Mesh- und Clientnetz aus virtuellem Proxmox-Gluon ableiten

Hallo zusammen,

ich habe bei mir auch ein ähnliches Setup mit drei Unifi APs und einer VM als Offloader - allerdings nutze ich Proxmox zur Virtualisierung.

In Proxmox kann ich der VM direkt ein Interface mit VLAN zuordnen, in den APs habe ich für die Freifunk SSID ebenfalls dieses VLAN verwendet.

Ohne einen Manged Switch hatte ich immer jede Menge „Mist“ in meinem normalen Netz, sprich alle Mac-Adressen von draussen scheinen intern bekannt zu sein und die Fritzbox hat Probleme gemacht.

Ich habe inzwischen zwei Lösungen allerdings wollte ich gerne fragen ob ihr das irgendwie noch anders gelöst bekommen habt.

Lösung a) Ich habe auf den VM Server noch ein PFSense drauf gepackt. Die Verbindung zwischen Freifunk VM und PFSense war nur intern, zu den APs habe ich PFSense via VLAN geschickt

Lösung b) ein Managed Switch, allerdings brauchte ich für die APs dieses tolle passive POE daher ging nur der Tough Switch von Ubuquity. Hier habe ich die Ports natürlich nicht auf Trunk gestellt sondern bei dem einen Port der zur Fritzbox geht das Freifunk VLAN "E"xcluded.

Wenn ich mir die Mac Table vom Tough Switch anschaue ist da aber auch wieder mehr als gewollt zu sehen.

Mache ich irgendwo noch was falsch? Habt ihr die „Probleme“ auch?

Danke euch vorab! Als letztes soll eigentlich noch meine alte Ubiquity Nanostation irgendwie auch über den Offloader laufen, die soll dann auch Meshen. Die APs reichen maximal ins Nachbarhaus.

Hallo,

ich habe das mal ausgegliedert, weil deine Frage nichts mit einem 841er zu tun hat.

Mir ist nicht 100% klar, ob du die Unifis mit der Freifunksoftware Gluon oder mit Originalfirmware betreiben möchtest. Beides ist möglich.

Falls mit der Freifunksoftware, ist das ganze relativ einfach: Das Gluon im Proxmox braucht vor dem erste Start eine zweite Netzwerkkarte, da diese sonst nicht mehr erkannt wird.

Und dann hast du virtuell zwei Netzwerkkarten, die quasi den blauen und einen gelben Port an einem normalen Router darstellen. Je nachdem ob dein Server mehrere physikalische Interfaces hat oder nicht, kannst du mit VLANs arbeiten, um alles über eine Karte laufen zu lassen oder für ein- und ausgehend verschiedene physikalische Karten nehmen, dann kommst du ohne VLAN-Switch aus.

Am Besten schreib nochmal genau, wie du es haben möchtest, dann hilft dir bestimmt gerne jemand bei der Detailkonfiguration.

Grüße
Matthias

Kannst Du das mal quantifizieren und qualifizieren?
Was für MACs siehst Du da (wo müssten die eigentlich sein) und magst Du mal Pakete zählen? d.h. kommen wirklich „alle Pakete“ da an oder ist da ein „kleines Leck“ in irgendeiner der Switch-Configs?

Ich habe mehrere x64-gluons als VM in Proxmox, mit vifs (seitens des Proxmox/KVM), die dann auf einer vmbr mit „vlan-support“ herausfallen. (wichtig: nach dem Aktivieren ist wirklich ein Reboot des Bleches
notwendig)

Ich schaue gern mal, ob ich da auch etwas sehe. Da die Setups aber etwas unübersichtlich sind, bräuchte ich zumindest einen Hinweis, nach was ich denn Ausschau halten sollte.

Vielen Dank für eure Hilfe!

Sorry, dass ich den Thread vom 841er für meine Frage genommen hatte.

Ich verwende die original FW, da ich Unifi für das Roaming nutzen möchte (habe einen AP in jeder Etage).

Ich habe zwei Nics in meinem Proxmox Server (HP ProLiant MicroServer (Gen8)). Grundsätzlich habe ich auch bereits verschiedene Varianten erfolgreich ans laufen bekommen. Aber eben immer mit der Nebenwirkung, dass im meinem Netz irgendwie die Mac Adressen aus dem Freifunk Netz sichtbar waren. Meine Fritzbox kam damit irgendwann nicht mehr zurecht.

Ich muss VLAN nutzen, da ich nur so mit den Unifi APs eine SSID für Freifunk verwenden kann. Die APs können VLAN direkt. Mein Hauptswitch kann leider kein VLAN, die Fritzbox bekanntlich auch nicht.

Folgendes habe ich alles bereits versucht:

Freifunk als KVM und ein Debian als KVM, beide über eine Nic 2 verbunden, ohne dass ein Kabel an Nic 2 war. → wunderbar, aber halt nur in VMs nutzbar.

Freifunk als KVM und ein PFSense als KVM, Verbindung zwischen Freifunk und PFSense über Nic 2, PFSense geht über Nic 1 (VLAN) ins LAN von mir und da sind dann die APs. → wunderbar allerdings etwas viel Overhead wegen PFSense

Freifunk als KVM und über Nic 1 (VLAN) direkt an meinen Switch. → funktioniert aber dann gibt die Fritzbox irgendwann auf.

Freifunk als KVM über Nic 2 (VLAN) auf einen Touchswitch, dieser filtert dann das entsprechende VLAN Richtung normalem LAN aus, die APs hängen direkt am Touchswitch. → bisher die wohl beste Lösung, ich sehe aber immer noch ca. 300 Mac Adressen auf dem entsprechendem VLAN

Die FritzBox kann keine VLANs, also nehme ich an, dass da noch ein VLAN-fähiger Switch dazwischen hängt.

Was für ein Modell ist das? Ich habe letztens schon mal gehört, dass die beiden baugleichen ganz günstigen von TP-Link und Netgear teilweise Mist bauen.

ca. 300 Mac Adressen allerdings wirklich nur auf dem Port an dem der Server mit Proxmox steckt, werden also scheinbar keine Pakete geschickt.

Denke dann ist eigentlich soweit alles in Ordnung.

Egal was von beidem ich mache, meine Fritzbox, sieht alle möglichen Mac Adressen bzw. zeigt sogar ipv6 Adressen zu den Clients an. Diese kann ich von Freifunk aus pingen, von meinem Netz (zum Glück) nicht.

Nur wenn ich entweder ein PFSense dazwischen packe oder eben den Toughswitch von Ubiquity bekommt die Fritzbox nichts mehr von den Clients im Freifunk Netz mit, die wohlgemerkt nichtmal „meine“ Clients sind sondern irgendwo anders im FF eingebucht sind.

Bei den preiswerten TP-Link „Smartswitches“ ist es ziemlich schwierig, die hinsichtlich Vlan-Lecks abzudichten.
(Es gibt Menschen, die behaupten, dass das nahezu unmöglich sei.)

Da fehlt jetzt der Switch, mit dem es nicht geht…

TP-Link TL-SG1024 aber ist ja klar, der kann keine VLANS. Der wird alles was gebroadcasted wird auch schön weiter brüllen.

Dann funktioniert deine Konfiguration nicht.

OK, also ich finde ja nett, wenn jemand helfen mag. Aber hast du überhaupt gelesen was ich geschrieben habe und versucht es zu verstehen?

Alle 4 (!!) Versionen funktionieren grundsätzlich, jedoch spuckt der Offloader mir zu viel Zeugs in mein LAN. Aktuell habe ich auch gar keine Probleme mehr, da ich ja nun den Toughswitch von Ubuquity zusätzlich im Einsatz habe.

Allerdings wunder ich mich, wie hier Leute im Forum auch OHNE VLAN Switches einen X86 Offloader betrieben haben. Eigentlich hätte ich gerne auf den Extra Switch verzichtet, es ist aber auch OK so.

Ja, natürlich funktioniert es, aber du hast die Meschpakete vom Batman in der FritzBox und deinem privaten Wlan rumfliegen, die dasselbe ausbremsen. Das ist die Mesh-on-Wan-Problematik.

Hast du eigentlich mal die Suche des Forums benutzt? Das ist alles bekannt. :stuck_out_tongue: Kann ich mal so zurück geben. Nicht böse gemeint.

Es ginge ohne, wenn du an der x86 Kiste eine zweite Netzwerkkarte hättest. Mit einer geht es eben nur dreckig oder mit Vlan-Switch.

Grüße
Matthias

1 „Gefällt mir“

Danke! Jetzt weiß ich endlich dass ich nicht verrückt bin und keine Geister(-Pakete) sehe :wink:

Ach ja, Mesh habe ich ja eigentlich im WAN aus, jedenfalls noch und trotzdem tauchen da halt zumindest die Mac-Adressen irgendwie auf, Pakete habe ich bisher keine gefunden.

Ich habe im Forum gesucht und ja auch unter einen solchen Thread ursprünglich meine Frage gepackt, weil dort eben genau die Lösung ohne VLAN Switch beschrieben wurde.

Also bleibe ich bei meiner aktuellen Lösung.

Hast du nur noch einen Tipp für mich wie ich nun meine Nanostation am besten mit ins Spiel bringe? Der managed Switch ist leider voll m-( ich hatte daher überlegt ihn einfach mit dem WLAN eines der APs zu verbinden. Müsste er dann auch VPN machen wenn er im Mesh hängt, was ja wieder langsamer wäre und ich ja eigentlich genau darum den Offloader haben wollte. Oder einfach das WLAN Signal weiterleiten? Mesh macht hier eh keiner… bin km weit der einzige mit Freifung. In Sichtweite wären aber ein paar Plätze wo Freifunk durchaus interessant wäre.

Danke nochmal!!!

@xfjx, nutzt deine Community Fastd oder L2TP als VPN-Software? Falls letzteres würde ich den Offloader einfach deaktivieren und deneinen 841er die VPN-Einwahl machen lassen. Und dann LAN-Mesch aktivieren und über einen der gelben Ports die auf WAN-Mesch stehende Nano anbinden.

Der 841er macht über L2TP locker 40-60 Mbit/s über Kabel. Nur im WLAN hängt er bei 30, was aber auch schon eigentlich genug ist.

Grüße
Matthias

Wie lange tauchen sie dort auf?
Das „Switch-Leck“ sollte eigentlich nur während des Bootens sein.
Das ist schlimm genug, insbesondere weil einige AVM-Fritzboxen die herausleckenden RAs „lernen“ und sogar noch lange (stundenlang?) weiterverteilen…

Daher trotzdem die Frage: Schau mal, ob die MACs evtl nur während des Neustarts (oder „VPN-Wiedereinwahl“) an der Gluon-VM auftreten.

Ich habe gar keinen 841er :wink:

Nur Unifi AC-Lite (3x) und Nanostation Loco. Daher ja der Offloader. Die Nanostation hat zwar auch über 20 Mbit ohne Offloader geschafft, ich wollte aber gerne zusätzlich hier ein Gäste-WLAN haben und halt auch dem Nachbarn nebenan (80+) Internet ermöglichen. Die Nanostation ist ja eher gerichtet und soll aufs Dach.

Meine Empfehlung wäre, mal mit iptraf ein Lan-station monitor (oder ähnlichem tool) zu machen, um Paketzahlen und sizes zu bekommen.
Wenn es dann „signifikant“ (YMMD) ist, dann kann man mal schauen, was man mit tcpdump abfischen und analsysiseren kann.
(Ein Gluon-Entwickler würde natürlich nach jedem einzelnen Paket fahnden und das Problem dann ggf. upstream bekämpfen wollen. Aber dafür würde mir jetzt der Ehrgeiz fehlen, wenn z.B. da weniger als 5 „alien“ Pakete pro Sekunde herumfliegen sollten.)

Falschen Artikel benutzt, meinte „einen“.

80 Mbit/s über Wlan ist ordentlich. Ein 1043er könnte das schaffe. Ich denke einfach, dass ein weiterer FF-Router günstiger als ein Vlan-Switch ist.

Nein er ist 80 Jahre alt :wink:
Und hat selber sicher kein Internet aber ein Smartphone