Hallo,
von der Logic her soll der unifi meine zwei WLANs in verschiedene Netze routen: eines ist das Blaue des IPFire.
Nun dropt der da aber ums verrecken alle DNS Anfragen.
Jemand eine Idee, wo ich da noch drehen kann?
Ich habe extra ein Laptop direkt in Blau (kein coova oder unifi dazwischen) um das zu testen, aber er kommt nicht raus.
Proxy an und transparent oder aus macht kein Unterschied.
Ahh, die Cients dürfen raus, wenn ich sie im IPFire unter Firewall->
Zugriff auf Blau einmal aus der DHCP Zuordnungstabelle in die “Geräte
auf Blau” übernommen habe… aber das kanns ja nicht sein. Sinn der Sache
ist ja, dass alle die auf Blau am IPFire ankommen, direkt raus dürfen.
Der Filter, wer da hin kommt und wer nicht ist ja der Radius in den APs.
warum soll der bei Dir ins Blaue Netz des IPFire routen? Eigentlich sollte der doch zum Coova routen und der dann erst zum IPFire, oder? Oder wie begrenzt Du den Zugriff in Blau, hat da Unifi was eigenes?
warum soll der bei Dir ins Blaue Netz des IPFire routen? Eigentlich
sollte der doch zum Coova routen und der dann erst zum IPFire, oder?
Oder wie begrenzt Du den Zugriff in Blau, hat da Unifi was eigenes?
die Route nach Blau im AP wird durch WPA2 Enterprise gesichert.
Es ist also eine einmalige Anmeldung mit den Logindaten aus dem
Schulnetz nötig.
Danach merkt sich der Client die Zugangsdaten: eine weitere
Authentifizierung ist nicht mehr nötig.
Ahh, die Cients dürfen raus, wenn ich sie im IPFire unter Firewall->
Zugriff auf Blau einmal aus der DHCP Zuordnungstabelle in die „Geräte
auf Blau“ übernommen habe… aber das kanns ja nicht sein. Sinn der Sache
ist ja, dass alle die auf Blau am IPFire ankommen, direkt raus dürfen.
Der Filter, wer da hin kommt und wer nicht ist ja der Radius in den APs.
heute Morgen beim Frühstück hab ich die Lösung gefunden:
… wie die auf sowas kamen ist mir schleierhaft.
Egal: man muss unter Firewall->Zugriff auf Blau tatsächlich im Feld IP
172.16.16.0/24 eintragen, aktivieren und speichern: schon kommt jeder raus.
Wichtig: das Feld MAC leer lassen (obwohl es ein Pflichtfeld ist …).
Soweit alles fertig, könnte man meinen, aber leider nein:
172.16.16.1 bis 172.16.16.253 sind nur 253 Adressen: das muss nicht
immer reichen.
Also möchte ich das Netz aufbohren: nur die Netzwerkmaske im IPFire bei
Blau fest verdrahtet.
Jetzt such ich mal die config und bieg sie auf …
Soweit alles fertig, könnte man meinen, aber leider nein:
172.16.16.1 bis 172.16.16.253 sind nur 253 Adressen: das muss nicht
immer reichen.
Also möchte ich das Netz aufbohren: nur die Netzwerkmaske im IPFire bei
Blau fest verdrahtet.
Jetzt such ich mal die config und bieg sie auf …
das ist auch erledigt.
Man muss ein paar Dateien editieren.
/var/ipfire/dhcpd.conf
hier die neuen Werte eintragen:
172.16.0.0/255.255.0.0
Gateway: 172.16.255.254
DAnn /var/ipfire/ethernet/settings
Für BLUE die neuen Werte eintragen:
IP: 172.16.255.254
NWMask:255.255.0.0
usw.
Vorsicht: da steht normalerweise auch der DNS auf Blau drin: bisher
172.16.16.254 jetzt 172.16.255.254
Und wenn man vorher schon unter „Zugriff auf Blau“ den Range freigegeben
hat, so muss man ihn nun natürlich anpassen.
Ebenso habe ich das Netz im unifi Controller angepaßt.
Jetzt funktioniert das alles.
Damit bleibt nur noch ein Test: was passiert, wenn ich meinen IPFire
Core 102 auf den aktuellen update…
Das mach ich jetzt noch, dann markiere ich den Tread als Gelöst.
ein Update des IPFire vom Server aus per
linuxmuster-ipfire --upgrade
nach hochsetzen des Maxcore in der DAtei /var/lib/linuxmuster-ipfire/maxcore auf 111
hat ohne Probleme funktioniert.
Allerdings meckert der IPFire dann nach beim reboot, dass mein DNS kein DNSSEC unterstützt.
Das habe ich behoben, wie in der Liste beschrieben:
Ja klasse! Hallo morpweb,
schön dass du das herausgefunden hast.
Weil bei mir der “upstream name servers” sowohl beim hoch- als auch beim runterfahren hing, habe ich beide Skripte umbenannt:
unter:
/etc/init.d/networking/red.up
/etc/init.d/networking/red.down
jeweils
mv 05-update-dns-forwarders 21-update-dns-forwarders
Und siehe da, der Fehler ist weg, alles OK und grün, anstatt drei Minuten Verzögerung läuft das jetzt keine drei Sekunden! Ein:
cat /var/ipfire/red/dnssec-status
ergibt jetzt sofort => on
Ahh, die Clients dürfen raus, wenn ich sie im IPFire unter Firewall->
Zugriff auf Blau einmal aus der DHCP Zuordnungstabelle in die „Geräte
auf Blau“ übernommen habe… aber das kanns ja nicht sein. Sinn der Sache
ist ja, dass alle die auf Blau am IPFire ankommen, direkt raus dürfen.
Der Filter, wer da hin kommt und wer nicht ist ja der Radius in den APs.
Weiß jemand wo ich das einstellen kann?
Du musst unter „Zugriff auf blau“ das ganze Netz angeben.
kann man doch auch im Webinterface umstellen, oder? Hab ich letzte Woche jedenfalls gemacht. Nun kommt mir aber eine Frage:
Ich habe 172.16.16.0 mit Netzmaske 255.255.240.0 und den IPFire auf Adresse 172.16.16.254.
Also im Range drinnen.
Könnte ich den IPFire in Blau auf 172.16.16.254 lassen oder ist es besser, ihn auf 172.16.31.254 zu setzen? Ich kenn mich da nicht so aus, ob der dhcpd seine eigene Adresse vergibt.
ne das rote netzt hat eine Andere 192er ein DNS Thema kann es nicht sein da ich die IP ja nicht pingen kann wenn ich ein 172er verwende leuft es auch nicht