Jeweils einen DHCP-Server pro VLAN einrichten - geht das?
-
@DerTom24 said in Jeweils einen DHCP-Server pro VLAN einrichten - geht das?:
Es kann doch nicht sein, dass ich einen zweiten CRS309 brauche.
Nope kann es eigentlich nicht.
Wie sind denn deine Clients da genau angebunden? Du schreibst was von einem CRS326 hinter einem CRS309 der an die pfSense angebunden ist. Kannst du da ein Bild oder eine Skizze posten wie wo was verstrippt ist? Dann kann man da vllt. eher durchsteigen wo vllt was falsch konfiguriert ist.
-
Aufbau ist:
- vlan24:
crs326 ports 2-16 und sfp+1
crs309 ports sfp+1-4
pfSense port0
Verkabelung:
crs326 sfp+1 -> CRS309 sfp+2 und CRS309 sfp+1 -> pfSense port0Ergebnis:
Client wird an einem der 1G-ports auf dem CRS326 z. B. port2 angeschlossen und bekommt von dem dhcp-Server/pfSense eine IP zugewiesen = i.O.- vlan 46:
crs326 ports 17-24 und sfp+2
crs309 ports sfp+5-8
pfSense port1
Verkabelung:
crs326 sfp+2 -> CRS309 sfp+6 und CRS309 sfp+5 -> pfSense port1Ergebnis:
Den pfSense port1 erreicht kein Paket.Nur wenn ich pfSense port0 oder port 1 (je nach konfigurierten vlan) über den CRS309 sfp+1 anschließe, wird der zugehörige dhcp-Server erreicht.
Ich kann auch eine direkte Verbindung CRS326 zu pfSense aufbauen
CRS326 sfp+1 -> pfSense port0
und
CRS326 sfp+2 -> pfSense port1
Die Clients können dann den dhcp-Server erreichen und kriegen auch eine korrekte, dem vlan entsprechende IP zugewiesen.So sieht die Konfiguration auf dem CRS309 aus:
Falls du noch mehr brauchst, gerne!
- vlan24:
-
OK das ist mir gerade erstmal zu konfus mit den ganzen Portbeschreibungen, daher hier eine kurze Skizze, die ich mit draw.io schnell erstellt habe. Ist DAS die Konfiguration die du willst oder verstehe ich was falsch?
Edit: zusätzlich sehe ich diese ganzen Port Isolation Filter und frage mich "wofür", zumal du in den VLAN Settings dann wieder Port Isolation ausgeschaltet hast. Ich würde da auf Nummer sicher gehen und erst die VLAN Konfiguration ans Fliegen bekommen, bevor ich irgendwelche interne Switch Isolation zusätzlich einschalte und ggf. Traffic dadurch blocke, den ich haben will. Zudem ist die Zuordnung bei der Isolation für mich unklar, da bei jeder Zeile der eigentliche Port nicht angehakt ist, Zeile 5 aber sich selbst angehakt hat. Ich würde das ganze Isolation Ding erstmal resetten auf default und auch bei den VLANs wie jetzt auch erstmal ohne Isolation fahren und das später ergründen, was richtig ist um erstmal die VLANs ordentlich hinzubekommen.
-
Bezüglich port isolation sagt das Mikrotik-Handbuch, dass default=yes ist. Somit habe ich den Haken hier nicht setzen müssen.
Ich habe auf dem CRS309 die Firmware immer neu aufgespielt, dabei mit netinstall die alten Konfigurationsdateien komplett gelöscht und alle ports dem vlan24 oder auch vlan 46 zugewiesen. Es war immer das Ergebnis, dass ich nur über den sfp+1-port Kontakt mit pfSense und dem dhcp-Server bekommen habe. Habe ich pfSense über sfp+2-8 verbunden, war nie eine Verbindung da, weder unter vlan 24 oder vlan 46 mit oder ohne port isolation...
Die Skizze zeigt das von mir angestrebte Endergebnis. Zurzeit sind nur CRS326, CRS309 und pfSense im Spiel.
-
OK mal davon abgesehen, dass ich den VPN Gateway so eingezeichnet überhaupt nicht verstehe...
Der 309 soll also
- einen 10G Port zur pfSense als Uplink haben?
- einen oder zwei gebündelt zum NAS haben, dass dann im VLAN 46 sein soll?
- zwei (gebündelte?) Links zu jeweils einem CS326 haben? Oder je einen Link pro VLAN?
- Wäre für die Anbindung der 326er gebündelt als LACP/Portchannel und Trunk mit 24+46 drauf da nicht einfacher und sinnvoller, gerade wenn man ggf. später noch VLANs hinzufügt damit man die nicht manuell dann auf irgendwelche Lines verteilen muss?
Soweit ich den 309er richtig gelesen habe, hat der ja einen Gigabit Port. Ist der nur für Management? Wenn ja schade, sonst könnte man mit dem Port die Einstellungen testen.
Es war immer das Ergebnis, dass ich nur über den sfp+1-port Kontakt mit pfSense und dem dhcp-Server bekommen habe. Habe ich pfSense über sfp+2-8 verbunden, war nie eine Verbindung da, weder unter vlan 24 oder vlan 46 mit oder ohne port isolation...
Das wäre der Punkt an dem ich zuerst mal ansetzen würde:
- NAS mit einem Port und DHCP enabled an 309 anbinden.
- pfSense mit einem Port an 309 anbinden
- pfSense auf dem einen Port die VLANs 24 und 46 konfigurieren
- 309 auf dem pfSense Port Trunk mit 24,46 tagged sauber konfigurieren. Ohne VLAN Force oder sonstigem Kram. Kein Isolations Gedöns, sondern erstmal nur sauberes VLAN Handling versuchen.
- 309 auf dem NAS Port für Switch Port in VLAN 46 konfigurieren (untagged).
Dann testen ob NAS eine IP aus VLAN 46 bekommt.
Dann NAS Port umkonfigurieren auf VLAN 24 und testen ob es eine 24er bekommt. Wenn das läuft, kann man mit den 326ern dahinter und dem Trunking etc. weiter testen. Aber bevor man den 309er nicht im Griff hat wird das sonst eine ewige Suche.Grüße
-
@DerTom24 said in Jeweils einen DHCP-Server pro VLAN einrichten - geht das?:
Falls du noch mehr brauchst, gerne!
Sehe ich jetzt gerade erst: Die VLAN Konfiguration für den SFP+ Port 1 ist doch falsch. Wie soll denn pfSense beide VLANs bekommen, wenn du sie an Port 1 anklemmst, aber VLAN 46 überhaupt nicht auf Port 1 durchreichst?
Zudem fehlt mir die Konfig der pfSense wie du die VLANs da eingerichtet hast, so kann ich nur hoffen, dass sie richtig konfiguriert sind ;) Aber im VLAN Setup im Bild fehlt definitiv die Zuordnung von VLAN 46 zu Port 1, sonst kommen die getaggten Pakete ja nie an der Firewall an bzw. sie kann nicht mitbekommen, dass irgendjemand im VLAN46 nach DHCP schreit. Und da du schreibst, dass die nur an Port 1 hängt gibts auch keinen anderen Weg.
-
@JeGr
Der VPN-Gateway soll für alle in vlan46 hängenden Geräte den Internetzugang über einen VPN-Povider ermöglichen. Somit gehen clients vlan24 ganz normal ins Netz und vlan46 nur über VPN.Beide vlans haben eine eigene 10GB-Verbindung. Für vlan24 ist dies sfp+1 und für vlan46 soll dies sfp+5 sein. Aus diesem Grund auch die 'fehlende' Zuweisung von sfp+1 zu vlan46. Der 309 hat soll somit zwei uplinks zu pfsense haben, also je einen Link je vlan.
Der eth1-port des 309 soll auch als 'normaler' Netzwerkanschluss genutzt werden können.
Ansonsten werde ich mit dem sauberen konfigurieren auf dem 309 mal wieder beginnen.
Vielen Dank für Deine Hilfe!
-
@DerTom24 said in Jeweils einen DHCP-Server pro VLAN einrichten - geht das?:
Beide vlans haben eine eigene 10GB-Verbindung. Für vlan24 ist dies sfp+1 und für vlan46 soll dies sfp+5 sein. Aus diesem Grund auch die 'fehlende' Zuweisung von sfp+1 zu vlan46. Der 309 hat soll somit zwei uplinks zu pfsense haben, also je einen Link je vlan.
OK das konnte ich aus deiner Zeichnung so nicht ganz entnehmen, aber das heißt, dass du den 309er mit 2 Ports an der pfSense hast?
Dann bitte die VLAN Konfig vom 309er und die VLAN und Interface Konfig von der pfSense zeigen. Da passt irgendwas nicht zusammen :)
-
-
Nope dann - meine ich - stimmt bei dem Setup die Konfig des 309er nicht.
Du sprichst explizit VLAN auf der pfSense (warum auch immer aber OK), im VLAN Setup des Switches ist der Port aber nicht auf tagged gestellt (only tagged). Oder du machst das VLAN in der pfSense raus und stellst auf only untagged aber irgendwas sollte man schon auswählen ;)
Zudem sagt https://wiki.mikrotik.com/wiki/SwOS/CRS3xx#VLAN_Configuration_Example dass enabled heißt, dass VLAN IDs gefiltert werden die nicht in der Tabelle sind dass dann die Default VLAN ID bei Access Ports passen muss. Laut ihrem eigenen Beispiel unter https://wiki.mikrotik.com/wiki/SWOS/CSS326-VLAN-Example sollte das eher aussehen wie:
- VLAN:
- Port 1: enabled, any, 1
- Port 2,3,4: enabled, any, 24
- Port 5: enabled, any, 1
- VLANs: sollten stimmen wie sie sind, wenn Mgmt der letzte Punkt ist
Statt "any" bei allen in "VLAN" könnte man Port 1 und 5 (an die pfSense) auch entsprechend flaggen (tagged only für 1 und 5). Bei den anderen Ports die als "Client" untagged laufen, müsste IMHO dann untagged only ausgewählt werden, da man dort keine Tags vom Client will und das dann ins Default VLAN umgetagged werden soll.
Da du alles auf der pfSense taggst, und dort als Tag 24/46/68 erwartest, stimmt die Default VLAN ID auf den Ports nicht. Warum 1? Weil 1=default=untagged sein soll und du auf dem Port 1 bspw. das VLAN 1 durchreichen möchtest und nicht(!) die ID wegwerfen und das Paket untagged rausgeben.
Randnotiz: Ich weiß zwar nicht, wofür du 2x 10G getrennt zur Firewall führst und brauchst, aber OK :) Ich hätte einen Trunk zur Firewall gemacht und dort alle VLANs aufgelegt aber sei es drum :)
-
-
So, die Vlans laufen... Ich habe es allerdings über zwei getrennte Leitungen nicht geschafft. Die Verbindung zwischen den beiden switch läuft über ein Kabel, die Verbindung zu pfSense über zwei Leitungen (LAGG).
Somit nochmal vielen Dank für den Input!!
Was mir noch durch den Kopf geht bzw. am Anfang dieses Threads wohl nicht als optimal angesehen wurde, war meine Lösung, die Zuweisung der Vlans zu einem bestimmten WAN (1 x Fritzbox, 1 x über VPN-Box) über eine Firewallregel zu bewerkstelligen.
Wie mache ich dies denn besser?Viele Grüße!
-
@DerTom24 said in Jeweils einen DHCP-Server pro VLAN einrichten - geht das?:
die Zuweisung der Vlans zu einem bestimmten WAN (1 x Fritzbox, 1 x über VPN-Box) über eine Firewallregel zu bewerkstelligen.
Ich glaube das rührte eher daher, dass sich noch niemand wirklich vorstellen konnte, wie das Konstrukt aussehen soll.
Zuweisung per Regeln ist der einzige Weg VLANs das entsprechend mitzugeben. Man muss nur darauf achten, dass anderer Traffic der ggf. intern laufen soll eine eigene Regel mit Default GW benötigt, da eine Regel mit aktiviertem Gateway allen Traffic über dieses GW über die Firewall zu schieben versucht. Auch etwas, was ggf. intern laufen soll - daher muss das darüber mit einer extra Regel abgehandelt werden.Bspw.: VLAN 46 soll via WAN 2 ins Netz. VLAN 46 soll aber VLAN 23 trotzdem erreichen können. Dann braucht es eine allow VLAN 46->23 Regel mit Default GW (*) und darunter eine VLAN 46 to any Regel mit GW WAN2.
Grüße
