Hallo Zusammen,
ich habe an einem Problem zu knabbern und es zerfrisst mich.
Ich möchte im Prinzip eine ganz einfache VLAN Konfiguration in meinem Netzwerk implementieren.
Finales Ziel soll sein, zwei WLANs in zwei (V)LANs zu haben. Ich scheitere jedoch schon viel früher und ich weiß nicht, ob ich einfach den Wald vor lauter Bäumen nicht sehe, unterqualifiziert bin oder das System verbuggt ist:
(Bilder von einzelnen Configs hänge ich an)
Ich setze die OPNsense in der aktuellsten Version auf einem APU3D4 Board ein und verfüge somit über 3 physikalische Netzwerkschnittstellen:
igb1 -> WAN Schnittstelle in Richtung FritzBox IP; Statische Adresse 192.168.178.5
igb0 -> LAN Schnittstelle; Statische IP 192.168.147.1; DHCP-Pool von ...147.100 bis ...147.200
igb2 -> OPT / Stark eingeschränktes Netzwerk für Testzwecke; Wird quasi nicht genutzt.
Über Interfaces: Other Types: VLAN habe ich ein VLAN "Guest" mit der VLAN-ID 50 erstellt und als Parent Interface igb0 (LAN) gewählt.
In den Einstellungen des Guest Interfaces habe ich die statische IP 192.168.50.1/24 vergeben.
Danach den DHCP Server für das Interface aktiviert mit dem Bereich 192.168.50.50 bis ...50.60.
igb0 (LAN) ist auf Port 8 meines Zyxel GS1200-8HP v2 angeschlossen. Das ist ein relativ rudimentärer, aber managebarer Switch. Port 8 ist auf VLAN 1 untagged (Default) und 50 untagged eingestellt. Auf Port 5 hängt mein Testnotebook, der Port ist explizit auf VLAN 50 untagged eingestellt. Das Notebook erhält partout keine IP-Adresse im 50er Bereich. Ich kann im Firewall-Log nicht einmal entsprechende Anfragen erkennen. Ändere ich am Switch Port 5 auf VLAN 1 untagged und 50 untagged erhalte ich eine IP-Adresse aus dem LAN-Netz.
Ich ging also zunächst von einem DHCP Problem aus. Leider funktioniert das ganze auch nicht, wenn ich am Notebook manuell eine IP aus dem 50er VLAN vergebe. Ich kann nicht auf das interface 192.168.50.1 pingen.
Versuche ich einen Ping von der OPNsense aus, komme ich extern überall hin. Nur nicht zum Notebook mit der statischen IP. Ich habe daher den Switch in Verdacht bzw. meine Conf dort.
Es gab hier im Forum einen ganz ähnlichen Fall, allerdings war hier die Lösung, die ganze Struktur neu aufzubauen.
Ich bin in Sachen VLANs alles andere als sattelfest und bräuchte erst einmal die Verifizierung/Falsifizierung, das mein Setup überhaupt Sinn ergibt und funktionieren kann.
Vielen Dank und einen schönen Sonntag euch!
Luke
Quote from: LukeMcMilller on October 24, 2021, 01:34:31 PM
Port 8 ist auf VLAN 1 untagged (Default) und 50 untagged eingestellt.
Tippfehler? :)
Wieso 50 untagged? Die Firewall tagged das Paket, weswegen es auf dem Switch natürlich beim Trunk Port auch getagged werden musst.
Noch eine kleiner Ergänzung: ich habe "damals" das Them VLAN hiermit verstehen gelernt: http://www.schulnetz.info/2011/04/
Ist zwar etwas älter aber für die Basics fand ich es ausreichend :)
Hi Domi,
vielen Dank erstmal für deine schnelle Antwort und den Link.
Da ich mittlerweile schon einige Zeit über dem Problem brüte, habe ich schon diverse Kombis bzgl. tagged/untagged durch und es funktioniert mit keiner. Ich glaube ich bin mittlerweile "Betriebsblind" und maximal verwirrt.
Wenn ich jedenfalls am Trunk Port die 50 Tagged einstelle, habe ich das Problem nach wie vor.
Bitte bitte :)
Mir ist noch was aufgefallen.
Port8 machst du vlan 50 tagged
Port 5 machst du 50 untagged und lässt vlan 1 weg.
Zusätzlich schreibst du bei der PVID 50 anstatt 1 für port 5 rein.
Ich meine das auch schonmal auf meinem zyxel switch gehabt zu haben [emoji848]
Gesendet von iPhone mit Tapatalk Pro
Das hat tatsächlich funktioniert :o
Aber damit hab ich mir ja jetzt ein Port-Basiertes VLAN gebastelt, oder?
Ich habe es auf die Kette bekommen. So richtig weiß ich nicht, warum es jetzt auf einmal klappt, da ich es schon einmal so konfiguriert hatte aber Hauptsache es funktioniert nun.
An Port 4 hängt nun ein Unif-AP der zwei WLANs abstrahlt. Einmal das Gast-WiFi im 50.er VLAN und einmal mein WLAN im 147er Bereich. Die Clients bekommen pro WLAN die richtige IP-Adresse und können ins Netz.
Config in der OPNsense: unverändert zum Original-Post
Config am Switch: PVID für alle Ports auf 1;
Port 4: VLAN 1 Untagged; VLAN 50 tagged
Port 8: VLAN 1 Untagged; VLAN 50 tagged
Port 5 zurückgebaut, da nur Test
Ich danke Dir für deine Zeit Domi!
Quote from: LukeMcMilller on October 24, 2021, 02:44:38 PM
Das hat tatsächlich funktioniert :o
Aber damit hab ich mir ja jetzt ein Port-Basiertes VLAN gebastelt, oder?
Ja hast du, was anderes hast du in deinem Eingangsposting auch nicht hinterfragt ;)
Leider ist es bei "billigen" Switchen (ist keine Beleidigung, nutze die selbst teilweise im Heimnetz) manchmal so, dass wenn man einen Port auf untagged VLAN X setzt, er die PVID nicht anpasst, was andere wiederum tun. Deswegen ist dieses manuelle eingreifen notwendig.
Quote from: LukeMcMilller on October 24, 2021, 03:04:03 PM
An Port 4 hängt nun ein Unif-AP der zwei WLANs abstrahlt. Einmal das Gast-WiFi im 50.er VLAN und einmal mein WLAN im 147er Bereich. Die Clients bekommen pro WLAN die richtige IP-Adresse und können ins Netz.
Config in der OPNsense: unverändert zum Original-Post
Config am Switch: PVID für alle Ports auf 1;
Port 4: VLAN 1 Untagged; VLAN 50 tagged
Port 8: VLAN 1 Untagged; VLAN 50 tagged
Port 5 zurückgebaut, da nur Test
Hättest du den AP mal eher erwähnt ;) Sobald du eine SSID einrichtest und der bei Ubiquiti ein VLAN zuweist, ist dieses automatisch "tagged", dadurch musst du dann natürlich auch das VLAN am Switchport taggen.Mehrere VLANS an einem Port untaggen widerspricht für mich auch der Logik von VLANs, es ist ja bewusst zur Trennung gedacht.
Ohne es böse zu meinen, aber du solltest dich noch ein bisschen mit dem Thema VLAN beschäftigen. Dann kommt das verständnis von ganz alleine, wir haben alle mal klein angefangen :)Ich schicke dir gleich mal per PN noch einen Link zu dem Thema zu :) Will hier keinen Ärger kriegen für ewiges Links posten ;)