Digitalisierungsbox Premium inter-VLAN Routing
7 years ago
Hallo,
ich habe ein kleines Problem mit der Digitalisierungsbox.
Das Setup sieht folgendermaßen aus:
Digibox rein als Router/Firewall
an en1-4 (blauer Ethernet Port) einen HP-VLAN Switch. An diesem Hängen 2 (später 4) Ubiquity UniFi AccessPoints und ein UniFi Controller.
Folgende VLANS sind vorgesehen:
1 Management (Accesspoints, UniFi Controller, Switch, Digibox) 192.168.1.0/24 en1-4-1
100 Intern (WLAN Int, Interne PC, Drucker, etc) 192.168.100.0/24 en1-4-2
110 GaestePlus (WLAN GaestePlus) 192.168.110.0/24 en1-4-3
200 Gaeste (WLAN Gast) 192.168.200.0/24 en1-4-4
Ich habe in der Digibox Manuell die Schnittstellen en1-4-1 - en 1-4-4 jeweils auf Schnittstelle en1-4 und mit dem jeweiligen VLAN Tag und der entsprechenden IP eingerichtet.
Die Accesspoints sind Untagged im VLAN 1, die Ports erlauben Tagged VLAN 100, 110 und 200. Der Controller ist im VLAN 1 und 100 jeweils mit der Adresse .10 erreichbar. Soweit funktioniert es auch alles, ich kann aus allen Netzen ins Internet und auch das WLAN läuft einwandfrei.
Nun möchte ich aber für das Gaeste VLAN ein "Capative Portal" einrichten. Hier wird nur kurz bestätigt, dass man mit den Nutzungsbedingungen einverstanden ist und man sieht ein tolles Logo. Das Portal läuft natürlich auf dem UniFi Controller (Port 8080). Die Gäste (aus dem VLAN 200 192.168.200.X) müssen also auf die IP 192.168.1.10:8080 zugreifen können.
Ich habe eine entsprechende Firewallregel (Quelle: en1-4-1; Ziel: 192.168.1.10; Dienst: TCP/8080) konfiguriert. Das Portal ist dennoch nicht erreichbar. Auch wenn ich Quelle: any; Ziel: 192.168.1.10; Dienst: any; testhalber konfiguriere geht es nicht. Ich vermute, dass schlichtweg kein Routing zwischen den VLAN's funktioniert.
Mir ist die Konfiguration der DigiBox sehr suspekt und in teilen nicht ganz schlüssig. Mag sein, dass ich einen Denkfehler mache.
Vielen Dank
Jan
816
3
This could help you too
388
0
6
304
0
1
7 years ago
Unter Umständen musst Du die Routing-Einträge von Hand erstellen.
Allerdings müsste das von entsprechenden Firewallregeln flankiert werden, da ansonsten das Gäste-Netz Zugrifff auf Dein Management-NW erhält.
Ganz sattelfest bin ich da nicht, aber bei mir ist eine Standardroute drin, die das schon leisten sollte:
0
7 years ago
[...] 1 Management (Accesspoints, UniFi Controller, Switch, Digibox) 192.168.1.0/24 en1-4-1 100 Intern (WLAN Int, Interne PC, Drucker, etc) 192.168.100.0/24 en1-4-2 110 GaestePlus (WLAN GaestePlus) 192.168.110.0/24 en1-4-3 200 Gaeste (WLAN Gast) 192.168.200.0/24 en1-4-4 [...] Die Gäste (aus dem VLAN 200 192.168.200.X) müssen also auf die IP 192.168.1.10:8080 zugreifen können. Ich habe eine entsprechende Firewallregel (Quelle: en1-4-1; Ziel: 192.168.1.10; Dienst: TCP/8080) konfiguriert.
[...]
1 Management (Accesspoints, UniFi Controller, Switch, Digibox) 192.168.1.0/24 en1-4-1
100 Intern (WLAN Int, Interne PC, Drucker, etc) 192.168.100.0/24 en1-4-2
110 GaestePlus (WLAN GaestePlus) 192.168.110.0/24 en1-4-3
200 Gaeste (WLAN Gast) 192.168.200.0/24 en1-4-4
[...]
Die Gäste (aus dem VLAN 200 192.168.200.X) müssen also auf die IP 192.168.1.10:8080 zugreifen können.
Ich habe eine entsprechende Firewallregel (Quelle: en1-4-1; Ziel: 192.168.1.10; Dienst: TCP/8080) konfiguriert.
Müsste die Firewall-Regel nicht so aussehen: Quelle: en1-4-4; Ziel: 192.168.1.10
Die Quelle sind ja die Clients im Gäste-Netzwerk an en1-4-4.
Die Frage ist, ob du die Firewall überhaupt aktiv geschalten hast und welche Sicherheitsrichtlinie die beteiligten Schnittstellen haben, also vertrauenswürdig oder nicht vertrauenswürdig.
Wenn en1-4-4 vertrauenswürdig ist und keine andere Firewall-Regel die gewünschte Kommunikation untersagt, ist die Firewall nicht das Problem.
Frage: Woher beziehen die Gäste-Clients ihre IP-Adresse und das Default-Gateway?
Ich vermute, dass Gäste-Clients und dein Controller nicht die IP-Adresse der Digitalisierungsbox als Default-Gateway verwenden. Damit die Gäste deinen Controller erreichen und andersrum, müssen diese den Weg über die Digitalisierungsbox gehen, welche dann hin und her routet.
Zusätzliche Routen sind nicht nötig, die jeweiligen Routen werden mit der IP-Vergabe unter LAN -> IP-Konfiguration automatisch angelegt.
VG,
Flo
1
Answer
from
7 years ago
Hallo,
the one and only DHCP-Server in unserem Netz ist die Digitalisierungsbox. Die Firewall Regel war natürlich wie beschrieben. Habe die Firewall testhalber komplett ausgeschaltet. Ändert auch nichts. Routing (bzw. NAT) von den jeweiligen Netzen ins Internet funktioniert einwandfrei. Ich habe im Vollzugriff noch gesehen, dass es unter Netzwerk wohl noch so etwas wie ACL`s gibt. Muss hier noch etwas eingerichtet werden?
Ich verstehe insgesammt die Funktionsweise der DigiBox nicht wirklich. Was ist der Unterschied zwischen einem Routing- und einem Bridge-Interface. Eine Bridge ist für mich Layer-2 (alles einfach weiter) und Routing passiert auf Layer-3.
Komme aus der CISCO-Welt, da ist das alles etwas logischer.
Habe testhalber die VLAN´s jetzt auch noch einmal auf dem BR interface angelegt (diese liegen auf en1-0 was wiederum die Hardwareschnittstellen 1-4 sind). Ergebnis ist das Gleiche. Es findet keinerlei Routing zwischen den internen interface statt. Nur NAT erfolgt richtung WAN!
Konfig derzeit:
br0 (VLAN 1) 192.168.1.0/24
br0-1 (VLAN 100) 192.168.100.0/24
br0-2 (VLAN 110) 192.168.110.0/24
br0-3 (VLAN 200) 192.168.200.0/24
Vielen Dank
Jan
Unlogged in user
Answer
from
Unlogged in user
Ask
from