(gelöst) pfSense / VDSL / VLAN - Segmentierung
-
Hallo,
folgendes Setup hab ich bei mir:
VDSL-Anschluß der Telekom
Allnet ALL-BM100VDSL2V am Anschluß
pfSense auf einer APU2, WAN verbunden mit dem Modem
Switch Netgear GSM5212, verbunden mit LAN auf der pfSenseDahinter hängt noch einige Hardware, u.a. eine Fritzbox als Telefonanlage und ein Accesspoint für's WLAN
Auf WAN hab ich ein VLAN mit der ID 7 eingerichtet, das über PPPOE das Modem anspricht.
LAN ist nicht weiter bearbeitet, dort läuft ein DHCP-Server für das interne Netz.Funktioniert alles einwandfrei (Internet, Telefonie, sogar IPv4 und IPv6).
Ich hatte jetzt die Idee, die Netzwerkgeräte in IP-Segmente einzuteilen, um die Sicherheit zu erhöhen (IoT…). Früher hatte ich mal ein ähnliches Setup hinter einem Sat-Modem (ähnlich wie bei Kabelmodem). Da musste WAN nicht mit VLAN-Tag versehen werden und die Aufteilung hat so funktioniert, daß ich auf LAN mehrere VLANs eingerichtet habe und die auf dem Switch portbasiert auseinandergezogen habe.
Beim jetzigen Setup habe ich versucht zusätzlich zum LAN auf dem gleichen Port ein VLAN einzurichten (also igb1 als LAN und igb1_vlan1 als OPT1 z.B.). Ging auch. Sobald ich aber das Interface aktiviere, bricht die PPPOE-Verbindung ab. Kann mir jemand erklären, was ich falsch mache? Das Gleiche passiert, wenn ich igb2_vlan1 als OPT1 definiere.
Viele Grüße
Dirk
-
Das beantwortet nicht ganz deine Frage, aber ich habe ein ähnliches Setup (Telekom, diverse VLANs im LAN, Cisco Managed Switch), jedoch mit DrayTek Vigor 130 im Bridge Mode als Modem. Dort habe ich direkt im Modem die "VLAN Tag insertion" aktiviert (hatte sich glaub damals nach der offiziellen Anleitung von DrayTek so ergeben), was zumindest problemlos funktioniert. Ich glaube, im Allnet müsste es eine ähnliche Option geben. Ist vielleicht eine Alternative, wenn du die Telekom-VLANs auf der pfSense nicht unterscheiden musst z.B. wegen VLAN 8 für Entertain.
-
Dein Problem ist das VLAN #1, das bei allen Komponenten immer dem default VLAN entspricht, bei Dir also auch Deinem LAN. (es sei denn, Du hast das bereits umgelegt / überhaupt umlegen können).
Das ist einer der Gründe, warum man VLAN ID 1 nie verwenden sollte! …
Ferner mag ich es persönlich nicht, tagged und untagged traffic auf dem gleichen Interface laufen zu lassen; das soll mittlerweile kein Problem mehr sein, früher war das jedoch ein no-go.Ich würde halt 2 VLANs auf dem jetzigen LAN Interface erstellen und beide getagged über einen Trunk zum Switch führen. Erachte ich als übersichtlicher.
Also sowas wie:
LAN: igb1_vlan10
OPT1: igb1_vlan20Dann sollte auch Deine VLAN-Problematik am WAN behoben sein (die vermutlich gar keine ist, sondern nur ein Kuddelmuddel aus mehreren VLAN1 am Switch).
-
Hallo,
@HG: danke, das versuch ich mal (wenn ich auf die Weboberfläche des Modems komme…). Naja, alternativ geht ja noch RS232.
Dein Problem ist das VLAN #1, das bei allen Komponenten immer dem default VLAN entspricht, bei Dir also auch Deinem LAN. (es sei denn, Du hast das bereits umgelegt / überhaupt umlegen können).
llte auch Deine VLAN-Problematik am WAN behoben sein (die vermutlich gar keine ist, sondern nur ein Kuddelmuddel aus mehreren VLAN1 am Switch).Ich hab mich wahrscheinlich unglücklich ausgedrückt. Ich hab keine zwei VLAN mit der ID 1 konfiguriert. Das auf WAN braucht die ID 7 (weil Telekom DSL). Ansonsten tritt das Problem auch bei allen anderen möglichen IDs auf (hab ich getestet). Der letzte geprüfte Fall war:
WAN: Vlan ID 7
LAN: einmal ungetagged, einmal Vlan ID 10 (als LAN bzw. OPT1).Oder hab ich dich da falsch verstanden?
Viele Grüße
Dirk
-
Hi,
ja hast du. Untagged ist das default VLAN, normalerweise VLAN 1.
Gruß
pfadmin -
Hi,
danke für die Erklärung. Dann hätte das Setup igb0 (id 7), igb1 (id 1) und igb2 (id 10) aber kein Problem geben dürfen… Ist mir immer noch ein Rätsel.
Viele Grüße
Dirk
-
… und igb1_vlan1 als OPT1 ... igb2_vlan1 als OPT1 ...
…_vlan1 bedeutet: VLAN ID1 und nicht VLAN ID10, denn das wäre ..._vlan10
War das vielleicht Dein Problem?!?Ansonsten richte einfach VLAN10 für LAN und VLAN20 für OPT1 ein, und Du hast Ruhe.
-
Hi,
ich hab jetzt folgendes der Reihe nach gemacht (igb0 hat immer noch VLAN mit ID7, igb1 noch kein speziell eingerichtetes VLAN, also wie ich verstanden habe ID1):
- unter Interface/Vlans ein VLAN hinzugefügt (ID 10, auf igb2), sonst keine Veränderungen, gesichert
- unter Interface/Interface Assignements OPT1 hinzugefügt (VLAN 10 on igb2)
- unter Interface/OPT1 IP4 configuration type auf static ip gesetzt, unter IP address 192.168.2.1 /24 eingetragen, gesichert
- mit "apply changes" aktiviert. Hier ist die PPPOE-Verbindung noch aktiv
- unter Interface/OPT1 "enable interface" anhaken und mit save speichern, mit "apply changes" aktivieren.
- PPPOE bricht ab, WAN hat keine IP mehr.
- Status/Interface "connect" hat keinen Effekt. PPPOE bleibt down.
- im Log steht da was von PPPOE timeout und reconnect-Versuchen.
- Interface OPT1 wieder inaktiv schalten
- PPPOE auf WAN geht wieder. Ich muß noch nichtmal auf "connect" klicken, einer der reconnect-Versuche hat dann wohl gezogen.
Muß ich allen Ernstes igb1 erst auf eine VLAN-ID ungleich 1 setzen, damit das funktioniert? Klingt merkwürdig.
Viele Grüße
Dirk
-
…igb1 noch kein speziell eingerichtetes VLAN, also wie ich verstanden habe ID1
Das gilt für managed Switche, bei der pfSense selbst nicht.
Bei einem managed Switch müssen die Ports auch ohne Konfig funktionieren, daher sind sie alle immer in VLAN1 und darauf steht auch das Management VLAN des Switches. Sonst könnte man ihn ja nicht administrieren. ;)Muß ich allen Ernstes igb1 erst auf eine VLAN-ID ungleich 1 setzen, damit das funktioniert? Klingt merkwürdig.
In der Tat, das wäre merkwürdig.
Hast Du spaßeshalber mal einen reboot probiert, nachdem Du das Opt Interface aktiviert hast?
PPPoE ist nicht so ganz ohne (kann zB auch nur einen CPU-Kern nutzen, egal wieviele vorhanden sind und solche Späße). -
Hi,
krass… nach Aktivieren war PPPOE wieder weg. Nach dem Reboot allerdings war sowohl OPT1 (igb2_vlan10) als auch PPPOE wieder da. Kann mir das mal einer erklären? Ich dachte eigentlich die Zeiten von Reboots nach Konfigurationsänderungen wären seit Windows 98 vorbei ;-)
Ist das ein Bug, den man mal ansprechen sollte?
Viele Grüße
Dirk
-
gern geschehen…
Ob das ein Bug ist weiß ich nicht, kannst ja mal in redmine.pfsense.org suchen.
-
Hallo,
danke an alle, die zur Lösung beigetragen haben… jetzt kann's weitergehen mit der Einrichtung meines Netzwerks.
Viele Grüße
Dirk