Boosta ditt hemnätverk med VLAN. Du kommer inte tro dina ögon när du ser hur många den här användaren har!

Permalänk
Medlem

Boosta ditt hemnätverk med VLAN. Du kommer inte tro dina ögon när du ser hur många den här användaren har!

TL;DR
Med en lite bättre router-/brandväggsmjukvara och nätverksutrustning med VLAN-stöd kan du få markant mycket bättre säkerhet i -- och kontroll över -- ditt nätverk. Låt mig visa hur jag gjort!

Hårdvara
Routern köpte jag som sagt från TekLager. CPU: AMD GX-412TC SOC och 2GiB RAM.
Switch: TP-Link TL-SG108PE.
Accesspunkt: UniFi AC Lite.

pfSense
pfSense är en open source-brandvägg-/routermjukvara som sedan en tid tillbaka primärt utvecklas av Netgate [Källkod]. pfSense bygger på FreeBSD och är en väldigt kraftfull mjukvara med stöd för i stort sett allt du behöver för att managera fullskaliga företagsnätverk.

Låt dig dock inte avskräckas. Enligt mig är pfSense väldigt användarvänligt och fungerar toppenbra även för hemanvändare. pfSense är dock inte plug-n-play. I sitt grundutförande blockerar pfSense all trafik (i alla riktningar) och lämpar sig således inte för personer som (på sin höjd) kan tänka sig att lägga till ett WiFi-lösenord. Har du dock intresse att lära dig minimalt om pfSense och nätverkskonfiguration i allmänhet är pfSense ett kanonval.

VLAN
VLAN är ett virtuellt, lokalt, nätverk. Tekniken möjliggör för logisk uppdelning av nätverkstrafik i en kabel. Detta fungerar genom att routern "taggar" datan som skickas ut på ditt LAN och att dina enheter vet att data med olika taggar ska hanteras på olika vis.

Men, varför?
Alla uppkopplade prylar i ditt liv behöver inte kunna prata med varandra. Det finns ingen anledning att ditt kylskåp ska kunna initiera en anslutning till din TV. Skulle din smarta högtalare vara sårbar för en attack, och bli deltagare i ett bot-nät, vore det bra om viruset inte kan sprida sig till resten av ditt nätverk.

Egentligen behöver man inte VLAN. Man kan sätta upp samma funktionalitet mha statisk IP-allokering och massor av brandväggsregler, men det är väldigt smidigt att inte behöva tänka på sådant utan bara veta att en ny IoT-pryl som ansluts till iot_wifi automatiskt kommer få en IP mha DHCP och sen ha brandväggsregler enligt de som är uppsatta för VLANet.

Min Setup
Jag har konfigurerat mitt nätverk med ett WAN (anslutning till Internet) och 6 stycken VLAN.

En snabbsummering:

  1. LAN: Är standard-VLANet där all nätverksutrustning bor. Routern, switcharna, accesspunkterna.

  2. OFFICE: Huserar min server och min stationära dator.

  3. HOME: Är VLANet för alla som bor i hemmet. Hit kopplas telefoner, laptops, surfplattor, osv.

  4. SURVEILLANCE: Har IP-kameror.

  5. IoT: Här hamnar alla enheter som inte behöver prata med något annat. Kindles, damsugare, etc.

  6. GUEST: Används bara för att få ett separat VLAN för gäst-WiFi.

Istället för att ha brandvägsregler för individuella enheter kan jag alltså specificera regler för varje VLAN. I mitt fall har jag följande konfig:

  • Gröna VLAN kan nå Internet och alla andra VLAN.

  • Gula VLAN kan nå Internet och alla VLAN förutom gröna.

  • Lila VLAN kan inte nå någonting förutom enheter i samma VLAN.

  • Röda VLAN kan nå Internet och enheter i samma VLAN.

Sen har jag ett fåtal undantag. Servern i det gröna VLANet hostar till exempel en del virtuella maskiner som jag vill kunna nå från det gula VLANet, så det finns specifika brandväggsregler för detta.

mDNS
Chromecasts (och många liknande prylar) använder  mDNS för att hitta enheter på nätverket. Trots att alla våra Chromecasts befinner sig i IoT-VLANet kan de fortfarande användas av enheter i de VLAN som har tillåtelse att initiera anslutningar till IoT-VLANet. Detta mha Avahi, som finns som paket till pfSense. Det är alltså möjligt att tillåta mDNS mellan VLAN utan att för den skulle tillåta andra anslutningar att initialiseras från ett VLAN till ett annat.

WiFi
Det jag gillar absolut mest med min setup är hur enkelt det är att skapa separata WiFi-nätverk. I UniFi's mjukvara har jag specificerat mina olika nätverk enligt följande:

och sen har jag helt enkelt skapat separata SSIDn för de VLAN jag vill ska ha WiFi. Eftersom all routing sker i routern (duh) styrs allting i pfSense. Toppensmidigt!

Gotchas

  • Mina IP-kameror ska fungera "lokalt", men de vägrar fungera om de inte får kontakt med sina NTP-servrar. Jag har alltså behövt öppna port 123 för utgående kommunikation från lila VLAN.

  • Lokal castning fungerar inte mellan VLAN. När en av mina enheter var på Home-WiFi gick det inte att casta lokal media från den till en Nest Mini-högtalare. Spotify osv. fungerade och enheterna anslöt till varandra, men just uppspelning fungerade inte. I mitt fall är det inget problem att båda enheterna bor på IoT-nätverket, så jag har inte grävt djupare i det här.

Slutplädering
Ett segmenterat nätverk gör det lättare att hålla ordning och reda på sina prylar. Det blir enklare att se vilka enheter som försöker ansluta till vad och du behöver inte drunkna i brandväggsregler och undantag från dessa.

Ett segmenterat är dessutom ett säkrare nätverk och gör det markant mycket svårare för en angripare att nå dina enheter.

Allt som allt tog det mig en dag att få allting att fungera. Ingenting var egentligen särskilt krångligt, men man behöver hålla tungan i rätt mun och förstå hur varje enhets VLAN-inställningar fungerar.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem

Bra tråd! Hade själv velat göra det men har inte tagit tag i det. Hade precis köpt nya switchar innan jag hörde talas om VLAN och upptäckte då att switcharna inte hade support för VLAN.

Vilken hårdvara använder du? Hade velat sätta upp en PFsense burk men blir inte strömförbrukningen rätt hög? Tror min nuvarande Edgerouter drar mellan 5-10w.

Permalänk
Medlem

Grymt, har funderat på detta länge! Ska bli kul o följa tråden.

Visa signatur

• ASUS 35" ROG Strix XG35VQ • Corsair Obsidian 750D • Ryzen 5 3600 @ 4,35GHz • NZXT X63 • Asus TUF RTX 3070
• Asus B550-F • G.skill 2x8GB (3600MHz 16-19-19-39) • Corsair RM750x • Corsair Force MP600 1TB • Windows 10 Pro

Permalänk
Medlem
Skrivet av Baxtex:

Vilken hårdvara använder du?

Routern köpte jag som sagt från TekLager. Den har en AMD GX-412TC SOC och 2GiB RAM.
Switch: TP-Link TL-SG108PE.
Accesspunkt: UniFi AC Lite.

Skrivet av Baxtex:

strömförbrukning

Jag har inte kollat.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem

Kul snabbguide! Det enda jag inte förstår är säkerhetsgrejen. Om gula oavsett kan nå allt (förutom grön) och grön kan nå allt så känns det fortfarande sårbart? Eller tanken är kanske bara att dina IoT-grejer + gäst + övervakning ej ska vara sårbara?

Visa signatur

CPU: Ryzen 5600xGPU: 1080 TI ROG Strix RAM:2x16GB G.skill Trident @ 3600MHz MoBo: Asus B550FPSU: Corsair SF750
En resa till Nordkorea
2 dagar i Tjernobyl

Permalänk
Medlem

Vilken slump att denna tråd dök upp. Har precis flyttat och går och klurar på hur jag skall lösa nätverksbiten. Vill gärna ta det ett steg längre än att bara koppla in allt hej vilt och har siktet på VLAN likt dina. Är dock en riktig amatör när det kommer till nätverk så det blir mycket teori i början.

Tänkte börja med att flasha Merlin på min rt-ac86u, för det verkar ju vara en rätt bra uppgradering mot standard firmware. Har inte läst på helt men uppfattade det i alla fall som att VLAN skulle vara enklare att hantera då.

Vad skulle annars vara nästa steg om man vill gå mot ett lite mer seriöst nätverk? Ubiquiti nämns ju ofta men vad är det som gör det så bra?

Visa signatur

Top 1%

Permalänk
Medlem

Hade varit intressant om du lägger din hårdvara längst upp -> Detta är det som gjort mig mest osäker för att sätta mig in i träsket med VLAN (Dvs, Managerbara Switchar).

Hade varit väldigt intressant att höra hur mycket det krävdes tidsmässigt, och om det finns några bekymmer du upplevts hittills?
(Jag har exempelvis ett par Deltaco IoT-swtiches som startar kaffebryggaren som helt sonika slutar fungera utan kontakt med internet, så har krävt lite skumma regler för att låta dem prata med nätet men inget annat)

Visa signatur

Krusidullen är stulen

Permalänk
Medlem
Skrivet av Pelegrino:

Kul snabbguide! Det enda jag inte förstår är säkerhetsgrejen. Om gula oavsett kan nå allt (förutom grön) och grön kan nå allt så känns det fortfarande sårbart? Eller tanken är kanske bara att dina IoT-grejer + gäst + övervakning ej ska vara sårbara?

Tanken är att de enheter som är viktigast att hålla säkra (grönt är viktigast, sen gul, sen röd) inte ska vara nåbara från ett mindre säkert VLAN.

Servern i grönt VLAN kan initiera anslutningar till alla enheter på hela nätverket, men enheter i andra VLAN än de gröna kan inte initiera anslutningar till servern. Skulle servern bli infekterad med virus, eller hackad, är hela nätverket kört; men upplägget ovan bygger på att de minst säkra enheterna (störst sannolikhet att inte få säkerhetsuppdateringar, osv.) bor i röda VLAN. Från de röda VLANen går det inte att initiera anslutningar till varken gula eller gröna VLAN.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem
Skrivet av Baxtex:

Bra tråd! Hade själv velat göra det men har inte tagit tag i det. Hade precis köpt nya switchar innan jag hörde talas om VLAN och upptäckte då att switcharna inte hade support för VLAN.

Du behöver ju inte ha stöd för VLAN per port i switchen om du sköter det i din EdgeRouter. Sätt t.ex. port 2 till otaggat VLAN 20 och koppla in en switch i den så kommer allt du kopplar in i den switchen hamna på VLAN 20.

Ska du däremot ha allt i samma switch och på olika VLAN så får du nog köpa något som är lite mer företagsinriktat, men en gammal Ciscoburk kan man nog hitta på blocket i så fall

Skrivet av drwlz:

Vad skulle annars vara nästa steg om man vill gå mot ett lite mer seriöst nätverk? Ubiquiti nämns ju ofta men vad är det som gör det så bra?

Helt okej grejer till helt okej pris. Billigt nog för att en privatperson ska ha råd med det, och rejält nog för att små eller medelstora företag ska kunna köra dem. Däremot kan du som sagt säkert köpa andra saker begagnat som kommer fungera lika bra till ett säkert lägre pris, typ gamla Cisco/HP/Aruba-grejer.

Nackdelen med att köpa allt för "bra" grejer är ju däremot att en rackmonterad 48-portars PoE-switch dels är grovt överdimensionerad till en lägenhet och dels inte direkt är designad för att vara tyst så det är otroligt låg WAF på sånt

Permalänk
Medlem
Skrivet av drwlz:

Vad skulle annars vara nästa steg om man vill gå mot ett lite mer seriöst nätverk? Ubiquiti nämns ju ofta men vad är det som gör det så bra?

De ska ha trevliga användargränssnitt, och som med så mycket annat är det ofta nice att köra "samma överallt". Går man all-in Ubiquiti får man nog en väldigt trevlig (och dyr) helhetslösning!

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem
Skrivet av SuperSverker:

Hade varit intressant om du lägger din hårdvara längst upp -> Detta är det som gjort mig mest osäker för att sätta mig in i träsket med VLAN (Dvs, Managerbara Switchar).

Hade varit väldigt intressant att höra hur mycket det krävdes tidsmässigt, och om det finns några bekymmer du upplevts hittills?

Fixat

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem

Nice! Det närmsta jag kommit är att blockera kinesiska smarthome-adaptrar från internetåtkomst

Visa signatur

Intel Core i7 3770K | ASUS GeForce GTX 970 4GB STRIX DC2 OC | Corsair Vengeance LP 16GB 1600MHz | ASUS P8Z77-V | BenQ 24" XL2410T 120Hz | Windows 7

Permalänk
Medlem
Skrivet av Icetec:

Du behöver ju inte ha stöd för VLAN per port i switchen om du sköter det i din EdgeRouter. Sätt t.ex. port 2 till otaggat VLAN 20 och koppla in en switch i den så kommer allt du kopplar in i den switchen hamna på VLAN 20.

Ska du däremot ha allt i samma switch och på olika VLAN så får du nog köpa något som är lite mer företagsinriktat, men en gammal Ciscoburk kan man nog hitta på blocket i så fall

Helt okej grejer till helt okej pris. Billigt nog för att en privatperson ska ha råd med det, och rejält nog för att små eller medelstora företag ska kunna köra dem. Däremot kan du som sagt säkert köpa andra saker begagnat som kommer fungera lika bra till ett säkert lägre pris, typ gamla Cisco/HP/Aruba-grejer.

Nackdelen med att köpa allt för "bra" grejer är ju däremot att en rackmonterad 48-portars PoE-switch dels är grovt överdimensionerad till en lägenhet och dels inte direkt är designad för att vara tyst så det är otroligt låg WAF på sånt

Ja det är problemet. 😂 ER sitter i källaren sen har dragit kablar till switchar. Just switchen på kontoret hade jag velat att en port som jobbdatorn använder kör ett VLAN och en annan port som speldatorn använder kör ett annat.

Permalänk
Medlem
Skrivet av Baxtex:

Ja det är problemet. 😂 ER sitter i källaren sen har dragit kablar till switchar. Just switchen på kontoret hade jag velat att en port som jobbdatorn använder kör ett VLAN och en annan port som speldatorn använder kör ett annat.

Sätt fasta IP-adresser på dem och använd brandväggen för att göra accesslistor om du vill ha dem separerade från varandra. Det är inte svårare än att sätta en explicit Deny från jobbdatorn till speldatorn eller vice versa beroende på vad du vill få ut från det. När det bara handlar om två datorer så är det ju inte allt för mycket jobb, jobbigare när det handlar om ett helt kontorsnät av grejer som ska köra DHCP med.

Permalänk
Medlem
Skrivet av Baxtex:

Ja det är problemet. 😂 ER sitter i källaren sen har dragit kablar till switchar. Just switchen på kontoret hade jag velat att en port som jobbdatorn använder kör ett VLAN och en annan port som speldatorn använder kör ett annat.

Finns ju små managerbara bordsswitchar också.

Permalänk
Medlem
Skrivet av Icetec:

Helt okej grejer till helt okej pris. Billigt nog för att en privatperson ska ha råd med det, och rejält nog för att små eller medelstora företag ska kunna köra dem. Däremot kan du som sagt säkert köpa andra saker begagnat som kommer fungera lika bra till ett säkert lägre pris, typ gamla Cisco/HP/Aruba-grejer.

Nackdelen med att köpa allt för "bra" grejer är ju däremot att en rackmonterad 48-portars PoE-switch dels är grovt överdimensionerad till en lägenhet och dels inte direkt är designad för att vara tyst så det är otroligt låg WAF på sånt

Skrivet av GLaDER:

De ska ha trevliga användargränssnitt, och som med så mycket annat är det ofta nice att köra "samma överallt". Går man all-in Ubiquiti får man nog en väldigt trevlig (och dyr) helhetslösning!

Dream Machine verkade smidig. Kanske kan bli en sån istället för att köpa allting separat

Visa signatur

Top 1%

Permalänk
Medlem

Vad är detta för scam?

Visa signatur

www.fckdrm.com - DRM år 2022? Ha pyttsan.

Permalänk
Medlem
Skrivet av ELF:

Vad är detta för scam?

Haha tyckte det var en rolig rubrik!

Visa signatur

🐳🐧: AMD R5 3600 | Google Coral.ai | ASRock X570D4U-2L2T | Silverstone CS381 | 80GB DDR4 | 8 HDD BTRFS RAID1
⌨️🎮: R9 3900X | RTX 2080 LC | Acer XF270HUA | 96GB @ 3200 | Prime B350-plus | Carbide 270R
🎞🎶: LG OLED55C8 | Epson TW3200 | Onkyo TX-NR646 | Infinity Reference 61/51 mk2 | Shield TV V2 | minhembio.com

Permalänk
Medlem

Att segmentera upp sitt nät är helt rätt väg att gå!!
Har länge funderat på börja göra nån form av guider här men aldrig fått tummen ur, bra att nån annat fått det.

Då var det bara:
NAT
VPN
IPS/IDS
Antivirus
Lite routing
m.m. m.m. kvar då

Permalänk
Medlem
Skrivet av Hansar:

Att segmentera upp sitt nät är helt rätt väg att gå!!
Har länge funderat på börja göra nån form av guider här men aldrig fått tummen ur, bra att nån annat fått det.

Då var det bara:
NAT
VPN
IPS/IDS
Antivirus
Lite routing
m.m. m.m. kvar då

Ja hur har det gått? Fått gjort några fler guider än?

Permalänk
Medlem
Skrivet av MB:

Ja hur har det gått? Fått gjort några fler guider än?

Nä, finns det några önskemål kanske så kan jag se vad jag kan göra?
Önskade scenarion etc? Lovar ingen speciell tid dock.

Permalänk
Medlem
Skrivet av GLaDER:

En snabbsummering:

  1. LAN: Är standard-VLANet där all nätverksutrustning bor. Routern, switcharna, accesspunkterna.

  2. OFFICE: Huserar min server och min stationära dator.

  3. HOME: Är VLANet för alla som bor i hemmet. Hit kopplas telefoner, laptops, surfplattor, osv.

  4. SURVEILLANCE: Har IP-kameror.

  5. IoT: Här hamnar alla enheter som inte behöver prata med något annat. Kindles, damsugare, etc.

  6. GUEST: Används bara för att få ett separat VLAN för gäst-WiFi.

Är ditt LAN interface endast default LAN utan något vlan? Har du isåfall skapat upp ett VLAN med TAG/trunk id 2? (med tanke på ditt lan hade 192.168.2.x)

Mitt LAN ligger på 5 (ej vlan) och jag har försökt att skapa upp ett nätverk med SSID i unifi som går mot lan interfacet i opnSense utan att lyckas. Jag har testat med en vlan tag/trunk id och utan. Då mitt lan inte är ett vlan så antar jag det är fel att sätta det som ett vlan nätverk i unifi. Men även om jag specar ip't 192.168.5.x och anger gateway osv så funkar det inte. Så jag funderar på om det ens går. Måste jag kanske sätta upp ett vlan?
Jag har nämligen ett liknande upplägg där mina nätverksprylar bor i default "lan" nätverket. Dock vill jag ha möjlighet att komma åt allt även om jag inte är ansluten med kabel. Allt andra interfaces med vlans funkar fint i opnsense. Dvs jag kan köra trådlöst om jag kör mot andra vlans.
Blir kanske en specifik fråga i unifitråden men tänkte först kolla här hur du gjorde.

Permalänk
Medlem
Skrivet av MB:

Är ditt LAN interface endast default LAN utan något vlan? Har du isåfall skapat upp ett VLAN med TAG/trunk id 2? (med tanke på ditt lan hade 192.168.2.x)

Mitt LAN ligger på 5 (ej vlan) och jag har försökt att skapa upp ett nätverk med SSID i unifi som går mot lan interfacet i opnSense utan att lyckas. Jag har testat med en vlan tag/trunk id och utan. Då mitt lan inte är ett vlan så antar jag det är fel att sätta det som ett vlan nätverk i unifi. Men även om jag specar ip't 192.168.5.x och anger gateway osv så funkar det inte. Så jag funderar på om det ens går. Måste jag kanske sätta upp ett vlan?
Jag har nämligen ett liknande upplägg där mina nätverksprylar bor i default "lan" nätverket. Dock vill jag ha möjlighet att komma åt allt även om jag inte är ansluten med kabel. Allt andra interfaces med vlans funkar fint i opnsense. Dvs jag kan köra trådlöst om jag kör mot andra vlans.
Blir kanske en specifik fråga i unifitråden men tänkte först kolla här hur du gjorde.

Först, det är ett typo i bilden ovan. Mitt LAN ligger på 192.168.1.1/24. Men det spelar ingen roll för huruvida nätet är ett VLAN eller ej. I pfSense sätter du helt enkelt din statiska IP för det givna interfacet till vad du nu vill ha och sen konfigurerar du (rimligen) DHCP att plocka adresser ur en pool baserat på det statiska IPt. Dessutom kan du utan problem ha VLAN Tag 37 och IP-adressrymd 18.47.69.0/24, på ett VLAN -- om du vill, men väldigt mycket inom IT bygger på konventioner och därför gör man inte så

Angående taggaded och icke taggade VLAN ser konfigen i switchen närmast routern ut såhär:

Hoppas du fått svar på någon av dina funderingar iaf

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem

Jag försökte redigera mitt ursprungliga inlägg, men det verkar inte fungera. Antar att det finns en gräns för hur gamla inlägg man får pilla på.

I ursprungsinlägget skrev jag om utgående NTP-trafik för övervaknings-VLANet och att jag inte gillade att jag var tvungen att tillåta det. Jag har nu löst det problemet och skrivit en kort post om det HÄR.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem
Skrivet av GLaDER:

Först, det är ett typo i bilden ovan. Mitt LAN ligger på 192.168.1.1/24. Men det spelar ingen roll för huruvida nätet är ett VLAN eller ej. I pfSense sätter du helt enkelt din statiska IP för det givna interfacet till vad du nu vill ha och sen konfigurerar du (rimligen) DHCP att plocka adresser ur en pool baserat på det statiska IPt. Dessutom kan du utan problem ha VLAN Tag 37 och IP-adressrymd 18.47.69.0/24, på ett VLAN -- om du vill, men väldigt mycket inom IT bygger på konventioner och därför gör man inte så

Angående taggaded och icke taggade VLAN ser konfigen i switchen närmast routern ut såhär:

https://i.imgur.com/g7XBmTA.png

Hoppas du fått svar på någon av dina funderingar iaf

Jo jag är med på subnätens uppdelning kan skilja sig mellan 192.168.X.1 och vlan id. Men det jag fortfarande är osäker på är i opnSense (bör vara motsvarande i pfSense) så finns ju [WAN] och [LAN] (192.168.1.1) när man startar upp det för första gången LAN interfacet har en viss port som interface. Sen kan man enkelt skapa upp vlans och där sätta vlan id. Men är det möjligt på ett LAN interfacet?
För det jag vill komma till är OM jag pluggar ur kabeln så vill jag kunna vara på LAN nätverket genom en ssid i unifi. Men i unifi så har jag inget specifikt vlan id att sätta då det inte är ett "vlan-only" nätverk.

Är detta ens möjligt eller måste jag skapa ett specifikt vlan i opnsense för att kunna köra wifi?
Jag kan ju sätta på porten till AP vilka nätverk som ska tillåtas. Men utan att speca något så bör väl allt åka igenom, ja menar alla mina vlans funkar ju på den AP så.

Permalänk
Medlem

Jag är ledsen, men jag hänger inte med.

Skrivet av MB:

Men det jag fortfarande är osäker på är i opnSense (bör vara motsvarande i pfSense) så finns ju [WAN] och [LAN] (192.168.1.1) när man startar upp det för första gången LAN interfacet har en viss port som interface. Sen kan man enkelt skapa upp vlans och där sätta vlan id. Men är det möjligt på ett LAN interfacet?

När du startar upp pfSense för första gången så är inga interface konfigurerade. Om du ser definierade interface under Interfaces > Interface Assignments har någon annan fixat dem åt dig.

Detta sagt, om du undrar hur man konfigurerar VLAN i pfSense kan du läsa den utomordentliga dokumentationen HÄR. OPNSense verkar inte ha i närheten av lika trevlig dokumentation, men du kan läsa mer HÄR.

Du måste ha ett fysiskt interface (LAN) i grunden för att kunna konfigurera ett virtuellt LAN (VLAN) ovanpå. Såhär ser mina interfacetilldelningar ut.

Skrivet av MB:

För det jag vill komma till är OM jag pluggar ur kabeln så vill jag kunna vara på LAN nätverket genom en ssid i unifi. Men i unifi så har jag inget specifikt vlan id att sätta då det inte är ett "vlan-only" nätverk.

Det här förstår jag inte alls. Vilken kabel är det du tänker dra ur? Den som går mellan accesspunkten och routern?

Skrivet av MB:

Är detta ens möjligt eller måste jag skapa ett specifikt vlan i opnsense för att kunna köra wifi?
Jag kan ju sätta på porten till AP vilka nätverk som ska tillåtas. Men utan att speca något så bör väl allt åka igenom, ja menar alla mina vlans funkar ju på den AP så.

Du behöver inte ha VLAN för att kunna använda en Unifi AP men OM du vill använda VLAN till olika SSIDn så behöver du konfigurera dina nätverk i Unifis mjukvvara att vara VLAN-only.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem
Skrivet av GLaDER:

Jag är ledsen, men jag hänger inte med.

När du startar upp pfSense för första gången så är inga interface konfigurerade. Om du ser definierade interface under Interfaces > Interface Assignments har någon annan fixat dem åt dig.

Det har du rätt i, jag köpte min router ifrån teklager därav jag hade en viss grund av WAN och LAN nätverk

Skrivet av GLaDER:

Detta sagt, om du undrar hur man konfigurerar VLAN i pfSense kan du läsa den utomordentliga dokumentationen HÄR. OPNSense verkar inte ha i närheten av lika trevlig dokumentation, men du kan läsa mer HÄR.

Ska kolla in det. Men VLAN:en har jag fungerande, det är endast min fysiska port/interface LAN som jag är kluven på.

Skrivet av GLaDER:

Det här förstår jag inte alls. Vilken kabel är det du tänker dra ur? Den som går mellan accesspunkten och routern?

Var lite otydlig. Det är inte mellan accesspunkten och routern utan till min dator. Mina nätverksprylar lever i 192.168.5.x subnätet och det är där min fysiska nätverksport [LAN] har sitt interface till.
Så om jag drar ut nätverkskabeln till min dator så vill jag kunna komma vara kvar på 192.168.5.x genom wifi. Mest för att jag ska kunna ha wifi som backup eller om jag använder en annan enhet som inte har nätverkskabel. Eller är detta upplägget kanske feltänkt utav mig?

Skrivet av GLaDER:

Du behöver inte ha VLAN för att kunna använda en Unifi AP men OM du vill använda VLAN till olika SSIDn så behöver du konfigurera dina nätverk i Unifis mjukvvara att vara VLAN-only.

Ja dem nätverken jag skapat upp i unifis controller är VLAN-only. Dem har jag sedan använt till olika wifi/ssid's.

Permalänk
Medlem
Skrivet av MB:

Var lite otydlig. Det är inte mellan accesspunkten och routern utan till min dator. Mina nätverksprylar lever i 192.168.5.x subnätet och det är där min fysiska nätverksport [LAN] har sitt interface till.
Så om jag drar ut nätverkskabeln till min dator så vill jag kunna komma vara kvar på 192.168.5.x genom wifi. Mest för att jag ska kunna ha wifi som backup eller om jag använder en annan enhet som inte har nätverkskabel. Eller är detta upplägget kanske feltänkt utav mig?

Då förstår jag lite bättre.

Kan du rita upp ett diagram hur saker och ting är kopplat idag?

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem
Skrivet av GLaDER:

Då förstår jag lite bättre.

Kan du rita upp ett diagram hur saker och ting är kopplat idag?

Så här ser det ut (jag har en till unifi AP som kommer sättas upp som ej är igång än). Det är inga begränsningar på trunks/vlans i unifi controller på dem specifika portarna.
SSID som heter Lan går mot ett nätverk som jag har svårt att konfigurera. Hoppar jag in på ssid't så blir meddelande "kunde inte erhålla någon ip-adress" eller något liknande.

Permalänk
Medlem
Skrivet av MB:

<Uppladdad bildlänk>
Så här ser det ut (jag har en till unifi AP som kommer sättas upp som ej är igång än). Det är inga begränsningar på trunks/vlans i unifi controller på dem specifika portarna.
SSID som heter Lan går mot ett nätverk som jag har svårt att konfigurera. Hoppar jag in på ssid't så blir meddelande "kunde inte erhålla någon ip-adress" eller något liknande.

Toppen!

Det här är väldigt likt min egna setup, den stora skillnaden är att jag inte exponerar mitt LAN via WiFi. Istället har jag satt upp brandväggsregler så att Office VLAN når LAN. Du har ju redan "brutit" din egna tanke med LAN eftersom du har en Dator på det nätverket (antar att den inte är "nätverksutrustning"?) så jag hade helt enkelt skapat ett nytt VLAN.

Detta sagt skulle problemet kunna vara hur du har konfigurerat DHCP i AP och Router, för LAN. Kör du måhända bara statiska IPn?

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕