Pfsense Ubiquiti Wlan Netzwerk - mehrere APs



  • Hallo zusammen,

    wir haben bei uns 2 Pfsense im Einsatz. Derzeit ist die folgendes konfiguriert:

    Interface 1 = WAN 1
    Interface 2 = WAN 2
    Interface 3 = LAN 1 (Safe)
    Interface 4 = LAN 2 (Open)
    Interface 5 = LAN 3 (VOIP)
    Interface 6 = CARP Sync

    Jetzt möchte ich gerne für das neue Bürogebäude mehrere (5 Stück) WLAN Access Points bereitstellen. Ich dachte da an die APs von Ubiquiti. Diese sollen zentral 1 WLAN Netz verteilen (SSID) und die Clients unteinander aufteilen je nachdem welcher AP am nähesten ist, Mesh Network.

    Ich möchte nun das die Access Points genau das LAN 2 (Open) verteilen. Also das sich die Clients genauso verhalten wie wenn sie per LAN Kabel dran stecken. So dass ich eben DNS / DHCP und die Firewall Regeln wieder zentral über die posende steuern kann.

    Desweiteren möchte ich dann ein Gast Netz aufbauen was seperat getrennt ist.

    Wie würdet ihr das am besten aufbauen?

    Viele Grüße


  • Moderator

    Kommt drauf an wie du das WLAN Gast Netz machen möchtest (bzgl. VLAN und Zugriff etc.) - ob das quasi ähnlich wie LAN 2 zu sehen ist.

    Ansonsten können die Unify Kisten mit aktivem Controller (sprich du musst irgendwo den Controller laufen lassen) ja ein aktives Gast-Portal mit allem Schnick bieten. Zudem kann man mit entsprechender Einstellung auch Radius/AD basiert VLAN Tags automatisch zuweisen anstatt ein VLAN konkret an eine SSID zu binden. Hat den Vorteil dass du mit einer SSID multiple VLANs bedienen kannst, da sich mit jeder SSID die Bandbreite ja leider vermindert.

    Aber wenn du die APs an VLAN Trunk Ports hängst, die eben im LAN 1,x,y als VLAN haben, dann kannst du auch deine WiFi Clients direkt da rein bridgen.

    Gruß



  • Also ich möchte das Gast Netz komplett abschotten und nur Internetzugriff bereitstellen.

    Ein Problem habe ich dabei derzeit. Bis jetzt ist bei uns alles wirklich physisch getrennt also nichts mit VLAN.

    Lan 1 = Interface 3 an pfsense = physischer Switch 1 -> verteilt Netz 1
    Lan 2 = Interface 4 an pfsense = physischer Switch 2 -> verteilt Netz 2
    Lan 3 = Interface 5 an pfsense = physischer Switch 3 -> verteilt Netz 3

    Bis jetzt würde ich quasi die APs an Switch 2 anstecken und dort einstellen:
    1. AP IP Adresse geben im Netz 2
    2. DHCP auf dem AP ausschalten
    3. AP direkt an den Swich 2 verbinden

    Über den Controller UniFi die Switches einrichten und eine SSID verteilen lassen.

    Für das Gastnetz würde ich folgendes einstellen:
    Lan 4 = Interface 6 an pfsense = direkt angeschlossen -> dedizierter AP
    1. AP IP Adresse geben im Netz 4 (Gast)
    2. DHCP auf dem AP ausschalten
    3. AP direkt an Interface 6 verbinden

    Das VLAN hier überall besser zu handeln wäre und seine Vorteile mit sich bringt ist mir klar. Allerdings ist gerade großer Zeitdruck diese Lösung umzusetzen weshalb ich derzeit auf diese Methode zurückgreifen würde. Später würde ich wenn Zeit ist alles nochmal in Angriff nehmen und alles auf VLAN umstellen.


  • Moderator

    Lan 4 = Interface 6 an pfsense = direkt angeschlossen -> dedizierter AP

    Das ist aber dein CARP Interface. Das solltest du nicht abklemmen, da wird nicht umsonst zu geraten, für Sync ein dediziertes Interface zu nehmen.

    Das VLAN hier überall besser zu handeln wäre und seine Vorteile mit sich bringt ist mir klar. Allerdings ist gerade großer Zeitdruck diese Lösung umzusetzen weshalb ich derzeit auf diese Methode zurückgreifen würde.

    Selten, dass solche adhoc Bastellösungen dann später abgelöst werden, deshalb mein Rat es gleich richtig zu machen. Zeitdruck hin und her, ein VLAN fähiger Switch ist schnell beschafft und dann kann man das ordentlich aufziehen. Ansonsten kannst du dein Netz Handover eigentlich vergessen. Mesh macht niemand gern und wird abgeraten. Klar, du klaust dir ja auch massiv Bandbreite wenn die APs sich nicht über LAN absprechend können. Und wenn du einen AP fix auf ein LAN setzt, ist das häßlich zu handhaben. Zudem du dann ggf. ganz andere Aufstellpunkte brauchst, als wenn du einfach nur ordentliche Abdeckung planst mit 4-5 APs. Die verteilt man dann sinnvoller als wenn man u.U. dann zwei nebeneinander aufstellen muss, damit man LAN und Gästenetz bspw. in nem Konferenzraum hat.

    Ich würde stark davon abraten das so zu machen aus den genannten Gründen, aber es steht dir frei es trotzdem zu tun :D



  • > Das ist aber dein CARP Interface. Das solltest du nicht abklemmen, da wird nicht umsonst zu geraten, für Sync ein dediziertes Interface zu nehmen.

    Richtig, das war auch falsch geschrieben. Meinte da natürlich das Interface 7

    > Selten, dass solche adhoc Bastellösungen dann später abgelöst werden, deshalb mein Rat es gleich richtig zu machen. Zeitdruck hin und her, ein VLAN fähiger Switch ist schnell beschafft und dann kann man das ordentlich aufziehen. Ansonsten kannst du dein Netz Handover eigentlich vergessen. Mesh macht niemand gern und wird abgeraten. Klar, du klaust dir ja auch massiv Bandbreite wenn die APs sich nicht über LAN absprechend können. Und wenn du einen AP fix auf ein LAN setzt, ist das häßlich zu handhaben. Zudem du dann ggf. ganz andere Aufstellpunkte brauchst, als wenn du einfach nur ordentliche Abdeckung planst mit 4-5 APs. Die verteilt man dann sinnvoller als wenn man u.U. dann zwei nebeneinander aufstellen muss, damit man LAN und Gästenetz bspw. in nem Konferenzraum hat.

    Wie würdest du es denn in dem Zuge neu aufziehen? Ein bisschen Zeit bleibt ja und die Switches sind VLAN fähig. Da derzeit alles doppelt vorgehalten ist könnte ich die Konfiguration im neuen Standort neu machen und dann die "alte" Hardware nachziehen und auf die neue anpassen. FW1 (Master) wird dann also zur Master am neuen Standort und die FW2 (Backup) wird am alten Standort automatisch zur dort derzeitigen Master bis ich diese nachziehe und die Konfigs sich abgleichen.

    Da ich auf der PFSense noch nie VLAN konfiguriert habe, wie müsste ich dort vorgehen?

    1.  Konfiguration von der pfsense:
    Interface 1 = WAN 1
    Interface 2 = WAN 2
    Interface 3 = LAN
    Interface 5 = VOIP
    Interface 6 = CARP Sync

    2. VLANs unter Interfaces/VLANs auf der pfsense einrichten?

    VLAN 1:

    • Parent Interface = Interface 3 LAN
    • VLAN Tag = 1
    • VLAN Priority = 1
    • Description = Safe
      (Soll dann das 10.10.10.xx Netz verteilen)

    VLAN 2:

    • Parent Interface = Interface 3 LAN
    • VLAN Tag = 2
    • VLAN Priority = 1
    • Description = Open
      (Soll dann das 10.10.20.xx Netz verteilen)

    VLAN 3:

    • Parent Interface = Interface 3 LAN
    • VLAN Tag = 3
    • VLAN Priority = 2
    • Description = Gast
      (Soll dann das 10.10.40.xx Net verteilen)

    3. Wo lege ich dann fest welche IP Adressen im entsprechenden VLAN verteilt werden? Direkt am Switch?

    LAN 1 = Safe verteilt als Beispiel das 10.10.10.xx
    LAN 2 = Open vereilt das 10.10.20.xx
    LAN 3 = VOIP verteilt das 10.10.30.xx

    Derzeit ist das halt direkt ma Interface hinterlegt unter Static IPv4 Configuration.

    Danke schonmal



  • Ah so wie ich das sehe kann ich dann nachdem ich die VLANs angelegt habe diese unter Interfaces auswählen und wie ein "Hardware" Interface konfigurieren oder?


  • Moderator

    Ah so wie ich das sehe kann ich dann nachdem ich die VLANs angelegt habe diese unter Interfaces auswählen und wie ein "Hardware" Interface konfigurieren oder?

    Exakt. Und wenn es um Bandbreite für die VLANs geht, kannst du auch weiterhin natürlich nur ein VLAN pro physischem Interface konfigurieren. Der Punkt ist lediglich, dass deine Switche das können müssen und konfiguriert bekommen, so dass die Clients brav im richtigen VLAN stehen.  Wenn die Switche dann die VLANs alle können und nicht nur Clients aus ihrem bisherigen Netz, dann bist du auch frei deine APs so zu positionieren dass du saubere Abdeckung hast und machst dann bspw. eben Radius based VLANs und Enterprise WPA2, damit loggt man sich dann nicht mit einem generischen Shared Key ein, sondern jeder mit bspw. seinen Windows AD credentials. Damit hat man dann für interne Clients, die ins normale LAN sollen schon das Problem weg, dass jemand den Shared Key nach draußen weitergibt und man plötzlich ungebetenen Besuch im Netz hat.

    Die APs kann man dann an dem Switch an nen VLAN Trunk Port hängen, wo dann bspw. das VLAN für internes LAN und das für Gästenetz drauf ist und der AP steckt die Geräte dann je nach SSID bzw. User/VLAN Zuweisung ins entsprechende Netz. Fürs Gästenetz kann man dann noch den Controller Portal spielen lassen und vergibt einen shared Key für die Verbindung und richtet dann bspw. Vouchers ein mit Stunden- oder Tageszugang. So haben wir es bei uns gelöst.

    Grüße



  • Moin,

    nur eine Anregung für die Praxis  ;)

    VLAN 3:

    • Parent Interface = Interface 3 LAN
    • VLAN Tag = 3
    • VLAN Priority = 2
    • Description = Gast
      (Soll dann das 10.10.40.xx Net verteilen)

    Ist das vielleicht übersichtlicher?

    VLAN 3:

    • Parent Interface = Interface 3 LAN
    • VLAN Tag = 40
    • VLAN Priority = 2
    • Description = Gast
      (Soll dann das 10.10.40.xx Net verteilen)

    Das 3. Oktett der IP entspricht dem VLAN, machts einfacher wenn es mal mehr wird.

    -teddy



  • @genesis_mp:

    Wie würdet ihr das am besten aufbauen?

    Mit dem UniFi Manager ist das alles easy. Ich hab den in einer VM renne, andere nutzen einen Ras Pi 1, 2 oder 3. Eine dritte Möglichkeit verschafft dir der CloudKey. Ds sich die APs nicht wie übelich ansteuern lassen, brauchst du den ja ohnehin. ;) Sollte es mit pfSense und VLAN zu kompliziert werden, kannst du noch einen USG oder US-8 dazwischen hängen, und PF als reine FW betreiben.