PFSENSE und VLAN - ich habe ein Brett vor dem Kopf
-
Hallo zusammen
ich habe hier ein 4Port APU (genauer mehrer) - und das Thema dass 4 Ports eigentlich auch immer irgendwie zu wenig sind (hat mal ein User hier geschrieben)
Jedenfalls finde ich die VLAN Thematik recht interessant - daher habe ich mich hier mal ein wenig eingelesen - obwohl einiges was ich probiere schon funktioniert habe ich aktuell 2 Punkte bei denen ich gerade seit Tagen fest hänge:
Ausgangslage:
Ich habe auf PFSENSE auf einem Freien Ethernet Port 4 VLANS angelegt mit den ID´s 100 - 103
Diesen "Trunk Port" habe ich dann mit einem zufällig vorhandenen Zyxel Switch verbunden (Port1)Dabei ist dann Port1 auf Tagged gesetzt und Port 2-5 auf Untagged - zudem ist jedem Port von 2-5 eine VLAN ID zugewiesen (100-103) und jeder dieser Ports hat die dazu passende PVID (100-103)
Soweit so gut - das Konstrukt funktioniert ich kann in PFsense die entsprechenden VLAN´s als Interfaces einbinden - alles gut.
Frage1:
Was nun aber nicht mehr geht - ich komme nicht mehr auf das ZYXEL Web Interface da dieses NICHT auf VLAN "horcht" sondern nur ohne VLAN im normalen LAN erreichbar ist.
Ist das jetzt ein Denkfehler von mir - ein schlecht gemachtes OS des Zyxel oder habe ich irgendwas übersehen ?Frage2:
Das Trunk Interface auf dem die VLAN´s auf der PFSENSE laufen darf (als NICHT VLAN) keine Interface zugeordnet werden - richtg ?
-
@gtrdriver said in PFSENSE und VLAN - ich habe ein Brett vor dem Kopf:
Ist das jetzt ein Denkfehler von mir
Nein.
@gtrdriver said in PFSENSE und VLAN - ich habe ein Brett vor dem Kopf:
ein schlecht gemachtes OS des Zyxel
Das trifft eher zu.
Doch ist das in der unteren Preisklasse ganz üblich.@gtrdriver said in PFSENSE und VLAN - ich habe ein Brett vor dem Kopf:
Das Trunk Interface auf dem die VLAN´s auf der PFSENSE laufen darf (als NICHT VLAN) keine Interface zugeordnet werden - richtg ?
Nein.
Es gab früher mal Probleme mit dem gemischten Betrieb von tagged und untagged auf einem Interface. Das liegt aber schon ein paar pfSense Versionen zurück.Du kannst dem Trunk-Interface also auch ein untagged Interface einrichten, um den Switch über die pfSense erreichen zu können, ohne ein zusätzliches Interface opfern zu müssen.
-
Hallo
vielen dank für deine Rückmeldung.
Zu Punkt 1:
Hier habe ich inzwischen die Option im Zyxel Switch gefunden welche mir ermöglicht das MGNT Interface auf ein anderes VLAN zu schalten - der Trick ist im Switch das VLAN 1 - darauf hängt anscheinend auch das MGNT Interface - von allen Ports zu trennen und dann auf einen Port zu legen auf dem das gewünschte VLAN anliegt.
Nachteil - wird das VLAN an diesem Switch Hardware technisch nicht benötigt opfert man einen Port....
Kann man bei 33 Euro aber verschmerzen - ansonsten kann der Zyxel alles was ich brauche ...
Zu Punkt 2:
Habe ich probiert - sobald ich das Interface aktiviere fängt aber dann irgendwas an "schief" zu laufen - Verbindungen brechen ab etc... - muss mich damit nochmals beschäftigen ...
-
@viragomann said in PFSENSE und VLAN - ich habe ein Brett vor dem Kopf:
ein schlecht gemachtes OS des Zyxel
Das trifft eher zu.
Doch ist das in der unteren Preisklasse ganz üblich.Finde ich jetzt nicht wirklich.
Es ist durchaus gängig, dass auch ein Switch wenn er VLANs beherrscht intern in der UI ein "Management VLAN" konfiguriert hat. Bei günstigem Blech ist das eben gern automatisch auf VLAN1/default gebrannt, so dass du den Switch nur von einem Port konfigurieren kannst, der noch normal/default ist. Im Normalfall lässt sich sowas aber schon irgendwo einstellen.@viragomann said in PFSENSE und VLAN - ich habe ein Brett vor dem Kopf:
Du kannst dem Trunk-Interface also auch ein untagged Interface einrichten, um den Switch über die pfSense erreichen zu können, ohne ein zusätzliches Interface opfern zu müssen.
Recht hat er, der @viragomann ich würde es aber einfach lassen. Bzw. rein technisch gesehen würde ich ggf. das Interface zuweisen aber nicht aktivieren, einfach nur damit man es in der UI benennen kann und nicht irgendwann versehentlich selbst zuweist.
Wie in einem anderen Thread weise ich den Interfaces gern Namen zu wie
- 1_WAN
- 2_DMZ
etc. damit man an Hand des Interfaces a) erkennt, an welchem Port das ganze spielt und b) man so in der UI auch gleich die Interfaces sortiert bekommt :)
Aber ja wenn man "muss", kann man auch untagged das Interface zuweisen und das auch noch sprechen. Wenn man es aber "schön" machen will, sollte man solche untagged/tagged Mixturen vermeiden, schon allein vom Debugging her.
@gtrdriver said in PFSENSE und VLAN - ich habe ein Brett vor dem Kopf:
Zu Punkt 2:
Habe ich probiert - sobald ich das Interface aktiviere fängt aber dann irgendwas an "schief" zu laufen - Verbindungen brechen ab etc... - muss mich damit nochmals beschäftigen ...Sollte nicht sein, klingt aber so als würde irgendwas loopen. Billige Switche machen da gern mal Unfug und separieren VLAN 1 nicht sauber von den anderen, das könnte so ein Fall sein, eventuell aber auch nur ein anderes Konfigproblem. Wenn dus wie gesagt nicht (mehr) brauchst, lass es einfach, erspart viel graue Haare ;)
-
Hallo zusammen
also ich hab jetzt den Zyxel Support kontaktiert und die Antwort bekommen dass die günstigen Managed Switche nur eine IP können ..... - WTF - was sitzen denn das für leute ?
Ich habe das manual jetzt 2x durch und am Switch alles probiert was mir eingefallen ist - Management geht offenbar nur von VLANID1 (Local LAN)
Weiss jemand einen 8 port Switch der unteren Preisklasse wo man die Management VLAN ID manuell setzten kann ?
-
Hallo
ich konnte die Angelegenheit inzwischen klären.
Der von mir verwendete Zyxel Switch kann das wirklich nicht ...
Auch die Netgears dieser Preisklasse können es nicht.Bei Zyxel gehts ab 120 Euro los
Bei Netgear ab 60 Euro -Ab diesen Switchen kann man das MGNT Interface auch auf ein VLAN legen.
-
@gtrdriver
Hallo,danke für die Info.
Ich frage mich doch, was an diesem Feature so aufwendig ist, dass es dieses nur in Geräte gibt, die gleich das Vierfache Kosten.
-
Hi
aufwändig ist das m.E. sicher nicht - aber man braucht ja Gründe höherwertige Switches zu verkaufen und - speziell in meinem Fall - wäre das einzige Feature das ich von dem höherwertigen Netgear bräuchte diese Funktion ...
In der Tat es ist so dass sich die Zyxel und die Netgear VLAN fähig im Preis quasi nicht unterscheiden.
Der nächstteurere Netgear der das dann kann liegt bei ca. 60 Euro - das ist jetzt auch noch immer sehr günstig...
-
Das Witzige ist, dass bei ~60€ die günstigen kleinen Switche von Unifi schon anfangen und die können MÄCHTIG viel mehr (durch den Controller) als nur ein bisschen VLAN. Da muss ich schon echt den Kopf schütteln, dass man VLAN 1/Default und Mgmt Separation heute noch so vermurksen kann.
-
unifi 60EUR ? oki ich ghe mal suchen muss hier eh noch ein paar VLANs nachdrehen ...
HomeOfiice die 2te :) -
@gtrdriver said in PFSENSE und VLAN - ich habe ein Brett vor dem Kopf:
In der Tat es ist so dass sich die Zyxel und die Netgear VLAN fähig im Preis quasi nicht unterscheiden. Der nächstteurere Netgear der das dann kann liegt bei ca. 60 Euro ...
Ich verstehe nie, warum man sich das Gelumpe von Netgear überhaupt noch antut. Außer den teuren 10G Managed Switches, die dann auch für SDVoE verwendet werden, ist das unterirdisches Consumer-Geraffel.
Ich habe mal auf einer Messe mit dem PM der großen Netgear Geräte gesprochen. Ich hatte den Einwand, dass ich um diesen Hersteller immer einen Riesen Bogen mache und ihm das auch erklären können. Seine Antwort bestätigte meine Vorbehalte.
Er war auch der Meinung, dass sich Netgear mit dem Consumer-Zeug für den Ruf in der Profi-Welt keinen Gefallen getan hätte...Wenn ich preislich einen Klemmer habe (oder den Neupreis einfach nicht einsehe), dann kaufe ich halt Cisco SG300 oder SG350 gebraucht über eine Auktionsplatform. Habe ich für mich bereits mehrfach selbst so gemacht. Finde ich viel besser als Netgear billigst zu kaufen und macht deutlich weniger Ärger.
-
Hallo
ja - mit Netgear habe ich auch seit geraumer Zeit bausch schmerzen. - Ausfälle abstürze usw... und das auch bei einfachen "Unmanaged Switches" oder AP´s
-
ja um netgear und zyxel mache ich schon seit langer langer Zeit einen Bogen
was ich allerdings immer mehr vorfinde ist TP Link ...
ist irgendwie lustig wenn es mal rennt dann tut esVLAN hopping is not a Crime ;)
-
@noplan said in PFSENSE und VLAN - ich habe ein Brett vor dem Kopf:
unifi 60EUR ? oki ich ghe mal suchen muss hier eh noch ein paar VLANs nachdrehen ...
OK inzwischen durch doofen Dollar und anderweitig wieder etwas teurer, aber es gibt/gab auch schon Angebote, wo bspw. US-8er aus 5-er oder 10-er Integrator Käufen einzeln nochmal günstig weiterverschoben wurden, da hast du den statt für 90 auch schon für 70€ rum bekommen.
https://www.idealo.de/preisvergleich/OffersOfProduct/5578327_-unifi-switch-8-ubiquiti.html
Und mit den neuen Plastik-Teilen (Flex) gibts eh schon sehr günstige (zwar nur 5 Port aber IMMERHIN!)
https://www.idealo.de/preisvergleich/OffersOfProduct/200129537_-unifi-switch-flex-mini-ubiquiti.html
Und der 8er hat immerhin einen PoE Out Port und beide einen PoE in (wenn man sie nur via PoE betreiben will). Finde das im Gegensatz zu 60-70€ Netgear/TP-Link/sonstwas Knalltröt-Hardware doch wesentlich angenehmer, vor allem wenn man eh überlegt was mit WiFi zu machen (oder es schon hat). :)
-
@gtrdriver said in PFSENSE und VLAN - ich habe ein Brett vor dem Kopf:
ja - mit Netgear habe ich auch seit geraumer Zeit bausch schmerzen. - Ausfälle abstürze usw... und das auch bei einfachen "Unmanaged Switches" oder AP´s
Dito. 1x 5 Port, 1x 8x Port - bisschen am Kabel ziehen oder an der Strombuchse drücken, alle LEDs springen an, Switch geht in TILT Modus, alles tot. Strom raus und rein dann gehts wieder.
1x 16 Port unmanaged mit VLANs (alles übrigens die schicken Metalldinger) alle paar Wochen seltsamer Loss auf zwei-drei Ports. Reset/Stromlos geht wieder. Hängt sich einfach der Port auf. Schönen Dank auch ;)BTW: sollte noch jemand suchen - weils die Dinger nicht mehr gibt: Ich habe noch 2 sehr gut erhaltene HP 24-Port 1810er. Das sind die Teile, die auch LAGG und VLANs ordentlich können, passiv gekühlt sind und nen fetten normalen Kaltgeräte Stecker. 19" Kisten mit Rackwinkel, kann man aber auch abschrauben und aufn Tisch legen. Sind auch in warmer Umgebung völlig entspannt. Vielleicht braucht jemand was zum Spielen? :)
-
Ich hatte mit ZYXEL bisher nur gute Erfahrungen gemacht - genauso mit DLINK - NETGEAR gehört nicht dazu ...
TPLink habe ich auch in einigen Projekten im Einsatz die werden besser - sagen wir es mal so ...
BTW: ich hatte heute Nachmittag noch kontakt zum Support von TP-Link - First Level no way - also Second Level - wusste dann zumindest wovon ich rede - hat dann 15 Minuten rum gestammelt und meinte dann ich soll mal das und das probieren und mich morgen wieder melden ....
-
Hallo
ich möchte hier noch kurz eine Rückmeldung geben:
Mir ist grad wieder eingefallen dass ich im SOHO und Small Business Bereich oft von DLINK´s umgeben bin... die dort recht zuverlässig ihre Runden drehen ...
Hab jetzt mehrere DLINKS Managed Switches angeschafft und was soll sich sagen
Ja - die WEB Oberfläche ist ein wenig hölzern und schaut nach 1990 aus - dennoch :
- Managed Lan (frei definierbares VLAN für das MANAGEMENT des Switches)
- Priorisierung
- VLAN Port Based und nach Standard
Alles da - und preislich wirklcih MEHR als Fair !
8 Port 35 Euro
24 Port mit 4 SFP+ 115 Euro
28 Port mit 4 SFP+ 128 EuroEingerichtet - läuft !
-
@gtrdriver
Günstig. Und wenn sie ihre Arbeit ordentlich machen, auch preiswert.DLINK Teile sind vor langer Zeit bei der einschlägigen Community in Verruf geraten und ich hab sie in der Folgen gemieden. Warum, weiß ich aber nicht mehr.
Danke für den Tipp.
-
Na ja - sagen wir es mal so - es gab einige Skandale um DLINK - dabei ging es primär um Software Fehler bei Routern- einiges davon wurde gefixed .
Dabei ging es um sicherheitskritische Lücken - offene SSH Zugänge - fehlerhafte Zertifikate usw...Bei einigen EOL Produkten hat DLINK das nicht mehr gemacht -
Das wirft sicher kein gutes Licht auf die Firma - zumindest in diesen kreisen.
Ich musste heute feststellen dass ich hier 7 Dlink Switches habe - alle aus der gleichen Serie - dabei sind alles Managed Switches mit L3 und L2 in verschiedenen HW Revionen von 2-4.
Die laufen hier seit 4-5 Jahren absolut störungsfrei (ohne VLAN Nutzung ...)
-
Ja danke für den Hinweis mit den Revisionen der Hardware da muss man bei TPlink auch ordentlich aufpassen
