Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bridged VLANs funktionieren nicht

    Deutsch
    2
    5
    873
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      EnzephaloN
      last edited by

      Hallo

      Ich bastele gerade an einer Konfiguration, an deren Ende zwei voneinander getrennte Netze stehen sollen. Das erste Netz soll sowohl ein LAN als auch ein WLAN besitzen. Das zweite Netz nur ein LAN und dieses soll nicht auf das erste Netz zugreifen dürfen. Beide Netze sollen auf das Internet zugreifen dürfen.
      Klingt erstmal einfach - aber ich bekomme es nicht hin.

      Die Hardware hat 4 NICs: le0 - le3, wobei le3 das WLAN liefert und le0 das WAN bekommen soll.

      WAN (wan) -> le0 -> v4:DHCP4: 192.168.1.76/24
      LAN (lan)    -> le1 ->
      LAN2 (opt1) -> le2 ->
      WLAN (opt2) -> le3 ->
      VLAN1 (opt3) -> le1_vlan1 ->
      VLAN2 (opt4) -> le2_vlan2 ->
      VLAN3 (opt5) -> le3_vlan3 ->
      BRIDGE1 (opt6) -> bridge0 -> v4:192.168.92.1/24
      BRIDGE2 (opt7) -> bridge1 -> v4: 192.168.102.1/24

      BRIDGE1 = VLAN1 + VLAN3
      BRIDGE2 = VLAN2

      Wenn ich das alles so versuche, dann kann ich mich nicht über 192.168.92.1 mit pfSense verbinden.
      Pingen funktioniert auch nicht.
      An le1 ist für die Konfiguration eine IP gebunden gewesen.

      Was ist hier mein Fehler?

      Danke
      Johannes

      1 Reply Last reply Reply Quote 0
      • P
        pfadmin
        last edited by

        VLAN1 solltest du nicht nehmen, da default vlan. Rules hast du nicht erwähnt, pfsense lässt dich so nur durch die Anti-Lockout-Rule auf dein LAN(lan) Interface und sonst gar nichts.
        An le1 sollte keine IP aus den anderen Bereichen eingestellt sein, da anderes subnetz (nämlich das default vlan1)
        Deine Clients sind tagged angebunden bzw ein switch entfernt das tag? opt3-4 sind nämlich getaggt…

        Grußpfadmin

        1 Reply Last reply Reply Quote 0
        • E
          EnzephaloN
          last edited by

          Hallo pfadmin und danke für Deine Nachricht.

          Ich verstehe allerdings nicht, wie ich das was Du beschreibst umsetzen soll. Ich kann bei der Anlage der VLANs nicht steuern, wie sie benannt werden und ich kann sie auch nicht anlegen ohne Ihnen ein Tag mitzugeben.

          Rules habe ich bis jetzt nur so gesetzt, daß theoretisch Internetzugriff möglich wäre:
          LAN: Anti-Lockout Rule, Default allow LAN to any rule und Default allow LAN IPv6 to any rule
          BRIDGE1:
          BLOCK    IPv4 *    BRIDGE2 net    *    BRIDGE1 net    *    *    none
          PASS    IPv4 *    BRIDGE1 net    *    BRIDGE1 address    *    *    none

          BRIDGE2:
          BLOCK    IPv4 *    BRIDGE2 net    *    BRIDGE1 net    *    *    none
          PASS    IPv4 *    BRIDGE2 net    *    BRIDGE2 address    *    *    none

          Wie ich die "Anti-Lockout Rule" auf BRIDGE1 (wo zukünftig die pfSense-Administration möglich sein soll) einbauen kann, hat sich mir noch nicht erschlossen.

          Bin ich im Adressraum von BRIDGE1 oder BRIDGE2, kann ich pfSense nicht anpingen oder auch umgekehrt den Host.
          Internet geht auch nicht durch.

          Ich gebe zu, daß die Konfig vlt. ein wenig kompliziert ist durch die Bridge über die VLANs von LAN und WLAN, aber das sollte doch trotzdem funktionieren, oder?

          Bin für jede Hilfe dankbar!

          Johannes

          1 Reply Last reply Reply Quote 0
          • P
            pfadmin
            last edited by

            Hi,

            nimm bei VLAN1 eine andere VLAN-ID. Diese mußt du doch selbst vergeben haben. Alle deine Interface le0 le1 le2 le3 sind automatisch im VLAN1, dem so genannten default VLAN.

            Das erste Netz soll sowohl ein LAN als auch ein WLAN besitzen

            Wenn ich mal so zähle, dann hast du 6 "LAN" Netze (lan, opt1-5) und ein WAN kreiert. Weiterhin zwei dieser Netze gebridged und einem eine Bridge verpasst, die nicht nötig ist.

            Ich schätze mal, du hast dich bei den VLANs verrannt, denn die brauchst du nicht, du hast schon alles, was du aufzählst:
            LAN (lan)    -> le1 -> v4:192.168.92.1/24
            LAN2 (opt1) -> le2 ->
            WLAN (opt2) -> le3 ->

            Jetzt kannst du eine Bridge0 v4: 192.168.102.1/24 über opt1 und opt2 legen und hast dein LAN/WLAN Netz.
            block IPv4 * * * LAN_Net ** none
            pass IPv4 * Bridge0_Net * * * * none

            LAN
            block IPv4 * * * Bridge0_Net ** none
            pass IPv4 * LAN_Net * * * * none

            Als reinen Test kannst du auch nur pass IPv4 * * * * * * none (any to any) in jedes Interface außer WAN als Rule setzen.
            Am Wan muß natürlich der Haken bei Block Private Netze raus, solange du dort eins hast.

            Gruß
            pfadmin

            1 Reply Last reply Reply Quote 0
            • E
              EnzephaloN
              last edited by

              Hallo pfadmin

              Danke für Deine Nachricht.
              Ich dachte, es wäre zwingend mindestens zwei VLANs zu definieren, wenn man zwei Netzwerksegmente anlegen möchte die keinen Zugriff aufeinander haben…
              Nun, wenn es ohne geht soll es mir recht sein.

              Ich habe Deine Anleitung weitestgehend umgesetzt und auf meinen Fall etwas angepasst. Und siehe da, es funktioniert!

              Jetzt muß ich irgendwie noch einen Traffic-Limiter auf LAN2 einstellen und dann ist alles gut.

              Danke!
              Johannes

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.