Vraag


  • CollisionNL
  • Registratie: Juli 2012
  • Laatst online: 15-01 19:21
Hallo,

Mijn doel is een Guest VLAN (tag 80) en IOT VLAN (tag 50) opzetten. Ik heb een machine met pfSense draaien, een Zyxel Switch en een Unifi AP. Voor het gemak begin ik met het Guest netwerk, IOT ga ik later inrichten zodra ik de VLAN's werkend heb aangezien ik daar wat complexere firewall rules moet gaan maken.

Omdat het allemaal verschillend hardware is is het mijn nog niet gelukt om het werkend te krijgen. Ik doe vast iets fout en ik denk dat het in de switch zit.

Nav deze video heb ik de interface en VLAN's kunnen opzetten in pfSense. Daarbij heb ik ook gelijk de firewall rules gedefinieerd zoals beschreven in de video.
https://tweakers.net/ext/f/1NHzhl0XPIuthRF1NZ3wBZZS/thumb.jpg
https://tweakers.net/ext/f/yIV8DlwAlB9jUL4dfq1M26hF/thumb.jpg

In Unifi heb ik via "instellingen - Draadloze netwerken" een netwerk aangemaakt genaamd XXX Guest met "gebruik VLAN 80" aangevinkt. In de video maakt hij ook een netwerk aan maar in mijn geval kan dat niet door het gebrek aan Unifi switch etc.
https://tweakers.net/ext/f/Ni0edjoaYUv8V8YWx2S8jbJd/thumb.jpg

Via de handleiding van de Switch heb ik de VLAN's aangemaakt en getagd maar zodra ik dit Save klapt heel het netwerk er uit. Zelfs mijn desktop kan niet meer op het internet. Waarschijnlijk omdat ik port 1 dichtgooi met het VLAN...
https://tweakers.net/ext/f/t92Vqms1rPpH3sNkWhMUIsuy/thumb.jpg
https://tweakers.net/ext/f/LD8yHgH0qaNNVJogzm8k6bQ8/thumb.jpg
https://tweakers.net/ext/f/fGsA7GWvaHy5ANeBHWf1GDZU/thumb.jpg

Als ik niks definieer in de switch en ik stel dus alleen pfSense en de Unifi AP in en ik test met mijn mobiel door te verbinden met het Guest SSID krijgt hij wel netjes een IP adres welke in in de DHCP van mijn VLAN heb gedefinieerd (XXX.XXX.80.100) maar kan ik niet het internet op.

Hoe ziet het netwerk er uit:
Modem bridged -> WAN -> pfSense-host port 1
pfSense-host port 2 -> Zyxel Switch port 1
Zyxel Switch port 2 -> Unifi AP
Zyxel Swicht port 3-16 -> diverse hardware zoals NAS, desktop etc.

Het doel moet dus zijn dat mijn gasten wel gewoon kunnen internetten maar geen toegang hebben tot het lokale netwerk. Voor IOT het zelfde maar daar wil ik wel vanaf bepaalde client's vanuit mijn hoofd-subnet toegang tot hebben (later via firewall rules).

Voor nu mag de aanname gedaan worden dat alle IOT en Guest devices draadloos verbonden worden met de Unifi AP.

Mocht er meer info of screenshots nodig zijn let me know!

Relevante software en hardware die ik gebruik
pfSense - 2.4.4-RELEASE-p3
UniFi AP-AC-Pro https://www.ui.com/unifi/unifi-ap-ac-pro/
Zyxel GS1900-24 https://www.zyxel.com/nl/...ged-Switch-GS1900-Series/
Test client: Iphone Xs

Wat ik al gevonden of geprobeerd heb
Youtube video: https://www.youtube.com/watch?v=b2w1Ywt081o
Zyxel support page: https://support.zyxel.eu/...el-Switch-te-configureren
Diverse forum post variërend van tweakers tot Ubiquiti

[Voor 0% gewijzigd door CollisionNL op 13-01-2020 13:22. Reden: Aanvulling]

Beste antwoord (via CollisionNL op 08-02-2020 12:13)


  • nike
  • Registratie: November 2000
  • Niet online
Port 1 is je trunk port zoals in de video.
Port 2 komt vlan 1 en 50 op.
Op je access point heb je een gasten netwerk met vlan 50 gemaakt. Die pakt je access pont dan op en regeld het verder. De vlan 1 gebruikt hij dan voor de rest.
Port 3 unpiv je weer en daar komt bv je desktop pc die geen vlans snapt. Je switch zorgt dan dat de tag er af is en je pc het begrijpt.

-edit-

Alle reacties


  • CollisionNL
  • Registratie: Juli 2012
  • Laatst online: 15-01 19:21
Niemand?

  • nike
  • Registratie: November 2000
  • Niet online
Switch port 1 word een trunk port. Volgens bij moet je hier op je switch de vlans taggen.
Port 2 switch tag je port 80 je gast. Je access poiint kan vlans lezen. Op deze port moet je ook je vlan 1 toelaten voor je normaal verkeer.

Port 3 en de rest tag je vlan 1 en pvid... Je desktops en nas snappen niet vaak vlan tags dus op die porten strip je het weer.

[Voor 4% gewijzigd door nike op 15-01-2020 21:17]

-edit-


  • CollisionNL
  • Registratie: Juli 2012
  • Laatst online: 15-01 19:21
@nike bedankt voor je reactie. Dus als ik het goed begrijp moet ik alles (1, 80 en straks 50) om het voor elkaar te krijgen?

Acties:
  • Beste antwoord
  • +1Henk 'm!

  • nike
  • Registratie: November 2000
  • Niet online
Port 1 is je trunk port zoals in de video.
Port 2 komt vlan 1 en 50 op.
Op je access point heb je een gasten netwerk met vlan 50 gemaakt. Die pakt je access pont dan op en regeld het verder. De vlan 1 gebruikt hij dan voor de rest.
Port 3 unpiv je weer en daar komt bv je desktop pc die geen vlans snapt. Je switch zorgt dan dat de tag er af is en je pc het begrijpt.

-edit-


  • CollisionNL
  • Registratie: Juli 2012
  • Laatst online: 15-01 19:21
@nike Oke super! Ik ga het testen dankjewel. Zodra het lukt meld ik me.

  • CollisionNL
  • Registratie: Juli 2012
  • Laatst online: 15-01 19:21
@nike het is me niet gelukt. Ik heb als het goed is de juiste instellingen op de switch en heb voor de test een tweede laptop bekabeld aangesloten op poort 11 en mijn ipad verbonden met het Guest SSID. In pfSense en de Unifi AP staan de juiste tags (80).

Met zowel de ipad of laptop heb ik geen toegang tot het internet.

Ik kan vanuit mijn pc de laptop pingen op het 192.168.80.XX subet, maar niet andersom vanaf de laptop naar mijn pc.

De switch ziet er nu zo uit:


[Voor 3% gewijzigd door CollisionNL op 18-01-2020 01:18]


  • CollisionNL
  • Registratie: Juli 2012
  • Laatst online: 15-01 19:21
Na een nacht met weinig slaap denk ik dat het komt door mijn, door de jaren heen, vervuilde pfSense installatie. Voorheen met allemaal VPN rules gewerkt voor het doorzetten van verkeer via externe VPN servers etc.

Omdat ik toch begin met nieuwe ideeën en het splitsen van het netwerk ga ik ook starten met een verse installatie van pfSense om te zorgen ik niks over het hoofd zie.

Ik meld me er na weer.

  • CollisionNL
  • Registratie: Juli 2012
  • Laatst online: 15-01 19:21
@nike Eindelijk pfSense kunnen resetten en daardoor nu overzicht van instellingen. Naast dat er in pfSense wat verkeerd stond moet de unifi AP natuurlijk ook als Trunk. Sindsdien werkt het!

  • nike
  • Registratie: November 2000
  • Niet online
Fijn dat het gelukt is @CollisionNL .
Pfsense is echt een gweldig product. Ik ben nu zelf veel aan het uitproberen met haproxy en acme certs.
Kijken of ik de mail servers ook door de proxy lukt met certs.

-edit-


  • CollisionNL
  • Registratie: Juli 2012
  • Laatst online: 15-01 19:21
@nike Ja er is zoveel dat ik nog niet gebruik maar voor het doel is het mega krachtig.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee