Hilfe bei VLAN Trunking / Routing



  • Hallo Forum,

    ich bin von Sophos UTM neu zu pfSense gekommen, und versuche eben mein etwas größeres heimisches Netzwerk zum laufen zu bringen. Konkret gibt es die Intel Avoton basierende Maschine für pfSende, an der direkt das VDSL Modem hängt. Dazu kommen zwei 24 Port Mikrotik-Switche, und etliche Geräte dahinter. Zusätzlich gibt es 2 VLANs, die über den zweiten Switch direkt auf pfSense mittels trunking geschaltet werden.

    Aufbau (im Anhang als Grafik)

    pfSense (4 ports):
    eth0: WAN
    eth1: Switch 1
    eth2: VLAN Trunk für VID 10 & 20 auf Switch 2
    eth3: Fritzbox

    Switch 1: keine VLANs, alle 24 Ports sind gebridged (OSI Layer 2) und hängen via Port 1 auf der pfSense.
    Switch 2: 8 ports ohne VLAN, die mittels Port 1 auf Switch 1 geschaltet sind. Die beiden VLANs haben zusammen 16 Ports, je 8 pro VLAN, und sind mittels VLAN Trunk über Port 24 auf pfSense verbunden.

    Netze:
    Intern: kein VLAN, 192.168.0.1/22. DHCP&DNS von pfSense auf 192.168.0.1. Switch 1: 192.168.0.2 (gebridged), Switch 2: 192.168.0.3 (gebridged 8 ports über Port 1)
    VLAN 10: 192.168.10.1/24. DHCP&DNS von pfSense auf 192.168.10.1. Switch 1: N/A, Switch 2: 192.168.10.3 (gebridged 8 ports über Port 24)
    VLAN 20: 192.168.20.1/22, DHCP&DNS von pfSense auf 192.168.20.1. Switch 1: N/A, Switch 2: 192.168.20.3 (gebridged 8 ports über Port 24)

    Theoretisch sollte das ja funktionieren, es ist derselbe Aufbau wie bei Sophos UTM, in der Praxis haben die Geräte hinter den VLANs aber Probleme ins Internet zu kommen, und können vom internen Netz auch nicht erreicht werden. Eigentlich sollte aufgrund des Bridgings ja auch kein statisches Routing etc. nötig sein. pfSense und Switch 2 können sich gegenseitig einwandfrei pingen, aber ein Ping von einem Gerät hinter VLAN10 auf pfSense gibt z.B. einen Timeout und vice versa.

    Ist mein Setup mit pfSense so möglich, oder brauche ich doch statische Routen ? Ich würde jedenfalls gerne fast alles per pfSense verwalten, also keine DHCP-Server etc. außerhalb betreiben, und muss auch in der Lage sein, Forwardings von extern ins VLAN machen zu können…



  • Sollte funktionieren.

    Du hast das eth2 der pfSense, an dem die VLANs liegen, nicht konfiguriert, aber hast du es aktiviert? VLANs lassen sich auch zu einem deaktivierten Interface hinzufügen.


Log in to reply