VLAN non funzionante su TimeCapsule Apple

federicop

Ciao, ho configurato un VLAN sia su PfSense sia sullo switch.

se collego un pc con win, alla porta dello switch, funziona tutto, ovvero mi viene assegnato il dhcp, navigo su internet ecc.., ma se collego la mia Time Capsule Apple, configuro manualmente la rete (internet) o lascio il DHCP, i parametri vengo messi giusti (ip, indirizzo router ecc) ma stranamente non riesco a navigare o fare altro, tipo raggiungere il "router" ovvero l'interfaccia di PfSense.......

da che potrebbe dipendere?

kiokoman

non conosco quel prodotto, potresti provare con diagnostic / packet capture su pfsense e vedere se le richieste arrivano (pinga l 'ip dell'interfaccia pfsense), se non arrivano è il time capsule apple che non invia nulla sulla rete
eventualmente fai uno screenshot di come hai configurato la vlan su pfsense e che regole firewall hai messo

federicop

Paket capture rileva solo pacchetti da ip pfsense nello specifico 192.168.7.1.

Schermata 2020-09-26 alle 16.30.43.png

Schermata 2020-09-26 alle 16.31.37.png

le regole di vlan_dec sono * (praticamente per ora faccio passare tutto poi quando funziona configuro)!

kiokoman

quindi non arriva niente dal tuo prodotto apple, semplicemente non sta trasmettendo per qualche motivo. mi concentrerei su quel prodotto apple sinceramente. forse il suo firewall? reset della scheda di rete?

federicop

reset... riavvio fatto... ma lo stesso prodotto apple se lo attacco all'altra porta switch che non passa per la vlan funziona.... ripeto la cosa anomala è che se collego un portatile con win funziona, se collego un apparato "linux tipo un mediacenter o la time capsule apple non va .....

kiokoman

quindi linux e mac non vanno ma windows si,
uhm potrebbe essere qualche parametro errato passato dal server dhcp, windows ignora praticamente tutto ma linux e mac no magari c'e' qualcosa sul server dhcp
ma hai provato anche con indirizzi statici e comunque non funziona .. mumble mumble ci devo pensare
qualcuno col tuo stesso problema c'e' in giro
https://forum.mikrotik.com/viewtopic.php?t=108441
peccato che non abbia ricevuto risposta

che switch è?
riesci a postare uno screenshot di come hai configurato lo switch?

federicop

LO SWITCH è un Netgear...

Schermata 2020-09-27 alle 12.27.41.png

Schermata 2020-09-27 alle 12.27.47.png

Schermata 2020-09-27 alle 12.27.56.png

ovviamente la Vlan nel PfSense è con il nome "20" e la porta che collego allo switch è la 4

kiokoman

ma la porta 4 non usa la vlan20
da come hai settato li passa solo la vlan1 untagged
la porta 5 usa la vlan1 untagged e la vlan20 tagged
la porta 1 / 2 / 3 usano la vlan20 tagged e basta
non mi pare corretta la configurazione di questo switch

federicop

scusa... la porta che uso è la 2.. alla 5 c'è collegato il PfSense

kiokoman

la porta 2 dovrebbe essere U (untagged) per la vlan20 non Tagged amenoche non metti mano anche alla scheda di rete del client e gli dici di usare la vlan20

federicop

Ma se la metti U nemmeno il DHCP assegna!

kiokoman

allora c'e' qualcos'altro di sbagliato in quello switch
e se vedi PVID è flaggata per quelle porte,
non mi hai mostrato uno screenshot del tuo "Port PVID" forse c'e' qualcosa li

nel mio screenshot la vlan30 esce untagget (U)

federicop

nel fine settimana controllo e poi ti dico....

federicop

ecco il PVID

Schermata 2020-10-11 alle 14.23.25.png

kiokoman

ok stavo leggendo il manuale e questo è quanto:

In the switch configuration, make sure you're using 802.1Q, not Port-Based VLANs on the VLAN Configuration page.
Make sure the firewall is the Trunk for ALL VLANs you're using.
Configure ALL 3 sections of the VLAN Configuration section:

a. create an ID and Name for each

b. On the VLAN Membership page,
For each VLAN,
Untag (U) each port that is part of that VLAN <-- la porta 2 deve essere untagged per la vlan20
c Trunk (T) the firewall port <-- la porta 5 (verso pfsense) deve esere Trunk e trasportare tutte le vlan (Tutte le VLAN devono essere T)

On the Port PVID page, Set the PVID (VLAN ID) for each port.

se non funziona resetta e riparti da zero, tenendo presente che per logica la porta 5 trasporta le vlan e le altre porte devono uscire untagged per la vlan con cui vuoi che escano i pc

qui è spegato bene https://nguvu.org/pfsense/pfsense-router-on-a-stick-with-netgear-gs108/

federicop

inizio a sospettare che dipenda dalle macchine virtuali.

ovvero, pfSense è installato come macchina virtuale, sia a casa sia in ufficio.
in ufficio ho uno switch cisco configurato come dici te e non va.

ma le vlan come tra macchine virtuali funzionano.
ovvero ho configurato vmware e le vlan e vanno ma quando passo all'hardware non va.

rimane il mistero perché t va e u non va... se fosse un problema di macchine virtuale

kiokoman

non saprei, bug su esxi per quanto riguarda le vlan mi sembra piuttosto improbabile.
se vuoi una domenica mi collego da remoto e ti sistemo quello switch ...

federicop

ti ringrazio, quando vuoi - ma guarda è una questione di orgoglio!!!

allora nuova situazione (ufficio):
switch cisco SG200-26 26-Port Gigabit Smart Switch
pfsense 2.4.5-RELEASE-p1 (amd64)

VLAN id 30
porta usata dal pc che deve stare in vlan 19 - tutte le altre porte sono usate da vmware e altri apparati che devono stare nella stessa rete.

Schermata 2020-10-24 alle 18.53.50.png

Schermata 2020-10-24 alle 18.54.10.png

kiokoman

da pfsense allo switch che porta usi ?
su vmware hai fatto passthrough delle schede di rete?

federicop

4 - 10 - 12 - 16- 22 - 24 (ovvero sono le schede di rete dei server virtuali), ma verificando alcune cose ho notato questo:

il vmware ha come id vlan 4095 (ovvero tagged) e non vlan 1 (come nel cisco untagged), o metto 1 sul vmware o metto tagged tutte le porte escluse quelle della Vlan30 su cisco.
giusto?

Schermata 2020-10-24 alle 20.05.46.png

E a questo punto anche VM network devo mettere 4095.

cosi infatti vlan 2 funziona (tutto virtuale)