KabelBW und statische IPs
-
Wozu DHCP? Statisch konfigurieren un feddich! IMHO ist DHCP das geringste Problem…
Nicht bei Unitymedia / KabelBW. Da gab es schon häufiger Probleme, wenn die IP statisch konfiguriert ist, weil man etwaige Gateway oder Routing Änderungen dann nicht mitbekommt. Es wird auch explizit davon abgeraten das statisch zu konfigurieren, da es zu genannten Problemen kommen kann. Deshalb - unschön.Dafür hat man doch den VLAN-fähigen switch?
Nein. Der Switch ist konfiguriert auf (bspw.) einen Trunk-Port für die pfS, der dann die 4 VLANs hat. 10,20,30,40 als Beispiel. Schön und gut. In der pfSense werden die dann eingetragen und werden somit eigene Pseudo-Interfaces. Das Kabelmodem hat aber auch nur einen Port, hat aber keine Ahnung von VLANs. Wie soll das Kabelmodem jetzt Antwortpakete in das entsprechende VLAN schicken, wenn es die Pakete nicht taggt? Der Switch kann einen Port per default nur in ein VLAN taggen. Er kann ja auch gar nicht wissen, mit welchem VLAN du reden willst wenn du kein VLAN Tag benutzt, aber auf dem Port mehrere VLANs definiert sind. Das Modem schickt also jetzt ein DHCP-ACK und taggt das Paket nicht - weil es keine Ahnung davon hat - und der Switch weißt es dann seinem Default VLAN zu. Aber eben nicht den 3 anderen.Ideal wäre ein Switch, der auf einen Port mehrere ungetaggte VLANs legen kann. Gibt es sowas?
Nein, zumindest wäre mir nichts dergleichen bekannt, weil er ja keine Ahnung hat in welches der VLANs er das Paket schicken soll. Dazu müsste man den Port "quasi" programmieren und ihm zusätzliche Logik verpassen, damit er das Paket komplett auseinander nimmt und dann ggf. MAC based das VLAN erkennt.Trotzdem erschließt es sich mir noch nicht, ob/wie das sinnvoll funktionieren wird.
Angenommen, die Web-Oberfläche würde es tatsächlich zulassen, mehrere IPs auf eine MAC zu konfigurieren. Und ich würde dann zB folgende Adressen bekommen (hier hypothetisches Beispiel):
Die Oberfläche hat damit ja gar nichts zu tun. Die WebGUI unterstützt das, ebenso wie pfSense nativ. Nennt sich Virtual IP/Alias IP.Dann könnte ich auf diesem Interface einfach 110.0.0.0/7 konfigurieren, und alles wäre gut. Ich sehe nicht, was dagegen sprechen würde.
Nope, geht nicht. Außer du sägst dir mal kurz instant das komplette 110/111.er Netz ab, denn du würdest alle Adressen verlieren. Da deine pfSense dann denkt, dass die Adressen bei ihr direkt auf dem WAN Interface lokal erreicht werden können, würde sie diese nie mehr an den Default-Router weiterreichen. Mag sein, dass dir das an der Stelle egal ist, aber wenn da ggf. wichtige Services drin liegen, die du erreichen musst, bist du aufgeschmissen. Zudem gibt dir KabelBW zu jeder IP Adresse ggf. ein anderes Gateway, so dass du nicht einfach platt 110/7 via Gateway X konfigurieren kannst, weil das bei denen dann überhaupt nicht rausgeroutet wird. So einfach ist es leider nicht.Was das Kraut und Rüben angeht: Du lauschst an einem Modem, was ggf. im Background in einem privaten Netzbereich hängt und bekommst da ggf. Rest-Traffic von anderen Kunden aus dem Segment mit. Wäre zwar unschön, aber vorstellbar. Muss nicht unbedingt was mit dem Routing zu tun haben. Da hab ich bei 1&1 und Co schon anderes gesehen...
Grüße
-
…du bekommst dann vielleicht auf jedem VLAN Interface eine IP Adresse. Ich bin mir nur nicht schlüssig ob das Modem dann den DHCP von jedem VLAN...
Wenn ich Euch richtig verstanden habe, dann bekommt Ihr mehrere (5?) public IP Adressen zugewiesen, für die es jeweils eine eigene MAC benötigt. Diese muss beim Provider hinterlegt werden. Richtig?
Das Modem selbst ist ja dumm (sollte zumindest) und bridged nur das vom Kabel kommende Signal auf ein Ethernet. Dafür müssen alle 5 NICs, deren MACs eine IP zugewiesen bekommen sollen, für dieses Modem direkt "sichtbar" sein.In der pfSense baust Du Dir nun einen Trunk, in dem alle 5 vWAN Interfaces hängen. Diesen verbindest Du mit dem Trunk-Port eines Switches. Der Switch hat 5 untagged Ports konfiguriert, auf denen jeweils ein VLAN herauskommt. Jedes bridgest Du mit einem CAT-Kabel auf 5 Ports eines (unmanaged) Switches, an dem auch der Lan-Port des Modems hängt. (Das kann natürlich auch der gleiche Switch mit einem separierten Segment sein)
Nachvollziehbar oder solch ich eine Skizze machen?Probiert das mal bitte jemand aus! Ich habe zwar Kabel (KDG) aber bekomme nur eine dynamische p-IPv4 zugewiesen. Wenn überhaupt…
-
Ideal wäre ein Switch, der auf einen Port mehrere ungetaggte VLANs legen kann. Gibt es sowas?
Jain.
Eins der VLANs muss immer eine PVID tragen, was bedeutet, dass jeder Traffic zum Interface immer in dieses VLAN verpackt wird.
"Hören" kannst Du alle. -
@Jahonix: Wow, ja mit einer Switchkaskade könnte es dann tatsächlich hinhauen. Trunk mit 4 VLANs auf VLAN Switch, dort dann 4 Einzelstrecken zu nächstem Switch/Hub wo dann final das Modem dranhängt. Könnte wirklich hinhauen, hört sich aber mighty overdosed an für den Erfolg ;) Aber interessant wärs tatsächlich. Der "dumme" Switch und der VLAN Switch müssen dann nur ordentlich ihre MAC State Table im Griff haben, dann könnte das wirklich hinhauen. Das heißt dann aber auch, dass man ein Spinnennetz aus Leitungen am WAN hat (eigentlich gruselig um nur die IP abzugreifen), aber wenns klappt.
Interessant wäre ja noch ein zweiter Test:
Wenn man für alle IPs die gleiche MAC angeben kann, wäre es eine interessante Variante, die zusätzlichen IPs statisch zu konfigurieren (nicht empfohlen, klar) und die primary IP eben per DHCP zu holen.
Grüße Jens
-
Wie kommt ihr eigentlich drauf man könnte bei KabelBW mehrere IPs mit einer identischen MAC reservieren? Das geht schlicht und ergreifend nicht ???
-
mit einer Switchkaskade könnte es dann tatsächlich hinhauen. […] hört sich aber mighty overdosed an für den Erfolg
Wieso?
Der OP hatte IMHO die Einschränkung, aus platz- und thermischen Gründen nur eine ALIX/APU verwenden zu können.
Mit den Kisten habe ich doch kaum eine andere Chance, als es in dieser Form zu konfigurieren.Wenn man für alle IPs die gleiche MAC angeben kann, wäre es eine interessante Variante, die zusätzlichen IPs statisch zu konfigurieren
Warum sollte das funktionieren können, wenn man die MACs in einem Web-Interface des Providers vorher konfigurieren muss?
Dabei hilft es jetzt auch nicht, über die generelle Sinnhaftigkeit dieses Vorgehens zu diskutieren. Nur mal so präventiv. -
@tpf: Das wurde zwischendurch behauptet/in der Raum geworfen, da ich selbst kein Business Kunde bin konnte/kann ich dazu nichts sagen :)
Wieso?
"overdosed", da mit zwei vorgeschalteten Switches wovon einer noch intelligent mit VLANs sein muss und entsprechend wirre Verkabelung. Wenn Platzgründe das Problem des OP sind, könnten zwei Switches und der Kabelsalat ja durchaus ein Argument sein. War aber nicht negativ/abwertend gemeint, nur eben ziemlich aufwändig für "möchte eigentlich nur 4 IPs haben".Warum sollte das funktionieren können, wenn man die MACs in einem Web-Interface des Providers vorher konfigurieren muss?
Da ich zumindest einmal in der Vergangenheit KabelBW Business bei einer Firma hatte, weiß ich, dass man damals zumindest eine Zeit lang das Interface auch statisch konfigurieren konnte, es gab aber in unregelmäßigen Abständen dann immer mal wieder Probleme (Routing o.ä.) so dass das eben nicht empfohlen ist. Die Idee - die ja nicht funktionieren wird, da @tpf ja schon gezeigt hat, dass es nicht möglich ist - war dann lediglich darauf zu vertrauen, dass so lange eine IP wenigstens dynamisch konfiguriert ist, es nicht so problematisch ist die anderen statisch zu konfigurieren, da hoffentlich meist das gleiche Gateway o.ä. definiert wird.Ist aber nun ebenfalls egal, da wir ja nun sehen, dass es überhaupt nicht möglich ist. Hätte mich auch stark gewundert, denn da die IPs per DHCP vergeben werden, würde jeder DHCP Server streiken wenn man ihn mit 4 gleichen MACs für unterschiedliche IPs füttert. :)
Trotzdem eine interessante Diskussion, vor allem die Idee mit dem Switch. :)
-
Servus,
also ich hatte das ja auch versucht, als ich Dual-WAN mittels KabelBW und T-Com aufgebaut habe. Als ich auf der pfS manuell die MAC für das VLAN-Interface geändert habe, wurde gleichzeitig auch die MAC des Partent-Interface geändert. Das kam dann zwar die angedachte IP von KabelBW, funktionierte aber sonst nicht. Das kann zwar auch andere Gründe gehabt haben, ich habe es dann aber nicht weiter untersucht sondern mit der alten MAC einfach weiter gemacht. Ich habe einen 8-Port VLAN-Switch, gebe KabelBW und T-COM jeweils untagged auf einem Port rein und gebe sie tagged auf einem Port an die pfS. -
Wozu DHCP? Statisch konfigurieren un feddich! IMHO ist DHCP das geringste Problem…
Nicht bei Unitymedia / KabelBW. Da gab es schon häufiger Probleme, wenn die IP statisch konfiguriert ist, weil man etwaige Gateway oder Routing Änderungen dann nicht mitbekommt.Stimmt… Daran hatte ich nun nicht gedacht.
Dann könnte ich auf diesem Interface einfach 110.0.0.0/7 konfigurieren, und alles wäre gut. Ich sehe nicht, was dagegen sprechen würde.
Nope, geht nicht. Außer du sägst dir mal kurz instant das komplette 110/111.er Netz ab, denn du würdest alle Adressen verlieren. Da deine pfSense dann denkt, dass die Adressen bei ihr direkt auf dem WAN Interface lokal erreicht werden können, würde sie diese nie mehr an den Default-Router weiterreichen.Arghs! Auch daran hatte ich nicht gedacht…
@Jahonix: Wow, ja mit einer Switchkaskade könnte es dann tatsächlich hinhauen. Trunk mit 4 VLANs auf VLAN Switch, dort dann 4 Einzelstrecken zu nächstem Switch/Hub wo dann final das Modem dranhängt.
Das hatte ich ja schon in #22 vorgeschlagen:
@doejohn:Alternativ könnte man die fünf Ports des VLAN-Switches mit einem dummen 8-Port-Billig-Switch zusammenfassen, um zum Modem zu gehen.
@tpf:
Wie kommt ihr eigentlich drauf man könnte bei KabelBW mehrere IPs mit einer identischen MAC reservieren? Das geht schlicht und ergreifend nicht ???
Jeder Service-Mitarbeiter, mit dem ich bislang telefoniert habe (mittlerweile sieben!) hat behauptet, das würde gehen. :o Und ich bildete mir ein, der Business-Support wäre besser informiert als der Privatkunden-Support :-/
Selbst probieren konnte ich das bislang leider noch nicht…Der OP hatte IMHO die Einschränkung, aus platz- und thermischen Gründen nur eine ALIX/APU verwenden zu können.
Genau. Einen VLAN-Switch benötige ich ja sowieso. Einen zusätzlichen Billig-8-Port-Switch würde ich noch einigermassen unterbringen können. Einen PC, in den ich zwei 4-Port-Karten stecken könnte, würde ich aber auf garkeinen Fall mehr unterbringen können.
@tpf:also, ich hatte das ja auch versucht, als ich Dual-WAN mittels KabelBW und T-Com aufgebaut habe. Als ich auf der pfS manuell die MAC für das VLAN-Interface geändert habe, wurde gleichzeitig auch die MAC des Partent-Interface geändert.
Arghs! Das würde bedeuten, dass die Lösung mit der Switch-Kaskade auch nicht funktionieren würde :-//
-
Einen zusätzlichen Billig-8-Port-Switch würde ich noch einigermassen unterbringen können.
Das muss kein zusätzlicher Switch sein. Nimm einfach 5 oder 6 Ports des vorhandenen, managed Switches und packe die in ein eigenes VLAN mit untagged Ports.
Sieht zwar immer wieder komisch aus, wenn man 2 Ports auf einem Switch mit einem short-link brückt, ist aber völlig ok. -
Einen zusätzlichen Billig-8-Port-Switch würde ich noch einigermassen unterbringen können.
Das muss kein zusätzlicher Switch sein. Nimm einfach 5 oder 6 Ports des vorhandenen, managed Switches und packe die in ein eigenes VLAN mit untagged Ports.
Sieht zwar immer wieder komisch aus, wenn man 2 Ports auf einem Switch mit einem short-link brückt, ist aber völlig ok.Ist mir schon klar… Aber ich fasse mal zusammen, wie viele Ports ich benötige:
1 Tagged port
5 Produktiv-Netze (pro statische IP ein Netz)
5 Interface-Ports
1 DMZMacht in der Summe 12 Ports.
Packe ich den Kaskade-Switch auf den gleichen VLAN-Switch, müssen es schon 18 Ports sein. Switche mit 18 Ports gibt es nicht, also muss es ein 24-Port sein.
Ein 24-Port-Switch ist sowohl von den Abmessungen als auch vom Preis deutlich grösser angesiedelt als 12vlan+8billig.
BTW: wer kann einen VLAN-Switch mit 12 oder 16 Ports (gut+günstig) empfehlen?
-
@tpf:
Wie kommt ihr eigentlich drauf man könnte bei KabelBW mehrere IPs mit einer identischen MAC reservieren? Das geht schlicht und ergreifend nicht ???
Jeder Service-Mitarbeiter, mit dem ich bislang telefoniert habe (mittlerweile sieben!) hat behauptet, das würde gehen. :o Und ich bildete mir ein, der Business-Support wäre besser informiert als der Privatkunden-Support :-/
Selbst probieren konnte ich das bislang leider noch nicht…Nicht mehr, leider. Anfangs war das wirklich fähiger Support, da saßen Fachleute am Telefon. Heut sind das genau dieselben ahnungslosen Quasseltanten wie bei der Privatkundenhotline. Lief gefühlt parallel zur Fusion von Unitymedia. Ich habe gekündigt, mir langts.
Ich würde es mit statischer Konfiguration versuchen. Oder gibt es etwas was dagegen spricht?
Hier mal die mir zugewiesene Konfig. Ist ein kleines /26 Netz und ich hab die IPs 199 - 203
-
Lief gefühlt parallel zur Fusion von Unitymedia. Ich habe gekündigt, mir langts.
Stimmt leider zum Teil, sobald man aber zu Support Level 2/3 weiterkommt, bekommt man durchaus noch fähige Leute ans Rohr, die auch mit Begriffen wie Routing, Latenzen, Lagspikes etc. was anfangen können. Da muss man aber wirklich hartnäckig bleiben und sich meistens durch die Level 1 Checkliste durchmogeln (Sind ihre Geräte direkt am Modem? Können Sie mal eines anschließen? Haben sie schonmal einen Neustart gemacht…)Ich würde es mit statischer Konfiguration versuchen. Oder gibt es etwas was dagegen spricht?
siehe oben. Gab schon häufiger Probleme wenn intern Routen geändert wurden und sich das Default GW bspw. verändert/angepasst wird. Und im dümmsten Fall bekommt man nicht mal IPs aus dem selben Netz. -
Packe ich den Kaskade-Switch auf den gleichen VLAN-Switch, müssen es schon 18 Ports sein. Switche mit 18 Ports gibt es nicht, also muss es ein 24-Port sein.
Nimm doch einen mit 20 Ports.
Ein 24-Port-Switch ist sowohl von den Abmessungen als auch vom Preis deutlich grösser angesiedelt als 12vlan+8billig.
BTW: wer kann einen VLAN-Switch mit 12 oder 16 Ports (gut+günstig) empfehlen?Empfehlung #1: Cisco SG300-20
Budget: TP-Link TL-SG3216 (wenn doch 16 Ports reichen)Aber 19" sind beide, da führt wohl kein Weg herum.
-
Naja, und dann gibt es natürlich noch das Regal mit Industrial Ethernet Switchen, zB:
http://www.cisco.com/c/en/us/products/switches/product-listing.html#IndustrialEthernetSwitches
http://kti.de/produkte/industrialethernet/switche/index.html
http://planet.com.tw/en/product/product_list.php?id=22154
http://de.moxa.com/product/Managed_Ethernet_Switches.htm
… -
Alles ab 16 Ports ist eben 19", und das kriege ich nicht unter.
Der SG300 wäre meine erste Wahl gewesen, aber den gibt es nur mit 10 oder 16 Ports. 10 sind zu wenig und 16 ist dann schon 19".
Hutschiene wäre ideal. Aber da ist die Auswahl sehr übersichtlich, und die Preise recht hoch. Der unmanaged KTI KFS-0840 wäre ja noch erträglich. Aber managed mit 16 Ports ist schon vierstellig…
Alternative wäre zwei 8er managed plus ein 8er unmanaged
Wer kann denn definitiv sagen, ob man den einzelnen VLANs eigene MACs zuweisen kann?
-
Bei den Switches ist das halt wie immer:
Du hast eine sehr spezielle Anforderung und deren Lösung kostet halt mehr Geld als jeder Standard von der Stange.
Es ist lösbar. Wenn's Dir zu teuer ist, dann drehe halt an einer anderen Stellschraube. Kosten wird das immer.Wer kann denn definitiv sagen, ob man den einzelnen VLANs eigene MACs zuweisen kann?
Ausprobiert und hat funktioniert. Siehe Screenshot.
Habe meinen 3 vNICs der APU dedizierte MACs zugewiesen und das LAN gescannt. MAC sowohl von einem Host aus wie auch im ARP table der pfSense sichtbar.
Alles andere hätte mich auch überrascht.
 -
Naja, in den Segmenten melden sich die NICs mit den angegebenen MAC Adressen.
Unter Status | Interfaces steht hingegen die zuletzt eingegebene oder höchste MAC der Reihe bei allen betroffenen Interfaces. Nicht ganz sauber, reicht aber. -
Solange andere Rechner alle MACs sehen und erreichen, sollte die Anzeige unter Interfaces relativ wurscht sein. Und so ich dich verstanden habe, wurde das ja von externem Host so angezeigt, ergo kommen wohl bei dem die unterschiedlichen MACs an?
-
Yepp, ein Scan von meinem MBP mit LanScan zeigte die eingestellte MAC. Allerdings die vom LAN Segment, an dem ich auch hing. Das ist aber auch die MAC, die unter
Status | Interfaces für alle angezeigt wird!?? Der ARP table der pfSense hingegen zeigte das erwartete Ergebnis. Ich werde das noch einmal testen, aber nicht hier in der Firma sondern heute Abend daheim - das ist mir sicherer… ;-)
