opnsense + ubiquiti + vlans

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

waarschijnlijk iets heel doms, maar...
ik heb me een edgeswitch aangeschaft om een domme tp-link te vervangen en wil nu volgende bereiken:

- vlans en dhcp vanop de opnsense
- routering tussen de vlans vanop de switch

setup:
opnsense vlan 1 - 10.1.0.1
opnsense vlan 150 - 10.1.150.1
edgeswitch vlan 1 - dhcp
edgeswitch vlan 150 - 10.1.150.2

ik krijg een vlan (150) ingesteld op de opnsense.
ik kan ook een ip binnen dat vlan krijgen op mijn pc. (10.1.150.x)
vanaf een pc op vlan 150 kan ik wel de switch pingen, maar niet de opnsense en ook niet het internet.
ik kan ook niet aan vlan 1.

omgekeerd hetzelfde verhaal, dus het lijkt alsof er niet gerouteerd is tussen de vlans, terwijl ik routering wel aan heb staan in de edgeswitch.

iemand die me even een duwtje kan geven?
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Vermoedelijk staat de Opnsense als je default gateway in beide vlans en sullen de firewall rules op de opnsense beletten dat er communicatie is tussen de interfaces. Als je de switch wil gebruiken om te routeren moet de switch een IP hebben in de vlans en als def. Gateway staan voor de resp. Subnets. In de switch moet je dan nog een route naar internet hebben die naar de OpnSense verwijst.
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

:oops:

enerzijds had ik inderdaad een paar regels over het hoofd gezien in de firewall, anderzijds bleef ik problemen hebben met vlan150 tot ik een extra vlan toevoegde...
vreemd, maar waarschijnlijk het gevolg van wat teveel te prutsen (en te wisselen tussen de nieuwe en oude interface van de edgeswitch)

thx :)
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

hmm, een van de redenen dat ik vergeten te kijken was naar de firewall was omdat ik eigenlijk niet aan het mikken was op router-on-a-stick,
wat ik nu dus wel weer heb...
ik heb wel wat ervaring met simpele vlans zonder specifieke regels e.d., maar mijn setup moet weer net wat ingewikkelder worden.

laat me mijn vraag herformuleren :)


wat is de beste manier om volgende te krijgen:

- dhcp vanaf de opnsense naar alle vlans (zodat ik in de opnsense hostnames en fixed ips e.d. kan definieren)
- routering tussen de vlans vanaf de switch (zodat er geen bottleneck komt tussen switch en opnsense)

en voor de bonuspunten:
- firewall op de opnsense die nog regels kan toepassen (ik vermoed dat ik hiervoor het best kan werken met port isolation... maar ik wil anderzijds (deels) werken met mac-based vlans dus dan is port isolation niet van toepassing...)
blaatpraat
Elite Poster
Elite Poster
Berichten: 1300
Lid geworden op: 10 jan 2014, 12:09
Uitgedeelde bedankjes: 32 keer
Bedankt: 103 keer

Dan heb je 3 vlans nodig:
Je stelt deze zowel in de opensense als in de switch in.
De switch geef je in elke VLAN een IP-adres.
Deze doet dan ook dienst als gateway voor iedere vlan (richting de eindgebruikers).

Dan heb je nog een extra vlan (de derde, in functie dat je er 2 had voorheen), en deze vlan stel je in op de poort die de uplink is naar de opnsense.
Op de opnsense stel je ook een IP in, in deze range (om IP adressen uit te sparen: een /30 volstaat).

In de switch stel je het IP van deze uplink in als default gateway.

Voor DHCP zul je een helper IP naar de opnsense moeten instellen.

De gateway die je zult meegeven via DHCP is het IP van de switch, per vlan.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5230
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 520 keer
Recent bedankt: 9 keer

van het moment dat ik de switch als GW zet kan ik wel intern aan alles maar niet meer naar internet toe.
om een of andere reden komt het verkeer op opnsense toe op het juiste vlan voor udp, maar tcp komt in de default vlan terecht...

EDIT:
blaatpraat schreef:Dan heb je 3 vlans nodig:
Je stelt deze zowel in de opensense als in de switch in.
De switch geef je in elke VLAN een IP-adres.
Deze doet dan ook dienst als gateway voor iedere vlan (richting de eindgebruikers).
dit wist en had ik
blaatpraat schreef:Dan heb je nog een extra vlan (de derde, in functie dat je er 2 had voorheen), en deze vlan stel je in op de poort die de uplink is naar de opnsense.
Op de opnsense stel je ook een IP in, in deze range (om IP adressen uit te sparen: een /30 volstaat).
dit veronderstelde ik dat ik kon doen met vlan1.... guess not dus

ik heb nu een redelijk werkende config met:

- vlan1 die default gateway is voor de switch (system - connectivity - ipv4), maar eigenlijk dus niet dient. deze mag blijkbaar niet gerouteerd staan
- vlan11 als link tussen de switch en de opnsense (gerouteerd met een /30, en ingesteld als default route)
- vlans 2,3,4,5,10 als scheiding voor de verschillende zaken op mijn netwerk (elk ingesteld op opnsense, die ook dhcp doet, met default gateway ingesteld op het switch ip van desbetreffend vlan)

enige wat ik nog moet zien uit te vinden is waarom mac based vlans niet correct werkt (krijg wel een ip in de juiste range, maar weer geen internet)

conclusies:
- een flat netwerk is veel eenvoudiger :P
- de manier waarop ik tot hiertoe in contact ben gekomen met vlans was heel wat minder "uitgebreid")

maar wat ik me nu nog afvraag is naar veiligheid toe, want:

- de switch routeert tussen de vlans, dus iemand binnen 1 van de vlans kan overal aan? (en stel dat ik het gateway ip terug zou zetten naar de opnsense, ik vermoed als iemand dan vervolgens een fixed ip instelt terug met de gw van de switch dat de switch terug alles routeert en dus de firewall omzeilt?)
blaatpraat
Elite Poster
Elite Poster
Berichten: 1300
Lid geworden op: 10 jan 2014, 12:09
Uitgedeelde bedankjes: 32 keer
Bedankt: 103 keer

Splitter schreef: maar wat ik me nu nog afvraag is naar veiligheid toe, want:

- de switch routeert tussen de vlans, dus iemand binnen 1 van de vlans kan overal aan? (en stel dat ik het gateway ip terug zou zetten naar de opnsense, ik vermoed als iemand dan vervolgens een fixed ip instelt terug met de gw van de switch dat de switch terug alles routeert en dus de firewall omzeilt?)
Klopt, iedereen kan overal aan.
Enige manier om dit te doen, is geen routering doen door een L3 switch, maar door een firewall.
Eventueel kun je wel met een ACL werken op de switch, maar vaak ondersteunen switches dit niet.

Imo is een L3 switch enkel handig om je broadcast domains te verkleinen, en bijgevolg minder risico op spanningstree en dergelijke.
Niet omwille van security, daarvoor heb je nog steeds een echte router of een firewall nodig.
Plaats reactie

Terug naar “Netwerken en Security”