[fli4l] Bräuchte nochmal ?==?utf-8?Q?Hilfe zu VLAN-Setup (spezi?==?utf-8?Q?fisch: mit Ubiquiti Hardware)

K. Dreier usenetforum at gmx.net
Di Jan 22 10:18:18 CET 2019 

Hallo,

aktuelle 4.0-testing.

Mein fil4l läuft mit 2 physischen NICs (1 für WAN und 1 für intern)
und arbeitet als Ethernet-Router an einem Kabel-Modem. NIC2 (=eth1) ist
hier relevant, das ist mein internes NET2-Haupt-Netz und wäre in einem
VLAN-Setup das Management-VLAN (eth0 geht ans WAN).

Meine Infrastruktur besteht seit neustem aus mehreren UniFi-Switches
(alle managed und VLAN-fähig) und Unifi WLAN-APs. Läuft einwandrei
(ohne VLAN).

Nicht zuletzt, da es mich interessiert, möchte ich VLANs implementieren
und insbesondere 2 WLAN-Netze (Gäste + IoT-Geräte) in ihrem eigenen
VLAN separieren. Ich habe sehr viel gelesen, aber es funktioniert
einfach nicht. :(

Vom Hardware-Layout sieht es so aus:
Modem --> fli4l (NIC1)
          fli4l NIC2 --> Switch 1 Port 1: uplink vom fli4l
                         Switch 1 Port 3-4/6-7 --> verschiedene
LAN-Geräte, die im Mgmt-Netz hängen können/sollen
                         Switch 1 Port 8 --> AP1 (privates WLAN)
                         Switch 1 Port 5 --> Switch 2 Port 1: uplink vom
Switch 1
                                             Switch 2 Port 8 --> AP2
(privates-, Gäste- und IoT-WLAN)
                                             Switch 2 Port 2-7 -->
verschiedene LAN-Geräte,die im Mgmt-Netz hängen können/sollen
                         Switch 1 Port 2 --> Switch 3 Port 8: uplink vom
Switch 1
                                             Switch 3 Port 2-7 -->
verschiedene LAN-Geräte,die im Mgmt-Netz hängen können/sollen
                                             Switch 3 Port 1 --> Switch
4: hier hängen nur LAN-Geräte, die im Mgmt-Netz hängen
können/sollen

Switch 1-3 sind Unifi Switches, Switch 4 ist ein HP ProCurve 1810G.
Falls ihr euch wundert, warum es so viele Switches sind: die sind
verteilt im Haus.

In der fli4l-Konfig sind via Paket advanced-networking für jedes der
gewünschten VLANs Einträge für die Netze gemacht:
eth1.30 für IoT-devices
eth1.50 für Gäste

Dazu dann die IP-Ranges
10.1.30.0/24
10.1.50.0/24

Mein Management-LAN hat 192.168.1.0/24 mit fli4l auf der .250
(DHCP-Server aktiviert mit Host-Einträgen für alle meine Geräte im
192.-Netz).

fli4l bootet damit einwandrei, theoretisch also keine Fehler in der
Konfig.

Im Switch 1 habe ich nun eingestellt, daß Port 1 "all" hat, was in der
Ubiquiti-Logik heisst, daß sämtliche VLAN übertragen werden (tagged
sind) und das Mgmt-LAN untagged ist. Das gleiche gilt für Port 2 (zu
Switch 3; dort dito für dessen Port 8) sowie Port 5 (zu Switch 2; dort
dito für dessen Port 1). Switch 4 können wir erstmal ignorieren, da
dort kein AP dran hängt.

Im Setup vom Ubiquiti-Controller hat es das Standard ("Corporate")
Netzwerk "LAN" mit 192.168.1.0/24. Zusätzlich sind "VLAN only" Netze
eingerichtet für VLAN 30 und 50. Letztere kann man dann in den APs den
WLANs zuweisen, siehe sogleich. Das entspricht dem, was man so im
Internet für ein Ubiquiti-VLAN-Setup liest. Problem bei diesen
Beispielen ist, daß dort in der Regel deren Security Gateway (USG)
verwendet wird statt eines Fremd-Routers wie z.B. fli4l und damit das
Setup letztlich anders läuft für die VLANs.

Ich habe die VLAN-Logik nun so verstanden, daß in meinem Bsp. Port 8
vom Switch 2 (welcher an den AP2 geht) den VLAN-tag 30 und 50 haben
muß. Zusätzlich erhält der AP2 für das IoT- und Gäste-WLAN (2
verschiedene SSID natürlich) den Tag 30 respektive 50 für die SSIDs.
Damit sollte ein Gerät, das sich z.B. mit dem Gäste-WLAN verbindet,
eine IP aus dem Bereich 10.1.50.x erhalten. Tut es aber nicht. Bekommt
keine IP. Im privaten WLAN gibt es weiterhin normal die 192.-IPs. (das
funktioniert also weiterhin korrekt inkl Internet-Zugang).

Für mich heisst das, daß das Gäste-WLAN-Netz keine DHCP-Server-Regeln
vom fli4l bekommt, es also irgendein Info-Fluss-Problem gibt.
Es sei an dieser Stelle erwähnt, daß ich bisher keinerlei
Firewall-Regeln implementiert habe, da ich es so verstehe, daß das
Mgmt-VLAN immer mit den anderen VLANs "reden" kann. Es sind jedenfalls
die normalen Standard-Regeln aktiv für die Firewall.

Was mache ich falsch? Ich vermute ja schon, daß ich noch was in der
fli4l-Konfig nicht richtig habe und/oder aber was mit dem (un)tagging
nicht stimmt.

Gibt es hier jemand, der mir für so ein Setup weiterhelfen kann? Kann
doch eigentlich nicht so schwer sein...

Gruß
Klaus

Mehr Informationen über die Mailingliste Fli4L