-
Das VPN Netz mal in die DNS Resolver Access List eintragen und schauen ob er dann antwortet.
-
@viragomann Die pfsense ist nicht virtualisiert.
Der AP bekommt eine IP von der pfsense und DHCP läuft für die VLANs auch über die pfsense. Auf dem AP habe ich DHCP ausgeschaltet. Die Firewall-Regeln funktionieren, was aber nicht heißen muss, dass der AP trotzdem ungefragt Router spielt. Dort kann ich mal nach anderen Einträgen gucken, die Routing-Funktionalitäten unterbinden. -
@nocling Ist in der Access List eingetragen. VPN ist auch nicht einmal mehr das Problem, denke ich. Vielmehr ist das Verhalten des DNS-Server komisch. Der Aufruf per WLAN-Verbindung geht nicht aus dem eigenen Netz. Damit kann ich die App (über HAProxy) nicht aufrufen. Sonst geht es aber aus dem Internet über HAProxy. Ich suche das Problem derzeit nicht mehr im HAProxy.
-
@alcamar
Verdammt, bin auf der Leitung gestanden.
Ich sehe da nur TCP Pakete in den pcaps. Damit funktioniert es meist nicht.
Normalerweise versucht der Client ein Abfrage via UDP. Grund dafür, via TCP abzufragen, kann sein, dass TCP nicht erlaubt ist.Wo das eingeschränkt wird, solltest du überprüfen. Die oben gezeigte Regel erlaubt es ja.
Also vielleicht doch ein Problem mit dem WLAN Router.Warum du den als Router betreibst, ist mir übrigens immer noch nicht klar. Vielleicht könntest du uns auch das mal erklären.
-
@viragomann said in App kommt nicht durch HAProxy:
Warum du den als Router betreibst, ist mir übrigens immer noch nicht klar. Vielleicht könntest du uns auch das mal erklären.
Nach meiner Zielvorstellung soll der AP nicht Router sein.
Ich will einen AP der mir 4 SSIDs bereitstellt: Privat, Gast, IOT, WorkDer AP ist über ein managed Switch (Zyxel1900-24E) mit dem LAN der pfsense verbunden. In der pfsense sind 3 VLANs definiert, die mit DHCP-Server eigenständige Netze bereitstellen. Im AP ist ein Netzwerk definiert. Adressbereich deckt sich mit der LAN-Adressbereich. Der AP selbst bekommt per DHCP auch eine eigene IP-Adresse (192.168.1.10). Das LAN ist aber segmentiert in die genannten VLANs, die auch so auf dem AP getagged sind. Damit sollten nach meiner Vorstellung auf dem LAN Netzwerk drei VLANs aktiv sein und so komme ich auf meine o.g. SSIDs. Die Vergabe der IPs durch die pfsense funktioniert. Die mobilen Devices kommen auch von jedem WLAN, wo sie sich einwählen, ins Internet. Also scheint alles so zu laufen wie es gedacht ist. Bis auf das geschilderte Problem. Ob der AP Router-"Ambitionen" hat, prüfe ich gerade. Der AP bekommt seine IP-Adressen für die VLANs und den DNS-Server. Die Einträge sehe ich auch auf Handys und Tablets. Der DNS läßt sich auch vom Handy anpingen. Trotzdem fehlt da noch etwas oder Deine Vermutung ist richtig, dass der AP auch Router sein will.
-
@alcamar
Naja, das kam von dir:LAN hat 192.168.1.1 und die 4 Netze die WLAN am LAN-Interface anbieten sind mit VLANs realisiert 192.168.2.1, 192.168.3.1, 192.168.4.1 und das LAN-Netz selbst hat kein separates VLAN.
Ich nehme eben an, dass das alles /24er Subnetze sind.
In den Captures sehe ich aber nur Quell-IPs aus 192.168.1.0/24, also aus dem LAN. Das lässt mich annehmen, dass der "AP" die Pakete natted, nachdem du sagst, dass sie von den Wifi Geräten initiiert wurden.
Zu den Quell-IPs, die die Captures zeigen, habe ich schon eine Frage gestellt. Blieb unbeantwortet und daher die Vermutung aufrecht.
-
@viragomann said in App kommt nicht durch HAProxy:
Ich nehme eben an, dass das alles /24er Subnetze sind.
korrekt.
@viragomann said in App kommt nicht durch HAProxy:
In den Captures sehe ich aber nur Quell-IPs aus 192.168.1.0/24, also aus dem LAN. Das lässt mich annehmen, dass der "AP" die Pakete natted, nachdem du sagst, dass sie von den Wifi Geräten initiiert wurden.
ich habe den nslookup von dem Handy in dem Netz gemacht. Die anderen WLANs sind nicht ständig in Nutzung. Kann es daran liegen?
@viragomann said in App kommt nicht durch HAProxy:
Zu den Quell-IPs, die die Captures zeigen, habe ich schon eine Frage gestellt. Blieb unbeantwortet und daher die Vermutung aufrecht.
Sorry, die 192.168.1.106 hat das Handy per DHCP bekommen. Die 192.168.1.1 ist das LAN-Netz un die IP-Adresse der pfsense
-
@alcamar said in App kommt nicht durch HAProxy:
ch habe den nslookup von dem Handy in dem Netz gemacht.
In welchem Netz?
Die anderen WLANs sind nicht ständig in Nutzung. Kann es daran liegen?
Nein.
Sorry, die 192.168.1.106 hat das Handy per DHCP bekommen
Die IP ist aus dem LAN, wie gesagt.
Möglicherweise vermischt der Switch da was.
Hast du die VLANs auch am Switch eingerichtet?
Ist normalerweise nicht erforderlich, wäre aber sauberer. Wenn dann müssen beide Ports, der zur pfSense und der zum AP, als Trunk konfiguriert sein. Also alle VLANs getaggt, keine PVID. -
@viragomann said in App kommt nicht durch HAProxy:
Hast du die VLANs auch am Switch eingerichtet?
ja, die ID ist auf pfsense, Switch und AP pro VLAN gesetzt.
@viragomann said in App kommt nicht durch HAProxy:
st normalerweise nicht erforderlich, wäre aber sauberer. Wenn dann müssen beide Ports, der zur pfSense und der zum AP, als Trunk konfiguriert sein. Also alle VLANs getaggt, keine PVID.
ist auch so. Die 3 VLANs sind tagged auf Port 1 und 6. PVID untagged.
-
@viragomann Ich habe "nur" 3 VLANs aber 4 WLAN, weil das Default-Netz praktisch das private WLAN (standard) ist. Habe einige Zeit darüber nachgedacht und kam zum Schluss, dass es so ok ist. Sonst hätte ich ein VLAN mehr und das wäre innerhalb meines 192.168.1.1 Netzes, was mir etwas mißfiel. Ist da vielleicht ein Design-Fehler?
-
@alcamar
Ich kann dem nicht ganz folgen und mir fehlen die Details dazu.
Du hast also ein WLAN ungetaggt angebunden? Das sollte kein Problem sein, kommt aber auf die Hardware an, manche haben da Eigenheiten, und ich kenne die nicht, jedenfalls nicht die Unify.Ich würde es nicht so machen. Mein AP hat auch 4 WLAN SSIDs, die liegen alle auf einem VLAN, und das Managementnetz ebenso.
-
@viragomann said in App kommt nicht durch HAProxy:
Du hast also ein WLAN ungetaggt angebunden?
ja, Ich kann das Default WLAN gar nicht taggen. Nur die verbleibenden 3 VLANs.
@viragomann said in App kommt nicht durch HAProxy:
Mein AP hat auch 4 WLAN SSIDs, die liegen alle auf einem VLAN, und das Managementnetz ebenso.
Dann ist aber der gesamte Netzverkehr auf einem VLAN und damit sichtbar unter den SSIDs sichtbar, oder? Das war mehr der Treiber für meinen Ansatz. Was aber nicht heißt, dass ich alles über Bord werfe, wenn es nicht funktioniert
-
@alcamar said in App kommt nicht durch HAProxy:
Dann ist aber der gesamte Netzverkehr auf einem VLAN und damit sichtbar unter den SSIDs sichtbar, oder?
Verstehe die Bedenken nicht. Die VLANs sind völlig voneinander getrennt. Jeder SSID ist ein VLAN zugewiesen und dem Managementnetz ebenso. Von einem VLAN ins andere geht der Weg nur über die pfSense.
Was soll da sichtbar sein?Bei mir hängt da keine Switch dazwischen. Aber wenn dieser korrekt konfiguriert ist, ändert das auch nichts.
Es macht nur keinen Sinn, die VLANs über den Switch zu führen, wenn dieser nicht noch irgendein anderes Gerät in ein VLAN mit einbinden soll. -
@viragomann said in App kommt nicht durch HAProxy:
Jeder SSID ist ein VLAN zugewiesen und dem Managementnetz ebenso.
hatte es so verstanden, dass die alle auf einem VLAN sind und nicht alle jeweils auf einen.
@viragomann said in App kommt nicht durch HAProxy:
Bei mir hängt da keine Switch dazwischen.
Du gehst mit dem AP direkt in die pfsense und segmentiert nur auf pfsense und AP? Was ist das für ein AP?
-
@alcamar said in App kommt nicht durch HAProxy:
Du gehst mit dem AP direkt in die pfsense und segmentiert nur auf pfsense und AP? Was ist das für ein AP?
Ja, natürlich. Das geht aber mit jedem AP, wie gesagt, wenn du nicht noch ein wired Gerät in ein Subnetz einbinden möchtest.
Meiner ist ein OpenWrt seit einem halben Jahr, original ein Engenius. Die Netzwerkkonfiguration war aber auch zuvor schon so.
-
@viragomann Daran hatte ich gar nicht gedacht.
Mit dem Unifi habe ich den ersten AP überhaupt. Für meine Nutzung könnte ich auch direkt in die pfsense gehen.
Am übrigen Setup ändert sich vermutlich dann wenig. Der AP erlaubt max 4 SSIDs und nur 3 kann man taggen. Damit hätte ich mein aktuelles Problem vermutlich auch dort. Trotzdem ist es vielleicht unter anderes Gesichtspunkten vorteilhaft. Spart mir zwei Ports am Switch. -
@alcamar
In der Konfiguration müsste sich gar nichts ändern. Du müsstest ja auch jetzt schon auf der pfSense die VLANs auf einem Interface definiert haben und das Parent-Interface zudem auch direkt aktiviert haben.
Wenn der Switch raus ist, ist eine Fehlerquelle weg. -
Welcher ist denn das?
Meine 3 UI APs sind untagged im Management Netz und jede der 5 SSIDs ist einem VLAN zugewiesen und geht tagged am AP raus.
Nach meinem Wissen ist die Grenze hier 8 SSIDs, was du meinst ist mit Gateway Monitoring, da kannst du in der tat nur 4 anlegen, das brauche und will ich aber nicht. -
@nocling stimmt habe ich nun auch gelesen, dass bis zu 8 möglich sind. Die bestehenden 4 empfinde ich nicht als Einschränkung. Das ist auch nicht mein Problem, fürchte ich. Vielmehr der Zugriff, der per WLAN nicht geht, sondern per Umweg über das Internet. @viragoman vermutet, dass der AP „ungefragt“ als Router fungiert. Mittlerweile deute ich allerdings die Infos zum AP so, dass er gar keine Routerfunktion hat. Dafür benötigt UniFi zusätzliche Komponenten. Also bin ich weiterhin ratlos.
-
@alcamar
Mein letzter Ansatz war, der Tatsache nachzugehen, dass in den DNS Captures nur TCP Pakete zu sehen sind. Das könnte grundsätzlich auch andere Ursachen haben.
Wenn ich eine DNS Abfrage mache und den Traffic sniffe, sehe ausschließlich UDP Paket, unabhängig davon, ob die Domain lokal oder öffentlich oder nicht existent ist. Obwohl TCP auch erlaubt wäre.Ich würde mal am Switch einen Port zu einem der VLANs untaggt hinzufügen und einen PC dranhängen und das damit testen.