Netzwerk untagged / VLAN tagged per Bridge an verschiedenen Ports

bon-go

Hallo Forum,

ich habe eine APU2D4 mit 3 Ports wie folgt eingerichtet: igb0 ist WAN, igb1 ist LAN und auf igb2 sollen tagged 3 VLAN zu einem dahinterliegenden Switch gehen. Die 'Besonderheit': eines der VLAN an igb2 soll das gleiche Netzwerk sein wie das LAN. Ich habe nun also das Netzwerk WAN (DHCP) und LAN (erstmal ohne IP) eingerichtet sowie vlan 10 an igb2 als Netzwerk (ohne Netzwerkadresse), vlan 20 an igb2 als Netzwerk (mit zugewiesener IP Adresse 192.168.20.254/24) und auch vlan 30 an igb2 als Netzwerk (mit zugewiesener IP Adresse 192.168.30.254/24). Danach habe ich eine Bridge erzeugt und LAN und vlan 10 an igb2 der Bridge zugeordnet. Dem Netzwerk Bridge habe ich eine IP zugewiesen (192.168.10.254/24) und gut erstmal. Regeln an allen Netzwerken habe erstmal alle so angelegt dass alles geht: pro Netzwerk eine Pass Regel für IPv4 und IPv6 für alle Protokolle. Vom Port 3 der APU geht nun ein Netzwerkkabel zu einem (Netgear Pro Plus) Switch an dem an diesen und einigen weiteren Ports jeweils eingerichtet ist dass diese Ports tagged zu vlan 10, vlan 20 und vlan 30 gehören mit der PVID 10. Wenn ich nun ein Gerät an den Switch an einen dieser Ports anschließe sollte dieses Gerät (sofern kein VLAN am Gerät eingerichtet ist) per PVID 10 in das VLAN 10 fallen und damit in der pfSense an der Bridge ankommen und sichtbar sein. Wenn an der Bridge der DHCP Server aktiviert ist sollte dieses Gerät auch ein IP Lease bekommen, richtig? Funktioniert diese gedachte Konstruktion - Netzwerk über zwei Ports, tlw. tagged per VLAN über eine Bridge - überhaupt?

der bon

bon-go

Der Grund ist im Prinzip wie im Post: https://forum.netgate.com/topic/84206/bridge-vlan-tagg/5
Aber: da kommen noch mehr Unifi UAP an den Switch dahinter und der Unifi Controller halt auch. Das erste VLAN Netzwerk (VLAN 10) soll mit dem internen Netzwerk was ich auch an LAN habe über die Bridge verbunden sein. Sollte funktionieren wenn ich eine Bridge wie beschrieben einrichte, ist es aber nicht. Wenn die Geräte an dem Switch an den tagged Ports angeschlossen sind habe ich von LAN aus keinen Zugang zu den Geräten hinter der Bridge z.B. im VLAN 10 und die Geräte haben auch keinen Zugang zum Internet und auch nicht zum LAN über die Bridge.

viragomann

Hallo,

grundsätzlich sollte das schon so funktionieren.

Auch ich habe LAN und ein VLAN (über WLAN-AP angebunden) gebrückt, allerdings bin auch aus praktischen Gründen etwas anders an die Sache herangegangen:
Das LAN Interface hat die feste IP konfiguriert. Infolgedessen läuft auch der DHCP am LAN.
Ich habe dann einfache eine Bridge erstellt und LAN und VLAN hinzugefügt. Ein Neustart der pfSense war dann noch nötig, damit das VLAN in der Bridge funktioniert hat und der am LAN laufende DHCP da IP Adressen ausgegeben hat.

Doch auch deine Bridge-Konfigurationsmethode sollte laufen. Ich hätte eher die Konfiguration des Switch in Verdacht. Ich kenne diesen aber nicht und kann dazu keine Tipps geben.
Zum Testen der Bridge kannst du aber mal ein Gerät für VLAN 10 konfigurieren und direkt an den Port 3 der pfSense anschließen.

Grüße

bon-go

Hallo,

danke für deine Antwort. Prinzipiell gut dass ich gedanklich nicht falsch liege und das so funktionieren sollte. Die von dir beschriebene Konfiguration hatte ich anfangs auch, hat aber auch nciht funktioniert bzw. war für mich unlogischer da ich ja einem LAN Netzwerk eine Bridge überhelfe. Ich weiss an der Stelle nicht genau wie die pfSense / freebsd tickt.
Ich bin halt leider nicht vor Ort und habe ich nur begrenzte Möglichkeiten für Versuche durch physische Änderungen durch Umstecken etc.. Sonst muss ich wirklich mal hinfahren, nicht schön.
Gruß zurück