Hallo.
Diese Frage klingt auf den ersten Blick vielleicht etwas akademisch (oder wahlweise auch esoterisch) – aber es steckt ein ganz konkretes Problem dahinter:
Wir wollen mit der v7 einen „Mischbetrieb“ dieser beiden Aufbauten realisieren (oberes und unteres Bild):
https://docs.linuxmuster.net/en/latest/systemadministration/network/subnetting-basics/#vlan-ids-und-gateway-ips
Also im Prinzip haben wir nach wie vor den unteren Aufbau (virtualisiert mit Proxmox), doch die OPNSense-Firewall wird demnächst nicht mehr als VM sondern wieder auf 'nem Blech laufen. Daher muss man sich „beide Bilder zusammen vorstellen“.
Nun ist es so, dass bei uns der Datenverkehr aus dem WLAN demnächst ordentlich zunehmen wird. Wir haben einen unifi-Controller als VM auf dem Hypervisor; zusätzlich wird natürlich der v7-Server über die Gruppenzugehörigkeit regeln, wer sich in der Gruppe „wlan/wifi“ befindet und damit ins Internet darf und wer nicht.
Nun ist die Frage: Welchen Weg nehmen die Pakete? Ich weiß nicht genau, ob ich richtig liege: Wenn ein Client im (blauen) WiFi-Netz ins Internet will, muss ja zunächst der freeradius-Server (bei uns mit auf dem v7-Server!) befragt werden. Daher geht die Anfrage also zunächst von blau über den L3-Router, über den Hypervisor, dann über die Firewall und schließlich zur v7-VM, die es dann erlaubt. Der Weg raus läuft dann wieder über die Firewall, dann erneut über den L3-Router und letztlich ins Internet (vgl. unteres Bild).
Aber wie ist der Datenstrom danach? Geht es ab dann vom Wlan-Client direkt über die Firewall raus oder wird auch weiterhin jedes Mal zuerst der v7-Server „befragt“ (jetzt ist das obere Bild besser)? Ich meine, dass der Weg nun direkt laufen müsste, da als Gateway ja die Adresse der Firewall angegeben ist. Stimmt das?
Schöne Grüße,
Michael
Hallo Michael,
Nun ist die Frage: Welchen Weg nehmen die Pakete? Ich weiß nicht genau,
ob ich richtig liege: Wenn ein Client im (blauen) WiFi-Netz ins Internet
will, muss ja zunächst der freeradius-Server (bei uns /mit/ auf dem
v7-Server!) befragt werden. Daher geht die Anfrage also zunächst von
blau über den L3-Router, über den Hypervisor, dann über die Firewall und
schließlich zur v7-VM, die es dann erlaubt. Der Weg raus läuft dann
wieder über die Firewall, dann erneut über den L3-Router und letztlich
ins Internet (vgl. unteres Bild).
Aber wie ist der Datenstrom danach? Geht es ab dann vom Wlan-Client
/direkt/ über die Firewall raus oder wird auch weiterhin jedes Mal
zuerst der v7-Server „befragt“ (jetzt ist das obere Bild besser)? Ich
meine, dass der Weg nun direkt laufen müsste, da als Gateway ja die
Adresse der Firewall angegeben ist. Stimmt das?
das ist Quark, denke ich.
Die Sache geht so:
- Client authentifiziert sich am AP (bei unifi läuft der Radius im AP,
weswegen der Controller nach dem konfigurieren auch ausgeschaltet werden
kann …). Der AP schickt die Anfrage an den Radius der lmn.
- kommt ein Accept zurück wir der eigentliche Datenstrom dort hin
geleitet, wie es das routing vor sieht: bist du in Blau geht es vom AP
durch das blaue VLAN an die OPNsense und raus.
Es gehen nie Pakete vom Client an den lmn Server
LG
Holger
Hi Holger.
Gut, dass ich „Anfrage“ und nicht „Pakete“ geschrieben hatte … dass die nicht direkt miteinander kommuzieren können, war ja klar …
Wenn man die FW also nicht mehr im Hypervisor betreibt sondern als bare-metal-Installation, hat man also tatsächlich ein paar weniger Hops … ok! Das bestätigt das, was ich dachte…
Eine Frage bleibt: Der Client hat ein Accept erhalten und kann surfen; wie erfährt er, dass irgedwann die Zeit abgelaufen ist und das Accept zu einem Reject geworden ist? Anders gefragt: Schickt der AP die Radiusanfrage auch zwischendurch „zur Bestätigung“ öfter mal los?
Schöne Grüße,
Michael
Doch, wenn der Radius auf dem lmn Server läuft.
Nein. Gleiche Anzahl und gleicher Hop.
Virtualisiert (Hop und/oder LAN) oder nicht, von blau nach rot braucht es immer einen Hop. Ebenso für Auth von blau nach grün.
Schöne Grüße
… also ich meinte mit „Hops“ die Anzahl der Switche|Server, über die ein Paket geschickt wird. Wenn die Clients in blau nach dem „Accept“ direkt über die Firewall raus dürfen, muss (wie im oberen Bild gezeigt) kein Traffic mehr durch den Hypervisor … das reduziert die Hops nach meinem Verständnis?!?
Zum einem kommen Hops nur auf Ebene 3 vor und werden mit traceroute gezählt. (siehe Hop (Netzwerktechnologie) – Wikipedia. Zum anderen hängt die Anzahl Switche zu den Hops von der (strukturierten) Verkabelung ab. Die angeführten Bilder zeigen die logische Anordnung, die sich bei allen physikalischen Installationen unterscheiden. Sind die AP alle direkt am Router oder liegen da nicht (je nach Verkabelung) zwischen 1 bis x Switchen dazwischen?
Hallo.
Ok, wieder was dazu gelernt…
Ja, das schon – aber der zusätzliche Weg über den L3-Router und den Hypervisor kann man sich nach oben gesagtem scheinbar sparen, sobald der AP direkt von der Firewall rausgelassen wird. Das gilt wie gesagt nur, wenn die Firewall nicht mehr virtualisiert läuft …!??
Unter’m Strich ist es so, dass der Aufbau schon ganz schön komplex geworden ist…
Schöne Grüße,
Michael