VLANs einrichten gelingt mir nicht

BigChris · Jul 12, 2017, 9:45 AM

Ich möchte mein Netz gerne in Geräteklassen bzw. Sicherheitsstufen unterteilen.

Derzeit habe ich folgende Konfiguration:
VMX2: WAN
VMX1: LAN
VMX3: DMZ
VMX0: "frei"

Die VMX0 würde ich gerne nutzen, um VLANs einzurichten.
Im ersten Schritt hätte ich gerne ein VLAN ID600 für Smart-Geräte. Das soll dann auch über meine Ubiquiti APs abgestrahlt werden. Ich habe zwei Switche bei mir(1xWZ, 1xDG), an jedem hängt ein AP. Die Switche sind an Port 1 miteinander verbunden (VLANs)

Folgendes habe ich eingerichtet:

Switch WZ: Port 6 (hier hängt der Ubiquiti) VLAN_600 Tagged
Port 1 (Verbindung zu Switch DG) VLAN_600 Tagged

Switch DG: Port 1 (Verbindung zu Switch WZ) VLAN_600 Tagged
Port 15 (Verbindung zu AP_DG) VLAN_600 Tagged
Port 9 (Verbindung zu VMX0) VLAN_600 Tagged

pfSense: vmx0: aktiviert, keine IP Adresse zugeteilt
interface smartdevices: aktiviert, static ipv4, 10.10.60.1/24, VLAN Tag 600, Parent Interface VMX0

DHCP Server: Enable. Range 10.10.60.30 - 10.10.60.99

Firewall Rules: Smartdevices pass any any (zum testen)
vmx0 pass any any (zum testen)

Verbinde ich mich nun mit einem Gerät zum WLAN, erhalte ich keine IP vom DHCP -Server. Android bleibst stehen auf: IP-Adresse wird abgerufen… Gebe ich mir eine IP aus dem Bereich, erhalte ich kein Internet oder Zugriff auf das Netz.
Verbinde ich mich auf den AP mit ssh, kann ich die 10.10.60.1 anpingen.

Was mache ich falsch?

viragomann · Jul 12, 2017, 11:59 AM

Ist das VLAN auf den APs auch konfiguriert?
Ansonsten stelle die entsprechenden Switch-Ports auf untagged.

BigChris · Jul 12, 2017, 2:22 PM

Ja, ist eingerichtet.
Aber ich scheine andere Probleme zu haben, bzw. verstehe ich gerade überhaupt gar nichts mehr :(

Ich habe auf dem Switch im DG nun den Port 9 Tagged und den Port 11 Untagged auf VLAN_600 eingerichtet. Trotzdem kann ich keinen Ping absetzen. Auch nicht wenn beide Ports Untagged sind.

Dann habe ich mal das Etehrnetkabel von Port 9 entfernt. Müsste dann nicht in der GUI erscheinen, dass das Interface Down ist? Tut es aber nicht…
In der Konsole steht der der Status auch weiter auf active. Bei allen anderen Verbindungen passierte das gleiche.

Dann habe ich mich mal auf mein LAN verbunden und die LAN-Leitung aus dem Port der Netzwerkkarte gezogen. Subnetu 10.10.10.0/24. Trotzdem kam ich über die 10.10.10.1 noch an die pfSense. Und Internet hatte ich auch.

Gerade weiß ich absolut nicht weiter, ich dachte ich hätte mein Netz halbwegs im Griff - das scheint aber überhaupt nicht der Fall zu sein. Wahrscheinlich liegt es an dem ESXi, dass ich den falsch konfiguriert habe?

Puh - ich bin gerade total deprimiert und weiß komplett nicht mehr weiter.

tpf · Jul 12, 2017, 6:20 PM

Servus,
vmx klingt so nach VMWare. Ist dem so? Es kann gut sein, dass VLAN-Tags in die VM nicht unterstützt sind. Ist das zweifelsfrei überprüft worden?

Ansonsten ist ein VLAN-Tag anzulegen, jenem ein Interface auf einem Parent-Interface zuzuordnen und das Interface regulär zu konfigurieren.

Beispiel für drei physische Interfaces mit em-Interfaces.

em0 WAN
em1 LAN
em2_vlan10 OPT1
em2_vlan20 OPT2
em2_vlan30 OPT3

Beispiel für zwei physische Interfaces:

em0 WAN
em1_vlan10 LAN
em1_vlan20 OPT1

Eigentlich ganz einfach.

hornetx11 · Jul 13, 2017, 8:11 AM

Moin,

Bei VM Ware muss VLAN auf der entsprechenden physikalischen Netzwerkkarte konfiguriert werden.
Da es sich hier wohl um ein Heimprojekt handelt, gehe ich mal von einem ESXi 6x im kostenlosen Modus aus.

Schau bitte einmal unter Host -> Konfiguration -> Netzwerk -> Eigenschaften des vSwitches welcher die VLANS verarbeiten soll. Dort dann auf die Netzwerkkarte und Bearbeiten. Hier muss das VLAN definiert werden oder mit 4095 alle VLANs pauschal zulassen.

Vielleicht hilft es.

HornetX11