[fli4l] Bräuchte nochmal Hilfe zu VLAN-Setup (spezifisch: mit Ubiquiti Hardware)

Alexander Dahl lespocky at web.de
Di Jan 22 12:37:29 CET 2019


Hallo Klaus,

K  Dreier schrieb Dienstag, 22. Januar 2019, 10:18 (CET):
> aktuelle 4.0-testing.

Gut. :-)

> Mein fil4l läuft mit 2 physischen NICs (1 für WAN und 1 für intern)
> und arbeitet als Ethernet-Router an einem Kabel-Modem. NIC2 (=eth1) ist
> hier relevant, das ist mein internes NET2-Haupt-Netz und wäre in einem
> VLAN-Setup das Management-VLAN (eth0 geht ans WAN).

Soweit klar.

> Meine Infrastruktur besteht seit neustem aus mehreren UniFi-Switches
> (alle managed und VLAN-fähig) und Unifi WLAN-APs. Läuft einwandrei
> (ohne VLAN).

Keine schlechte Wahl.

> Nicht zuletzt, da es mich interessiert, möchte ich VLANs implementieren
> und insbesondere 2 WLAN-Netze (Gäste + IoT-Geräte) in ihrem eigenen
> VLAN separieren. Ich habe sehr viel gelesen, aber es funktioniert
> einfach nicht. :(

Ich habe zwei ähnliche Konfigurationen laufen, auch wenn in den Netzen
dahinter dann nicht unbedingt WLAN läuft. Zu den VLAN-Fähigkeiten der
UniFi-AccessPoints kann ich wenig sagen, aber ich hatte es so
verstanden, dass die tagged VLAN reinbekommen können und dann je nach
VLAN verschiedene SSIDs fahren?

> Vom Hardware-Layout sieht es so aus:
> Modem --> fli4l (NIC1)
>           fli4l NIC2 --> Switch 1 Port 1: uplink vom fli4l
>                          Switch 1 Port 3-4/6-7 --> verschiedene
> LAN-Geräte, die im Mgmt-Netz hängen können/sollen
>                          Switch 1 Port 8 --> AP1 (privates WLAN)
>                          Switch 1 Port 5 --> Switch 2 Port 1: uplink vom
> Switch 1
>                                              Switch 2 Port 8 --> AP2
> (privates-, Gäste- und IoT-WLAN)
>                                              Switch 2 Port 2-7 -->
> verschiedene LAN-Geräte,die im Mgmt-Netz hängen können/sollen
>                          Switch 1 Port 2 --> Switch 3 Port 8: uplink vom
> Switch 1
>                                              Switch 3 Port 2-7 -->
> verschiedene LAN-Geräte,die im Mgmt-Netz hängen können/sollen
>                                              Switch 3 Port 1 --> Switch
> 4: hier hängen nur LAN-Geräte, die im Mgmt-Netz hängen
> können/sollen

Müsste machbar sein, ist halt nur bisschen komplex.

> Switch 1-3 sind Unifi Switches, Switch 4 ist ein HP ProCurve 1810G.
> Falls ihr euch wundert, warum es so viele Switches sind: die sind
> verteilt im Haus.

Das Problem was ich hier hauptsächlich sehe ist die Konfiguration der
Switches. Was tagged VLAN (802.1q) angeht, sind die Bezeichnungen bei
jedem Hersteller anders. Ich hab da bisher u.a. Switches von Netgear,
TP-Link, 3com, Ubiquiti o.ä. in der Hand gehabt und bei jedem wird das
anders konfiguriert und die Bezeichnungen sind anders. :-/

> In der fli4l-Konfig sind via Paket advanced-networking für jedes der
> gewünschten VLANs Einträge für die Netze gemacht:
> eth1.30 für IoT-devices
> eth1.50 für Gäste

Bei mir sieht das zu Hause bspw. so aus

BRIDGE_DEV[] {
  NAME='br-lan'
  DEVNAME='br0'
  DEV[] {
    DEV='eth1'
  }
  DEV[] {
    DEV='eth2.128'
  }
  #DEV[]_DEV='wlan0'
}

VLAN_DEV {
  # Switches
  [] {
    DEV='eth2'
    VID='1'
  }

  # Clients
  [] {
    DEV='eth2'
    VID='128'
  }

  # DVB-T2
  [] {
    DEV='eth2'
    VID='33'
  }

  # PS3
  [] {
    DEV='eth2'
    VID='194'
  }
…

> Dazu dann die IP-Ranges
> 10.1.30.0/24
> 10.1.50.0/24

# Clients
IP_NET[1]='192.168.243.1/24'
{
  DEV='br0'
}

# DVB-T2
IP_NET[2]='192.168.206.1/24'
{
  DEV='eth2.33'
}

# PS3
IP_NET[3]='192.168.115.1/24'
{
  DEV='eth2.194'
}

D.h. Du musst die Netze in base.txt normal anlegen und dann als Device
eben die VLAN-Devices angeben. Auch die Paketfilter-Regeln sind normal
so einzustellen als wären das alles separate Netzwerkkarten.

> Mein Management-LAN hat 192.168.1.0/24 mit fli4l auf der .250
> (DHCP-Server aktiviert mit Host-Einträgen für alle meine Geräte im
> 192.-Netz).
>
> fli4l bootet damit einwandrei, theoretisch also keine Fehler in der
> Konfig.

Von fli4l-Seite aus ist die Config IMHO auch nicht so kompliziert, s.o.

> Im Switch 1 habe ich nun eingestellt, daß Port 1 "all" hat, was in der
> Ubiquiti-Logik heisst, daß sämtliche VLAN übertragen werden (tagged
> sind) und das Mgmt-LAN untagged ist. Das gleiche gilt für Port 2 (zu
> Switch 3; dort dito für dessen Port 8) sowie Port 5 (zu Switch 2; dort
> dito für dessen Port 1). Switch 4 können wir erstmal ignorieren, da
> dort kein AP dran hängt.

Ich würde es zunächst mal nur mit einem Switch versuchen und Laptop an
den Ports. Den Laptop kann man ja relativ leicht auch VLAN interfaces
verpassen, zumindest unter Linux, wenn man's an NetworkManager o.ä.
vorbei direkt mit iproute2 konfiguriert.

> Ich habe die VLAN-Logik nun so verstanden, daß in meinem Bsp. Port 8
> vom Switch 2 (welcher an den AP2 geht) den VLAN-tag 30 und 50 haben
> muß. Zusätzlich erhält der AP2 für das IoT- und Gäste-WLAN (2
> verschiedene SSID natürlich) den Tag 30 respektive 50 für die SSIDs.
> Damit sollte ein Gerät, das sich z.B. mit dem Gäste-WLAN verbindet,
> eine IP aus dem Bereich 10.1.50.x erhalten. Tut es aber nicht. Bekommt
> keine IP. Im privaten WLAN gibt es weiterhin normal die 192.-IPs. (das
> funktioniert also weiterhin korrekt inkl Internet-Zugang).

Läuft das private WLAN auch über die UniFi APs? Dann untagged oder nur
mit einem anderen Tag? 

Ich würde da bei den Switch-Ports nicht mischen. Entweder auf einem Port
ist nur tagged VLAN Verkehr drauf oder nur untagged. 

Untagged übersetzt der Switch ja dann. Da wird's eben in der Config der
Switches fummelig, weil die z.T. "rein" und "raus" unterschiedlich
konfiguriert haben wollen. Sprich was untagged auf einem Port reinkommt,
bekommt ja dann im Switch ein VLAN tag dran. Umgekehrt sagt man ihm ja,
für bspw. Port 3 schick mal alles, was VLAN 7 hat, untagged auf den
Port. Aber ggf. muss das an völlig verschiedenen Stellen vom Switch
konfiguriert werden.

Wie gesagt, ich würde erstmal an den Port, wo nachher der AP ran soll,
den Laptop hängen und schauen ob ich auf dem VLAN kommunizieren kann.

Ggf. auch mal mit Wireshark auf dem Interface mitlauschen, da sieht man
gut ob und welche VLAN tags auf dem Ding sind, also sollte man
zumindest, wenn man auf dem nackten eth Device unterwegs ist und nicht
auf einem konfigurierten VLAN device.

> Für mich heisst das, daß das Gäste-WLAN-Netz keine DHCP-Server-Regeln
> vom fli4l bekommt, es also irgendein Info-Fluss-Problem gibt.
> Es sei an dieser Stelle erwähnt, daß ich bisher keinerlei
> Firewall-Regeln implementiert habe, da ich es so verstehe, daß das
> Mgmt-VLAN immer mit den anderen VLANs "reden" kann. Es sind jedenfalls
> die normalen Standard-Regeln aktiv für die Firewall.

Paketfilter brauchst Du trotzdem, siehe oben.

Wie gesagt, ich würde nicht versuchen das ganze große Ding auf einmal in
Betrieb zu nehmen, sondern ein Schritt nach dem anderen. Ggf. kannst Du
in einem ersten Schritt auch alle Switches weglassen und an den LAN Port
des fli4l nur den Linux-Laptop hängen und schauen ob das tut wie Du es
Dir denkst.

Ich würde da wie gesagt Dein 192.168.x.x/24 auch noch in ein VLAN
stecken, damit auf dem LAN Port vom fli4l nur tagged VLAN rausgeht.
Hängt ja eh nur der VLAN-fähige Switch direkt an dem Port, der sollte
das dann aussortieren.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6


Mehr Informationen über die Mailingliste Fli4L