pfsense, UniFi, und TP-Link: VLAN Setup
-
Hallo miteinander,
ich habe auf meiner pfSense verschiedene
VLANs eingerichtet. Bislang lief die Verteilung ausschließlich über einenUbiquiti UniFi US-24-250WSwitch; soll heißen, dieser war anETH1an der pfSense angeschlossen, erhieltProfil: All(also Berechtigung für alle VLAN-Tags), und die einzelnen Ports wurden dann den jeweiligen Profilen (VLAN-Tags) zugewiesen. Funktioniert!Nun hat es sich ergeben, dass ich einen Teil meiner Ethernet-Geräte in einen anderen Raum verlegen muss. Hierfür habe ich einen
TP-Link TL-SG116E 16-Port Easy Smart Switch(einen managed switch) angeschafft.Der TP-Link ist an einen Port des UniFi Switches angeschlossen, nun sollten sämtliche VLAN-Tags "durchgeschleift" werden, und über den TP-Link den einzelnen Geräten zugewiesen werden (Port 2 = VLAN22, Port 3 - 5 = VLAN20, etc.).
Altes Setup
pfSense(ETH1) -->UniFi Switch(Port 1, VLAN "alle"), dann
UniFi Switch(Port 2 - 10) --> Ethernet Clients (VLAN 22) und
UniFi Switch(Port 11 und 12) --> Ethernet Clients (VLAN 20)geplantes Setup
pfSense(ETH1) -->UniFi Switch(Port 1), dann
UniFi Switch(Port 2 - 10) --> Ethernet Clients (VLAN 22) und
UniFi Switch(Port 11 und 12) --> Ethernet Clients (VLAN 20) und
UniFi Switch(Port 21) -->TP-Link(Port 1), letztlich dann
TP-Link(Port 2 - 8) --> Ethernet Clients (VLAN 22) (anderes Zimmer) und
TP-Link(Port 9 - 15) --> Ethernet Clients (VLAN 20) (anderes Zimmer)Problem
Der TP-Link scheint die VLAN Tags nicht richtig weiterzugeben. Wenn nur ein Gerät verbunden ist, scheint der richtige Tag angewendet zu werden (also egal, ob VLAN 20 oder VLAN 22); sofern aber mehrere Clients mit verschiedenen VLAN Tags angeschlossen sind, scheint es so, als würde immer ausschließlich VLAN 22 angewendet werden.
Beispiel: Gardena Bridge 192.168.100.235 ist verbunden und erhält per DHCP (pfSense) die korrekte Adresse. Nun verbinde ich zusätzlich mein NAS mit 10.0.0.20... das NAS erhält die korrekte IP, allerdings hat der MQTT Server nun ebenfalls eine
10.0.0.xxIP.Ich habe noch keine Konstellation hinbekommen, die das Problem umkehrt, als dass Geräte aus dem 22er VLAN plötzlich IPs aus der 20er VLAN Range bekommen. Es ist immer so, dass die 20er Geräte ins 22er VLAN gepusht werden.
Dieses Gerät hat sonst immer die 192.168.100.235. Diese IP ist über den DHCP Server der pfSense fest dem Gerät zugeordnet. Wenn ich es nun aber über den TP-Link anschließe, bekommt es die 10.0.0.204.
So sieht es in der Oberfläche des TP-Link aus
Unter UniFi sieht es folgendermaßen aus
Die Profile sind analog mit den auf der pfSense festgelegten VLANs
Sorry für das Screenshot-Gespamme, ich möchte nur nichts essenzielles auslassen.
Daher hier nun auch einmal eine Auflistung der verschiedenen VLAN Optionen, die der TP-Link mir bietet. Diese laufen nicht parallel, also wenn ich eine aktiviere, werden die anderen automatisch deaktiviert (sofern diese einen aktivieren/deaktivieren Button haben!).
Anmerkung: eigentlich ist ja Port-Basierte VLAN-Konfiguration das, was ich möchte. Allerdings kann ich wirklich nur eine VLAN-ID zwischen 2 - 16 vergeben; meine VLAN fangen aber bei 20 an; die VLAN-IDs auf der pfSense zu verändern, sodass sie den vorgegebenen Nummern entsprechen, habe ich noch nicht probiert. Dies würde für entsprechende Komplikationen im Netzwerk sorgen, weshalb ich hier erstmal Eure Meinung einholen wollte, bevor ich es blind austeste.
Diese letzte Option kann ich zusätzlich zu der jeweils aktivierten Option konfigurieren; hier habe ich den entsprechenden Ports testweise eine PVID zugewiesen, die der jeweiligen VLAN-ID entspricht (also z.B. Port 3 auf PVID 20 für VLAN-ID 20). Allerdings konnte ich keine Veränderung feststellen.
Könnt Ihr mir weiterhelfen? Vielen Dank im Voraus für Eure Lösungsansätze :)
PS- ich habe noch einen freien Port (ETH2) an der pfSense. Theoretisch könnte ich den TP-Link hierüber verbinden, ohne den "Umweg" über den UniFi Switch zu gehen. Allerdings hoffe ich, dass dies nicht nötig ist. Wenn ich nämlich über den UniFi Switch gehen kann, kann ich ein vorhandenes Kabel verwenden (nämlich von einem UniFi Access Point, der in demselben Zimmer hängt, wo der TP-Link hin soll); wenn ich über ETH2 gehen muss, müsste ich ein neues Kabel verlegen, was ich, sofern denn technisch möglich, vermeiden möchte.
-
@benjsing Taggen Sie auf der 802.1q-Konfigurationsseite von TP-Link beide VLANs auf Port 1. Tag 2–8 auf VLAN 22 aufheben. Tag 9–15 auf VLAN 20 aufheben.
Wählen Sie also VLAN 20 aus, wählen Sie Port 1 als markiert aus und wählen Sie die Ports 9-15 als nicht markiert aus. Hinzufügen/Ändern.
Wählen Sie dann vlan 22, wählen Sie Port 1 als markiert, wählen Sie die Ports 2-8 als nicht markiert aus. Hinzufügen/Ändern.
Wählen Sie VLAN 1, wählen Sie Ports 2-15 als nicht Mitglied aus. Hinzufügen/Ändern.Wählen Sie auf der 802.1q pvid-Seite die Ports 2-8 aus, setzen Sie pvid auf 22. Übernehmen.
Ports 9-15 auswählen, pvid auf 20 setzen. Übernehmen.
Fertig. -
@jarhead vielen Dank für die schnelle Antwort :) Ich habe die Konfiguration wie folgt geändert:
Danach habe ich den Switch neu gestartet. Aktuell lassen sich keine meiner Geräte mehr anpingen. Testweise habe ich an Port 2 und Port 16 jeweils einen Client angeschlossen. Beide Geräte sind aktuell jedoch nicht erreichbar.
-
Moinsen,
wenn der Port 1 der Uplink /aka Trunk bei cisco) Port ist, dann müssen dort- das Transfer VLAN (mit der ID 1) untagged sein, alle anderen darüber laufenden VLANs (also 20 und 22) aber tagged. Das stimmt bei deiner Einstellung zum einen nicht.
- auf den Access Ports also 2 bis 16, müssen die VLANs dann untagged sein.
Also:
VLAN ID 1
Port 1 untaggedVLAN ID20
Port 1 tagged
Ports (zB) 2 - 8 untaggedVLAN ID 22
Port 1 tagged
Ports (zB) 9 - 16 untaggedDamit sollte Port 1 dann als Uplink zum Router / vorgeschaltetem switch die anderen VLANs tagged durchreichen, VLAN1 aber eben untagged.
Alle Geräte fürs VLAN20 sind dann unter den Ports (zB) 2-8 untergebracht, usw.
Du hast allerdings deine Einstellungen anders vorgenommen (zB ist bei dir u.a. VLAN ID 1 ist Tagged auf Port 1, muss aber untagged sein)...also da bitte mal schauen und dann erneut versuchen und gerne Rückmeldung geben...
:) -
-
@the-other vielen Dank!
Ich habe jetzt mal folgende Varianten durchprobiert:
VLAN ID1
Port 1 untagged
Port 2 - 16 tagged -- sowie auch -- Port 2 - 16 Not Member -- sowie auch -- Port 2 - 16 untaggedVLAN ID 20
Port 1 tagged
Port 2 - 8 untagged -- sowie auch -- Port 2 - 8 tagged -- sowie auch -- Port 2 - 8 Not Member
Port 9 - 16 Not Member -- sowie auch -- Port 9 - 16 untagged
VLAN ID 22
Port 1 tagged
Port 9 - 16 untagged -- sowie auch -- Port 9 - 16 tagged -- sowie auch -- Port 9 - 16 Not Member
Port 2 - 8 Not Member -- sowie auch -- Port 2 - 8 untaggedGenau, Port 1 am TP-Link ist der Uplink zum UniFi.
Ich habe an Port 3 nun ein Gerät angeschlossen, welches zusätzlich per WiFi erreichbar ist. Dies hat die Adresse
169.254.239.216zugewiesen bekommen, die zu einem Subnet gehört, das in meinem Netzwerk überhaupt nicht existiert.@Jarhead danke, das hatte ich ursprünglich falsch verstanden. Auch dies habe ich nun ausprobiert, allerdings bislang ohne Erfolg.
Lasst uns bitte mal von folgendem Setup ausgehen:
Port 1 TP-Link => Port 23 UniFi Switch (Profil
All, alle VLANs)
Port 2 - 8 TP-Link VLAN-ID 20
Port 9 -16 TP-Link VLAN-ID 22Ich komme insofern etwas durcheinander, dass ich nicht weiß, ob die jeweils ausgeschlossenen Ports als
UntaggedoderNot Membermarkiert werden müssen; allerdings habe ich jetzt sämtliche Konstellationen ausprobiert, und irgendwie klappt es trotzdem nicht.Ist die Einstellung unter UniFi auch korrekt? Ich habe dort folgende Möglichkeiten für Switch-Profil
- Default
- All
- Disabled
- Networks
- LAN
- v_restricted
- IOT2
- NoBlock
Ich habe jeweils probiert,
AllundLANweiterzureichen.DefaultundNetworks, also die Oberkategorien, lassen sich nicht auswählen. - Default
-
@benjsing Das ist, was du willst.
Was das Unifi betrifft, nicht vertraut, aber das "ALLE" sollte funktionieren. Ich würde den Port auf einen Trunk setzen und nur die notwendigen VLANs senden.
-
@jarhead Top, danke! Ich werde gleich berichten... aus irgend einem Grund ist der Switch nach diesen Einstellungen und einem Neustart gar nicht mehr erreichbar. Ich mache einen Werksreset und stelle es entsprechend so, wie Du beschrieben hast, noch einmal ein - und poste dann das Ergebnis.
-
@jarhead alright, nächster Versuch
Nach dem Werksreset war der TP-Link (wie vorher auch) unter
10.0.0.71erreichbar. Nach dem Setzen folgender Einstellungen hat sich das Gerät automatisch demIOTVLAN zugeordnet und ist nun unter192.168.100.13erreichbar.
Ich habe nun folgende Ports belegt:
- (1 <-> Uplink zu UniFi Switch)
- 2 Gardena Bridge
- 3 Raspberry Pi
- 16 NAS
Das NAS ist unter seiner in pfSense konfigurierten IP erreichbar. Der Raspberry Pi hat eine IP aus dem falschen VLAN zugeteilt bekommen. Die Gardena Bridge ist nicht erreichbar.
Zumindest irgendwelcher Traffic scheint auf den verwendeten Ports gelaufen zu sein.
Aufgrund des Werksresets waren die
802.1Q VLAN PVID Settingsnoch nicht so eingestellt, wie oben vorgeschlagen. Dies wollte ich gerade tun, komme nun allerdings wieder nicht auf den TP-Link - also beide IP Adressen sind nicht mehr erreich- oder anpingbar.Nach einem manuellen Reboot via Stromkabel habe ich nun diese Änderungen gemacht
Nach einem weiteren Reboot (via WebUI) ist der Switch nun wieder über die ursprüngliche
10.0.0.71erreichbar; siehe oben, die Adresse hatte er ganz zu Beginn, danach wurde sie durch192.168.100.13ausgewechselt, ist nun aber wieder aktiv.Während des gesamten Vorgangs zwischen Werksreset und jetzt war das NAS durchgehend über seine korrekte IP anpingbar, befand sich also im korrekten VLAN. Jetzt (nach Anwenden der
802.1Q VLAN PVID Settings) ist das NAS nicht mehr anpingbar.Ich habe gerade in der pfSense nachgesehen, plötzlich ist es im falschen VLAN; ich glaube, wir haben uns da bei den Ports einmal überschnitten. Ich ändere jetzt die
802.1Q VLAN PVID Settingseinmal um, also 2 - 8 auf VLAN 20 und 9 - 16 auf VLAN 22. Danach berichte ich dann noch einmal. -
@benjsing Schau dir das Bild an, das ich gepostet habe, und das, das du gepostet hast. Besonders vlan 1. Der Rest ist gut.
-
@jarhead said in pfsense, UniFi, und TP-Link: VLAN Setup:
@benjsing Schau dir das Bild an, das ich gepostet habe, und das, das du gepostet hast.
Uff.... sorry! Ich habe den Switch jetzt im Verlauf x mal Werksresettet und jetzt einen Sorgfältigkeitsfehler gemacht...
Erneuter Reboot: das Gerät hat wieder auf die
192.168.100.13gewechselt. Das NAS wurde nun in das IOT VLAN geschoben, anstatt (wie erwartet und vorher so gewesen) im VIP VLAN zu verbleiben. -
Einige Modell und Revisionen von TP-Link haben Problem mit der korrekten VLAN Zuordnung bzw. generell mit der VLAN Verarbeitungen generell.
Also nach neuer Firmware schauen, das versuchen, wenn das auch mit der nicht funktioniert und keine Fehler in der Konfiguration vorliegt, einpacken und zurück zum Hersteller mit dem Teil.Stelle aber noch mal sicher das running auch startup ist.
Es gibt Switche da kann man hier Pro Firmware Slot eine Startup hinterlegen.
Dann ist je nach dem welches Gebootet wird eine andere Konfiguration aktiv.
Aber ein gescheiter Switch ändert nicht einfach irgendwas an der VLAN Zuweisung wenn ich Running = Startup habe und den reboote.
Ich verstehe auch nicht, warum du einen TP Switch anschaffst, wenn du schon ein UI SDN am laufen hast, was ja auch lange Problemlos funktionierte. Warum wechselt man dann den Hersteller und baut sich hier wieder manuelle Kisten ein?
-
@benjsing Ich glaube, du hast die Dinger an den falschen Ports angeschlossen. Welches VLAN ist welches?
Sie haben in diesem Thread hin und her gewechselt und jetzt heißen beide IOT. Stellen Sie sicher, dass Sie die richtigen Geräte an die richtigen Ports angeschlossen haben. -
Hat die Kiste eine CAM Tabel die man einsehen kann?
Dann kontrolliere mit der Inventarlistet und der MAC ob der richtige Port für das jeweilige Gerät in Verwendung ist. -
Ich habe mich nun noch einmal mit dem Raspberry Pi verbunden, der sowohl per WiFi, als auch per Ethernet, verbunden ist. Dieser bekam die
169.254.239.216, deren Subnet nicht in meinem Netzwerk verwendet wird. Das NAS ist aktuell auch nicht anpingbar.@nocling die aktuelle Firmware war bereits geflasht. Aufgrund der diversen Werksresets habe ich sie nun vorsichtshalber noch einmal hochgeladen, allerdings stimmte die Versionsnummer bereits vorher überein.
TP Switch: habe ich im ersten Post begründet. Der UI bleibt. Ich benötige zusätzlich den TP-Link (bzw. irgend einen Managed Switch, der VLAN kann), um in einem anderen Raum per Ethernet auf die einzelnen VLANs zugreifen zu können. Er soll den UI nicht ersetzten, war aber eine preisgünstigere Alternative; der UI kostete einige 100 EUR, wenn ich mich recht erinnere, der TP war unter 70. Ich habe zusätzlich einen kleinen (6 Port??) Switch von UniFi im Einsatz, der sich in derselben Preisklasse bewegte (dafür aber halt 10 Ports weniger bietet); dieser scheint aber aktuell überall ausverkauft zu sein.
Welches Gerät würdest Du denn einsetzen, wenn a) der UI weiterhin dort bleiben soll, wo er ist und b) in einem anderen Zimmer mehrere VLAN per Ethernet angesprochen werden sollen, ohne mehrere Kabel zu verlegen? Eine andere Idee war, zwei Ethernet Kabel zu verlegen, also je eins pro benötigtem VLAN, und beide an unmanaged Switches zu hängen. Das wäre eine Alternative, die ich aber momentan noch zu vermeiden versuche. Nur deshalb wurde der TP angeschafft.
-
VLAN 20 ist IOT, VLAN 22 ist VIP. Also so
Und da ist WIEDER ein Fehler der Member Ports auf VLAN ID 1! Den habe ich eben nicht gemacht, der muss beim Neustart von alleine aufgetaucht sein. Ich habe ihn jetzt korrigiert.
Die PVID Settings dann analog so, richtig?
Also Port 1 Uplink; Port 2 - 8 IOT (also VLAN20), Port 9 - 16 VIP (also VLAN22).
-
@benjsing Das ist jetzt alles richtig. Wenn es immer noch nicht funktioniert, überprüfen Sie die Ubiquiti.
-
@jarhead said in pfsense, UniFi, und TP-Link: VLAN Setup:
@benjsing Das ist jetzt alles richtig. Wenn es immer noch nicht funktioniert, überprüfen Sie die Ubiquiti.
Vielen Dank für Deine Hilfe und Geduld! Ich dachte erst, alles funktioniert, gebe es nun aber für heute auf. Die IOT Geräte sind nun problemlos erreichbar, allerdings werden die VIP Verbindungen (die bislang keine Probleme) nicht mehr geroutet. Der TP Switch friert regelmäßig ein, was wohl an der Wärme liegt (Ventilator hat Abhilfe geschaffen, so aber nicht nutzbar!!).
@nocling kannst Du ein Gerät empfehlen, das ich als Alternative nutzen könnte, und das auch verfügbar ist? Weder amazon, noch der offizielle EU Vertrieb, haben bsp. den Unifi Switch 8; dieser würde mir sogar reichen, notfalls kämen hinter den Kollegen halt unmanaged Switches, um weitere Ports frei zu haben. Aber aus dem UniFi Sortiment finde ich aktuell nur Kisten, die viel zu
großteuer sind. Der TP-Link geht vermutlich zurück.Ich würde ungern mehr als 150 EUR ausgeben, idealerweise eher die Hälfte. Anbieter wäre mir egal, solange es sich in mein bestehendes Setup integrieren lässt. Mindestens 6 Ports sollten es dann schon sein, einer fällt ja für den Uplink weg, daher wäre es insgesamt mit weniger Ports ohne weitere Hardware auch direkt wieder knapp.
-
-
@benjsing
Moinsen,
Auch Wenn du ggf. gerade ein "Montagsprodukt" erwischt zu haben scheinst...
Hier liefen tp link 105er und 108er lange Zeit problemlos mit jeweils aktueller Firmware.
Auch relativ günstig und Pech kann man ja immer wieder mal haben...
