VLAN Projekt mit Windows Domäne
-
Nutze VLAN1 einfach nirgendwo, eben weil es das default in (fast) allen Geräten ist und es sich z.T. nicht/nur schwer ändern lässt.
Mische nie tagged und untagged Traffic auf dem gleichen Interface.
Nutze für LAN auch ein getaggtes VLAN.Wo ist denn Dein Trunk-Interface von der pfSense zum Switch?
-
Habe euren Rat zu Herzen genommen und versuche die Konfiguration auf meinen Windows Server ,der auf einem ESX läuft, zu installieren und VLAN1 komplett auszuschließen und somit die PVID auf jedem Switchport zu ändern
Ist natürlich jetzt kein pfsense mehr, aber vielleicht könnt und wollt ihr mir trotzdem helfen :)
Wie ihr seht habe ich auf dem ESX ein VSwitch der momentan einen physischen Netzwerkport besitzt. Auf dem vSwitch selbst, habe ich mehrere Netzwerke erstellt mit der passenden VLAN ID.
DHCP selbst hat passende DHCP Bereiche bekommen.
Korrigiert micht bitte, wenn ich falsch liege aber ich kann keinen DHCP-Bereich erstellen und diesen an einem VLAN zuweisen sowie bei pfsense, wenn ich aber die verschiedenen Netzwerk Schnittstellen mit der richtigen IP konfiguriere, wird der DHCP seinen Bereich auf die passenden Netzwerk Schnittstellen zuteilen oder? Oder muss ich wirklich physikalisch getrennte Kabel für jeden DHCP Bereich nehmen?
Beispiel:
Schnittstelle Client (IP 192.168.10.20) bekommt automatisch den DHCP Bereich 192.168.10.0 und keinen weiteren
Schnitstelle Drucker (IP 192.168.120.20) bekommt automatisch den DHCP Bereich 192.168.120.0 und keinen weiteren
etc.Normalerweise ist der Standardgateway der Router, also die pfsense (IP 192.168.2.1).
Da ich aber jetzt verschiedene Netzwerke im Windows DHCP definiert habe, muss der Standardgateway doch immer der DHCP Server selbst sein oder?
Also im meinem Fall:
Schnittstelle Client - Gateway = 192.168.10.20
Schnittstelle Drucker - Gateway = 192.168.120.20Standardmäßig sollte danach die verschiedenen Netzwerke(VLANs) nicht miteinander kommunizieren? Wie kann ich das auf einem Windows Server definieren, das z.B. die Clients trotzdem die Drucker benutzen dürfen oder bräuchte ich für das einen Layer3 Switch? PfSense konnte das über die Firewall ja sauber regeln.
Vielen vielen Dank für eure Hilfe
-
Ist natürlich jetzt kein pfsense mehr, aber vielleicht könnt und wollt ihr mir trotzdem helfen :)
Und warum nicht? Einen Router brauchst du bei multi-VLANs ja trotzdem
VLANs: Drucker… Webcam...
Diese beiden VLANs sehe ich nicht als sinnvoll an, da DHCP zu machen. Eine Webcam sollte ja sinnvollerweise nicht ständig die IP wechseln, demzufolge kann die auch statisch konfiguriert oder zumindest semi-statisch sein. Da braucht also kein Windows DHCP das Ding verwalten. Unnötig, kann direkt auf der pfSense oder statisch gemacht werden.
Dito Drucker, die dürfen eh die IP nicht wechseln, sonst hast du Chaos beim Drucken.Dass es eigene VLANs sind - joa ist OK.
LAN...
Wie schon oben jahonix gesagt hat - kein VLAN 1 / Default und kein untagged und tagged zusammen.
Clients
WirelessDass die IPs brauchen keine Frage - aber brauch ich von denen DNS? reverse DNS? Muss ich das im Windows AD verwalten? Wüsste nicht warum, aber kann ja durchaus sein. Wenn ja, DHCP Relay auf Windows DC machen. Ich sehs nicht unbedingt. Das einzige, was sinnvoll im AD/DNS aufgehoben ist (IMHO) sind Server und statische Geräte die erkannt werden müssen. Windows DC und AD hat meiner Erfahrung nach so böses rumgeeier mit IPs, DNS und Reverse DNS dass es keinen Spaß macht. Clients mit wechselnder IP stehen dann schonmal 2-3-fach im DNS und reverse DNS und dann hat man irgendwann mal 3 Geräte die alle NB-1 heißen obwohl das eigentlich PC-23, NB-1 und Mobil-13 ist. Finde ich suboptimal und habe bislang auch keinen Einsatzzweck gehabt, wo ich Clients, die DHCP nutzen, jetzt unbedingt im DNS haben müsste. Ergo reicht es mir, die Client/Wireless Netze auf der pfSense direkt per DHCP abzufrühstücken und als DNS den Windows DC anzugeben (oder noch besser den DNS Forwarder auf der pfSense und dem dann den Windows DC zu geben). Damit ist dann auch Exposition vom Server raus aus bspw. Gäste Netz o.ä.
Sind aber nur meine Gedanken dazu.
Gruß Jens
-
So… Ich hab es langsam zusammen :)
Die VLANs Drucker und Webcam etc. waren nur für die Testumgebung...ich habe aber jetzt die ganze Testumgebung neu aufgebaut und auch "schlauere" Namen vergebe. :DWas möchte ich:
Ich möchte das mein Domain Controller weiterhin DHCP und DNS für sein Netzwerk bzw. VLAN vergibt. Die Pfsense soll den DHCP Job für die restlichen VLANs übernehmen.VLAN 10 = HEH int
VLAN 20 = HEH VoIP
VLAN 50 = HEH Internes WLAN
VLAN 80 = Gäste WLANDas VLAN 1 was irgendwie jeder Netgear als Standard anschaut habe ich eliminiert und habe das VLAN 10 als Standard genommen, bedeutet jeder Switch und selbst die pfsense werden gemanaged über diesen IP Bereich.
DHCP wurde auf der pfSense für VLAN 20, 50 und 80 aktiviert
VLAN 10 auf Switch
Port 1 = pfSense
Port 2 = ESX
Port 19 = Switch 2
Restliche Ports sind oder werden normale Windows Clients angeschlossenRestliche VLANs sehen ca. so aus:
PVID
Mein Problem ist das die Clients die über den DHCP von der pfSense verwaltet werden sollten keine IP bekommen und die Clients die im VLAN 10 sind also über den Domain Controller laufen sollten zwar eine IP haben aber den Gateway nicht pingen können und somit auch nicht ins Internet kommen.
Der Domain Controller hat folgende Einstellungen:
IP: 10.10.0.20 / 16
Standardgateway: 10.10.0.1 (IP des VLAN 10 Interface auf der pfSense)
DNS 10.10.0.20Irgendwie habe ich etwas noch nicht begriffen oder übersehe was…
Abgesehen von meinem Problem das ich noch habe, macht dieser Aufbau Sinn? -
Das VLAN 1 was irgendwie jeder Netgear als Standard anschaut habe ich eliminiert und habe das VLAN 10 als Standard genommen, bedeutet jeder Switch und selbst die pfsense werden gemanaged über diesen IP Bereich.
Und du hast trotzdem wieder das bge1, auf dem du die VLANs konfiguriert hast, selbst als untagged Interface als LAN konfiguriert. Mach das weg. Wurde schon mehrfach gesagt. Tagged und untagged sollte man auf einem Interface nicht mixen!
Irgendwie habe ich etwas noch nicht begriffen oder übersehe was…
Da du allen möglichen Krams, aber nicht die pfSense Screens gepostet hast, wird dir dazu - außer durch aktive Hellseherei - kaum jemand was sagen können. Das ganze ESXi Gedöns ist erstmal zweitrangig, wenn die einfachste Grundfunktion mit Kommunikation pfS->Switch->Client schon nicht funktioniert. Wenn der Client kein DHCP bekommt, ist was faul und dann muss man eben in die Logs schauen. Bspw. auf der pfS ob überhaupt ein DHCPREQUEST ankommt oder ob da was mit VLAN Tagging etc. noch nicht passt.
Ansonsten nimmt man sich eben mal nen Client, konfiguriert den statisch und schaut ob dann die Kommunikation geht.
Von unten nach oben vorarbeiten und debuggen.
Viele Grüße
Jens -
Und du hast trotzdem wieder das bge1, auf dem du die VLANs konfiguriert hast, selbst als untagged Interface als LAN konfiguriert. Mach das weg. Wurde schon mehrfach gesagt. Tagged und untagged sollte man auf einem Interface nicht mixen!
Jetzt kapier isch endlich, dass ihr von dem pfSense Lan Interface redet…dachte immer ich soll das Netgear Standard "VLAN1" eliminieren und hab nicht geschnallt das auf der pfSense das LAN Interface ja auch untagged Traffic generiert.
Als ich das Interface komplett gelöscht habe, hat alles (bis jetzt) funktioniert :D
Vielen Dank JeGr und natürlich auch an die Anderen die mir eigentlich die Lösung schon vorher versucht haben mir mitzuteilen :)
Gruss DarkMasta
-
Und du hast trotzdem wieder das bge1, auf dem du die VLANs konfiguriert hast, selbst als untagged Interface als LAN konfiguriert. Mach das weg. Wurde schon mehrfach gesagt. Tagged und untagged sollte man auf einem Interface nicht mixen!
Nur das ich das richtig verstehe, er könnte unter "Interface assignments" das "bge1" Interface komplett rauslöschen und trotzdem die VLAN Interfaces von bge1 haben?
Ich hab seither das Parent Interface immer stehen lassen und dann einfach bei "Enable Interface" den Haken raus. -
Nur das ich das richtig verstehe, er könnte unter "Interface assignments" das "bge1" Interface komplett rauslöschen und trotzdem die VLAN Interfaces von bge1 haben?
Ich hab seither das Parent Interface immer stehen lassen und dann einfach bei "Enable Interface" den Haken raus.Bei mir hat alles erst 100% funktioniert als ich das Interface gelöscht habe…hatte sogar Unterbrüche wo ich den Haken bei "Enable Interface" herausgenommen habe.
-
Bei mir funktioniert alles, hattest Du noch eine IP auf dem Intarface bevor Du den Haken Enable enfernt hast?
@ all,
kann jemand was zu meiner Frage sagen, möchte mich nicht aussperren ;) -
Bei mir hat alles erst 100% funktioniert als ich das Interface gelöscht habe…hatte sogar Unterbrüche wo ich den Haken bei "Enable Interface" herausgenommen habe.
Das kann davon kommen, wenn in dem Moment kurz das Interface resettet wird (also bge1) und damit auch alle VLANs kurze Ruckler haben.Nur das ich das richtig verstehe, er könnte unter "Interface assignments" das "bge1" Interface komplett rauslöschen und trotzdem die VLAN Interfaces von bge1 haben?
Nicht nur könnte, er sollte sogar. Wie gesagt, man macht das hochgradig ungern aus Netzwerk Sicht, dass man auf einem Interface tagged UND untagged traffic hat, da man bei einem Gerät was sich falsch verhält ruck-zuck Probleme provoziert.Ich hab seither das Parent Interface immer stehen lassen und dann einfach bei "Enable Interface" den Haken raus.
Damit hast du m.E. das Interface auch schon "gelöscht", da es keine Konfiguration mehr haben sollte (sollte in Status/Interfaces nicht zu sehen sein). Dann kannst du die Zuweisung auch ohne Probleme löschen. Die tagged Interfaces werden auf System Seite angelegt als eigene virtuelle Interfaces und dementsprechend sollte die IP auf einem VLAN dann trotzdem noch erreichbar sein. Wenn du aber nichts konfiguriert hast, kannst du das auch so lassen wie es ist.Es geht nur darum, dass das Interface nicht zusätzlich auch noch untagged benutzt wird.
-
Damit hast du m.E. das Interface auch schon "gelöscht", da es keine Konfiguration mehr haben sollte (sollte in Status/Interfaces nicht zu sehen sein).
Genau so ist es, man kann es unter Status/Intarfaces nicht sehen.
Es geht nur darum, dass das Interface nicht zusätzlich auch noch untagged benutzt wird.
Nein, sowas mache ich nicht, bei mir dient der eine Port als Trunk der den ganzen Switch mit VLANs versorgt.