Netze mit VLAN Trennen (Unifi / Edgerouter)

[BurnerR]

Ich versuche gerade, mein IoT Wifi Netz von meinem eigentlich zu trennen. Hat leider nicht geklappt :/.
Setup ist ganz einfach: Ein Wifi AP (Unifi), der hängt an einem Ubiquiti Edgerouter.
Der Router wird bei Port 1-4 als Switch missbraucht. An Port 0 hängt das DSL-Modem.
Bisher gab es nur das Netz 192.168.1.1 sowie zwei Wifis "Main" und "IoT".

Access Point Einstellungen
Ich hab jetzt bei Unifi / beim AP ein neues Netzwerk hinzugefügt "IoTv10"

VLAN 10

Gateway IP
192.168.10.1

Network Broadcast IP
192.168.10.255

Network IP Count
254

Network IP Range
192.168.10.1 - 192.168.10.254

Network Subnet Mask
255.255.255.0

Dann habe ich beim Wifi "IoT" eingestellt: "VLAN 10".


Router Einstellungen
Bisher war konfiguriert: switch0 für Port 1-4 mit Addresse 192.168.1.1/24
Ich habe dann ein neues VLAN hinzugefügt:

VLAN ID: 10
Parent: switch0
Address: 192.168.10.1/24

Und einen DHCP Server Eingerichtet:

Subnet:192.168.10.0/24
Range Start:192.168.10.100
Range End:192.168.10.254
Router:192.168.10.1
DNS 1:192.168.10.1
Status:Enable

Allerdings bekommen die Geräte keine IP / der Traffic scheint beim DHCP Server nicht anzukommen. Firewall policies habe ich nur für das pppoe interface.
Jemand eine Idee? Gehen die Geräte evtl. ins Netzwerk 192.168.1.0/24 mit VLAN ID 10? Kann da in Unifi keine konkrete zuordnung machen?
Oder liegt es am switch interface? Ich kann da 'VLAN aware' aktivieren, dann kann ich portweise pvid und vid eintragen.

 

[sia]

Config-Ausschnitt bitte.

Wie genau taggst du das IoT-WLAN im AP?

 

[BurnerR]

Wenn ich das nochmal rekapituliere... ich glaube ich kann gar kein VLAN Tagging machen nur mit dem AP? Jedenfalls nicht so, wie ich das möchte, kann das sein? Brauche ich dafür einen Unifi switch noch?

Bilder von Unifi:




Router Config
PS.: Mit korrekter Einrückung nochmal an den Beitrag gehängt.Anhang anzeigen config.txt

Spoiler

firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 30 {
action accept
description OpenVPN
destination {
port 1194
}
log disable
protocol udp
}
rule 50 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 51 {
action accept
description "Allow ssh"
destination {
port 8080
}
log disable
protocol tcp
state {
established enable
invalid disable
new enable
related enable
}
}
}
name WAN_OUT {
default-action drop
description ""
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
duplex auto
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password ****************
user-id ***************
}
speed auto
vif 7 {
address dhcp
description Internet
}
}
ethernet eth1 {
description Local
duplex auto
speed auto
}
ethernet eth2 {
description Local
duplex auto
speed auto
}
ethernet eth3 {
description Local
duplex auto
speed auto
}
ethernet eth4 {
description Local
duplex auto
speed auto
}
loopback lo {
}
openvpn vtun0 {
hash sha256
mode server
openvpn-option -comp-lzo
server {
client *********** {
ip 10.99.99.2
}
push-route 192.168.1.0/24
subnet 10.99.99.0/24
}
tls {
ca-cert-file /config/auth/cacert.pem
cert-file /config/auth/server.pem
dh-file /config/auth/dhp.pem
key-file /config/auth/server.key
}
}
switch switch0 {
address 192.168.1.1/24
description Local
mtu 1500
switch-port {
interface eth1 {
}
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
vif 10 {
address 192.168.10.1/24
description IoT
}
}
}
port-forward {
auto-firewall disable
hairpin-nat enable
lan-interface switch0
rule 1 {
description OpenVPN
forward-to {
address 192.168.1.1
port 1194
}
original-port 1194
protocol udp
}
wan-interface pppoe0
}
protocols {
static {
arp 192.168.1.49 {
hwaddr 40:8D:5C:56:2C:AA
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name IoTv10 {
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
start 192.168.10.100 {
stop 192.168.10.254
}
}
}
shared-network-name LAN {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.100 {
stop 192.168.1.243
}
}
}
use-dnsmasq disable
}
dns {
dynamic {
interface pppoe0 {
service afraid {
host-name **********
login ***********
password ****************
server freedns.afraid.org
}
}
}
forwarding {
cache-size 150
listen-on switch0
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user bernard {
authentication {
encrypted-password ****************
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
package {
repository wheezy {
components main
distribution wheezy
password ****************
url http://http.us.debian.org/debian
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Berlin
}
vpn {
}

 

[sia]

Wenn du einen CODE-Block statt dem SPOILER nutzt, stimmt die Formatierung auch

Wenn der AP den VLAN-Tag setzt, sollte der vom Switch auch tatsächlich ausgelesen werden:

set switch switch0 switch-port vlan-aware enable
set interfaces switch switch0 switch-port interface eth4 vlan vid 10

… sollte das Problem beheben. eth4 durch das Interface ersetzen, an dem dein AP hängt. Im Unifi-Controller sieht soweit alles gut aus.

Siehe auch: https://help.ubnt.com/hc/en-us/arti...are-Switch0-with-Inter-VLAN-Firewall-Limiting

 

[BurnerR]

Jetzt nach weiteren 45 Minuten rumfummeln geht es...
warum es nicht direkt ging: Ich musste auf dem Edgerouter den DHCP Server deaktivieren und wieder reaktivieren, dann ging es plötzlich! Warum auch immer.. Dafuq?

Ich Danke dir! Hatte nicht so ganz gecheckt was vlan aware vs. vlan interface für den switch bedeutet. Ohne dich hätte ich es nie herausgefunden, weil ich das sonst ausprobiert hätte wie du gesagt hast und gedacht hätte 'mist, irgendwas verchecke ich grad ja sicherlich' statt den DHCP Server neu zu starten .

PS.: Folgefrage
Haben die Netzwerkeinstellungen im Unifi überhaupt eine Relevanz?
Wifi kriegt ja VLAN Tag 10 und trifft dementsprechend auf den DHCP Server der 192.168.10.0/24 verteilt.
Oder muss man die Adressräume auch im Unifi bekannt machen im Sinne von 'erlaubte Adressräume'?
Hätte jetzt eher gesagt, Netzwerkeinstellung ist dafür, wenn man Unifi switches verwendet oder?

 

[sia]

Haben die Netzwerkeinstellungen im Unifi überhaupt eine Relevanz?

Nein. Die Einstellungen unter "Networks" sind für Unifi Switches und das Unifi Security Gateway (USG) gedacht.

Die "erlaubten" Adressräume (=Firewall bzw VLAN-Subnets) konfigurierst du in deiner Umgebung ausschließlich im EdgeRouter.

Wenn ich das nochmal rekapituliere... ich glaube ich kann gar kein VLAN Tagging machen nur mit dem AP?

Doch, siehe: https://help.ubnt.com/hc/en-us/articles/204962144-UniFi-How-does-VLAN-traffic-get-tagged-

In short, UniFi AP tags packets when it goes out from WLAN to wire.

 

[eraser]

Wenn du nicht möchtest, dass dein AP mit dem Rest deines Netzes verbunden ist, kannst du auch einfach die Einstellung "Block LAN to WLAN Multicast and Broadcast Data" aktivieren unter der SSID.

Ansonsten habe ich beim etwa gleichen Setup den AP auf einem Interface direkt ein anderes Netz zugewiesen. Damit kann man dann Regeln erstellen wie man lustig ist.