VLAN kein Internetzugang / kein Ping auf Gateway möglich
-
Die Outbound Regel ist nur an, da die 3CX Telefonanlage sonst nicht läuft, die war auch präziser konfiguriert, ich hatte sie nur auf "any" gestellt, da man sich ja an jeden Strohhalm klammert wenn man auf Fehlersuche ist.
Hier einmal die Bilder:
-
@heiko3001 Das sind verdammt viele Port Forwards und das funktioniert alles? Könnte mir vorstellen, dass sich Static Outbound NAT und teilweise große Portranges bei den Forwards nicht vertragen, aber auch das dürfte nicht entscheidend sein.
Dann jetzt noch 1:1 NAT und Floating.
-
Ja die funktionieren alle einwandfrei.
Hier einmal 1:1
Eine Sache ist mir eben in den Logs von gestern aufgefallen.
Diese IP ist die IP des Notebooks im VLAN "KN"
-
@heiko3001 Macht keinen Sinn und ich glaub, wir sind alles durch.
-
-
Gab es nicht mal bei TP-Link Switchen Probleme mit dem VLAN Flags, das diese dann nicht immer sauber weiter geleitet wurden?
Gibt es hier ggf. ein Update was die Probleme adressiert?
Oder war das sogar eine ganze Revision die fehlerhaft war und getauscht werden musste, da war doch irgendwie etwas. -
@wkn said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
Hast du es mal mit einer Allow-Any Rule in der Firewall für das VLAN-Interface probiert?
Ja ist komplett offen, die anderen Regeln sind deaktiviert. -
@nocling said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
Gab es nicht mal bei TP-Link Switchen Probleme mit dem VLAN Flags, das diese dann nicht immer sauber weiter geleitet wurden?
Gibt es hier ggf. ein Update was die Probleme adressiert?
Oder war das sogar eine ganze Revision die fehlerhaft war und getauscht werden musste, da war doch irgendwie etwas.Der Switch hat das neueste Firmware-Update und ich habe gerade eben einen exakt gleichen verwendet. Habe mir zusätzlich gerade von einem Bekannten einen HP-Switch der auch VLAN-fähig ist, geliehen. Es ist das gleiche Problem. Es muss etwas mit dem Parent-Interface (LAN) oder mit dem direkten VLAN-Interface zu tun haben.
-
-
@heiko3001 Warum ist denn dein Gateway nicht dein DHCP Server?
-
Machte bitte mal einen Netzwerkplan, das ist hier echt verwirrend, vor allem warum braucht man im Heimnetz gleich mehrere /16er Netze?
Dann ist hier ein anderer DHCP beteiligt und ein AD gibt es auch noch.Kinder sind in dem Fall die eigenen oder ist das hier eine Lösung für eine Schule oder eine andere Einrichtung?
-
DHCP Server ist der Domaincontroller.
Der primäre ist 172.21.0.30
Der sekundäre ist 172.21.0.80 -
@heiko3001
D.h., du hast auf der pfSense ein DHCP Relay aktiviert?
Oder kommt der Laptop irgendwie "hinten herum" zu seiner IP? -
Genau Relay ist aktiviert und es werden alle angeklickten Interfaces vom Domaincontroller / DHCP-Server bedient.
-
@heiko3001
Funktioniert ARP? Ist der Laptop in der ARP Tabelle von pfSense und umgekehrt?Hast du auch ein anderes Geräte in diesem Subnetz getestet?
Möglicherweise hat der Laptop ein Netzwerkproblem. -
@nocling said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
Machte bitte mal einen Netzwerkplan, das ist hier echt verwirrend, vor allem warum braucht man im Heimnetz gleich mehrere /16er Netze?
Dann ist hier ein anderer DHCP beteiligt und ein AD gibt es auch noch.Kinder sind in dem Fall die eigenen oder ist das hier eine Lösung für eine Schule oder eine andere Einrichtung?
Kinder sind die eigenen.
-
@viragomann said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
@heiko3001
Funktioniert ARP? Ist der Laptop in der ARP Tabelle von pfSense und umgekehrt?Hast du auch ein anderes Geräte in diesem Subnetz getestet?
Möglicherweise hat der Laptop ein Netzwerkproblem.ARP funktioniert. Aber da der Laptop (habe einen anderen mit anderer Netzwerkkarte auch getestet) das Gateway nicht erreichen kann, taucht er dort auch nicht auf. Das Gateway des Kindernetzes wird aber einwandfrei dort gelistet.
-
@heiko3001 said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
ARP funktioniert. Aber da der Laptop (habe einen anderen mit anderer Netzwerkkarte auch getestet) das Gateway nicht erreichen kann, taucht er dort auch nicht auf.
Du kannst ja versuchen, die IP zu pingen. Auch wenn er darauf nicht antwortet, müsste er einen ARP Request beantworten und die IP dann in die Tabelle der pfSense eingetragen werden.
Wie ist es am Laptop (nach einem Ping des Gatways)?
Ein "arp -a" sollte die Tabelle zur Anzeige bringen. -
Habe jetzt nochmal etwas herumprobiert.
Vorher hat das DHCP der Server in der Sense gemacht für das Kindernetz.
Jetzt macht es der DHCP des Domaincontrollers. Jetzt bekommt er komischerweise keine IP-Konfiguration mehr - sollte er aber, da die Firewallregel besagt, dass das KN-Netz alles darf, auch einen DHCP-Server in einem anderen Netz fragen / bzw. den Relay-Server.Ich bin sogar gerade hingegangen und habe mal ein anderes Netz als Parentnetz genommen - gleiches Phänomen, es liegt also nicht am Parentnetzwerk.
Hier geht auch null Traffic drüber.
-
@heiko3001 said in VLAN kein Internetzugang / kein Ping auf Gateway möglich:
Vorher hat das DHCP der Server in der Sense gemacht für das Kindernetz.
Jetzt macht es der DHCP des Domaincontrollers. Jetzt bekommt er komischerweise keine IP-Konfiguration mehr
Zuvor am Screenshot hat doch der Laptop den DC als DHCP Server angezeigt. Hatte er die Infos nicht über die pfSense bekommen?Jetzt bekommt er komischerweise keine IP-Konfiguration mehr - sollte er aber, da die Firewallregel besagt, dass das KN-Netz alles darf, auch einen DHCP-Server in einem anderen Netz fragen / bzw. den Relay-Server.
DHCP Zugriff erlaubt die pfSense implizit, ohne dafür eine Regel anzuzeigen. So ist es jedenfalls, wenn man den DHCP Server aktiviert, ich vermute aber auch, beim DHCP Relay.
Die IP des DHCP Servers ist im Moment der IP-Anforderung unbekannt, daher ergeht diese and die Broadcast Adresse und erreicht damit jede Schnittstelle im Netzwerk.
Den DHCP Verkehr kannst du auch leicht mitschneiden (und sollte eben an jedem Interface in L2 Netz möglich sein).
Starte ein Packet Capture auf dem KN und stelle beim Portfilter "67|68" ein. Dann schließe das Gerät neu an oder löse ein "DHCP Release" aus.
Die Kommunikation lässt sich auch schön lesen.
