Jeweils einen DHCP-Server pro VLAN einrichten - geht das?
-
-
Nope dann - meine ich - stimmt bei dem Setup die Konfig des 309er nicht.
Du sprichst explizit VLAN auf der pfSense (warum auch immer aber OK), im VLAN Setup des Switches ist der Port aber nicht auf tagged gestellt (only tagged). Oder du machst das VLAN in der pfSense raus und stellst auf only untagged aber irgendwas sollte man schon auswählen ;)
Zudem sagt https://wiki.mikrotik.com/wiki/SwOS/CRS3xx#VLAN_Configuration_Example dass enabled heißt, dass VLAN IDs gefiltert werden die nicht in der Tabelle sind dass dann die Default VLAN ID bei Access Ports passen muss. Laut ihrem eigenen Beispiel unter https://wiki.mikrotik.com/wiki/SWOS/CSS326-VLAN-Example sollte das eher aussehen wie:
- VLAN:
- Port 1: enabled, any, 1
- Port 2,3,4: enabled, any, 24
- Port 5: enabled, any, 1
- VLANs: sollten stimmen wie sie sind, wenn Mgmt der letzte Punkt ist
Statt "any" bei allen in "VLAN" könnte man Port 1 und 5 (an die pfSense) auch entsprechend flaggen (tagged only für 1 und 5). Bei den anderen Ports die als "Client" untagged laufen, müsste IMHO dann untagged only ausgewählt werden, da man dort keine Tags vom Client will und das dann ins Default VLAN umgetagged werden soll.
Da du alles auf der pfSense taggst, und dort als Tag 24/46/68 erwartest, stimmt die Default VLAN ID auf den Ports nicht. Warum 1? Weil 1=default=untagged sein soll und du auf dem Port 1 bspw. das VLAN 1 durchreichen möchtest und nicht(!) die ID wegwerfen und das Paket untagged rausgeben.
Randnotiz: Ich weiß zwar nicht, wofür du 2x 10G getrennt zur Firewall führst und brauchst, aber OK :) Ich hätte einen Trunk zur Firewall gemacht und dort alle VLANs aufgelegt aber sei es drum :)
-
-
So, die Vlans laufen... Ich habe es allerdings über zwei getrennte Leitungen nicht geschafft. Die Verbindung zwischen den beiden switch läuft über ein Kabel, die Verbindung zu pfSense über zwei Leitungen (LAGG).
Somit nochmal vielen Dank für den Input!!
Was mir noch durch den Kopf geht bzw. am Anfang dieses Threads wohl nicht als optimal angesehen wurde, war meine Lösung, die Zuweisung der Vlans zu einem bestimmten WAN (1 x Fritzbox, 1 x über VPN-Box) über eine Firewallregel zu bewerkstelligen.
Wie mache ich dies denn besser?Viele Grüße!
-
@DerTom24 said in Jeweils einen DHCP-Server pro VLAN einrichten - geht das?:
die Zuweisung der Vlans zu einem bestimmten WAN (1 x Fritzbox, 1 x über VPN-Box) über eine Firewallregel zu bewerkstelligen.
Ich glaube das rührte eher daher, dass sich noch niemand wirklich vorstellen konnte, wie das Konstrukt aussehen soll.
Zuweisung per Regeln ist der einzige Weg VLANs das entsprechend mitzugeben. Man muss nur darauf achten, dass anderer Traffic der ggf. intern laufen soll eine eigene Regel mit Default GW benötigt, da eine Regel mit aktiviertem Gateway allen Traffic über dieses GW über die Firewall zu schieben versucht. Auch etwas, was ggf. intern laufen soll - daher muss das darüber mit einer extra Regel abgehandelt werden.Bspw.: VLAN 46 soll via WAN 2 ins Netz. VLAN 46 soll aber VLAN 23 trotzdem erreichen können. Dann braucht es eine allow VLAN 46->23 Regel mit Default GW (*) und darunter eine VLAN 46 to any Regel mit GW WAN2.
Grüße
