VLAN kein Internetzugang / kein Ping auf Gateway möglich
-
Hallo zusammen,
ich habe ein VLAN für die Kinder angelegt, habe es KN genannt und als Parent die LAN-Schnitstelle genommen. Der TP-Link Switch ist konfiguriert. Das Endgerät (ein Notebook) bekommt auch eine gültige IP-Konfiguration, hat aber keinen Zugang zum Internet, obwohl Windows das entsprechende Symbol anzeigt. Ein Ping auf 8.8.8.8 bzw. das Gateway des VLANs (172.24.0.1) funktioniert nicht.
Firewallregeln stehen erstmal auf "Alles offen", wird bei entsprechender Funktion auch wieder anständig eingestellt. Laut der Logs sieht das auch erstmal gut aus. Hat jemand noch eine Idee?Hier noch die Switchconfig, Port 8 ist der getaggte Port der Firewall (Parent LAN)
-
- welche sense version genau ist das
- an welchem switch port hängt die sense (LAN) wenn an port 8 das Notebook hängt?
- screenshot von deinem LAN & KN Interface
- screenshot Outbound NAT
-
Wie ist das NAT eingestellt?
Warum öffentliche DNS Server wenn du in der Sense einen sauber laufenden Resolver hast? -
@micneu said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
- welche sense version genau ist das
- an welchem switch port hängt die sense (LAN) wenn an port 8 das Notebook hängt?
- screenshot von deinem LAN & KN Interface
- screenshot Outbound NAT
Zu 1. -> 2.6.0 FreeBSD 12.3-STABLE
Zu 2. -> An Port 8 hängt die LAN-Schnitstelle der Sense. An Port 6 und 7 ist das Kindernetz.
Zu 3. ->
Zu 4. ->
Danke vorab für deine Unterstützung.
-
@nocling said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
Wie ist das NAT eingestellt?
Warum öffentliche DNS Server wenn du in der Sense einen sauber laufenden Resolver hast?Was meinst du genau mit NAT?
Outbound NAT?
Die öffentlichen DNS-Server sind nur zum Testen erstmal. Wenn das VLAN an sich funktioniert soll das Netz auch die DNS-Server der Firewall bzw. des Domaincontrollers nutzen können. Ich wollte erstmal alles minimalistisch halten, um sämtliche Fehler auszuschließen. Deshalb ist auch bei den Regeln alles auf "offen". Das wird später alles eingeschränkt.
-
Warum benutzt Du Netzmasken wie /16 und /26?
Wenn schon ein Ping auf das Gateway des VLANs nicht funktioniert, dann ist das Problem vielleicht schon im Notebook bzw. in der Strecke (WiFi(?) - Switch - pfSense). -
@bob-dig said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
Warum benutzt Du Netzmasken wie /16 und /26?
Wenn schon ein Ping auf das Gateway des VLANs nicht funktioniert, dann ist das Problem vielleicht schon im Notebook bzw. in der Strecke (WiFi(?) - Switch - pfSense).Die 16ner Maske benutze ich umdas Netzwerk eine gewissen Ordnung zu verleihen.
Und die 26er Maske benutze ich in diesem Fall, weil das 24er Netz zu groß ist. Ich brauche in diesem Netz nicht soviele Adressen. Selbst die wäre sogar noch zu groß. Das ist doch das schöne daran, dass man sich die Netze so baut wie man es braucht.Wifi ist noch komplett raus. Bisher habe ich lediglich ein Notebook was an dem entsprechenden VLAN Port per Netzwerkkabel hängt. Das komische ist, dass der DHCP-Server das Endgerät vorschriftsmäßig mit einer IP-Konfiguration ausstattet...und das wars dann auch. Ich bin seit einer Woche damit dran, und weiß nicht mehr, wo ich noch ansetzen soll.
-
@heiko3001 Dann zeig mal noch die Portforwards, das Routing und die Interface Assignments. Any sollte nicht als Source beim Outbound NAT genutzt werden, diese Regel mal deaktivieren, wird aber nix mit dem Problem zu tun haben.
-
Die Outbound Regel ist nur an, da die 3CX Telefonanlage sonst nicht läuft, die war auch präziser konfiguriert, ich hatte sie nur auf "any" gestellt, da man sich ja an jeden Strohhalm klammert wenn man auf Fehlersuche ist.
Hier einmal die Bilder:
-
@heiko3001 Das sind verdammt viele Port Forwards und das funktioniert alles? Könnte mir vorstellen, dass sich Static Outbound NAT und teilweise große Portranges bei den Forwards nicht vertragen, aber auch das dürfte nicht entscheidend sein.
Dann jetzt noch 1:1 NAT und Floating.
-
Ja die funktionieren alle einwandfrei.
Hier einmal 1:1
Eine Sache ist mir eben in den Logs von gestern aufgefallen.
Diese IP ist die IP des Notebooks im VLAN "KN"
-
@heiko3001 Macht keinen Sinn und ich glaub, wir sind alles durch.
-
-
Gab es nicht mal bei TP-Link Switchen Probleme mit dem VLAN Flags, das diese dann nicht immer sauber weiter geleitet wurden?
Gibt es hier ggf. ein Update was die Probleme adressiert?
Oder war das sogar eine ganze Revision die fehlerhaft war und getauscht werden musste, da war doch irgendwie etwas. -
@wkn said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
Hast du es mal mit einer Allow-Any Rule in der Firewall für das VLAN-Interface probiert?
Ja ist komplett offen, die anderen Regeln sind deaktiviert. -
@nocling said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
Gab es nicht mal bei TP-Link Switchen Probleme mit dem VLAN Flags, das diese dann nicht immer sauber weiter geleitet wurden?
Gibt es hier ggf. ein Update was die Probleme adressiert?
Oder war das sogar eine ganze Revision die fehlerhaft war und getauscht werden musste, da war doch irgendwie etwas.Der Switch hat das neueste Firmware-Update und ich habe gerade eben einen exakt gleichen verwendet. Habe mir zusätzlich gerade von einem Bekannten einen HP-Switch der auch VLAN-fähig ist, geliehen. Es ist das gleiche Problem. Es muss etwas mit dem Parent-Interface (LAN) oder mit dem direkten VLAN-Interface zu tun haben.
-
-
@heiko3001 Warum ist denn dein Gateway nicht dein DHCP Server?
-
Machte bitte mal einen Netzwerkplan, das ist hier echt verwirrend, vor allem warum braucht man im Heimnetz gleich mehrere /16er Netze?
Dann ist hier ein anderer DHCP beteiligt und ein AD gibt es auch noch.Kinder sind in dem Fall die eigenen oder ist das hier eine Lösung für eine Schule oder eine andere Einrichtung?
-
DHCP Server ist der Domaincontroller.
Der primäre ist 172.21.0.30
Der sekundäre ist 172.21.0.80
