Regel für VLAN (Unifi Gäste Netzwerk)

tiermutter

Well-known member
Moin zusammen,

ich habe am WE mein Unfi Controller vom Raspi in eine VM umziehen lassen, dabei ist mir eine Firewall Regel in der OPNsense aufgefallen, die ich mir nicht (mehr ?) so recht erklären kann, eventuell kann mir ja jemand von euch auf die Sprünge helfen.

Das Gäste WLAN ist mit dem VLAN 1317 eingerichtet, Adressbereich 10.13.17.0/24. Das VLAN wird von der Sense verwaltet (DHCP, etc.) und liegt auf dem LAN Interface, die Teilnehmer sind der Unifi Controller, die APs selbst sowie etwaige Geräte im Gäste WLAN. Bevor ein Gerät Zugang erhält muss es sich im Gästeportal des Unifi Controllers anmelden (Nutzungsbedingungen zustimmen). Dazu ist es entsprechend erforderlich, dass das Gerät Zugriff auf den Unifi Controller (10.13.17.250/24) hat, klar.
Meiner Meinung nach müsste der Weg vom Gäste-Client zum Unifi Controller im VLAN folgender sein:
Client => AP => Switch => Unifi Controller
Demnach dürfte es keiner Regel auf der Sense brauchen, da die Sense schlichtweg nicht im Weg steht.
Tatsächlich habe ich aber folgende Regel im Gästenetz drin, die den Zugriff auf den Unifi Controller aus dem Gastnetz erlaubt:
1634539504209.png
Ohne diese Regel erreicht ein Client im Gäste WLAN den Controller jedoch nicht und bekommt somit also auch keinen Zugang.

Nun frage ich mich was hier verkehrt ist, wenn die Sense doch eigentlich gar nicht im Weg steht.
Dem Client wird direkt beim Verbinden mit dem Gäste WLAN eine IP aus dem VLAN zugewiesen, müsste also direkt mit dem Controller kommunizieren können.

Jemand eine Idee?
 

blurrrr

Well-known member
Meiner Meinung nach müsste der Weg vom Gäste-Client zum Unifi Controller im VLAN folgender sein:
Client => AP => Switch => Unifi Controller
Demnach dürfte es keiner Regel auf der Sense brauchen, da die Sense schlichtweg nicht im Weg steht.
Das liest sich aber eher nicht so und das was Du da "geregelt" hast, sagt eigentlich nur:

Gastnetz -> anderes "Netz" (und nein, nicht nur einzelner "Host", denn das wäre /32)

Stellt sich mir schon direkt die Frage:

a) Ist dem "wirklich" so wie Du sagst? ("Guest net" = 10.13.17.0/24 (VLAN 1317), oder doch eher was anderes?)
b) Wenn sich wirklich alles in "einem" Netz befindet, hat die Firewall da sowieso erstmal garnichts mit zu tun. Solange die Pakete das Netz nicht verlassen, ist die Firewall auch garnicht involviert, woraus sich dann allerdings unweigerlich die Frage ergibt: Warum ist es doch so? Scheint ja irgendwas nicht so ganz richtig zu sein. Wenn die Pakete über die Firewall gehen, um den Controller (im vermeintlich) gleichen Netz zu erreichen, sind die Clients wohl "nicht" im gleichen Netz. 🙃
 

tiermutter

Well-known member
Gastnetz -> anderes "Netz" (und nein, nicht nur einzelner "Host", denn das wäre /32)
Stimmt, die /24 ist hier fehl am Platz, habe ich verpennt auf /32 zu ändern, zuvor war das gesamte Subnet freigegeben.
a) Ist dem "wirklich" so wie Du sagst? ("Guest net" = 10.13.17.0/24 (VLAN 1317), oder doch eher was anderes?)
Ne, genau so...
1634556835889.png
Wobei igb0= LAN Interface
DHCP für das VLAN = 10.13.17.2 - 10.13.17.200/24
Wenn die Pakete über die Firewall gehen, um den Controller (im vermeintlich) gleichen Netz zu erreichen, sind die Clients wohl "nicht" im gleichen Netz.
Sind sie aber. Sie beziehen im entsprechenden WLAN ausschließlich eine Adresse des Gäste-DHCP Pools und haben auch keinen Zugriff aufs LAN (der ohnehin bereits im Unifi Controller unterbunden wird und spätestens in der Sense enden würde).

Ich hatte ja die Vermutung, dass das Gästeportal bei der Anmeldung über das LAN erreicht werden soll, was aber
a) ohne LAN IP und weil die Sense es blocken würde nicht möglich wäre
b) das dann nicht von der eingangs erwähnten Regel abhängen würde

Im Livelog sehe ich auch stets dass diese Regel Traffic vom Client zum Controller erlaubt (10.13.17.8/24 an 10.13.17.250/24). Ohne die Regel erhalte ich entsprechende block durch default deny.
DHCP gibt als Gateway auch die VLAN IP der Sense als Gateway raus, was bei den Clients auch entsprechend ankommt.
 

blurrrr

Well-known member
Stimmt, die /24 ist hier fehl am Platz, habe ich verpennt auf /32 zu ändern
Im Livelog sehe ich auch stets dass diese Regel Traffic vom Client zum Controller erlaubt (10.13.17.8/24 an 10.13.17.250/24)
🤪🤣

Also von der grundlegenden Theorie macht das alles mal so gar keinen Sinn... Pakete werden nur ans Gateway geschickt, wenn das Ziel nicht "direkt" erreichbar ist (in einem "anderen" Netz ist). Sicher, dass die Netzmasken allesamt stimmen (😜😁)?

Wer macht denn den (benötigten) "redirect" zum Portal? Auf welchem Wege passiert das überhaupt (IP/DNS/Web)? Oder stellt die pfSense direkt das Portal (kann sie ja auch)?
 

tiermutter

Well-known member
Sicher, dass die Netzmasken allesamt stimmen (😜😁)?
😝 Ich habe jedenfalls nirgends etwas Auffälliges gesehen, im Unifi Controller ist das Netz auch korrekt eingerichtet:
1634561379936.png
Wobei mich das "USG required" beim Interface etwas irritiert, das gab es früher noch nicht meine ich. Eventuell blicke ich die Bedeutung aber auch nicht 🙃
Wer macht denn den (benötigten) "redirect" zum Portal? Auf welchem Wege passiert das überhaupt (IP/DNS/Web)? Oder stellt die pfSense direkt das Portal (kann sie ja auch)?
Die OPNsense kann auch das Portal machen, verwende ich aber nicht. Wie genau das abläuft ist eine gute Frage... angenommen man verwendet das nicht im VLAN sondern blockt den zugriff auf das LAN im Unifi Controller (was ich ebenfalls aktiv habe), so muss der Zugriff für die Anmeldung ja dennoch erlaubt sein, was man im Controller auch entsprechend einstellen kann (und was es auch ist, siehe Screenshot). Ob das erforderlich ist, oder ob die Erlaubnis automatisch erfolgt weil zwingend notwendig weiß ich nicht/ habe ich nicht ausprobiert, für mich war es so sinnvoll :)
Den redirect muss demnach ja eigentlich schon der AP machen, entweder zum Controller oder an andere Stelle (zB Portal der Sense, was im Controller auch eingestellt werden kann).
1634562028220.png
 

blurrrr

Well-known member
USW required... USG required.... Liest sich schon alles etwas dubios... Keine Ahnung, was da wieder an Extralocken dran sein soll, aber "VLAN only" geht sicherlich auch ohne einen Unify-Switch (das wäre ja so der 0815-Fall - div. SSIDs in verschiedenen VLANs). Ich weiss schon, warum ich mich bisher von dem Kram fern gehalten habe, mitunter muss ich mich da bald mit beschäftigen, aber bis dahin werde ich das Thema vermutlich noch etwas meiden 🤣

Weiss nicht, ob es Dir geläufig ist, aber hast Du evtl. mal bei einem WLAN-Client einen Paketmitschnitt gemacht? Also einmal komplett von vorn (WLAN-Connect) bis hinten (freie Fahrt ins Internet)? Sollte dann schon etwas Licht ins Dunkel bringen :)
 
Zuletzt bearbeitet:

tiermutter

Well-known member
An ein packet Capture hatte ich auch schon gedacht, weiß nur nicht was die Android Apps taugen, ein Capture auf der Sense dürfte nur die halbe Wahrheit erzählen. Wenn ich dazu komme mache ich das mal mit nem Windows Laptop.
 

the other

Well-known member
Moinsen,
ich oute mich mal wieder als Dummbatz und hab noch ein paar Fragen zu dem setting...sorry.
Erstmal: hab ich es richtig verstanden: dein AP und der Cloudkey bzw. der Controller sind selber auch im Gastnetz?? Haben also eine IP aus 10.13.17.0/24?
Lenkst du dann alles ohne Kabel durchs Gastnetz??
Und dann:
1. Gibt es denn sonst keine Regel im Gastvlan außer der einen abgebildeten?
2. Wenn dem so ist: wie bekommen denn die Geräte dann ihre Erlaubnis auf den DNS Server/Resolver zuzugreifen? Ist ja per default alles verboten...
3. Wenn dem so ist: wie erhalten die Geräte denn dann Zugang zum Internet?

Aktuell ist es doch so, dass für alles im Gastnetz der Zugriff mit IPv4 auf das Gastnetz (wegen der /24) erlaubt ist (was ja eigentlich egal sein müsste, da ja kein Routing erforderlich und eben damit die *sense nix damit zu tun hat)...
Im Netz hab ich noch dies gefunden (allerdings ist der Controller und AP da NICHT im Gastnetz, sondern in einem separaten Segment, daher die Regeln):
 

the other

Well-known member
Moinsen,
och, die Teile sind nun so schlecht nicht. Klar, das übliche Gejammer um Telemetriedaten nach Hause zu senden (wofür hat mensch ne Firewall), das ganze geht sicherlich auch in günstig, die Nummer mit dem extra Controller...trotzdem: ich mag die Teile, weil die auch hier im sehr verwinkelten Altbauhaus über drei Etagen alles gut ausstrahlen, weil die GUI recht okay ist, weil man diverse APs zentral verwalten kann...

Was bei den Teilen anfangs wirklich nervte war:
- dat Ding in ein anderes VLAN (außer default VLAN1/LAN) zu verfrachten ist etwas nervig, denn der Controller benötigt immer den Zugang zu den APs. Mitunter ist daher das "Adopting" etwas schwurbelig
- Kosten
- die Updates sind oft auf MS Niveau (aka ein Update flickt eine Lücke und macht zwei neue Probleme auf...)

Trotzdem: durchaus einen Blick wert. Ich selber nutze (weil selten Besuch, bin eben nicht nett zu Fremden :p ) kein Captive Portal...wer hier besucht, der bekommt das aktuell gültige WLAN Gast-Zugang Passwort oldschool mitgeteilt.
Für den Alltag als AP benötige ich zumindest kein USG...die Hauptfunktionen gehen auch so. Und auch den Controller benötigt man nur bei der Konfiguration oder eben mit dem Gastportal, sonst kann der auch mal Pause machen...
;)
 

tiermutter

Well-known member
dein AP und der Cloudkey bzw. der Controller sind selber auch im Gastnetz??
Der AP selbst ist nicht im Gastnetz (ist auch nicht konfigurierbar) und hat demnach keine IP aus dem Segment, ist aber an Ports angeschlossen die Teilnehmer des VLAN sind. Das WLAN mit der SSID "Gäste" ist dem VLAN zugeordnet, sodass die Geräte die Anfragen da rein senden. Der Controller ist Teilnehmer mit im VLAN.
Lenkst du dann alles ohne Kabel durchs Gastnetz??
Kabellos wird nur bis zum AP übertragen, alles andere ist kabelgebunden, bei einem AP über zwei Switche.
Gibt es denn sonst keine Regel im Gastvlan außer der einen abgebildeten?
Doch es gibt noch weitere Regeln, sodass DHCP, DNS und Internetzugriff möglich sind, diese sind auf dem Screenshot nur nicht abgebildet. Hier das komplette Ruleset:
1634707895674.png
Die falsche Regel mit der /24 ist bereits korrigiert und würde wie Du selbst schon schreibst erlauben, was keiner Erlaubnis bedarf.

Im Netz hab ich noch dies gefunden
Habe ich mal abgeglichen:

Redirection: Should be all unchecked (all buttons should be disabled regardless)
Waren welche aktiv, habe ich geändert. Sollte aber keinen Einfluss haben.
Pre-Authorization Access: None – leave empty.
Hier habe ich ja die VLAN IP des Controller freigegeben, lasse ich auch erstmal drin, kann ja keine negativen Auswirkungen haben.
Das legt aber den Verdacht nahe, dass hier automatisch der Zugriff auf den Controller zwecks Anmeldung zugelassen wird.
Ensure “Block LAN to WLAN Multicast and Broadcast Data” is checked – it should be checked, as you enabled Guest Policy above.
Habe ich gemacht, verstehe ich nicht ganz, aber egal... glaube das war zuvor aber aktiv und ich habe es zuletzt beim Rumtesten rausgenommen.
Interessant, das ist fast die Regel um die es bei mir geht und bei der wir scheinbar alle nicht begreifen, weshalb die sein muss.
Nur eben dass die Regel den Zugriff auf die LAN IP des Controllers erlaubt, wie Du ja schon angemerkt hast.
Second Rule:
Third Rule:
Blockt Guest zu LAN/ sense self, habe ich (momentan) anders gelöst.
Fourth Rule: (To the internets!)
Sieht bei mir ähnlich aus, hier wird auch der Zugriff auf LAN unterbunden (Dest =! LAN), werde ich aber wohl auch sauberer lösen wie in der Anleitung.

Diese First Rule macht in der Anleitung durchaus Sinn und könnte ich ebenso anwenden. Hier ist auch klar, dass der Traffic über die Sense geht, was aber immer noch nicht aufklärt, wieso meine Regel mit der VLAN IP greift. Es scheint ja so, als würde die Umleitung zum Gästeportal mit der LAN IP zu erfolgen, eventuell aber auch zu VLAN und LAN IP, sonst würde bei mir ja nichts funktionieren... :unsure:

Es bleibt ein Rätsel, ich werde es aber mal so umstricken und schauen was passiert, dann brauche ich mich auch nicht mehr rumwundern wenn der Traffic zum Controller über die Sense läuft :ROFLMAO:
 

the other

Well-known member
Moinsen,
hast du denn mittlerweile mal geschaut, was da an Paketen auf welchen Ports abläuft, also wofür da ggf. eine Erlaubnis benötigt wird?

Die APs und der Controller kommunizieren dann also über Segmentgrenzen hinweg?

Ansonsten scheint die opensense da doch andere Voraussetzungen zu bieten, als meine pfsense hier: ich muss zB für dhcp nix extra an Regeln anlegen (bei dem setting dhcp via pfsense pro segment), das klappt so.
 

tiermutter

Well-known member
Ne, noch nicht dazu gekommen weiter zu testen... Melde mich auf jeden Fall mit neuen Erkenntnissen.

Aus dem VLAN gelangt nichts ins LAN (momentan), die Kommunikation sollte also nur intern stattfinden.

Regeln für DHCP wird due pfsense auch brauchen, sonst würde sie die Anfragen beim Eingang ja verwerfen. Ich habe die Regeln auch nicht manuell angelegt, das passiert automatisch (so man das möchte), das wird pfsense auch so handhaben denke ich.
 

the other

Well-known member
Moinsen,
AFAIK werden die benötigen Regeln automatisch angelegt und werden in der gui nicht angezeigt. Da hast du recht. Solange die pfsense als dhcp fungiert, dieser auf dem Interface aktiv ist, ist auch keine extra manuell angelegte Regel nötig.
Ich war nur verwundert, dass die bei dir und der opensense angezeigt werden. :unsure::)
Für Dein eigentliches Problem hab ich weiter keine Eingabe...
Hier laufen controller und APs im eigenen VLAN, wollte die beiden nicht trennen, weil dann wieder Regeln nötig werden für deren Kommunikation. Kann dein setup daher nicht ganz nachbauen bzw. Bin zu faul, mein Netzwerk komplett umzustellen :D
 

tiermutter

Well-known member
Klingt nach einem Minuspunkt für pfsense, wenn solche Regeln nichtmal angezeigt werden können ;)

Zu einer kleinen Eingebung hast du mir aber irgendwie verholfen:
Erst ging meine Überlegung dahin, ob der Controller überhaupt auf dem VLAN lauscht. Tut er aber, per default scheinbar auf allen verfügbaren Interfaces, ist aber nicht in der GUI konfigurierbar und hätte auch keinen Einfluss auf die hinterfragte FW Regel bzw den komischen Weg den die Anfragen gehen.
Was ist aber, wenn der Controller, bzw der Switch Port gar kein Teilnehmer des VLAN ist? Dann kann der Weg ja nur über die Sense gehen. Da der Controller eine statische IP hat braucht er auch gar keinen Zugriff auf das VLAN um diese vom DHCP zu bekommen. Wieso ich den Controller dann dennoch über das VLAN erreiche begreife ich nicht recht, ein kurzer Test ergibt jedenfalls, dass ich den Controller auch erreiche, wenn ich das Patchkabel vom vermeintlichen Switch Port anziehe, ergo dass ich dem falschen Port das VLAN zugewiesen habe und nicht dem an dem der Controller hängt.
Nun heißt es also erstmal fummeln und schauen was wo hängt. In diesem Zuge werde ich dann auch mal wieder für eine ordentliche Doku sorgen, die Belegung der Switch Ports habe ich nämlich erst jüngst aus der Doku verbannt, da durch ständige Änderungen zu viel dokumentiert werden musste. Da werde ich mir also was neues einfallen lassen, sprich eine bestimmte Portrange fix zuordnen und dokumentieren, der Rest kann weiterhin gesteckt werden wie nötig, insbesondere doe Patches zu den Patchfeldern kann ich leicht nachvollziehen, nicht aber die Patches zu den Geräten, da die Kabel nicht sichtbar verlegt sind und ich nicht dran komme.
Kurzum: ich habe da noch einiges zu tun, wird ne ganze Weile dauern bis es mit dem Gästekram weiter geht...
 

the other

Well-known member
Moinsen,
tja, die werden nicht in der gui angezeigt, nur über terminal. Man könnte ja auch argumentieren, wenn der dhcp virtuell auf dem dem vlan zugewandten interface sitzt, dann braucht es ja keine Regel, weil alles in einem Segment...:ROFLMAO:

Naja, hört sich jedenfalls so an, als solltest du wirklich erstmal schauen, ob da noch Leichen aus dem alten setting vorhanden sind. Das die Pakete ggf. eben doch via *sense gehen kann natürlich sein, wenn deine teilnehmenden clients in unbekannten Gefilden ähhh VLANs unterwegs sein könnten...wer weiß, ob dann die Zuweisungen noch passen.
Und erstmal alles checken (und ggf. neu dokumentieren) hat manchmal ja auch was...bin gespannt, ob es sich noch auflöst.
;)
 

tiermutter

Well-known member
So, Fall erledigt. @brauki346 hat recht, es muss nicht unnötig kompliziert sein. Ich muss das Gäste WLAN nicht noch zusätzlich mittels VLAN über die OPNsense laufen lassen, nur um eine weitere Sicherungsebene einzubauen, der Unifi Controller, bzw. die AP regeln das auch von allein, verbieten also den Zugriff auf das LAN, und das soll mir reichen.

Habe jetzt wieder ne Stunde rumgemacht und habe keine Lösung in Sicht das wieder hinzubekommen.
VLAN war übrigens korrekt zugewiesen, Kommunikation im VLAN funktioniert auch, alles funktioniert so wie vorgesehen, wenn ich entsprechende Einstellungen vornehme, nur eben das Guest Portal nicht (mittlerweile nicht mal mehr Internetzugriff), aber die Sense blockt hier auch nichts was sie nicht soll. Kein Bock mehr.

Also @brauki346 : Wenn Du das nächste Mal hier bist ist es etwas leichter aus dem Gäste WLAN in mein LAN einzudringen 🤪
 

the other

Well-known member
Moinsen,
Spannende Rückmeldung. Soll bedeuten, dass die APs ähnlich wie die fritzbox ein eigenes Gast Segment aufmachen und analog der fritzbox trennen vom lan?
Das würde dann ja auch die firewall Regel erklären...oder hab ich jetzt den Knoten im Kopf? o_O:ROFLMAO:
Ist das Gast Netzwerk dann zusätzlich zu den möglichen 4 ssids möglich oder sind es dann 3 + 1?
 

tiermutter

Well-known member
Soll bedeuten, dass die APs ähnlich wie die fritzbox ein eigenes Gast Segment aufmachen und analog der fritzbox trennen vom lan?
Wie die Fritte das macht weiß ich nicht, die Unifi AP erstellen jedenfalls kein separates Netz sondern verbieten lediglich den Clients mit definierbaren Netzen zu sprechen, wobei der Controller selbst zwecks Anmeldung im Gäste Portal ausgenommen ist. Es muss also nichts geroutet werden, daher erklärt es die Regel noch nicht.
Ist das Gast Netzwerk dann zusätzlich zu den möglichen 4 ssids möglich oder sind es dann 3 + 1?
4 SSID? Es sind 8, danach muss irgendwie gruppiert werden. Das Gast WLAN zählt dann aber zu den 8...
1635452384773.png
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Letzte Anleitungen

Statistik des Forums

Themen
937
Beiträge
13.660
Mitglieder
466
Neuestes Mitglied
wischi83
Oben