Guten Morgen,
kann mir jemand erklären was der Unterschied zwischen einer LAN-Bridge und einem LAN ist?
Folgendes habe ich gemacht/eingerichtet:
- LAN2 eingerichtet mit einer physikalischen Schnittstelle, IPv4 statisch zugewiesen, DHCP-Server aktiviert.
IPv6 über "Track Interface" vom WAN - Bridge eingerichtet, darin enthalten sind vier Schnittstellen
(LAN1, opt2, opt3, opt4)
Diese Bridge habe ich dann den Schnittstellen hinzugefügt, mit dem Namen LAN-Bridge - LAN-Bridge aktiviert, einer statischen IPv4-Adresse übergeben. IPv6 soll über "Track Interface" vom WAN übergeben werden
- den DHCP-Server für IPv4 aktiviert
- Firewall-Regel angepasst
Jetzt passiert folgendes:
Beide Schnittstelle, also LAN2 und LAN-Bridge, bekommen eine IPv6-Adresse mit einem 64'er Präfix zugewiesen.
Die Arbeitsplätze an LAN2 bekommen auch eine IPv6-Adresse aus dem passenden Bereich. Nur die Arbeitsplätze an LAN-Bridge bekommen keine IPv6-Adresse zugewiesen.
Alle Einstellungen sind gleich, OPNSense wurde mehrfach (aufgrund anderer Einstellungen) neu gestartet, das Ergebnis bleibt gleich.
Wo ist der Unterschied zwischen einer LAN-Bridge, mit mehreren Schnittstellen, und einem LAN-Port?
Die LAN Bridge hat mehrere Ports und ein Port ist nur ein Port. Das ist der Unterschied. Warum weist du nicht die Bridge "LAN" zu und nimmst dann anschließend den verbleibenden Port auch noch auf, wie auch in der Anleitung beschrieben?
Bei mir ist der LAN-Port ein reines Management-Netz.
Das eigentlich aktive/dauerhaft Netzwerk ist, eben, auf der Bridge.
Dan weise dieser Bridge unter Interfaces > Assignments das logische Interface "LAN" zu. Dem Management-Interface weist du eines zu, das du nennst wie du willst, z.B. MGMT.
Die beiden Tunables aus der Dokumentation hast du eingebaut?
Danke für den Hinweis, musste ich erst nachschauen, aber ja, die beiden Tunable habe ich entsprechend gesetzt.
Sofern Du "net.link.bridge.pfil_bridge" (gesetzt auf "1") und "net.link.bridge.pfil_member" (gesetzt auf "0") meinst... 😇
Gerade die beiden Schnittstellen umbenannt und leider auch kein Erfolg. Nach wie vor keine IPv6auf den Arbeitsplätzen.
Ich bekomme immer nur die "fd26:6707:8de3:42c9:44c:7593:c59a:a6a4" und das dürfte die Link-Local sein...
Router advertisements aktiv? Ich benutze nirgends track interface sondern immer statische Adressen, daher weiß ich nicht, ob das bei dir manuell geregelt wird oder nicht.
Bei mir gibt es Services > Router Advertisements - da muss man die Schnittstellen auswählen, auf denen RA aktiv sein sollen.
Da habe ich schon alle Optionen ausprobiert, mit dem Ergebnis, dass nichts gebracht hat, ich habe immer noch diese FD26*-Adresse.
FD26 ist eine ULA, keine GUA. Du bekommst also keine Adresse so wie es aussieht. Mal die Prefix-Hints pro Interface probiert? Wiviel Adressraum delegiert die dein Provider überhaupt? Wenn es nur ein /64, kannst du natürlich keine zwei Interfaces damit versorgen. Muss schon ein (üblicherweise) /56 sein.
Mach doch v6 an deinem Management-Interface mal aus.
Ok, ich habe jetzt nur noch am WAN (natürlich) und am LAN IPv6 aktiv.
Vergeben wird vom Provider (Deutsche Glasfaser, aber ohne NT, daher mit einem VLAN-Tag 362) ein 56'er Prefix, da sollte also genug Spielraum für mein(e) Netz(e) sein.
Dennoch passiert am Client nichts. Ich habe mal ein Bild vom Dashboard/Interface gemacht und beigefügt. Die vollständige IPv6 ist 2a00:6020:1000:xx::xxxx. Aus der Zyxel-Zeit, also vor vier Tagen, weiss ich, dass die IPv6 auf der WAN-Seite ein 128'er Prefix hat und die lokalen Netze ein 64'er Netz bekommen.
Nur bei der OPNSense passiert das nicht in der Bridge.
Übrigens, unter System/Gateway habe ich nur eine FE80-Adresse...
Das ist für den Gateway ok - link local für Gateways ist best practice. Den Rest muss ich mir mal in Ruhe angucken. Mit Track Interface etc. sollte eigentlich ein Prefix an deinem LAN ankommen.
Quote from: pmhausen on April 19, 2023, 06:56:18 PM
Mit Track Interface etc. sollte eigentlich ein Prefix an deinem LAN ankommen.
Nur leider nicht auf dem Bridge-Interface.
Aber ganz lieben Dank für Deine Mühe.
In deinem Screenshot ist auf LAN eine IPv6 GUA ...
Das ist nur ein Teil der Adresse, den Rest hatte ich abgeschnitten.
Die eigentliche Adresse lautet 2a00:6020:4ea0:3400:xxxx:xxxx:xxxx:xxxx So ist sie mir vom "Tracking" übergeben worden.
Ich habe gerade mal die Bridge aufgelöst und prompt bekomme ich auf dem LAN-Port eine IPv6 (in dem Format wie oben) und jeder Client bekommt seine eigene IPv6-Adresse.
Komisch...
Was meinst du mit aufgelöst. LAN ist doch deine Bridge oder nicht?
Was du nicht tun sollst:
einen LAN Port haben
weitere OPT1 OPT2 OPT3 ... Ports haben
darüber eine Bridge bauen
Was du tun sollst:
X Ports OPT1 OPT2 OPT3 ... haben, alle ohne Adressen und Services
darüber eine Bridge bauen
diese Bridge LAN zuweisen (Interfaces > Assignments) und mit IP-Adresse etc. pp. versehen
Kein Member-Interface einer Bridge darf eine IP-Adresse haben! Alle IP-Konfiguration gehört auf das Bridge-Interface. Die Members sind nur Layer 2 Ports ...
LAN ist kein Member der Bridge, LAN ist die Bridge - das ist dann quasi ein kleiner Switch. Nehme an, das ist das, was du willst.
Genau so erklärt es auch die Doku.
Ja, so habe ich es auch verstanden, in dem vorgehenden Posting nur nicht richtig wieder gegeben.
Ich habe eine Bridge, die beinhaltet die Port OPT3, OPT4, OPT5 und OPT8. Die sind in bridge0 zusammengefasst und haben den Namen LAN bekommen.
Dort vergebe ich die gesamte Adressierung.
Eben sie wie Du es beschrieben hast.
OK, das verbaseln manche, weil das nicht so eindeutig dokumentiert ist wie es könnte. Ist ein Feature des FreeBSD-Stacks. Keine Layer-3-Adressen auf Bridge Members, sonst ist Multicast kaputt.
Hast du vielleicht versehentlich auf irgendeinem der Member-Interfaces doch Adressen konfiguriert?
Wenn nicht - wenn die beiden Tunables stimmen, dann funktioniert das so. Was mich noch irritiert ist, dass in deinem Screenshot das LAN doch eine IPv6-Adresse hat. Und das ist zu dem Zeitpunkt des Screenshots doch die Bridge, oder?
Noch eine Fehlermöglichkeit: Hardware Offloading ist für alle phys. Interfaces aus, oder? Das ist der Default, also aus.
Quote from: pmhausen on April 19, 2023, 07:55:33 PM
OK, das verbaseln manche, weil das nicht so eindeutig dokumentiert ist wie es könnte.
Naja, irgendwie schon logisch, dass die Ports dann keine Adressierung mehr bekommen, aber egal 8)
QuoteWenn nicht - wenn die beiden Tunables stimmen, dann funktioniert das so. Was mich noch irritiert ist, dass in deinem Screenshot das LAN doch eine IPv6-Adresse hat. Und das ist zu dem Zeitpunkt des Screenshots doch die Bridge, oder?
Ja, richtig, deswegen komm ich ja auch nur darauf, dass es nicht normal sein kann... Zu dem Zeitpunkt hat die LAN-Bridge eine IPv4- und eine IPv6-Adresse. Auch ein Ping6 oder NSLookup (probiert über die Diagnose) funktionierte. Nur die Arbeitsplätze bekommen keine IPv6. Übrigens egal ob WLAN, oder Kabelgebunden, auch egal ob Windows oder Mac.
QuoteNoch eine Fehlermöglichkeit: Hardware Offloading ist für alle phys. Interfaces aus, oder? Das ist der Default, also aus.
Ich gehe mal davon aus, dass Du die ersten drei Optionen vom Bild meinst? Ja, die sind aus.
Ich habe mal ein wenig im Netz gestöbert und habe dann gelesen, dass OPNSense in einer früheren Version mal Stress mit dem gleichen (oder selben?) Probleme hatte. Daher kam ich eben auf die Idee, dass es ein Fehler im System ist. Es ist schon komisch, dass IPv6 nur in der Bridge nicht funktioniert, vielleicht auch in Verbindung mit der Deutschen Glasfaser. Aber dann hätte ich weder auf der WAN-Seite eine IPv6 bekommen, noch würde ein Ping auf der Shell durchgehen.
Alles sehr Skuriell...
Edit sagt: Bild vergessen, also nachtragen
Äh ... Optionen aus ist falsch. Du musst die Haken alle an machen, die heißen ja "disable foo ...".
Und beim Bridge-Interface bitte auch "enable link-local address" aktivieren, sonst wird das mit den Router Advertisements schwierig.
Ok, habe ich wieder gehakt und neu gestartet.
Aber ganz ehrlich. Ich muss leider mit dem Ding mein Geld verdienen, werde die Bridge erst einmal auflösen und den LAN-Port allein verwenden.
So sehr es mich auch reizt, dass abschließend in den Griff zu bekommen, muss ich an's tägliche Geschäft denken. Da meine Router-Hardware noch eine SFP-Port hat, werde ich den mit einem passenden GBic bestücken und darüber mein lokales Netzwerk laufen lassen.
Ich vermute da, derzeit, einen Bug bei OPNSense. Aber wenn ich ihn umschiffen kann, ok, ist auch eine Lösung. OPNSense hat für mich zu viele Vorteile, als dass ich es jetzt in die Ecke schmeiße.
Ich danke Dir von ganzem Herzen, Du hast mir einige Schwächen in meinen Einstellungen gezeigt, was übrigens bei einer Zyxel bisher ohne Probleme ging.
LAN Bridge funktioniert grundsätzlich mit v4 und v6. X mal im Einsatz. Da muss ein spezifischer Gremlin bei dir sitzen.
Aber generell ist ein richtiger Switch in einem produktiven Netz besser. Ich würde das wirklich nur für Heimanwender oder ganz kleine Büros empfehlen - 2 PCs und 1 Drucker oder so. Dann kann man sich mit einer 4-Port Appliance das extra "Schächtelchen" sparen.
Ich hab auch schon auf einem TrueNAS System eine Bridge aus zwei Ports gebaut, damit man bei dem Verein mit nur einem Kabel bis zu dem Schrank kam, und dann der Drucker an den zweiten Port des NAS angeschlossen werden konnte. Auch FreeBSD - an der Stelle ist wirklich kein bekannter Bug. Müsste mir aber das Setup vor Ort angucken.
Du hast schon Recht, Prouktivumgebungen sind am Switch besser aufgehoben.
Mein Ansatz für die Bridge liegt darin, Client wie die IPPBX oder das NVR daran zu hängen. Die laufen dann auch, wenn das lokale Netzwerk mal nicht läuft.
Aber so ist es derzeit die beste Lösung, bis ich mal wieder Zeit finde.