VLAN Projekt mit Windows Domäne



  • Hallo Zusammen

    Ich versuche gerade ein Projekt zu realisieren und hab mir jetzt eine kleine Testumgebung mit pfsense aufgebaut.
    1x pfsense 2.2.3
    2x Netgear GSM7224V2
    1x ESX 6.0 mit Windows Server 2012 Domäne (DHCP / DNS)

    Ich versuche mein Netzwerk in verschiedene VLAN zu unterteilen.
    Folgende Einstellungen habe ich vorgenommen

    VLANs erstellt und konfiguriert

    DHCP ist für LAN und VLANs aktiviert, LAN = 192.168.2.1, VLAN10 = 192.168.10.1, VLAN20 192.168.20.1, etc.

    Firewall Regel erstellt das VLAN10 nicht mit VLAN20 kommunizieren darf

    Netgear Switch
    pfsense wurde an dem Switchport 1 angeschlossen und die Switch selbst sind bei Port 19 miteinander verbunden

    Es funktioniert eigentlich fast alles, der Client bekommt über Port 10 eine IP aus dem 10er IP Bereich und am Port 20 aus dem 20er Bereich.
    Wie ihr aber seht sind standardmäßig alle Port bei Netgear Switchs mit dem PVID 1 getaggt, sollte ich nicht an diesen Ports eine IP aus meinem normalen LAN Bereich bekommen (192.168.2.x) oder muss ich ein VLAN 1 erstellen und kann die LAN Schnittstelle komplett ignorieren, da sie jetzt in mehrere VLAN unterteilt wurde und somit automatisch "inaktiv" wurde? Sind auch alle Firewall Rules auf der LAN Schnittstelle deaktiviert?

    Mein weitere Plan wäre den DHCP von der Windows Domäne zu deinstallieren und über pfSense zu steuern, wie schaffe ich es aber das alle VLANs die DNS Auflösung auf dem Windows Server tätigen? DHCP Einstellungen auf der Pfsense mit dem DNS von diesem Server konfigurieren?

    Macht das alles überhaupt Sinn oder würdet ihr auch den DHCP über den Windows Server konfigurieren?

    Vielen Dank für eure Hilfe und Tipps

    Gruss DarkMasta



  • Hallo,

    Wenn es weniger Aufwand macht, dann Konfiguriere DHCP auf dem Windows Server. pfSense kann ja auch als DHCP-Relay fungieren.

    Gruß
    Thomas



  • Nutze VLAN1 einfach nirgendwo, eben weil es das default in (fast) allen Geräten ist und es sich z.T. nicht/nur schwer ändern lässt.
    Mische nie tagged und untagged Traffic auf dem gleichen Interface.
    Nutze für LAN auch ein getaggtes VLAN.

    Wo ist denn Dein Trunk-Interface von der pfSense zum Switch?



  • Habe euren Rat zu Herzen genommen und versuche die Konfiguration auf meinen Windows Server ,der auf einem ESX läuft, zu installieren und VLAN1 komplett auszuschließen und somit die PVID auf jedem Switchport zu ändern

    Ist natürlich jetzt kein pfsense mehr, aber vielleicht könnt und wollt ihr mir trotzdem helfen :)

    Wie ihr seht habe ich auf dem ESX ein VSwitch der momentan einen physischen Netzwerkport besitzt. Auf dem vSwitch selbst, habe ich mehrere Netzwerke erstellt mit der passenden VLAN ID.

    DHCP selbst hat passende DHCP Bereiche bekommen.

    Korrigiert micht bitte, wenn ich falsch liege aber ich kann keinen DHCP-Bereich erstellen und diesen an einem VLAN zuweisen sowie bei pfsense, wenn ich aber die verschiedenen Netzwerk Schnittstellen mit der richtigen IP konfiguriere, wird der DHCP seinen Bereich auf die passenden Netzwerk Schnittstellen zuteilen oder? Oder muss ich wirklich physikalisch getrennte Kabel für jeden DHCP Bereich nehmen?

    Beispiel:

    Schnittstelle Client (IP 192.168.10.20) bekommt automatisch den DHCP Bereich 192.168.10.0 und keinen weiteren
    Schnitstelle Drucker (IP 192.168.120.20) bekommt automatisch den DHCP Bereich 192.168.120.0 und keinen weiteren
    etc.

    Normalerweise ist der Standardgateway der Router, also die pfsense (IP 192.168.2.1).
    Da ich aber jetzt verschiedene Netzwerke im Windows DHCP definiert habe, muss der Standardgateway doch immer der DHCP Server selbst sein oder?
    Also im meinem Fall:
    Schnittstelle Client - Gateway = 192.168.10.20
    Schnittstelle Drucker - Gateway = 192.168.120.20

    Standardmäßig sollte danach die verschiedenen Netzwerke(VLANs) nicht miteinander kommunizieren? Wie kann ich das auf einem Windows Server definieren, das z.B. die Clients trotzdem die Drucker benutzen dürfen oder bräuchte ich für das einen Layer3 Switch? PfSense konnte das über die Firewall ja sauber regeln.

    Vielen vielen Dank für eure Hilfe


  • Moderator

    Ist natürlich jetzt kein pfsense mehr, aber vielleicht könnt und wollt ihr mir trotzdem helfen :)

    Und warum nicht? Einen Router brauchst du bei multi-VLANs ja trotzdem

    VLANs: Drucker… Webcam...

    Diese beiden VLANs sehe ich nicht als sinnvoll an, da DHCP zu machen. Eine Webcam sollte ja sinnvollerweise nicht ständig die IP wechseln, demzufolge kann die auch statisch konfiguriert oder zumindest semi-statisch sein. Da braucht also kein Windows DHCP das Ding verwalten. Unnötig, kann direkt auf der pfSense oder statisch gemacht werden.
    Dito Drucker, die dürfen eh die IP nicht wechseln, sonst hast du Chaos beim Drucken.

    Dass es eigene VLANs sind - joa ist OK.

    LAN...

    Wie schon oben jahonix gesagt hat - kein VLAN 1 / Default und kein untagged und tagged zusammen.

    Clients
    Wireless

    Dass die IPs brauchen keine Frage - aber brauch ich von denen DNS? reverse DNS? Muss ich das im Windows AD verwalten? Wüsste nicht warum, aber kann ja durchaus sein. Wenn ja, DHCP Relay auf Windows DC machen. Ich sehs nicht unbedingt. Das einzige, was sinnvoll im AD/DNS aufgehoben ist (IMHO) sind Server und statische Geräte die erkannt werden müssen. Windows DC und AD hat meiner Erfahrung nach so böses rumgeeier mit IPs, DNS und Reverse DNS dass es keinen Spaß macht. Clients mit wechselnder IP stehen dann schonmal 2-3-fach im DNS und reverse DNS und dann hat man irgendwann mal 3 Geräte die alle NB-1 heißen obwohl das eigentlich PC-23, NB-1 und Mobil-13 ist. Finde ich suboptimal und habe bislang auch keinen Einsatzzweck gehabt, wo ich Clients, die DHCP nutzen, jetzt unbedingt im DNS haben müsste. Ergo reicht es mir, die Client/Wireless Netze auf der pfSense direkt per DHCP abzufrühstücken und als DNS den Windows DC anzugeben (oder noch besser den DNS Forwarder auf der pfSense und dem dann den Windows DC zu geben). Damit ist dann auch Exposition vom Server raus aus bspw. Gäste Netz o.ä.

    Sind aber nur meine Gedanken dazu.

    Gruß Jens



  • So… Ich hab es langsam zusammen  :)
    Die VLANs Drucker und Webcam etc. waren nur für die Testumgebung...ich habe aber jetzt die ganze Testumgebung neu aufgebaut und auch "schlauere" Namen vergebe.  :D

    Was möchte ich:
    Ich möchte das mein Domain Controller weiterhin DHCP und DNS für sein Netzwerk bzw. VLAN vergibt. Die Pfsense soll den DHCP Job für die restlichen VLANs übernehmen.

    VLAN 10 = HEH int
    VLAN 20 = HEH VoIP
    VLAN 50 = HEH Internes WLAN
    VLAN 80 = Gäste WLAN

    Das VLAN 1 was irgendwie jeder Netgear als Standard anschaut habe ich eliminiert und habe das VLAN 10 als Standard genommen, bedeutet jeder Switch und selbst die pfsense werden gemanaged über diesen IP Bereich.

    DHCP wurde auf der pfSense für VLAN 20, 50 und 80 aktiviert

    VLAN 10 auf Switch

    Port 1 = pfSense
    Port 2 = ESX
    Port 19 = Switch 2
    Restliche Ports sind oder werden normale Windows Clients angeschlossen

    Restliche VLANs sehen ca. so aus:

    PVID

    Mein Problem ist das die Clients die über den DHCP von der pfSense verwaltet werden sollten keine IP bekommen und die Clients die im VLAN 10 sind also über den Domain Controller laufen sollten zwar eine IP haben aber den Gateway nicht pingen können und somit auch nicht ins Internet kommen.

    Der Domain Controller hat folgende Einstellungen:
    IP: 10.10.0.20 / 16
    Standardgateway: 10.10.0.1 (IP des VLAN 10 Interface auf der pfSense)
    DNS 10.10.0.20

    Irgendwie habe ich etwas noch nicht begriffen oder übersehe was…
    Abgesehen von meinem Problem das ich noch habe, macht dieser Aufbau Sinn?


  • Moderator

    Das VLAN 1 was irgendwie jeder Netgear als Standard anschaut habe ich eliminiert und habe das VLAN 10 als Standard genommen, bedeutet jeder Switch und selbst die pfsense werden gemanaged über diesen IP Bereich.

    Und du hast trotzdem wieder das bge1, auf dem du die VLANs konfiguriert hast, selbst als untagged Interface als LAN konfiguriert. Mach das weg. Wurde schon mehrfach gesagt. Tagged und untagged sollte man auf einem Interface nicht mixen!

    Irgendwie habe ich etwas noch nicht begriffen oder übersehe was…

    Da du allen möglichen Krams, aber nicht die pfSense Screens gepostet hast, wird dir dazu - außer durch aktive Hellseherei - kaum jemand was sagen können. Das ganze ESXi Gedöns ist erstmal zweitrangig, wenn die einfachste Grundfunktion mit Kommunikation pfS->Switch->Client schon nicht funktioniert. Wenn der Client kein DHCP bekommt, ist was faul und dann muss man eben in die Logs schauen. Bspw. auf der pfS ob überhaupt ein DHCPREQUEST ankommt oder ob da was mit VLAN Tagging etc. noch nicht passt.

    Ansonsten nimmt man sich eben mal nen Client, konfiguriert den statisch und schaut ob dann die Kommunikation geht.

    Von unten nach oben vorarbeiten und debuggen.

    Viele Grüße
    Jens



  • Und du hast trotzdem wieder das bge1, auf dem du die VLANs konfiguriert hast, selbst als untagged Interface als LAN konfiguriert. Mach das weg. Wurde schon mehrfach gesagt. Tagged und untagged sollte man auf einem Interface nicht mixen!

    Jetzt kapier isch endlich, dass ihr von dem pfSense Lan Interface redet…dachte immer ich soll das Netgear Standard "VLAN1" eliminieren und hab nicht geschnallt das auf der pfSense das LAN Interface ja auch untagged Traffic generiert.

    Als ich das Interface komplett gelöscht habe, hat alles (bis jetzt) funktioniert :D

    Vielen Dank JeGr und natürlich auch an die Anderen die mir eigentlich die Lösung schon vorher versucht haben mir mitzuteilen :)

    Gruss DarkMasta



  • @DarkMasta:

    Und du hast trotzdem wieder das bge1, auf dem du die VLANs konfiguriert hast, selbst als untagged Interface als LAN konfiguriert. Mach das weg. Wurde schon mehrfach gesagt. Tagged und untagged sollte man auf einem Interface nicht mixen!

    Nur das ich das richtig verstehe, er könnte unter "Interface assignments" das "bge1" Interface komplett rauslöschen und trotzdem die VLAN Interfaces von bge1 haben?
    Ich hab seither das Parent Interface immer stehen lassen und dann einfach bei "Enable Interface" den Haken raus.



  • Nur das ich das richtig verstehe, er könnte unter "Interface assignments" das "bge1" Interface komplett rauslöschen und trotzdem die VLAN Interfaces von bge1 haben?
    Ich hab seither das Parent Interface immer stehen lassen und dann einfach bei "Enable Interface" den Haken raus.

    Bei mir hat alles erst 100% funktioniert  als ich das Interface gelöscht habe…hatte sogar Unterbrüche wo ich den Haken bei "Enable Interface" herausgenommen habe.



  • Bei mir funktioniert alles, hattest Du noch eine IP auf dem Intarface bevor Du den Haken Enable enfernt hast?

    @ all,
    kann jemand was zu meiner Frage sagen, möchte mich nicht aussperren  ;)


  • Moderator

    Bei mir hat alles erst 100% funktioniert  als ich das Interface gelöscht habe…hatte sogar Unterbrüche wo ich den Haken bei "Enable Interface" herausgenommen habe.
    Das kann davon kommen, wenn in dem Moment kurz das Interface resettet wird (also bge1) und damit auch alle VLANs kurze Ruckler haben.

    Nur das ich das richtig verstehe, er könnte unter "Interface assignments" das "bge1" Interface komplett rauslöschen und trotzdem die VLAN Interfaces von bge1 haben?
    Nicht nur könnte, er sollte sogar. Wie gesagt, man macht das hochgradig ungern aus Netzwerk Sicht, dass man auf einem Interface tagged UND untagged traffic hat, da man bei einem Gerät was sich falsch verhält ruck-zuck Probleme provoziert.

    Ich hab seither das Parent Interface immer stehen lassen und dann einfach bei "Enable Interface" den Haken raus.
    Damit hast du m.E. das Interface auch schon "gelöscht", da es keine Konfiguration mehr haben sollte (sollte in Status/Interfaces nicht zu sehen sein). Dann kannst du die Zuweisung auch ohne Probleme löschen. Die tagged Interfaces werden auf System Seite angelegt als eigene virtuelle Interfaces und dementsprechend sollte die IP auf einem VLAN dann trotzdem noch erreichbar sein. Wenn du aber nichts konfiguriert hast, kannst du das auch so lassen wie es ist.

    Es geht nur darum, dass das Interface nicht zusätzlich auch noch untagged benutzt wird.



  • @JeGr:

    Damit hast du m.E. das Interface auch schon "gelöscht", da es keine Konfiguration mehr haben sollte (sollte in Status/Interfaces nicht zu sehen sein).

    Genau so ist es, man kann es unter Status/Intarfaces nicht sehen.

    @JeGr:

    Es geht nur darum, dass das Interface nicht zusätzlich auch noch untagged benutzt wird.

    Nein, sowas mache ich nicht, bei mir dient der eine Port als Trunk der den ganzen Switch mit VLANs versorgt.