Geräte im VLAN Netz kommt nicht ins LAN Netz
-
Hallo zusammen,
ich bin noch einigermaßen neu in der Thematik pfSense. Ich habe mich aber nun einmal an die Schaffung eines VLAN's gemacht.
Das hat auch alles soweit funktioniert. Ich habe aber das Problem, das die Firewall den Verkehr von dem neuen VLAN Netz in das LAN Netz unterbindet. Ich habe keine Ahnung warum. Vielleicht kann mir hier jemand auf die Sprünge helfen?
Ich hätte eigentlich gedacht, das durch die von mir geschaffene Regel sämtlicher Verkehr von VLAN_IOT ermöglicht wird.
Hab rich das etwas falsch interpretiert?Danke
-
@msiemers
Hallo,was ist denn das andere Ende des VLANs?
Die Blocks im Firewall Log zeigen Pakete ohne Verbindung. Also Pakete aus Kommunikationen, deren initiales SYN-Paket nicht die pfSense passiert hat. Auf Basis von diesem öffnet die pfSense aber erst die Verbindung.
Mit den gezeigten IP Adressen kann ich aber mangels Angaben nichts anfangen.Ich vermute daher, dass das VLAN nicht sauber vom LAN getrennt ist und das SYN-Paket eine Abkürzung macht.
Aber warum möchtest du eigentlich dem IoT Netz Zugriff aufs LAN gewähren? Die Trennung mittels VLAN sollte doch eher gegenteiliges bezwecken, oder?
-
Also eigentlich will ich das ja auch trennen. Aber der ioBroker ist noch im LAN Netz. Das Problem ist, das ich UniFi WLAN Antennen und UniFi Switche mit einem Software Controller im Einsatz habe. Dort habe ich meiner Meinung BF nach auch alles richtig konfiguriert.
Netze:
LAN und WLAN SSID Home Netz 192.168.1.x
WLAN Iot VLAN 10 mit SSID Home-IoT Netz 192.168.10.xWie kann es dazu kommen, das die SYN Pakete nicht über die Pfsense laufen?
-
-
@msiemers said in Geräte im VLAN Netz kommt nicht ins LAN Netz:
Wie kann es dazu kommen, das die SYN Pakete nicht über die Pfsense laufen?
Um dieser Sache näher zu kommen, habe ich gleich meine erste Frage gestellt.
Ein VLAN benötigt immer mindestens 2 Endpunkte, an welchen es "terminiert" wird. Einer ist auf der pfsense. Und der andere? Der Switch, ein Gerät?
-
Das Netz im UniFi Bereich. Bzw. Die WLAN AP‘s?
-
@msiemers
Also ist WLAN konkret am AP eingerichtet und läuft einfach durch den Switch (ohne VLAN-konfig)?Aber bevor wir da ein Phantom jagen, gehören die gezeigten Block überhaupt zu der Verbindung, die du aufbauen möchtest?
Pakete mit A-Flags können je nach Netzwerk und Geräte auch normal sein und bedeuten, dass lediglich die Verbindung auf der pfSense bereits geschlossen ist (Timeout), während sie ein Client aber noch verwenden möchte. Üblicherweise versucht er in diesem Fall nach kurzer Verzögerung eine neue aufzubauen und der Traffic läuft wieder. -
Das mit dem WLAN ist ja nicht so sehr transparent im UniFi Bereich.
Ich glaube ich muss mich da doch noch einmal ein wenig schlauer lesen. Ich habe mich mit meinem Mac einmal mit dem Home_Iot WLAN verbunden und hatte das Peoblem das ich zum Beispiel die Geräte im LAN Netz nicht Pinten kann. Komisch ist auch das ich mit dem MAC nicht auf die statische IP der Schnittstelle an der pfsense pingen kann. Wenn das so nicht geht wird es ja bei den Iot Geräten auch nicht funktionieren.
Kannst Du mir etwas zum lernen empfehlen? Deutsch und vielleicht auch auch ein Video?
-
@msiemers
Auf der pfSense sieht es für mich gut aus, soweit ich es erkennen kann.
Das VLAN_IoT Interface hast du ja wohl auch aktiviert, eine IP konfiguriert und den DHCP Server aktiviert (falls du die Geräte nicht manuell konfigurieren möchtest)?Auf der andren Seite kannst du das VLAN am Switch terminieren. Dann kannst du einem bestimmten Port dem VLAN zuseisen und so konfigurieren, dass bei ausgehenden Paketen der VLAN-Tag entfernt wird und bei eingehenden hinzugefügt wird.
Oder du reichst das VLAN direkt bis zum AP durch und weist es da einer bestimmten SSID zu (wäre für mich vernünftiger, kommt aber auf deine Gegebenheiten an). Dann muss am Switch der Port zu pfSense, wie auch der zum AP, dem VLAN als getagt zugewiesen werden.
Ich komme noch aus einer Zeit vor Schulungsvideos. :-) Habe nur das:
https://administrator.de/knowledge/vlan-installation-und-routing-mit-m0n0wall-pfsense-dd-wrt-oder-mikrotik-110259.htmlDas Thema ist nicht kompliziert, aber man muss es doch mal verstanden haben. Besonders die Switch-Konfiguration mit Port-Zuweisungen zu einem VLAN mit oder ohne Tag.
-
Ja ich habe es bis zum AP durchgereicht. Das VLAN 10 ist zum normalen Netz getagt.
Ich werde mir das einmal durchlesen.
-
@msiemers
Ich kenne die UniFi Konfiguration nicht, kann es nicht beurteilen.Wenn das VLAN am AP konfiguriert ist, kannst du diesen zum Test mal direkt an der pfSense anschließen, um Fehler am Switch auszuschließen.
-
@msiemers Das ist nur eine generische Switchport Konfiguration. Woran hängt der AP? Ein Unifi Switch? Hat der Switch an dem Port an dem der AP hängt auch dieses Portprofil konfiguriert?
Das ist im Unifi Controller alles recht einfach erkennbar aber wir können es nicht wissen, das musst du nachsehen.
Cheers
-
Ja an dem Switchport ist das Profil auch eingestellt.
Aktuell ist es noch an allen Ports so eingestellt. -
@msiemers Was ist eigentlich der LAN für ein Adapter? ue0 ist mir jetzt nicht unbedingt geläufig. Und was ich da in den etwas zu großen und gecroppten Screenshots sehe ist ein 00:00:00:... als MAC Adresse. Das sieht alles andere als sinnvoll und gesund aus.
Ist das irgendein seltsamer USB Ethernet Dongle Adapter der nicht sauber unterstützt wird? Wenn ja - weg damit da wirst du nicht glücklich mit. Es kann durchaus gut sein, dass das Ding technisch oder vom Treiber her keine VLANs sauber unterstützt. Und selbst wenn kommt mir das spanisch vor, wenn der keine saubere MAC Adresse liefert.
-
@jegr Ich konnte das Problem klären. Ein Server hatte nach der Umstellung noch zwei IP Adressen Eine aus dem alten und eine aus dem neuen Netz. Damit scheint es zu den Problemen gekommen zu sein. Die pfSense schnurrt nun wie sie soll. Danke für Eure Hilfe!
-
@msiemers Aah split personality ... ja sowas kann fies sein :) Fein dass es läuft!
