Firewallregeln greifen nicht
-
@tutanchamun
Also dein Setup scheint mir doch ziemlich kompliziert.
Die aktuell vorhanden Unify APs werden doch VLANs und mehrere SSIDs beherrschen?Wie auch immer, dein Problem ist ein klassisches asymmetrisches Routing:
Request-Paket: Gast > UnifiSecurityGTW > Unify Controller
Response: Unify Controller > pfSense ??
Der UnifiSecurityGTW schickt die Pakete mit Ziel Unify Controller direkt zu diesem, der ist ja im selben Subnetz. Die Zieladresse des Response ist aber die des Gast und damit in einem anderen Netzwerksegment, also schickt der Controller die Antwort zum Standardgateway, zur pfSense. Die hat das SYN-Paket nicht bekommen und lässt damit die weiteren auch nicht zu.Nachdem der UnifiSecurityGTW ein Router ist, sollte er in ein eigenes Subnetz, damit auch ordentlich geroutet werden kann:
Request-Paket: Gast > UnifiSecurityGTW > pfSense > Unify Controller
Response: Unify Controller > pfSense > UnifiSecurityGTW > GastDas Subnetz könntest du auch mit einem VLAN realisieren.
Auch wenn du den UnifiSecurityGTW als AP konfigurieren könntest, müsstest du VLANs einsetzen, um die Netze sauber zu trennen.
Die schlampige Lösung:
In der Regel, die du erstellt hast, um das Problem zu beheben, könntest du "Sloppy state" aktivieren.
Das hab aber nicht ich empfohlen! -
Dafür gibts dann die Funktion IP Helper, das findest du unter Service DHCP Relay.
Dann leitet die Sense den BC vom Client als Unicast an den DHCP Server weiter, der antwortet der Sense und diese gibt das per BC wieder ins anfragende Client Netz zurück.
DNS gibst du dann über den DHCP einfach mit, dann brauchst du in der Sense nur noch Regelwerk und Routen für den jeweils passenden next Hop.
Das ist Netzwerk Basic. -
Danke für die Antworten. Ich werde das Morgen noch einmal in Angriff nehmen. Ich melde mich, falls wieder Fragen aufkommen
-
Hallo zusammen,
ich habe jetzt hier noch einmal herumgebastelt und bekomme es einfach nicht ans Laufen. Vielleicht ist es nur eine Kleinigkeit, aber ich bin zu unwissend, da eine Lösung für zu finden.
Ich habe jetzt noch einmal versucht das Gast-WLAN neben den bereits laufenden anderen WLANs zu realisieren.
Ich habe Folgendes gemacht. Den UnifiSecurtyGTW habe ich erst einmal wieder vom Netz genommen.
Ich habe ein weiteres WLAN ausgestrahlt: "Josef Stift Gast"
Das ist verbunden mit dem VLAN: GAST ID100
Auf der pfSense habe ich ein VLAN erstellt was über das Interface "Bewohner" geht: Ebenfalls mit ID 100
Ich habe neben dem Bewohner Captive Portal, was ohne Probleme funktioniert, noch ein weiteres Captive Portal erstellt: Gast
Auch hier habe ich die IP zum DHCP/DNS fraigegeben, sodass sich die Clients eine IP holen können:
in der pfSense habe ich natürlich auch eingestellt, wo sich der DHCP befindet:
Wie zuvor erwähnt, das Bewohner Captive Portal funktioniert bereits ohne Probleme.
Der Server hat drei Netzwerkkarten. Eine ist das WAN Interface, eine ist für die Mitarbeiter (Intern) und ein Interface ist für die Bewohner. Ich habe also kein Interface mehr frei.
Jetzt habe ich im Unifi Controller ein neues Switch Port Profil angelegt:
Ich habe also dem bereits vorhandenen VLAN "Bewohner" ein tagged VLAN angehängt und dachte, wenn ich das dem Port im Switch zuweise, welcher mit dem "BEWOHNER" Interface im Server verbunden ist, funktioniert das alles:
Der DHCP ist bereits so konfiguriert, dass er den IP Adressen Bereich des GAST WLANs bedienen sollte:
Leider ist es so, dass die Clients nicht einmal eine IP zugewiesen bekommen. Die Captive Portal Landingpage kann dann natürlich auch nicht angezeigt werden.
Das sind die Firewallregeln des GAST WLANs:
Ich habe hier einfach einmal herumgespielt. Aber bringen tut das alles bedauerlicherweise nichts. Ich bin einfach nicht im Thema Netzwerke der hellste.
Könntet ihr mir da evtl. helfen?
Danke schön
-
@tutanchamun Du hast das WLAN Gast auf VLAN100 getaggt aber hast du den Ports an denen die WiFi APs hängen auch das VLAN zusätzlich konfiguriert? Sonst können diese ja gar keinen Traffic ins VLAN 100 stecken? Ich habe nur gesehen, dass du dem Interface der pfSense noch das VLAN Tag 100 mitgegeben hast, aber nirgends, dass du den APs auch das VLAN100 mit aufgeklebt hast.
Wenn es das nicht ist, würde ich auf der Sense mal über Diagnostic/PacketCapture auf dem GAST VLAN mitschneiden und dann ein Gerät ins Gast WLAN hängen. Das sollte dann versuchen per DHCP eine Adresse zu bekommen. Ergo müsstest du im Capture auch die DHCP Anfragen sehen. Wenn du das siehst, dann wäre der nächste Step auf dem Interface zu 10.0.0.5 nochmal zu capturen, ob das DHCP Signal auch wirklich relayed wird.
Hast du denn dem DHCP Relay auch gesagt, dass er das GAST Netz weitergeben soll? Vielleicht fehlt auch hier das neue Netz.
Cheers
\jens -
dein Problem ist das Du 2 mal Gast konfigurierst.
Wenn die pfsense für Gast alles regeln soll dann auf Unifi alles für GAST abschalten. Hier ist es dann ein ganz normales Netzwerk oder VLAN, dann kommen dir auch nicht die Einschränkungen für ein Gast-Netzwerk von Unifi in die Quere.
-
@jegr Hallo und danke für Deine Antwort. Aber tatsächlich habe ich im Unifi nichts mehr als "GUEST" aktiviert. Das Bewohner-WLAN ist ein VLAN, was auf einem separaten Interface im Server landet. Gast hingegen, hat kein eigenes freies Interface im Server mehr und deswegen wollte ich das über das Bewohner Interface regeln. Wie bereits erwähnt, im Unifi ist alles mit Guest deaktiviert.
@JeGr Das Bewohner VLAN ist doch auch nicht auf den einzelnen AP Ports konfiguriert und funktioniert einwandfrei. Die Ports, wo die APs drauf hängen habe das Profil ALL.
Im Profil all ist das Native Netzwerk das default Netzwerk + Tagged Bewohner und Gast.
-
@jegr Ich habe auf der pfSense das capture gestartet, aber da kommt nichts an.
-
Dann fehlt das VLAN Tagged auf dem Uplink Switch - pfSense.
Also mal ein Int auf dem Switch erstellen und das von der pfSense pingen.
Wenn Pong kommt, weiter in der Strecke. -
@tutanchamun said in Firewallregeln greifen nicht:
@jegr Ich habe auf der pfSense das capture gestartet, aber da kommt nichts an.
Da hat @NOCling recht, wenn bei einem Capture des Gast Interfaces auf der Sense nichts ankommt - also so gar nichts - dann ist der Wurm da in der "Verkabelung" bzw. Netzwerk Konfig zu suchen, denn dann scheint der Switch nichts im VLAN100 abzubekommen. Am Einfachsten wäre da dann einen Port direkt mit Gast untagged (native) zu konfigurieren, dort ein Laptop o.ä. ranzuhängen und ggf. statisch die IP zu konfigurieren und dann die Sense anzupingen. Wenn dann immer noch nichts ankommt, ist da Netzwerk, Switch, vSwitch oder ähnliches Schuld.
Da die pfSense aber Hyper-V ist: hast du mal aus der offiziellen Doku alles zum Thema Hyper-V auch sauber befolgt? Es riecht ein wenig danach, als wäre auf dem Hyper-V der virtuelle Netzwerkport den du der pfSense zugewiesen hast (hn2) vielleicht nicht korrekt konfiguriert. Wenn der z.B. das VLAN Tag ausfiltert, dann kannst du da ewig suchen. Daher vielleicht mal die Doku zum Thema Hyper-V anschauen und nachsehen, ob da auf den virtuellen Switchen etc. alles richtig konfiguriert ist, Stichwort VLAN Trunk. In älteren Setups kann ich mich erinnern musste man da manuell noch irgendwas auf der Powershell durchtippen, damit auf einem hn Interface dann auch VLAN Trunking (also mehrere VLANs auf dem gleichen Interface) durchgehen.
Ansonsten leg dir einfach ein weiteres virtuelles hn Interface für das Gast VLAN 100 an und konfiguriere es ganz normal wie die anderen auch in der pfSense, das macht dann wahrscheinlich weniger Probleme.
Cheers
-
Danke für die Antworten, ich werde mir das noch einmal anschauen.
