Falsche MAC Adresse bei VLAN Interfaces



  • Hi,

    ich komme grad mit meiner pfSense hinter einem UnityMedia Business Anschluss nicht weiter.

    UM Business bietet 5 feste IP, die bei UM an MAC Adressen gebunden sind. FritzBox auf Durchzug stellen und die richtige MAC-Adresse an so einen Bridged Portanschließen und schon hat man die richtige IP und alles ist gut …

    Leider hat meine pfSense nur 2 LAN-Ports aber ich benötige mehr als nur eine der festen IP´s. Also VLAN Aufgesetzt und einen Router dazwischen, der dann drei Leitungen untagged zu den Bridgeports der Fritzbox hat und einen getagged zur pfSense. Alle Vlans sind richtig (hoffentlich) eingerichtet. In der GUI der pfSense kann ich nun für jedes Interface eine eigen MAC Adresse auswählen. Dort sind passende MAC ADressen eingetragen xx:xx:xx:71 - xx:xx:xx:73. Schaue ich aber unter Status -> Interface sehe ich bei allen Interfaces, die an den physikalischen WAN-Port gebunden sind die gleiche MAC Adresse und somit bekommen meine VLAN Interfaces auch die gleiche IP, was natürlich nicht Sinn der Sache ist.

    Hat jemand eine Idee ?

    Herzlichen Dank



  • Neustart schon mal versucht? Manchmal wirkt das Wunder gerade beim Erstellen neuer Interfaces.



  • jeder BOOOOOT TUUUUUT GUUUUUUUT ….

    das waren glaub ich in Summe so 20 - 100 neustarts ;-)
    Ich glaube ich hab auch mal das ganze Internet neugestartet ...

    In der Tat helfen Neustarts wirklich erschreckend oft, hier aber leider nicht :-(



  • @Spicyfood42:

    Hat jemand eine Idee ?

    Yepp, das ist leider eine bekannte Eigenheit.

    https://redmine.pfsense.org/issues/1337



  • Hallo Jahonix,

    ja, wenn man den Thread so liest mach das mit dem proscous Mode Sinn. Ich werde das morgen mal an meiner Backup FireWall mal testen. Ein gepflegte ifconfig promisc sollte da ja durchaus helfen.

    Mal sehen, od das neustart resistent ist, bzw an welcher Stelle ich das am besten im System eintrage. Die Gui gibt das ja nicht her, oder ?

    Herzlichen Dank



  • So, nun ist das re0 Interface im promiscouos Mode und darauf liegen noch zwei V-Lan Interfaces denen explizit seperate MAC Adressen zugeteilt sind. Leider interessiert das die Firewall überhaupt nicht.

    Ich habe weiterhin überall die gleiche MAC Adresse.

    Mein einziger Trost sind die beiden Quad Gigabit Karten die ich noch habe. Mit denen baue ich mir nun eine neue Firewall mit ganz vielen Interfaces …

    Oder hat noch jemand ne Idee ?

    Herzlichen Dank



  • Muss es via VLANs gemacht werden?
    Die beschriebene Situation hört sich für mich nach einem Paradebeispiel für CARP an.

    Ein caveat: Die CARP MAC ist dynamisch.
    Mehr dazu hier: https://forum.pfsense.org/index.php?topic=1484.msg8767#msg8767

    Das war auf irgend einer alten Version noch vor 1.0.
    Ein kurzer Blick auf das aktuelle Interface scheint da aber keine Änderung zu haben.

    Wenn du also alle deine verschiedenen IPs auf unterschiedliche VHIDs setzt sollten alle eine fix unterschiedliche MAC haben.



  • Hallo GruensFroeschle,

    bei carp hab ich halt das Problem, dass die NAC Adressen u.U. nicht fest sind. Ich brauche aber feste MAC Adressen, die ich bei meinem Provider UnityMedia einer IP zuordnen kann …

    Ich habe es nun anders gelöst. Man mag mir jetz vielleicht irgendwas mit Kanonen und Spatzen und so vorwerfen, aber ich habe einfach eine Virtualisierung Proxmox druntergelegt. Dort lassen sich dann genügend Netzwerkswitche usw. virtualisieren und auf eine physikalische Schnittstelle legen.

    Damit es am Ende nicht ganz so Oversized ist, kommt noch die ein oder andere Maschine aus der DMZ mit drauf.

    Aber vielen Dank für die Hinweise :-)


  • LAYER 8 Moderator

    bei carp hab ich halt das Problem, dass die NAC Adressen u.U. nicht fest sind. Ich brauche aber feste MAC Adressen, die ich bei meinem Provider UnityMedia einer IP zuordnen kann …

    Doch! CARP hat ein definiertes MAC Prefix, dessen letzte Stelle durch die VHID definiert wird. Insofern sind die CARP MAC Adressen definitiv fest. Das ist ja auch der Grund, warum es zu Konflikten mit anderen HA Geräten mit CARP, VRRP oder HSRP kommt. Weil die alle das gleiche Prefix implementiert haben. :)

    Grüße


Log in to reply