opnsense + ubiquiti + vlans

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3166
Lid geworden op: 10 Mar 2010
Bedankt: 329 keer
Uitgedeelde bedankjes: 48 keer

opnsense + ubiquiti + vlans

Berichtdoor Splitter » 1 week 22 uur 49 minuten geleden (14 Apr 2018, 19:40)

waarschijnlijk iets heel doms, maar...
ik heb me een edgeswitch aangeschaft om een domme tp-link te vervangen en wil nu volgende bereiken:

- vlans en dhcp vanop de opnsense
- routering tussen de vlans vanop de switch

setup:
opnsense vlan 1 - 10.1.0.1
opnsense vlan 150 - 10.1.150.1
edgeswitch vlan 1 - dhcp
edgeswitch vlan 150 - 10.1.150.2

ik krijg een vlan (150) ingesteld op de opnsense.
ik kan ook een ip binnen dat vlan krijgen op mijn pc. (10.1.150.x)
vanaf een pc op vlan 150 kan ik wel de switch pingen, maar niet de opnsense en ook niet het internet.
ik kan ook niet aan vlan 1.

omgekeerd hetzelfde verhaal, dus het lijkt alsof er niet gerouteerd is tussen de vlans, terwijl ik routering wel aan heb staan in de edgeswitch.

iemand die me even een duwtje kan geven?
ooit zal hier iets nuttigs staan

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 2884
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 116 keer
Recent bedankt: 16 keer
Uitgedeelde bedankjes: 36 keer
Contact:

Re: opnsense + ubiquiti + vlans

Berichtdoor Sasuke » 1 week 21 uur 48 minuten geleden (14 Apr 2018, 20:42)

Vermoedelijk staat de Opnsense als je default gateway in beide vlans en sullen de firewall rules op de opnsense beletten dat er communicatie is tussen de interfaces. Als je de switch wil gebruiken om te routeren moet de switch een IP hebben in de vlans en als def. Gateway staan voor de resp. Subnets. In de switch moet je dan nog een route naar internet hebben die naar de OpnSense verwijst.
Logic - The art of being wrong with confidence !
Afbeelding

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3166
Lid geworden op: 10 Mar 2010
Bedankt: 329 keer
Uitgedeelde bedankjes: 48 keer

Re: opnsense + ubiquiti + vlans

Berichtdoor Splitter » 1 week 19 uur 39 minuten geleden (14 Apr 2018, 22:50)

:oops:

enerzijds had ik inderdaad een paar regels over het hoofd gezien in de firewall, anderzijds bleef ik problemen hebben met vlan150 tot ik een extra vlan toevoegde...
vreemd, maar waarschijnlijk het gevolg van wat teveel te prutsen (en te wisselen tussen de nieuwe en oude interface van de edgeswitch)

thx :)
ooit zal hier iets nuttigs staan

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3166
Lid geworden op: 10 Mar 2010
Bedankt: 329 keer
Uitgedeelde bedankjes: 48 keer

Re: opnsense + ubiquiti + vlans

Berichtdoor Splitter » 1 week 8 uur 51 minuten geleden (15 Apr 2018, 09:38)

hmm, een van de redenen dat ik vergeten te kijken was naar de firewall was omdat ik eigenlijk niet aan het mikken was op router-on-a-stick,
wat ik nu dus wel weer heb...
ik heb wel wat ervaring met simpele vlans zonder specifieke regels e.d., maar mijn setup moet weer net wat ingewikkelder worden.

laat me mijn vraag herformuleren :)


wat is de beste manier om volgende te krijgen:

- dhcp vanaf de opnsense naar alle vlans (zodat ik in de opnsense hostnames en fixed ips e.d. kan definieren)
- routering tussen de vlans vanaf de switch (zodat er geen bottleneck komt tussen switch en opnsense)

en voor de bonuspunten:
- firewall op de opnsense die nog regels kan toepassen (ik vermoed dat ik hiervoor het best kan werken met port isolation... maar ik wil anderzijds (deels) werken met mac-based vlans dus dan is port isolation niet van toepassing...)
ooit zal hier iets nuttigs staan

blaatpraat
Premium Member
Premium Member
Berichten: 614
Lid geworden op: 10 Jan 2014
Bedankt: 46 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 20 keer

Re: opnsense + ubiquiti + vlans

Berichtdoor blaatpraat » 1 week 8 uur 6 minuten geleden (15 Apr 2018, 10:23)

Dan heb je 3 vlans nodig:
Je stelt deze zowel in de opensense als in de switch in.
De switch geef je in elke VLAN een IP-adres.
Deze doet dan ook dienst als gateway voor iedere vlan (richting de eindgebruikers).

Dan heb je nog een extra vlan (de derde, in functie dat je er 2 had voorheen), en deze vlan stel je in op de poort die de uplink is naar de opnsense.
Op de opnsense stel je ook een IP in, in deze range (om IP adressen uit te sparen: een /30 volstaat).

In de switch stel je het IP van deze uplink in als default gateway.

Voor DHCP zul je een helper IP naar de opnsense moeten instellen.

De gateway die je zult meegeven via DHCP is het IP van de switch, per vlan.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3166
Lid geworden op: 10 Mar 2010
Bedankt: 329 keer
Uitgedeelde bedankjes: 48 keer

Re: opnsense + ubiquiti + vlans

Berichtdoor Splitter » 1 week 28 minuten 59 seconden geleden (15 Apr 2018, 18:01)

van het moment dat ik de switch als GW zet kan ik wel intern aan alles maar niet meer naar internet toe.
om een of andere reden komt het verkeer op opnsense toe op het juiste vlan voor udp, maar tcp komt in de default vlan terecht...

EDIT:

blaatpraat schreef:Dan heb je 3 vlans nodig:
Je stelt deze zowel in de opensense als in de switch in.
De switch geef je in elke VLAN een IP-adres.
Deze doet dan ook dienst als gateway voor iedere vlan (richting de eindgebruikers).


dit wist en had ik

blaatpraat schreef:Dan heb je nog een extra vlan (de derde, in functie dat je er 2 had voorheen), en deze vlan stel je in op de poort die de uplink is naar de opnsense.
Op de opnsense stel je ook een IP in, in deze range (om IP adressen uit te sparen: een /30 volstaat).


dit veronderstelde ik dat ik kon doen met vlan1.... guess not dus

ik heb nu een redelijk werkende config met:

- vlan1 die default gateway is voor de switch (system - connectivity - ipv4), maar eigenlijk dus niet dient. deze mag blijkbaar niet gerouteerd staan
- vlan11 als link tussen de switch en de opnsense (gerouteerd met een /30, en ingesteld als default route)
- vlans 2,3,4,5,10 als scheiding voor de verschillende zaken op mijn netwerk (elk ingesteld op opnsense, die ook dhcp doet, met default gateway ingesteld op het switch ip van desbetreffend vlan)

enige wat ik nog moet zien uit te vinden is waarom mac based vlans niet correct werkt (krijg wel een ip in de juiste range, maar weer geen internet)

conclusies:
- een flat netwerk is veel eenvoudiger :P
- de manier waarop ik tot hiertoe in contact ben gekomen met vlans was heel wat minder "uitgebreid")

maar wat ik me nu nog afvraag is naar veiligheid toe, want:

- de switch routeert tussen de vlans, dus iemand binnen 1 van de vlans kan overal aan? (en stel dat ik het gateway ip terug zou zetten naar de opnsense, ik vermoed als iemand dan vervolgens een fixed ip instelt terug met de gw van de switch dat de switch terug alles routeert en dus de firewall omzeilt?)
ooit zal hier iets nuttigs staan

blaatpraat
Premium Member
Premium Member
Berichten: 614
Lid geworden op: 10 Jan 2014
Bedankt: 46 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 20 keer

Re: opnsense + ubiquiti + vlans

Berichtdoor blaatpraat » 6 dagen 20 uur 43 minuten geleden (15 Apr 2018, 21:47)

Splitter schreef:maar wat ik me nu nog afvraag is naar veiligheid toe, want:

- de switch routeert tussen de vlans, dus iemand binnen 1 van de vlans kan overal aan? (en stel dat ik het gateway ip terug zou zetten naar de opnsense, ik vermoed als iemand dan vervolgens een fixed ip instelt terug met de gw van de switch dat de switch terug alles routeert en dus de firewall omzeilt?)

Klopt, iedereen kan overal aan.
Enige manier om dit te doen, is geen routering doen door een L3 switch, maar door een firewall.
Eventueel kun je wel met een ACL werken op de switch, maar vaak ondersteunen switches dit niet.

Imo is een L3 switch enkel handig om je broadcast domains te verkleinen, en bijgevolg minder risico op spanningstree en dergelijke.
Niet omwille van security, daarvoor heb je nog steeds een echte router of een firewall nodig.


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 2 gasten