OPNSense mit UniFi Switch und AP

[dtee]

Hi,

da der USG mir zu langsam ist und ich ein wenig mit OPNSense herumspiele hätte ich eine Frage.

OPNSense ist eingestellt und klappt soweit auch.

Schließe jetzt dort einen UniFi Switch an, an den ich 2 div. UniFi AP AC Pros anschließe. Das ist soweit auch alles klar.

Wenn ich jetzt an Port 7 und Port 8 die zwei APs anschließe und hier zwei WIFI-Netzwerke aufbauen will, wie mache ich das genau mit dem Native und Tagged Network im UniFi-Controller?
Bsp. Port 7:

• Native Network LAN
• Tagged Network IOT und WIFI

Heißt das dann, dass an dem Port eigentlich ein richtiges "LAN" anliegt, er aber nur IOT und WIFI VLANs durchlässt (sofern diese natürlich vorher definiert worden sind).

Ich hoffe, dass das verständlich war, was ich meine?

 

[InFlame]

Servus,

ein NativeLAN heißt, dass dass das angegebene Netzwerk ohne VLAN-Tags übertragen wird - sprich wenn du einen regulären PC anschließt er transparent kommunizieren kann.
Ein Tagged VLAN transportiert die Daten in einem VLAN-Frame verpackt (mit konfigurierter VLAN-ID versehen) - Clients ohne Konfiguration können ohne weitere Konfiguration die Daten nicht verwerten.

Der Switch transportiert alles, sofern nicht verboten oder limitiert.

Wenn du an der OPNsense die Konfiguration, wie oben beschrieben umsetzen möchtest konfigurierst du das LAN-interface regulär und fügst für die beiden Tagged Networks ein "Other Types" interface VLAN hinzu - dies kannst du hier konfigurieren.

Edit: im Anschluss an das erstellen des (sub-)Interfaces musst du dieses unter Assignments noch einem neuen Interface zuweisen und kannst es dann wie ein reguläres Interface konfigurieren.


Im Unify-Controller musst du die beiden konfigurierten SSIDs (wie auch immer die Konfig im UniFi aussieht) in das entsprechende VLAN Taggen / fließen lassen, dass zuvor an der OPNsense konfiguriert wurde. Den Traffic kannst du danach über die OPNsense nach deinen Bedürfnissen steuern.

Generell ist es aber ratsam für den Betrieb der APs auf dem Switch ein eigenes VLAN zu konfigurieren, dass nichts mit dem regulären Netzwerk zu tun hat und dieses auf den Ports, an denen die APs angeschlossen sind, als Native zu konfigurieren.

hoffe das hilft dir weiter.

MfG

 

[dtee]

Danke für Dein Feedback. Ja in OPNSense habe ich das richtig gemacht.

Bekomme nur noch nicht richtig die Verbindung zu UniFi in meinen Kopf.

Anbei zwei Screenshots wie ich es gemacht habe.

Wäre das bzgl. des UniFi Switches im Controller der richtige Weg?
Sprich Port 8 und dann dort ein Switch Profile mit der Konfiguration aus dem Screenshot.



bzw. in OPNSense dann wie folgt:


Danke für die Hilfe.

 

[InFlame]

sollte vom Aufbau im OPNsense passen - sind die Access-Points im Native-VLAN pingbar bzw. bekommen Sie eine IP durch den DHCP zugeordnet?

die VLAN Tags im Unitfy passen auch. Daran sollte es nicht scheitern. Mach bitte noch einmal einen Screenshot von den Advanced Options - vllt versteckt sich hier noch etwas, dass den Verkehr behindert.

 

[dtee]

Danke.

Anbei 2 Screenshots. Einmal vom Switch Profile und einmal von den WIFI Settings von einem der beiden VLANs.

 

[InFlame]

Servus,

Ich kann soweit keine Fehler feststellen - hast du einen radius für die kabelgebundenen Geräte aktiv? Force authorization ist aktiv.

 

[dtee]

Danke für die Info. Das war aus versehen.

In dem Zuge eine Frage bzgl. OPNSense - gibt es denn da etwas was man empfehlen kann als Hardware für so eine OPNSense Firewall.

Teste das mit einem alten Zotac Rechner und leider ist die Performance (da 1GBit/s Leitung) nicht so gut....

Bräuchte halt was kleines, nettes mit mit mind. 2 x LAN Karte drin. Und halt nicht zu teuer... Weil dann könnte man ja auch schon fast wieder eine UDM Pro kaufen?!

 

[InFlame]

Servus,

generell lässt sich OPNsense gut virtualisieren - hab die OPNsense mit 2 vCores (Xeon Ee 1225v5) auf nem Hyper-V laufen - wenn ich Sensei raus nehme schafft er auch die 1gibt/s ohne Probleme.

2 NICs sind eigentlich nicht zwingend erforderlich wenn du VLAN-fähige Hardware hast und eine Virtualisierungsplattform nutzt. Empfehlungen zur Hardware kannst du dir im OPNsense forum holen.

MfG

 

[dtee]

Danke.

Ich weiß nicht so recht?! Firewall virtualisieren ist glaube ich nicht so mein Ding.