Vraag

dinsdag 16 augustus 2022 16:34

Acties:
  • 0 Henk 'm!
  • GuitarHero
  • Registratie: Juli 2008
  • Laatst online: 16-07 20:42

GuitarHero

Topicstarter
Ik heb een prima werkend netwerk met 2 gateways.

Afbeeldingslocatie: https://tweakers.net/i/w_lITolP3LSG7S8y3c7Dt7IxuS4=/800x/filters:strip_exif()/f/image/tXHFxjPrY1ze0OP26zInNmcQ.png?f=fotoalbum_large

Default verkeer 192.168.1.0/24 wordt gerouteerd naar Internet door de gateway 192.168.1.1 (DNS 1 is Pihole 192.168.1.5 en DNS 2 192.168.1.1)

VLAN 4 verkeer 192.168.4.0/24 wordt gerouteerd naar 192.168.1.2, Raspberry OpenVPN VPN Gateway. (DNS 1 is Pihole 192.168.1.5 en DNS 2 192.168.1.1)

De 2e gateway is ingesteld via een custom config.gateway.json, geupload en provisioned naar m'n Unifi Cloud key.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

{
  "firewall": {
    "modify": {
      "SOURCE_ROUTE": {
        "rule": {
          "4": {
            "action": "modify",
            "description": "OVPN Gateway",
            "modify": {
              "table": "4"
            },
            "source": {
              "address": "192.168.4.0/24"
            }
          }
        }
      }
    },
    "source-validation": "disable"
  },
  "interfaces": {
    "ethernet": {
      "eth1": {
        "vif": {
          "4": {
            "firewall": {
              "in": {
                "modify": "SOURCE_ROUTE"
              }
            }
          }
        }
      }
    }
  },
  "protocols": {
    "static": {
      "route": {
        "192.168.1.0/24": {
          "next-hop": {
            "192.168.4.1": "''"
          }
        }
      },
      "table": {
        "4": {
          "route": {
            "0.0.0.0/0": {
              "next-hop": {
                "192.168.1.2": "''"
              }
            }
          }
        }
      }
    }
  },
  "service": {
    "nat": {
      "rule": {
        "6035": {
          "description": "VIF 4 VPN NAT",
          "log": "disable",
          "outbound-interface": "eth1",
          "protocol": "all",
          "source": {
            "address": "192.168.4.0/24"},
            "type": "masquerade"
        }
      }
    }
  }
}


Dit werkt prima.

Standaard verkeer gaat direct naar m'n ISP, terwijl VLAN 4 verkeer door de Pi VPN gateway naar buiten gaat, met redelijke snelheden.

Maar...
Alle clients die zijn toegewezen aan VLAN 4 (bedraad of vast) hebben GEEN toegang tot het default LAN 192.168.1.x.

Dit betekent géén toegang tot o.a. de printer, VM servers, PiHole, NAS, Home automation etc.

Hoe kan dit worden veranderd? Waarom zien het default LAN en VLAN 4 elkaar niet?

Ik heb al geprobeerd om Firewall regels toe te voegen die verkeer tussen de VLANS zou moeten toestaan. (al hoewel ik overal lees dat dit tussen Corporate VLANS niet nodig zou zijn)

(LAN IN - Alle verkeer toegestaand van VLAN 1 naar 4 en van 4 naar 1,
LAN OUT - Alle verkeer toegestaan van VLAN 1 naar 4 en van 4 naar 1)

Ik heb ook nog wat zitten spelen met het JSON deel.

code:
1
2
3
4
5
6
7

},
  "protocols": {
    "static": {
      "route": {
        "192.168.1.0/24": {
          "next-hop": {
            "192.168.4.1": "''"



naar

code:
1
2
3
4
5
6
7

},
  "protocols": {
    "static": {
      "route": {
        "192.168.1.0/24": {
          "next-hop": {
            "192.168.1.1": "''"



Geen succes tot nu toe.

Het is me nu onduidelijk waar het probleem nu in kan zitten. JSON, VLAN instellingen, Firewall , of...

gr
Marcel

[ Voor 0% gewijzigd door GuitarHero op 16-08-2022 16:35 . Reden: typo ]

Alle reacties

dinsdag 16 augustus 2022 16:53

Acties:
  • 0 Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

GuitarHero schreef op dinsdag 16 augustus 2022 @ 16:34:
... Waarom zien het default LAN en VLAN 4 elkaar niet? ...
Omdat (V)LAN's juist daarvoor verzonnen zijn. Specifiek om elkaar niet te zien.

Je hebt een indrukwekkend aantal (V)LAN's. Maar kun je beginnen met uit te leggen hoe een en ander zou moeten werken? Je hebt bijvoorbeeld iets wat jij "Wifi VPN" noemt. Begrijp ik goed dat je via dit SSID een wifi verbinding krijgt waar je via een VPN naar buiten gaat? Terwijl je via het normale wifi SSID gewoon via de ISP naar buiten gaat?

QnJhaGlld2FoaWV3YQ==

dinsdag 16 augustus 2022 18:57

Acties:
  • 0 Henk 'm!
  • Jay-B
  • Registratie: Mei 2007
  • Niet online

Jay-B

@GuitarHero
Wacht even... Klopt het dat je gateways zowel fysiek als logisch niet in verbinding staan met elkaar? Op welke wijze verwacht je dan (nog los van de configuratie) dat verkeer van het ene subnet gerouteerd wordt naar het andere subnet?

woensdag 17 augustus 2022 10:09

Acties:
  • 0 Henk 'm!
  • GuitarHero
  • Registratie: Juli 2008
  • Laatst online: 16-07 20:42

GuitarHero

Topicstarter
Brahiewahiewa schreef op dinsdag 16 augustus 2022 @ 16:53:
[...]

Omdat (V)LAN's juist daarvoor verzonnen zijn. Specifiek om elkaar niet te zien.

Je hebt een indrukwekkend aantal (V)LAN's. Maar kun je beginnen met uit te leggen hoe een en ander zou moeten werken? Je hebt bijvoorbeeld iets wat jij "Wifi VPN" noemt. Begrijp ik goed dat je via dit SSID een wifi verbinding krijgt waar je via een VPN naar buiten gaat? Terwijl je via het normale wifi SSID gewoon via de ISP naar buiten gaat?
Klopt. Dat is hoe het nu werkt.

woensdag 17 augustus 2022 10:12

Acties:
  • 0 Henk 'm!
  • GuitarHero
  • Registratie: Juli 2008
  • Laatst online: 16-07 20:42

GuitarHero

Topicstarter
Jay-B schreef op dinsdag 16 augustus 2022 @ 18:57:
@GuitarHero
Wacht even... Klopt het dat je gateways zowel fysiek als logisch niet in verbinding staan met elkaar? Op welke wijze verwacht je dan (nog los van de configuratie) dat verkeer van het ene subnet gerouteerd wordt naar het andere subnet?
Ze staan met elkaar in verbinding. Ze zitten gewoon in het hetzelfde subnet 192.168.1.x

woensdag 17 augustus 2022 11:12

Acties:
  • 0 Henk 'm!
  • GuitarHero
  • Registratie: Juli 2008
  • Laatst online: 16-07 20:42

GuitarHero

Topicstarter
Ik heb als test even een nieuw tijdelijk VLAN 5 aangemaakt.
Vanaf dit VLAN 5 kan ik gewoon bij het default LAN komen. Dat is ook het verwachte gedrag, omdat bij Unifi de Corperate VLAN's standaard met elkaar in verbinding staan, of je moet dit specifiek blokkeren in de Firewall regels.
Het probleem zit dus waarschijnlijk in de Pi. Als de VLAN 4 route wordt gekozen, wordt vermoedelijk AL het verkeer naar de OVPN gekieperd en wordt lokale verkeer niet juist gerouteerd.

woensdag 17 augustus 2022 12:03

Acties:
  • 0 Henk 'm!
  • Jay-B
  • Registratie: Mei 2007
  • Niet online

Jay-B

@GuitarHero je zou ook nog even kunnen checken of verkeer tussen de gateways en de switch wel getagd is.

woensdag 17 augustus 2022 12:04

Acties:
  • 0 Henk 'm!
  • GuitarHero
  • Registratie: Juli 2008
  • Laatst online: 16-07 20:42

GuitarHero

Topicstarter
Dit is de route tabel van de VLAN 4 Pi gateway 192.168.1.2

code:
1
2
3
4
5
6
7

@VPN-raspberrypi:~ $ ip route
0.0.0.0/1 via 10.8.3.1 dev tun0
default via 192.168.1.1 dev eth0 proto dhcp src 192.168.1.2 metric 202
10.8.3.0/24 dev tun0 proto kernel scope link src 10.8.3.2
128.0.0.0/1 via 10.8.3.1 dev tun0
143.xxx.xxx.xxx via 192.168.1.1 dev eth0
192.168.1.0/24 dev eth0 proto dhcp scope link src 192.168.1.2 metric 202

[ Voor 1% gewijzigd door GuitarHero op 17-08-2022 15:14 . Reden: wan ip verbergen ]

woensdag 17 augustus 2022 13:43

Acties:
  • 0 Henk 'm!
  • GuitarHero
  • Registratie: Juli 2008
  • Laatst online: 16-07 20:42

GuitarHero

Topicstarter
Jay-B schreef op woensdag 17 augustus 2022 @ 12:03:
@GuitarHero je zou ook nog even kunnen checken of verkeer tussen de gateways en de switch wel getagd is.
Dat werkt wat raar bij Unifi, maar volgens mij heb ik ze nu getagd.
Via eerst een "Profiel" aan te maken met daarin Switchprofiel waarin als originele netwerk "Default" ingesteld en getagged VLAN4.
Daarna het Switchpoort profiel gekoppeld aan de switchpoort waar de Pi Gateway op aangesloten is.
Na provisionen werkt het helaas nog steeds niet.
Op de Pi zelf kan ik trouwens wel gewoon pingen naar devices in het lokale netwerk.

donderdag 18 augustus 2022 11:11

Acties:
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 12-09 15:43

MasterL

Moderator Internet & Netwerken
Oke ik denk dat je gelijk hebt dat OpenVPN deze static route "overruled", is het niet makkelijker om een
rule aan te maken in de Unifi router voor de rfc1918 adressen? Deze wil je toch (nooit) neem ik aan over de VPN routeren?

Mijn kennis van Unifi is erg beperkt dus ik weet niet of deze syntax enigzins klopt maar voor het idee:

{
"firewall": {
"modify": {
"SOURCE_ROUTE": {
"rule": {
"main1": {
"action": "modify",
"description": "Main table 192 subnet",
"modify": {
"table": "main"
},
"source": {
"address": "192.168.0.0/16"

vrijdag 19 augustus 2022 16:21

Acties:
  • 0 Henk 'm!
  • GuitarHero
  • Registratie: Juli 2008
  • Laatst online: 16-07 20:42

GuitarHero

Topicstarter
MasterL schreef op donderdag 18 augustus 2022 @ 11:11:
Oke ik denk dat je gelijk hebt dat OpenVPN deze static route "overruled", is het niet makkelijker om een
rule aan te maken in de Unifi router voor de rfc1918 adressen? Deze wil je toch (nooit) neem ik aan over de VPN routeren?

Mijn kennis van Unifi is erg beperkt dus ik weet niet of deze syntax enigzins klopt maar voor het idee:

{
"firewall": {
"modify": {
"SOURCE_ROUTE": {
"rule": {
"main1": {
"action": "modify",
"description": "Main table 192 subnet",
"modify": {
"table": "main"
},
"source": {
"address": "192.168.0.0/16"
Ik vermoed dat we op het juiste spoor zitten, maar ik krijg die JSON zonder concreet bestand niet werkend.
Heb al wel een paar aanpassingen gedaan, waarvan ik dacht dat ze op bovenstaande zouden neerkomen.
Geef het nog niet op. Zal er volgende week weer induiken.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq