port: ANY --> Destination: <Privat_net>, Port: ANY
PASS, Source: <Gast_net>, Port: ANY --> Destination: ANY, Port: ANY

dann das richtige Regelwerk.
Oder...
Wenn du den Gästen rein nur surfen erlauben willst dann:
DENY, Proto: IP, Source: <Gast_net>, Port: ANY --> Destination: <Privat_net>, Port: ANY
PASS, Proto: UDP/TCP, Source: <Gast_net>, Port: ANY --> Destination: ANY, Port: 53
PASS, Proto: TCP, Source: <Gast_net>, Port: ANY --> Destination: ANY, Port: 80
PASS, Proto: TCP, Source: <Gast_net>, Port: ANY --> Destination: ANY, Port: 443

Wenn du dein Gastnetz mit einem [ Captive_Portal] auf der pfSense ausgerüstet hast musst du im Regelwerk auch die Portalseite erlauben:
DENY, Proto: IP, Source: <Gast_net>, Port: ANY --> Destination: <Privat_net>, Port: ANY
PASS, Proto: UDP/TCP, Source: <Gast_net>, Port: ANY --> Destination: ANY, Port: 53
PASS, Proto: TCP, Source: <Gast_net>, Port: ANY --> Destination: <Gast_address>, Port: 8000-8003
PASS, Proto: TCP, Source: <Gast_net>, Port: ANY --> Destination: ANY, Port: 80
PASS, Proto: TCP, Source: <Gast_net>, Port: ANY --> Destination: ANY, Port: 443

Das wars...
Wie gesagt erstmal alles wasserdicht an einem LAN Kupferport testen.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Cisco - Vlan für Wlan
gelöst Frage von KnorkatorNetzwerkmanagement3 Kommentare

Hallo zusammen, Wie vielleicht einige gesehen haben, löse ich unsere bisherigen LevelOne Switche gegen Cisco SG350er Switche ab. Gleichzeitig ...

LAN, WAN, Wireless
Vlan und Wlan trennen
gelöst Frage von Bernd67LAN, WAN, Wireless22 Kommentare

Hallo, bin neu hier und habe eine Frage. Sorry für die Titelbeschreibung, ich wusste nicht, wie ich ihn nennen ...

LAN, WAN, Wireless
VLAN über WLAN erreichen
Frage von fundave3LAN, WAN, Wireless29 Kommentare

Hallo zusammen, Ich habe gerade ein kleines Problemchen. Ich habe in der Gartenhütte einen Router stehen, der als WLAN ...

Router & Routing
Vlan Verbindungsproblem mit WLAN Bridge
Frage von MackDaddyRouter & Routing6 Kommentare

Hallo mein Problem ist das Vlan2 nicht auf den Fileserver zugreifen kann. Im Switch sind die Vlans eingerichtet und ...

Neue Wissensbeiträge
Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 2 StundenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 8 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Datenschutz
Im Zweifel ist die Cloud immer unsicher
Information von certifiedit.net vor 1 TagDatenschutz19 Kommentare

Hallo, wie schon mehrmals angesprochen, egal, womit der Dienst wirbt, im Zweifel ist es in der Cloud immer unsicher(er) ...

Heiß diskutierte Inhalte
Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Ubuntu
Ubuntu-Putty hilfe
Frage von Nickolas.GroheUbuntu27 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Windows Tools
Suche Suchprogramm
Frage von tsunamiWindows Tools24 Kommentare

Hallo, ich brauche einen Tipp für ein profesionelles Suchprogramm. Es geht um rund 3 TB Dokiumente auf ner externen ...

Windows Server
AD, Sysprep, Clone, SID . oh weh
Frage von heifumaWindows Server23 Kommentare

Moin, ich versuche es so kurz wie möglich zu halten: Ist-Zustand: - IT Dienstleister hat Monopol für die bei ...