VLAN - Switch Problem

MAXES

Hallo Leute, ich hab ein Problem bezüglich einer VLAN Konfiguration.
Meine aktuelle Konfiguration auf der PF-Sense 1.2.2 auf WRAP wrap1e203:

Am SIS3 Interface hab ich 2 VLAN's angelegt:
VLAN: 100 10.10.2.0/24 FW: Port * Source * Port * Dest * GW * DHCP: 10.10.2.10 - 254
VLAN: 200 10.10.3.0/24 FW: Port * Source * Port * Dest * GW * DHCP: 10.10.3.10 - 254

TP-Link TL-SG2109WEB
Port 1 VLAN 1 Configuration
Port 2 - 5 VLAN 100
Port 6 - 7 VLAN 200
Port 8 VLAN 100 und 200 -> Uplink Port

Nun hab ich folgendes Problem:

Ich hab es nicht geschafft eine IP auf meinem PC zu bekommen.
Meine Erwartung war, wenn ich nun eine PC auf einem der Ports 2 - 5 anschließe erhalte ich eine IP aus dem Bereich 10.10.3.* auf Port 6 und 7 10.10.3.*!
Meinen Frage ist nun, was muss ein Switch unterstützen, damit ich mehrere VLAN's über einen uplink Port zur Firewall unterstütze?

LG Markus

hbc

Dein Switch muß 802.1Q (VLANs) unterstützen und die VLAN Nummern auf der PfSense müssen mit denen auf dem Switch übereinstimmen.

vlan 1
pfsense                                  /
vlan 1\                        +–------+
vlan 2 |------802.1Q-Trunk ----| Switch | ---vlan 2
vlan 3/    (vlan1,vlan2,vlan3) +--------+
                                         
                                          vlan 3

PfSense pakt allen VLANs einen 802.1Q-Header voran mit der VLAN-Nummer, Deine Pakete wandern gemeinsam über ein Kabel zu einem Switch und dort legst Du fest welcher Port zu welchem VLAN gehört. Bevor das Paket dann den Port verläßt wird das VLAN-Attribut entfernt

Wenn Dein Switch kein 802.1Q kann, was sicherlich der Fall ist, wenn er keinerlei Management (Web, Telnet, SSH, Seriell) besitzt, dann kannst Du Deine Konfiguration so nicht nutzen und brauchst einen neuen Switch.

Evtl. gibt der Switch die 802.1Q markierten Pakete 1:1 auf den Userports aus, wenn er sie nicht ganz verwirft. Dann kannste aber ohne Treiberunterstützung auch nichts damit anfangen, sondern mußt Deinen Netzwerktreiber für VLANs konfigurieren.

Allerdings entfällt dann die Sicherheit. Denn über eine Änderung der VLAN-ID im Netzwerktreiber kann ich dann jederzeit das VLAN wechseln. Bei einem 802.1Q-fähigem Switch, der mit Paßwort gesichert und in separatem Raum steht, geht ein VLAN-Wechsel nicht.

GruensFroeschli

Den screenshots nach unterstützt dein switch 802.1Q.
Allerdings hast du in screenshot2 deine PVID settings falsch.
Alle ports sind auf PVID 1.
Die PVID legt fest zu welchem VLAN traffic der auf einem Port ankommt gehört.
Weiter hast du in deinem 4ten screenshot die ports eingestellt, dass sie die pakete mit VLAN-tags versehen verschicken (egress frame: add tag).
Das ist falsch. Alle Frames die auf den Ports herausgehen an denen clients hängen dürfen KEINE tags haben.
Der Port an dem die pfSense hängt MUSS die tags hinzugefügt haben.
Auf deine zwei letzten screenshots bezogen:
Ports 1-7 auf "drop tag" port 9 auf "add tag".

peer_g

Hallo,

da schließe ich mich doch glatt mit dem ähnlichen Prolem an.
Switch: Netgear FS726TP

Meine Config:

vlan 10 (Ports 2-5)
pfsense                                                /
vlan 10\                                  +–------+
vlan 20 |------802.1Q-Trunk ----| Switch  | ---vlan 20 (Ports 6-10)
vlan 30/    (vlan10,vlan20,vlan30) +--------+
LAN    |                                               
WAN  |                                                vlan 30 (Ports 11-15)
                                                          \vlan 1[default] (Ports 1-26)
                                                          \vlan 2 (Ports 1,26)

vlan 1 und 2 sind in pfsense nicht eingetragen. Das DefaultVlan1 ist im switch von vornerein drin. Vlan2 ist mein adminvlan und auf dem switch nur als Test drin.

Wenn ich nun einen Laptop an Port 1 stecke, bekomme ich per DHCP auch eine IP (192.168.1.199). Diese gehört zum LAN von pfsense, also zu keinem Vlan.
Werden alle anderen Ports gesteckt, bekomme ich keine IP. Selbst durch statische Vergabe am Laptop in dem entsprechenden IP-Bereichen der VLANs funktioniert leider kein connect.

Ich bin mir nicht sicher, ob der Trunk zwischen PFsense und dem Switch überhaupt Beachtung findet. Kann man das testen?!
Die VLAN-IDs habe ich an beiden Geräten identisch vergeben und das Tagging sollte so auch stimmen.

Anbei alle relevanten Screenshots.

Für jeden Hinweis bin ich dankbar.

Gruß,
Peter

GruensFroeschli

Du hast das parent interface auf dem die VLANs sind assigned.
Das führt im normalfall zu problemen.
Die konfig auf dem switch selbst sieht gut aus.

Hast du nachdem du die interfaces assigned hast die auch aktiviert?
Hast du firewall regeln erzeugt die auf den OPTs etwas zulassen?

peer_g

Hi,

erstmal vielen Dank für die Antwort.

Was meinst Du mit "das parentinterface assigned"?
Ich muss die Opt1-X doch auf das LAN-Interface legen, so dass die LAN-Karte die VLANs nutzt, oder?
Alternativ könnte ich noch 4 LAN-Karte einbauen, die dann je ein OPT nutzt.

Die Interfaces sind aktiviert. Sonst könnte ich keine DHCP-Optionen etc festlegen.
Die Firewallrules habe ich nun überprüft. In der Tat war alles zu :-)

Trotzem bekomme ich keine IP.
Da ich PFsense auf VirtualBox laufen habe, denke ich, dass der Fehler bei VB zu finde ist.
http://forums.freebsd.org/showthread.php?t=8061

Ich werde pfsense mal mit VMware testen. Evtl ist da der Fehler nicht. Mir scheint, dass die VLAN Pakete an der Schnittstelle vom virtuellen zum physikalischen Hostinterface verworfen werden.

Gruß,
Peter

GruensFroeschli

Mit das "parent interface nicht assignen" meine ich folgendes:

Reales, physikalisches interface: em1: LAN
vlan10 auf em1: OPT1
vlan20 auf em1: OPT2
vlan30 auf em1: OPT3

Das parent interface ist em1. Hier ist das parent interface auf LAN assigned.
Das parent interface sollte aber überhaupt gar nicht assigned sein.
Sonst können unter Umständen Probleme entstehen, weil ein Client direkt über das parent interface kommunizieren kann, jedoch über ein VLAN sollte.

Was hast du für neue Firewall Regeln erzeugt?
Wenn sie zu restriktiv sind, wird DHCP traffic geblockt.
–> Die selben Regeln wie auf LAN funktionieren nicht einfach so auf einem OPT.

peer_g

Gut  :D,

habe nun in VirtualBox noch 3 zusätzliche Interfaces hinzugefügt und in Pfsense allen VLANs ein eigenes emuliertes zugwiesen.
Damit müsste LAN unabhängig von den VLANs sein.

Das ganze sieht nun folgendermaßen aus:

Host              |    VirtualBox    |      PFsense      |
NIC 1 –------------em0-------------WAN     
NIC 2 --------------em1-------------LAN
                    '-----em2-------------OPT1 / VLAN10
                    '-----em3-------------OPT2 / VLAN20

NIC 1 und 2 sind definitiv VLAN-fähig und werden in VB per Bridging genutzt, haben unter Windows keine IP-Adressvergabe, also nur physikalisch anwesend und aktiv. (Netzwerkkabel verbunden..)

PFsense em0 erhält per DHCP auf NIC1 eine IP vom DSL-Router. Funktioniert soweit alles.
Pfsense em1 hat eine statische IP Adresse. Damit kann ich PFsense dann auch administrieren.

VLAN30 habe ich der Einfachheit halber entfernt.
Am Switchport 1 erhalte ich eine IPadresse aus dem DHCP Bereich vom LAN (em1).
Alle anderen Ports erhalte keine IP (VLANs)
Anbei die aktuellen Screenshots. Am Problem; der DHCP per VLAN; hat sich nix geändert. Funktioniert noch immer nicht.

Die Firewallrules habe ich auf Allow All gestellt (Screenshots)

Help! :-)
LG,
Peter