OPNsense und Ubiquiti - Einbinden der Geräte schlägt fehl

Hi,

ich eine VM mit Ubiquiti Unifi-Controller, zahlreiche Switches und Accesspoints von Ubiquiti und ein Problem, diese dem Controller hinzuzufügen. Genauer gesagt scheitert das „Einbinden“.

Beim Blick in die Firewall habe ich zahlreiche Fehlermeldungen mit „default deny rule“ gefunden, die vermutlich mit genau diesem Problem zusammenhängen.

Zur Konfiguration:

Die Unifi-VM läuft auf 10.0.0.5

Die gesamte Ubiquiti-Hardware erhält ihre Adressen via DHCP aus dem grünen Netz, sind in der WebUI entsprechend als Switch / Wlan mit den MACs eingetragen. Adressen laufen im Bereich 10.0.130.X

Zur Probe habe ich einen Switch aus dem 10.0.130.x - Bereich entfernt. Als dieser dann eine Adresse aus dem anonymen DHCP-Adressbereich kam, fanden sich keine Fehlermeldungen mehr und das „Einbinden“ funktionierte.

Muss ich irgendwelche Firewall-Regeln anpassen? Oder irgendwelche anderen Anpassungen vornehmen??? Eigentlich würde ich sehr gerne die gesamte Ubiquiti-Hardware in einem eigenen Adressbereich parken …

Viele Grüße,

Thomas

Hallo Thomas,

Lies Dir mal diesen Beitrag durch. Vielleicht hilft er Dir weiter.

Viele Grüße Alois

Hallo Alois,

danke für die schnelle Reaktion und den Link. Ich hatte auch schon versucht, via SSH auf die Geräte (betrifft ja sowohl Switches als auch AP’s) zu kommen und dort die entsprechenden Befehle abzusetzen. Das Einbinden gelingt aber trotzdem nicht …

Hingegen: wenn ich den Geräten eine Adresse aus dem anonymen Bereich gebe, kann ich sie ohne die SSH-Hexerei einbinden. Daher habe ich da die Firewall auf der Rechung.

Wenn der AP eine Adresse a la 10.0.0.101 hat, kann ich ihn problemlos einbinden.
Wenn der AP eine Adresse wie 10.0.130.101 hat, geht nix und in der Firewall laufen die oben genannten „default deny rule“ - Fehlermeldungen auf.

Brauche ich da irgendeine Regel in der Firewall, die das erlaubt???

Viele Grüße,

Thomas

Hallo Thomas,

ist euer Netz gesubnettet?
Die APs und Switches sind vorher schon am Server aufgenommen?
Ist das Netz in das sie sollen innerhalb des Grünen Netzes?
Was ist den euer Grünes Netz?
StartIP und Netzwerkmaske.

LG

Holger

Hallo Holger,

  • nein - kein aktiviertes Subnetting.
    Wie aus 6.2 gewohnt habe ich aber je Raum (und halt auch für die Ubiquiti-Hardware) einen eigenen Bereich „vorgesehen“.
  • Netz, in das alles rein soll, ist grün.
  • Netz ist gemäß der 10.0.0.1 er Konfiguration aufgebaut. Ich hab dazu damals die angebotenen VM’s verwendet und angepasst.
  • wo gucke ich das mi StartIP und Netzmaske nach? In /etc/linuxmuster/subnets.csv steht nur:
    # server subnet definition
    10.0.0.0/16;10.0.0.254;10.0.0.100;10.0.0.200;SETUP
    Ich meine aber, dass ich da damals bei dem Setup gar nichts angepasst habe …

Viele Grüße,

Thomas

Hallo Thomas,

  • wo gucke ich das mi StartIP und Netzmaske nach? In
    /etc/linuxmuster/subnets.csv steht nur:
    /# server subnet definition/
    /10.0.0.0/16;10.0.0.254;10.0.0.100;10.0.0.200;SETUP/
    Ich meine aber, dass ich da damals bei dem Setup gar nichts
    angepasst habe …

in der /etc/netplan/01-netcfg.yaml

network:
ethernets:
eth0:
addresses:
- 10.16.1.1/24

und auf der OPNsense unter:

Schnittstellen → LAN
und dann ganz nach unten scrollen.

LG

Holger

Hallo!
Also auch die Netzwerkeinstellungen des Unifi-Controllers sind relevant, schick die bitte auch mit. Die bekommst Du z.B. mit ifconfig, da steht in der 2. Zeile dann die netmask. Die muss dann höchstens 255.255.0.0 sein, damit meine ich, dass 255.240.0.0 ok wäre, 255.255.255.0 aber nicht.
LG
Max

Hallo,

vertrauenswürdiger DHCP ist im Controller gesetzt?

Beste Grüße

Thorsten

Hallo Holger,

hier der Inhalt von /etc/netplan/01-netcfg.yaml:

network:
ethernets:
eth0:
addresses:
- 10.0.0.1/16
dhcp4: false
dhcp6: false
gateway4: 10.0.0.254
nameservers:
addresses:
- 10.0.0.1
- 10.0.0.254
search:
- stein.lan
routes:
- to: 10.0.0.0/16
via: 10.0.0.254
version: 2
~

Hallo Max,

der Hinweis könnte gut und zielführend sein, denn aktuell habe ich dort noch etwas anderes stehen:

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.0.0.5 netmask 255.255.255.0 broadcast 10.0.0.255

Ich probiere das gleich mal aus und schaue, ob das einen Einfluss hat …

Das war’s! Geändert - und FUPP - waren sofort alle erreichbar und eingebunden :wink:

Danke!!! Da muss ich wohl beim Setzen der statischen Netzwerk-Konfig nen Brett vorm Kopf gehabt haben!

Hallo,

Das war’s! Geändert - und /FUPP/ - waren sofort alle erreichbar und
eingebunden :wink:

Danke!!! Da muss ich wohl beim Setzen der statischen Netzwerk-Konfig
nen Brett vorm Kopf gehabt haben!

es war also die falsche Netzwerkmaske im unifi Controller (also beim
drunter liegenden ubuntu server)?

LG

Holger

Ja - lag an der falschen Netzmaske im Controller.

Da kann ich natürlich in der Firewall lange suchen … :confused:

Hallo,

ich habe den Beitrag von Max als Lösung markiert.

Gruß

Alois