Problem mit Netgear Switch und VLANs



  • Hallo,

    ich habe folgendes Problem:
    Für mein Netzwerk habe ich einen Trunk Port an meiner pfSense (IoT Netzwerk, Gastnetz, usw.) und einen physischen Port für das LAN welche beide per Kabel mit einer Netgear GS108PEv3 Switch verbunden sind.
    Die Switch hat von mir eine feste IP Adresse im "Netzwerktechnik" Netz (VLAN ID 12) bekommen und ich kann auch von anderen Geräten im LAN die physisch mit dem Switch verbunden sind, auf diesen zugreifen.
    Versuche ich jedoch über VPN oder von der pfSense selbst eine Verbindung zur Switch herzustellen, so scheitert dies.
    In der ARP Tabelle der pfSense habe ich für entsprechende IP der Switch im VLAN 12 einen unvollständigen Eintrag gefunden.

    Was kann hier das Problem sein? Alles andere funktioniert nämlich wie gewollt.



  • Kannst du bei dem Switch ein Gateway konfigurieren und hast du das gemacht?

    Erlaubt der Switch Zugriff von außen bzw. von einem anderen Subnetz?

    Du könntest dir in allen Fällen aber mit Masquerading behelfen.



  • @viragomann Das hatte ich auch schon befürchtet aber ich habe das entsprechende Default Gateway in dem Switch gesetzt und zusätzlich auch mal ein MASQUERADING seitens der pfSense für das VLAN probiert. Das hat beides nichts gebracht leider.

    Aber jetzt kommt's: ich habe gerade mal die IP der Switch auf eine IP aus meinem LAN Segment verändert (für das es eine physische untagged Verbindung zwischen Switch und pfSense gibt) und da funktioniert der Zugriff. Auch über VPN.
    Es muss also definitiv mit den VLANs zusammen hängen.



  • Aber vom LAN aus erreichst du den Switch?

    Das VLAN der VPN Konfig hinzugefügt, falls du nicht den gesamten Traffic darüber routest?



  • @viragomann Ne für entsprechendes VPN habe ich eine Gateway redirect. Geht also alles drüber. Aber es scheitert ja schon davor - die pfSense selbst kann den Switch weder per Ping oder sonst irgendwie erreichen wenn die Switch IP im VLAN 12 Segment liegt. Komischerweise geht aber alles andere und ich erreiche auch alles im VLAN 12, nur nicht die Switch.



  • Vielleicht zur Veranschaulichung:

    igb0 - WAN, keine Verbindung zum Switch
    igb1 - Trunk Port (igb1.12 = Netzwerk für Technik, igb1.10 DMZ, ...), geht auf Netgear Switch tagged
    igb2 - LAN Port, geht untagged auf Switch Port -> wenn ich die Switch IP in dieses Segment setze, geht alles



  • Ich habe mal einen Blick ins Manual geworfen, finde da aber gar keine Möglichkeit ein VLAN fürs Management einzustellen.

    Aber ich kenne das Ding nicht. Ich habe mir das bei einem uralten Netgear in meinem Umfeld angesehen, der bietet auch keine Möglichkeit ein VLAN für die Verwaltung zu konfigurieren. Doch habe ich auf der pfSense dafür ein VLAN eingerichtet und kann ihn via VPN ansprechen.

    Vielleicht weiß jemand anders hier weiter.



  • @viragomann Danke auf jeden Fall für deine Bemühungen. Ich bin leider auch etwas ratlos. Habe noch ein wenig an den PVID's gespielt, aber das scheint auch nichts zu bringen.



  • Hallo @Woodsomeister ,

    ich habe zwar nur die kleiner 5-Port-Variante im Einsatz und weiß gerade auswendig auch nicht, ob es eine v3 oder v2 ist, aber hier geht der Zugriff über VLAN-Trunk auch über VPN Problemlos.

    Was mich ein bisschen an Netgear stört ist, dass die kleinen managed Switche nicht wirklich abgesichert werden können über ihre Verwaltungssoftware prinzipiell aus jedem Netzt gefunden und angepasst werden können, sprich: auch auf jedem Netz lauschen. Ich könnte mir vorstellen, dass es zu Problemen kommen könnte, wenn der Switch auf DHCP gestellt ist und die statische Adressvergabe nur über einen DHCP-Server erfolgt.

    Mein Switch ist also auf eine statische IP am Switch konfiguriert. VLAN ist 802.1Q Advanced. Die PVID des Trunk-Ports ist auf das Management-VLAN eingestellt. Ansonsten würde ich vielleicht noch die VLAN Mempership des Trunk Ports doppelt nachprüfen. Nachdem die Konfiguration für jedes einzelne VLAN doch etwas umständlich ist, vergisst man vielleicht mal ein VLAN oder hat es versehentlich auf untagged eingestellt.


Log in to reply