jensano
Goto Top

2 APs an pfSense mit gleichen VLANs

Hallo,

meine pfSense befindet sich auf einem APU.4D4 Board, hat also 4x LAN.
1. RJ45 ist aktuell für das WAN mit Anschluss an ein Glasfasermodem vergeben.
2. RJ45 ist ein Cisco 28 Port Switch SG350 angeschlossen.

Da ich zwei AP AC Pro von Unify habe, habe ich die aktuell an den Switch angeschlossen.
Auf der pfSense sind mehrere VLAN erstellt die alle dem LAN Port zugeordnet sind, an dem der Switch hängt an dem ja auch aktuell die APs hängen.

Da ich ja noch LAN Ports auf dem APU Board übrig habe, habe ich mir gedacht ich schließe die zwei APs direkt an die pfSense. Dann müssen die Verbindungen ins Internet z.B. nicht den umweg über den Switch nehmen. Oder wenn es WLAN zu einem LAN Teilnehmer geht, dann geht es momentan vom AP > Switch > pfSense >Switch > LAN Zeil.
Wenn WLAN Teilnehmer in das Internet möchten, müssen sie dann auch nicht über den Switch.

Wäre das eine gute Idee die direkt an die pfSense anzuschließen. Meine hürde ist, das ich ein VLAN auf der pfSense nur einem Interface zuordnen kann. Da die zwei APs aber die gleichen VLANs benutzen müssen, muss ich ja beiden die VLANs auf beiden LAN Ports geben. Wie sollte man das machen?

Content-Key: 665255

Url: https://administrator.de/contentid/665255

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: Looser27
Looser27 30.03.2021 um 07:43:11 Uhr
Goto Top
Moin,

Wie sollte man das machen?

So nicht. Du schließt die APs normal an den Switch an und richtest, sofern benötigt die entsprechenden VLANs für die SSIDs ein.
Fertig.

Gruß

Looser
Mitglied: magicteddy
magicteddy 30.03.2021 um 08:17:13 Uhr
Goto Top
Moin,

Zitat von @Jensano:
Da ich ja noch LAN Ports auf dem APU Board übrig habe, habe ich mir gedacht ich schließe die zwei APs direkt an die pfSense. Dann müssen die Verbindungen ins Internet z.B. nicht den umweg über den Switch nehmen. Oder wenn es WLAN zu einem LAN Teilnehmer geht, dann geht es momentan vom AP > Switch > pfSense >Switch > LAN Zeil.
Wenn WLAN Teilnehmer in das Internet möchten, müssen sie dann auch nicht über den Switch.

Du schreibst zuwenig über deinen Aufbau! Arbeitet der Switch auf Layer 2 oder 3?
Muss die pfSense die Daten vom WLan ins LAN routen oder befinden sich die Teilnehmer im gleichen VLan?
Wenn letzteres der Fall ist laufen die internen Daten nicht über pfSense sondern nur über den Switch.
Auch der Umweg über den Switch für WLan Teilnehmer die ins Internet wollen ist nicht spürbar...

Mach Dir mal Gedanken, wieviele VLans Du auf dem einen Port laufen hast und ob es nicht sinnvoller ist das ein wenig aufzulockern. Ich habe es so gemacht (Verbesserungsvorschläge nehme ich gerne an): Das LAN mit dem höchsten Datenaufkommen in andere Netze hat einen eigenen Port bekommen, 4 VLans wo nur wenig vor sich hin dümmpelt teilen sich ein Port und WAN ist wieder eine eigener Port.
Mitglied: aqui
aqui 30.03.2021 aktualisiert um 10:22:43 Uhr
Goto Top
Da ich ja noch LAN Ports auf dem APU Board übrig habe
Warum fasst du dann nicht 2 Ports der pfSense mit einem LACP LAG zusammen und terminierst diese dann auf dem Switch ? Schafft dir mehr Bandbreite beim Inter VLAN Routing, Link Redundanz und mehr Performance.
Ist doch allemal sinnvoller als die Frickelei die du da machst.
Wie sollte man das machen?
Das würde man dann, wie immer, über ein Layer 2 Bridging machen. Bridge erstellen, beide Ports als Member Ports der Bridge eintragen und die Interface IP auf die Bridge eintragen. Ist aber eine sehr schlechte Idee, denn Bridging ist generell immer aus guten Gründen eine sehr schlechte Wahl.
Löse das vorteilhaft über den LACP LAG und betreibe die APs weiter am Switchport.
Übrigens forwardet ein Switch in Wirespeed und das sowohl für Layer2 als auch Layer 3. Anzunehmen das solche "Umwege" also irgendwelche Performance Einbußen haben wären etwas naiv und weltfremd.
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 31.03.2021 aktualisiert um 12:43:57 Uhr
Goto Top
Zitat von @aqui:

@Jensano
Da ich ja noch LAN Ports auf dem APU Board übrig habe
Warum fasst du dann nicht 2 Ports der pfSense mit einem LACP LAG zusammen und terminierst diese dann auf dem Switch ? Schafft dir mehr Bandbreite beim Inter VLAN Routing, Link Redundanz und mehr Performance.
Ist doch allemal sinnvoller als die Frickelei die du da machst.

Ich denke, er hat Portanzahl Probleme. Der SG350 hat nur 10 Ports.

Ich würde alle 4 Ports der PFSense an den Switch anbringen. Zumindest hatte ich es so gemacht, bevor ich zwei 10 Gb karten reingesteckt habe.

Wie @aqui es nun schon erwähnt hat, LACP ist die Lösung.

Zitat von @aqui:
Zitat von @Jensano:
Wie sollte man das machen?
Das würde man dann, wie immer, über ein Layer 2 Bridging machen. Bridge erstellen, beide Ports als Member Ports der Bridge eintragen und die Interface IP auf die Bridge eintragen. Ist aber eine sehr schlechte Idee, denn Bridging ist generell immer aus guten Gründen eine sehr schlechte Wahl.
Löse das vorteilhaft über den LACP LAG und betreibe die APs weiter am Switchport.
Übrigens forwardet ein Switch in Wirespeed und das sowohl für Layer2 als auch Layer 3. Anzunehmen das solche "Umwege" also irgendwelche Performance Einbußen haben wären etwas naiv und weltfremd.

So habe ich meine PFSense aufgestellt:

Zuerst setz du deine gewünschten Ports in einen LAG

bildschirmfoto vom 2021-03-31 08-06-50

Beachte bitte, dass du mit einem Port irgend wie die PF-Sense steuern musst. Und wenn der Switch nicht richtig konfiguriert ist, dein Netzwerk dann nicht mehr erreichbar sein wird. Daher mach erstmal einen oder zwei Ports in das lagg0 unter der PFSense einsetzen. Richte deinen Switch richtig ein und teste es.

Dann richtest du deine VLANs ein

bildschirmfoto vom 2021-03-31 08-28-04

Und dann kannst du deine gebaute VLAN´s dem lagg0 zuweisen.

bildschirmfoto vom 2021-03-31 08-25-53

Und wenn du auf die PFSense vom Switch aus zugreifen kannst, dann kannst du ohne Bedenken die anderen Ports nachziehen. Aber auch diese müssen im Switch das gleiche LACP-Key bekommen.

Nun hast du in deinem Fall 4 Gbit Routing. Jedoch leider nicht auf einem Klienten. Es gilt eine Verbindung für eine NIC.

Ich hoffe ich habe keinen Blödsinn erzählt ?:᛫」

Viele Grüße

Ich
Mitglied: aqui
aqui 31.03.2021 aktualisiert um 12:45:52 Uhr
Goto Top
Ich würde alle 4 Ports der PFSense an den Switch anbringen.
Geht ja nicht, sein APU4 hat ja insgesamt nur 4 physische Ports. face-wink
Einer muss ja WAN Port bleiben und dann kann er aber 3 noch als LAGs zusammenfassen, was in der Tat sinnvoll ist.
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 31.03.2021 um 12:37:43 Uhr
Goto Top
jou danke dir aqui,

doch etwas nicht berücksichtigt. Dann sind es nur noch drei im LAG.

Ich werde mich bessern. face-smile
Mitglied: Jensano
Jensano 31.03.2021 um 23:58:24 Uhr
Goto Top
Hallo und danke schon einmal für diese neuen Erkenntnisse.

Ich betreibe meinen Switch als Layer 2.
Jede Verbindung egal wo sie ankommt muss über die pfSense. Dort werden die VLANs verwaltet.
Siehe Layout.

Um ehrlich zu sein, habe ich mich mit dem Switch etwas übernommen. Die Layer 3 Option habe ich nur genommen wegen "Was man hat das hat man". Die ganzen Funktionen vom Switch brauch ich eigentlich nicht. und bin mit dem Ding etwas überfordert.
Ich nutze
  • die VLAN funktionalität
  • und die 802.1X Authentication für den Radiusserver auf der pfSense

Ich dachte ich schließe ihn bei meiner eigentlichen Problemlösung deswegen einfach aus.
Ich habe öfters Probleme mit dem AVAHI Dienst auf der pfSense. Manche Geräte können sporadisch nicht den Drucker über Airprint sehen oder über Airplay iTunes auf dem Fileserver steuern. Verbinde ich mich mit den Geräten dann einfach über den anderen AP AC Pro (in die Nähe von diesem gehen) dann können die Geräte die Dienste auf einmal sehen. Wieder zurück zum anderen AP AC Pro und die Dienste sind wieder weg.


Kann ich mit den LAGs nicht aber auch zwei Access Points an die pfSense anschließen und die beiden Ports dann wie einen verwalten und somit den Switch bei meiner Problemlösung außen vor haben? Ansonsten werde ich das mit dem mehrfachen Anschluss über LAG an den Switch mal testen.
2021-03-31 22_58_15
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 01.04.2021 um 08:38:16 Uhr
Goto Top
Moin,

Zitat von @Jensano:

Hallo und danke schon einmal für diese neuen Erkenntnisse.

Ich betreibe meinen Switch als Layer 2.
Jede Verbindung egal wo sie ankommt muss über die pfSense. Dort werden die VLANs verwaltet.
Siehe Layout.

Das ist aus meiner Sicht auch die einfachste und bessere Lösung, wenn man genug Uplink zum Router hat.

Zitat von @Jensano:
Um ehrlich zu sein, habe ich mich mit dem Switch etwas übernommen. Die Layer 3 Option habe ich nur genommen wegen "Was man hat das hat man". Die ganzen Funktionen vom Switch brauch ich eigentlich nicht. und bin mit dem Ding etwas überfordert.

hehe, nach diesem Prinzip kaufe ich auch :D Nach dem ersten Einrichten von Layer3 Switch, wobei ich habe gehört, dass es sich mehr um Layer 2+ handelte, habe ich gesagt Ich lasse die Firewall regel wer wohin darf und wer nicht.

Zitat von @Jensano:
Ich dachte ich schließe ihn bei meiner eigentlichen Problemlösung deswegen einfach aus.
Ich habe öfters Probleme mit dem AVAHI Dienst auf der pfSense. Manche Geräte können sporadisch nicht den Drucker über Airprint sehen oder über Airplay iTunes auf dem Fileserver steuern. Verbinde ich mich mit den Geräten dann einfach über den anderen AP AC Pro (in die Nähe von diesem gehen) dann können die Geräte die Dienste auf einmal sehen. Wieder zurück zum anderen AP AC Pro und die Dienste sind wieder weg.

Airprint wird soviel ich weiß zumindest bei einfachen Geräten nur aus den gleichen Netzwerk erreicht. Oder hat Apple da was geändert?

Sonnst prüfe mal ob in deinem Switch irgend eine ACL Regel den Zugriff auf einen Dienst verbietet.

Verbinde dich mit dem den AP´s vie SSH und versuche mal die gewünschten Ports von dort aus zu erreichen.

Über welchen VLAN kommunizieren die AP´s mit dem Unifi Controller? Hast du VLAN1 vergessen in der Topo bei dem Switch zu hinterlegen?

Zitat von @Jensano:

Kann ich mit den LAGs nicht aber auch zwei Access Points an die pfSense anschließen und die beiden Ports dann wie einen verwalten und somit den Switch bei meiner Problemlösung außen vor haben? Ansonsten werde ich das mit dem mehrfachen Anschluss über LAG an den Switch mal testen.

Technisch gesehen, könnte man es glaube ich umsetzen.

Ich würde unter Schnittstellen > Zuweisungen > VLAN's

Der gewünschten Schnittstelle ob es nun Lagg0 Lagg1 oder RE1 oder RE2 die VLAN´s vergeben, welche du für die AP benötigst, und VLAN1 nicht vergessen, denn der Unifi Controller muss ja damit kommunizieren.

Aber aus meiner Sicht würde ich es alles an den Switch anschließen und durch die PfSense routen lassen. Und den Fehler suchen, wodurch die Probleme des verschwundenen der Dienstes liegen.

Viele Grüße

Ich
Mitglied: aqui
aqui 01.04.2021 um 12:52:28 Uhr
Goto Top
Airprint wird soviel ich weiß zumindest bei einfachen Geräten nur aus den gleichen Netzwerk erreicht.
Ja, es basiert auf mDNS und mDNS (Bonjour, AVAHI) rennt nur auf Layer 2 über eine link local Multicast IP Adresse 224.0.0.251. Link local MC Adressen haben einen festen TTL von 1, sind also damit nicht routebar:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Um mDNS Diense wie Airprint in andere IP Netze zu bringen benötigt man einem mDNS Proxy. Viele Accesspoints z.B. von Cisco, Ruckus und anderen haben sowas an Bord damit man auch aus anderen VLANs, MSSIDs usw. mDNS Dienste nutzen kann.
Alternativ kann man das auch mit einem kleinen Raspberry Pi (Zero) lösen:
Netzwerk Management Server mit Raspberry Pi
Aber aus meiner Sicht würde ich es alles an den Switch anschließen und durch die PfSense routen lassen
Richtig ! Sinnvollerweise über einen 2er LACP LAG an pfSense und Switch.
Mitglied: OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 01.04.2021 um 14:44:35 Uhr
Goto Top
Zitat von @aqui:
Richtig ! Sinnvollerweise über einen 2er LACP LAG an pfSense und Switch.

Oder über drei! :D
Mitglied: Jensano
Jensano 05.04.2021 um 22:41:42 Uhr
Goto Top
So, jetzt wieder ON - Mit LAG aus jeweils zwei Ports auf der pfSense und dem Switch. Da spärt man sich dann doch des öfteren mal aus beim Konfigurieren. Und gleichzeitig muss man die Rules und Portforwardings nicht vergessen anzupassen. Und bei den entsprechenden Porteinstellungen auf dem Switch vorher auf LAG umstellen. War ein großer Lernzuwachs. Einen Port auf der pfSense habe ich aber rausgelassen, damit ich darüber im Fall der Fälle noch auf die pfSense komme. In meinem Fall ist ein zweier LAG ausreichend.

STP sowie Loopback Detection habe ich bei mir am Switch ausgestellt. Mein Switch enthält nur Endpunktteilnehmer. Organisiert dieses LAG sich jetzt selber über die LAG Konfiguration oder muss ich hierfür ein Mechanismuss wieder extra aktivieren? Ist doch vom Hardwareaufbau erstmal ein Loop.

Ja das AVAHI Package regelt bei mir auf der pfSense das Announcing der Bonjour Dienste wie Drucker und Airplay am TV VLAN übergreifend.

Das riesen Problem ist dabei, dass das sporadisch funktioniert. Also zeitweise geht das von allen meinen Geräten aus egal mit welchem Accespoint ich verbunden bin. Dann mal geht es mit dem iPad nur wenn ich mit einem bestimmten Accesspoint verbunden bin. Das iPad hat normal etwas eingeschränkte Rechte. Verbinde ich mich mit diesem dann mit einer SSID die Allow Any hat, geht es von jedem Accesspoint aus. Verbinde ich mich wieder mit der SSID mit eingeschränkten Rechten dann geht es wieder nur von einem Accesspoint aus. Wie gesagt gibt es aber auch Tage da kann das iPad mit eingeschränkten Rechten über beide Accesspoints alle Bonjour Dienste verwenden. Das macht die Fehlersuche so schwer.

Das iPad hat diese eingeschränkten Rechte. Kennt jemand etwas das für die Funktion von AVAHI auf der pfSense und demnach den Bonjourdiensten im Netz erforderlich ist und ich hier geblockt habe?
2021-04-05 22_18_28

Ich habe schon versucht bei diesem Bonjourdienst etwas in die Tiefe zu gehen. Die Geräte die Bonjourdienste verwenden, geben das ja im Netzt bekannt. Und es soll wohl so sein, das andere Geräte diese Dienstanbieter selber abspeichern. Das iPad kann jetzt z.B. beim Dateiserver erfahren das der Fernseher Airplay anbietet. So habe ich das jedenfalls verstanden. Eventuell hat es damit was zu tun von wem das iPad mit eingeschränkten Rechten dann was erfahren kann. Eventuell muss es ja irgendwie direkt auf den AVAHI Dienst auf der pfSense zugreifen können. So ganz finde ich nichts über die Funktionsweise des AVAHI Packages auf der pfSense.
Mitglied: aqui
aqui 06.04.2021 aktualisiert um 10:34:42 Uhr
Goto Top
Da spärt man sich dann doch des öfteren mal aus beim Konfigurieren.
Wie geht denn "spären" ? Hoffentlich ist das nix Unanständiges ?! face-big-smile
Ist übrigens nicht richtig was du da sagst. Wenn man einen dedizierten Port wie deinen em3 nutzt an dem man den Konfig PC direkt anschliesst "sperrt" man sich nie und nimmer aus. Wie auch, denn man kann ja niemals mit einen dedizierten Konfig Port den Zugang verlieren ! Vermutlich hast du auch hier wieder mal etwas falsch gemacht...aber egal. face-sad
STP sowie Loopback Detection habe ich bei mir am Switch ausgestellt.
Ein Fehler, aber auch egal wenn du meinst das das für dich ok ist. Der Switch sollte zumindestens global immer RSTP aktiviert haben mit einer Bridge Priority 8192 damit er immer Root Switch ist und eine Grundabsicherung gegen Loops besteht.
Ein LACP LAG hat eine eigene Loop Prevention durch den 802.3ad Standard.

AVAHI/Bonjour basiert auf mDNS:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Es nutzt die Ziel IP Adresse 224.0.0.251 (IPv6: ff02::fb) mit dem UDP-Port 5353. Das zu erlauben ist also richtig. Wichtig ist das es auf allen Segmenten erlaubt sein sollte in denen mDNS/Bonjour Dienste laufen. Im AP sollte auch eine Multicast zu Unicast Conversion aktiv sein. Siehe auch hier.
Suche nach einem mDNS oder Bonjour Browser im App Store (z.B. Discovery) dann kannst du genau sehen wer welche Bonjour Dienste wie im Netz announced.
Weitere Infos zu AVAHI findest du auch im Zusammenhang mit RasPi und anderen unixoiden OS.