Vodafone KD - Kein DHCP Lease im Bridge Mode bei VLAN Interface



  • Hallo in die Runde!

    Folgender physischer Aufbau:

    pfSense <--[VLAN Trunk]--> switch1 <--[VLAN Trunk]--> switch2 <--[VLAN Access Port]--> Kabel Modem/Router
    

    pfSense läuft auf einem Intel NUC. Die Switches sind beide Cisco SG200-08, das Kabelmodem ist ein CH7466CE. Lasse ich das Modem im Routermodus, funktioniert alles einwandfrei. Das Interface der pfSense bekommt eine private IP Adresse, Internet Zugang läuft. Sobald ich das Kabelmodem in den Bridge Mode schalte, geht nichts mehr. Im Logfile ist zu sehen, dass bereits nach dem DHCPDISCOVER Schluss ist.

    Folgende Tests habe ich gemacht:

    • Laptop direkt an das Modem im Bridge Mode gehängt -> funktioniert
    • Laptop an switch1 angeschlossen, an einen Port im Access Mode in dem passenden VLAN -> funktioniert
    • USB Ethernet Adapter an den NUC angeschlossen und diesen direkt ans Kabelmodem -> funktionert

    Das heißt für mich, dass die VLAN Infrastruktur prinzipiell korrekt aufgebaut ist und pfSense im Allgemeinen kein Problem damit hat, eine öffentliche IP Adresse aus dem KD Netz zu beziehen. Das Problem tritt auf, sobald das Interface der pfSense ein VLAN Interface ist.

    Ideen dazu?


  • Moderator

    Mir ist gerade einfach zu warm um mehr als: "Konfiguration dazu?" zu schreiben.

    Ohne eine Zeile Config zu sehen, ist alles Glaskugelleserei. Keine Ahnung wie du die pfSense konfiguriert hast an deinem Trunk oder warum es überhaupt einer sein muss (vermutlich weil NUCs meist nur einen NIC haben und deshalb nicht wirklich als Router genutzt werden). Aber da sind wir schon beim Glaskugeln.

    Gruß



  • Richtig, der NUC hat nur ein physisches Interface, weshalb alle Interfaces der pfSense als VLAN Interfaces angelegt sind. Jedes VLAN Interface hat seine eigene ID. Die VLAN IDs sind gleichermaßen auf beiden Switches angelegt und über den Trunk transportiert.

    Mir ist klar, dass ein System mit einem NIC keine erste Wahl für einen Router ist, aber für die Spielwiese daheim reicht es allemal.


  • Moderator

    Und wie wurden die VLANs konfiguriert? Vor allem das WAN VLAN?



  • Naja, im Prinzip gibt es da ja nur eine Methode. Unter Interfaces -> assignments -> VLANs die ID (in diesem Fall 3000) hinzugefügt und ein neues Interface mit der passenden VLAN ID angelegt (also em0.3000). Anschließend habe ich das Interface für IPv4 auf DHCP eingestellt und eingeschaltet.


  • Moderator

    und das Parent Interface em0? Ist das selbst auch konfiguriert? TCPdump auf dem VLAN gemacht? Kommt ein Discover überhaupt bis zum Modem durch/an?



  • Das parent interface ist nicht konfiguriert. TCPDump habe ich zugegebenermaßen noch nicht gemacht. Hier habe ich einfach auf die Einträge in /var/log/dhcpd.log vertraut. Prinzipiell funktioniert ja die VLAN Infrastruktur und auch das Interface tadellos - solange das Modem im Router-Modus läuft.
    Zu sehen, ob das DHCPDISCOVER beim Modem ankommt, gestaltet sich schwierig. Da es ja ein Broadcast ist, könnte ich es einfach mit einem anderen Gerät in der gleichen Broadcast Domain mitsniffen. In einem Beitrag im Vodafone Forum habe ich jedoch gelesen, dass der DHCP Server im Netz von KD sich die erste MAC-Adresse merkt, die sie an einem Anschluss "sieht". Diese wird dann gespeichert und auch nur an diese werden Leases vergeben, bis das Modem neu gestartet wird. Diesen Test habe ich mir also gespart um nicht noch eine unbekannte ins Spiel zu bringen.
    Meine Vermutung zu der Ursache des Problems geht dementsprechend in die Richtung, wie pfSense bzw. FreeBSD mit der MAC Adresse des parent interfaces bei VLAN Interfaces umgeht. Doch da muss ich einfach zu viel spekulieren um vernünftig weiter forschen zu können.


  • Moderator

    Soweit ich das gesehen habe, haben die VLANs einfach ganz normal die MAC des parent Interfaces. Anders würde es auch keinen Sinn machen, es kann nicht für ein VLAN eine ausgewürfelt werden wie bei CARP. Daher würde ich eher vermuten, dass ggf. entweder der DHCP nicht bis vorne übers Modem durchkommt oder KD noch eine andere MAC gecached hat und dementsprechend einfach keine Antwort gibt.

    TCPdump könnte man aber mit einem Laptop machen, wo das Modem dranhängt um zu sehen, ob der DHCPDISCOVER dort überhaupt vorbeikommt oder ob zwischendrin die Switche nicht sauber mitspielen.



  • So, ein paar neue Forschungsergebnisse:

    Vor das Modem im Bridge Mode habe ich einen unmanaged Switch gehängt und daran den Port im VLAN 3000 Access Mode von switch2, sowie einen Laptop angeschlossen. TCPDump auf dem Laptop zeigt, dass dort auch die DHCPDISCOVER Pakete der pfSense aufschlagen, auch wenn das Modem im Bridge Mode ist - wie erwartet.

    Ein interessantes Phänomen, von dem ich auch schon im Vodafone Forum gelesen habe, habe ich auch mal getestet. Hole ich mir mit dem Laptop eine öffentliche IP Adresse von KD und spoofe anschließend die MAC Adresse des Laptop-Interface auf dem WAN Interface der pfSense, wird auch an dieses eine IP Adresse vergeben. Nach einem Neustart des Modems ist allerdings auch in diesem Fall wieder Schluss.



  • @lodur said in Vodafone KD - Kein DHCP Lease im Bridge Mode bei VLAN Interface:

    Vodafone Forum [...]
    MAC Adresse des Laptop-Interface auf dem WAN Interface der pfSense [spoofen]

    Und was stand dort im Forum als Begrünung für dieses Verhalten?
    Was passiert, wenn du den NUC anstatt des Laptops direkt am KD Modem/Router anschließt?

    ... und warum gibt es immer Probleme, wenn man Vodafone Geräte in den Bridge-Mode schaltet? ...



  • @jahonix said in Vodafone KD - Kein DHCP Lease im Bridge Mode bei VLAN Interface:

    Und was stand dort im Forum als Begrünung für dieses Verhalten?

    Leider nix, der OP hat letztlich seine Infrastruktur umgestellt. Eine Begründung für das Verhalten wurde nicht genannt.

    Was passiert, wenn du den NUC anstatt des Laptops direkt am KD Modem/Router anschließt?

    Das habe ich noch nicht getestet. Ich müsste entweder meine komplette Interface Konfiguration zerlegen oder ein anderes OS starten. Werde ich mit genügend Zeit mal ausprobieren, auch wenn ich nicht glaube, dass es helfen wird.

    ... und warum gibt es immer Probleme, wenn man Vodafone Geräte in den Bridge-Mode schaltet? ...

    Tja, das ist genau das was ich versuche mit eurer Hilfe herauszufinden ; )
    Ich habe einen ähnlichen Thread im Vodafone Forum eröffnet, dort wird aber (wie erwartet) nur darauf hingewiesen, dass es sich wohl um ein Problem meiner eigenen Geräte handeln würde...



  • @lodur said in Vodafone KD - Kein DHCP Lease im Bridge Mode bei VLAN Interface:

    @jahonix said in Vodafone KD - Kein DHCP Lease im Bridge Mode bei VLAN Interface:

    ... und warum gibt es immer Probleme, wenn man Vodafone Geräte in den Bridge-Mode schaltet? ...

    Tja, das ist genau das was ich versuche mit eurer Hilfe herauszufinden ; )

    Das liegt (auch...) daran, dass Vodafone/KD diese Konfiguration nicht mag, denn damit können sie ihren "freien" HotSpot auf deinem Gerät nicht mehr aktivieren.
    Und es weist darauf hin, dass sich jemand mit etwas mehr Ahnung als Otto-Normal an dem Anschluss befindet, und das bedeutet für sie:

    • mehr Aufwand, da deren Standard-Prozess nicht greift
    • im Regelfall höhere Ansprüche des Kunden an Qualität und Konstanz
    • viel mehr Support-Stress, wenn Kunde nur denkt, er hätte mehr Ahnung...
    • mehr Support = höhere Kosten, da ^1 und ^2 oder ^3

    Bei jedem Dienstleister gilt, dass alles, was von dessen Standard-Prozess abweicht, nur schwer oder gar nicht möglich ist. Bridging bei Vodafone/KD ist nur ein halber solcher Fall, denn prinzipiell bieten sie es ja an. Nur supporten wollen sie es nicht gescheit und schieben es auf das Layer hinter ihrem Modem. Das war bei KD schon so, als ich bis vor 2 Jahren einen Zugang von denen gebucht hatte.
    Damals funktionierte Bridging bei mir auch nicht, und auch ich musste wegen örtlicher Gegebenheiten deren Zugang durch ein VLAN zu meiner pfSense leiten. Direkt am Hi-Tron Modem hat/hätte es funktioniert. Stellt sich also die Frage, was an einem nativen Link zu einem NIC anders ist als an einem untagged Port eines Switches - und warum deren Hardware damit nicht umgehen kann...
    Hast du einen billigen, unmanaged Switch herumliegen? Schließe den mal zwischen untagged Port und Modem an und berichte was passiert.



  • Letztlich habe ich auch ehrlich gesagt nicht erwartet, dass ich im Vodafone Forum vernünftige Hilfe bekomme. Ich kann schon verstehen, dass solche Szenarien aus Sicht eines Providers als Kunden "Spielereien" gesehen werden und richtiger Support im Privatsegment quasi unmöglich ist. Hatte dennoch mit ein wenig mehr Unterstützung gerechnet, da ich ja wie es sich zeigt bei weitem nicht der einzige mit derartigen Problemen bin. Aber sei's drum.

    @jahonix said in Vodafone KD - Kein DHCP Lease im Bridge Mode bei VLAN Interface:

    Hast du einen billigen, unmanaged Switch herumliegen? Schließe den mal zwischen untagged Port und Modem an und berichte was passiert.

    Habe ich schon gemacht (siehe meinen vorletzten Post). Alle Pakete kommen wie erwartet an.

    Stellt sich also die Frage, was an einem nativen Link zu einem NIC anders ist als an einem untagged Port eines Switches - und warum deren Hardware damit nicht umgehen kann...

    Genau diese Frage habe ich mir auch schon gestellt. Wenn ich genügend Zeit habe, werde ich mir die Pakete mal mit Wireshark genauer ansehen.


  • Moderator

    @lodur said in Vodafone KD - Kein DHCP Lease im Bridge Mode bei VLAN Interface:

    Ich kann schon verstehen, dass solche Szenarien aus Sicht eines Providers als Kunden "Spielereien" gesehen werden und richtiger Support im Privatsegment quasi unmöglich ist.

    Kann ich ganz ehrlich heute 2018 nicht mehr. Dank IoT und immer mehr "Cloud" (man wäre das gerade schön ein paar von denen über uns zu haben... ☀ 😓 ) ist es im Gegenteil eigentlich eher schon vorbildlich, wenn man sich auch am Privatanschluß mit ein paar Gramm mehr Hirnschmalz an mehr Sicherheit für alle beteiligt. Dass das gegen Gewinnorientierte Konzerninteressen geht - nunja. 😉



  • Hallo,
    wir hatten das gleiche Phänomen. Einmal zieht pfsense die IP über das VLAN, aber bei den Renewals war dann Schluss. Wenn man das Interface neu startet ging es wieder, bis zum nächsten Renewal.

    Das VF Kabel Modem mag nicht, wenn es nicht direkt an der pfsense (direktes Patch-Kabel, kein Switch , nix dazwischen) angeschlossen ist. Wir haben im Moment 17 Standorte so laufen und seitdem (ca. 1 Jahr) keine Probleme mehr. Man braucht hat einen dedizierten Port - das ist der Nachteil.

    Was wir aber nicht geschafft haben, feste IP mit VF :-( Das wäre von der Zeit zu aufwendig geworden und in unserem Fall nicht notwendige, da wir alles mit DynDNS umsetzen können.

    Gruss



  • Danke für die Infos. Dann scheint das ja wirklich eine allgemeine Verhaltensweise bei KD zu sein. Werde es jetzt auch erst mal so stehen lassen und den Bridge Mode ausgeschaltet lassen. Mich würde aber wirklich mal der technische Hintergrund für dieses Verhalten interessieren. Leider halte ich es für ausgeschlossen, dass man solche Infos aus dem gewöhnlichen Support raus kriegt.



  • Hallo,
    ich bin gerade dabei einen Vodafone Kabel Internet-Anschluss zu bestellen. Bei uns steht das Modem (und die Kabeldose) räumlich ein ganzes Stück entfernt vom Server auf dem pfSense läuft, daher bin ich etwas schockiert zu lesen, dass es Probleme gibt, wenn das Modem über Switche angebunden ist, denn das wäre bei uns der Fall und bei dem VDSL-Anschluss mit VLAN gibt es auch kein Problem damit.

    Vodafone hat ja mehrere Modems/Router im Programm:
    https://kabel.vodafone.de/hilfe_und_service/geraete/wlan_kabelrouter

    @roadrunner51: Mit welchen Modems gab es denn Probleme? Waren das alle auch die Compal CH7466CE?

    @lodur: Versuche doch einmal eine aktuelle Firmware auf das Modem aufzuspielen. Die muss man jedoch über VF anfragen, da es diese nicht zum download gibt.



  • @roadrunner51
    Eine Frage habe ich noch. Meine Konfiguration wäre etwas anders als von lodur, da ich der (auf ESXI virtualisierten) pfSense ein eigenes physisches (und damit auch virtuelles) NIC zuweisen kann, da ich eines übrig habe. VLAN Tagging würde dann ausschließlich in den beiden Switches stattfinden (Tagged / Excluded) und dient nur der Abschottung des Datenverkehrs von den anderen Ports.

    Insofern ist die Situation ja etwas anders als lodur, da dieser ja die Datenpakete bereits von der pfSense aus markiert (tagged) und folglich ja auch das Modem VLAN-tagged Pakete empfängt. Bei meiner Konfiguration sollte das Datenpaket ja bei verlassen des letzten Switches kein VLAN-Tag mehr haben.

    Nun zur Frage ;) Hattest du auch eine solche Konfiguration getestet?



  • Ja, wir betreiben alles mit den VF Compal CH7466CE. Da wir immer dedizierte Rechner für die FW einsetzen haben wir eine VM Konfiguration nicht getestet. Was wir beobachtet haben, waren Probleme des VF Modems, wenn die MAC des DHCP Clients eine andere war als die des Network Ports auf dem Switch.

    Aus meiner Sicht sollte aber die Konfiguration mit VM und dediziertem Port auch funktionieren. Haben es aber nie ausprobiert.

    P.S. DSL Modems (wir nehmen DrayTeks Vigor130) läuft über getaggte VLANs problemlos.