WAN / Internet
:
:
.-----+-----.
| Fritzbox |
'-----+-----'
|
IGB0 mit DHCP
|
.-----+------.
| OPNsense
'-----+------'
|
IGB2(VLAN | 192.168.10.1/24)
|
.-----+------.
| LAN-Switch | HP 1810-24G
'-----+------'
|
...-----+------... (Clients/Servers)
Meine Konfiguration sieht ungefähr so aus.
Ich hab mir eine Anleitung bei ChatGPT gezogen, wie ich aus dem IGB2 die VLANS (es sind eigentlich zehn VLANs )zum Switch übertrage und dort die VLANS einrichte.
Ich bekomme aber keine IP obwohl ich DHCP für jedes VLAN eingestellt hab.
Ich kann vom Switch auch nix anpingen ausser den Switch selber.
Ich bin blutiger Anfänger und weiß nicht so richtig, wie ich jetzt am besten vorgehe, um mein Problem zu lösen ? Was braucht ihr von mir ? Was kann ich tun ?
Eine Anleitung von Chat GPT welche ich eigentlich genauso abgearbeitet hab :
2. Überprüfung der VLAN-Konfiguration auf der OPNsense:
VLAN 20 auf OPNsense richtig konfiguriert?
Gehe zu Interfaces > Other Types > VLAN und überprüfe, ob VLAN 20 auf dem Interface konfiguriert ist, das mit dem Switch verbunden ist (in deinem Fall wahrscheinlich igb2).
Wenn du das VLAN auf dem falschen Interface konfiguriert hast, wird es nicht richtig funktionieren. Stelle sicher, dass igb2 (dein Trunk-Port) als Parent-Interface für VLAN 20 verwendet wird.
DHCP-Server auf OPNsense für VLAN 20 aktiv?
Gehe zu Services > DHCPv4 > [Dein VLAN 20 Interface].
Stelle sicher, dass der DHCP-Server für VLAN 20 aktiviert ist.
Überprüfe, ob ein IP-Adressbereich (Range) für den DHCP-Server konfiguriert ist und er IP-Adressen an Geräte im VLAN 20 verteilen kann.
Firewall-Regeln für VLAN 20?
Gehe zu Firewall > Rules > [Dein VLAN 20 Interface].
Stelle sicher, dass du eine Regel hinzugefügt hast, die den Datenverkehr erlaubt. Standardmäßig blockiert OPNsense jeglichen Datenverkehr, bis eine Regel hinzugefügt wird.
Erstelle eine einfache Regel:
Action: Allow
Protocol: Any
Source: VLAN 20 Subnetz (oder Any)
Destination: Any
Das stellt sicher, dass Geräte im VLAN 20 ins Internet oder zu anderen Netzwerken kommunizieren können.
Hier meine Konfiguration auf der OPNsense,liegt da eventuell schon der Fehler? Wären andere Angaben sinnvoller ?
https://ibb.co/X26jxqW
https://ibb.co/8YxLrJH
https://ibb.co/G2hr00p
kann dein Switch Vlan?
wenn ja dann erstelle doch bitte die Vlans so wie auf der Sense auf dem Switch mit tagged Option und weise die dem Port der zu Sense führt.
Man kann auch Pvid und ein Vlan untag nehmen für das Interface auf der Sense, wo du ja restliche tagged Vlans definiert hast.
Ich habe mal meinen Ausgangspost erweitert, um die Konfiguration in der OPNsense.
-----------
Ja der Switch ist zwar älter (über 10 Jahre) und kann auch VLAN ... ich hab auch noch einen anderen von TP Link (TL SG116E) ... der soll das auch können, klappt aber ebenfalls nicht.
Ich habe einen Port als Trunk definiert und dort die Verbindung mit der OPNsense hergestellt.
Wäre es möglich direkt am IGB2 mit einem Laptop zu testen, ob der überhaupt IPs verteilt? Oder funktioniert das grundlegend nicht ?
Versuche einmal, folgende Punkte nacheinander abzuklären, dann kommst du vielleicht weiter:
- Taugen die NIC's deiner OpnSense für Vlan? Recherschiere mal im Forum zu dem Thema. Nicht jeder Netzwerkchip ist für Vlan brauchbar.
- Hast du das Vlan der Schnittstelle zugewiesen?
- Hast du den Trunk-Port am Switch für alle VLan's auf tagget gesetzt?
- Hast du die Port's für Client's auf untagget (ist der einfachste Weg) gesetzt? Mit Ausnahme Vlan-fähiger Geräte wie z. B. WLAN-AP, solche Geräte brauchen tagget Vlan.
- befasse dich bitte etwas gründlicher als oberflächlich mit dem Thema Vlan. Ohne etwas zu lesen wird das nichts. Habe selbst zu Anfang auch erst mal in Ruhe nachlesen müssen, bis mir einige Grundlagen dieser Technik klar wurden.
Nebenbei, Chat-GPT kann dir nur das in "eigener" Zusammenstallung bieten, was andere im Netz schon mal eingegeben haben. Da bist du mit der Doku der OpnSense (selbst wenn du vielleicht, so wie ich, auf deepl.com & Co angewiesen bist) wesentlich besser bedient!
ich habe eigentlich alle diese von dir genannten Punkte abgearbeitet.
Um auszuschließen, das meine verwendete Hardware nicht einfach zu alt ist, hab ich mir jetzt testweise einen CISCO CBS350 besorgt.
Quote from: mm_smash on September 18, 2024, 06:02:40 PM
ich habe eigentlich alle diese von dir genannten Punkte abgearbeitet.
Um auszuschließen, das meine verwendete Hardware nicht einfach zu alt ist, ....
Deine Hardware der OpnSense kommt mit der Vlan-Technik zurecht? Dazu hattest du dich nicht geäußert. Netzwerkchips von Realtek sind z. B. eher problematisch. Intel wie z. B. i210, i225, i226 funktionieren dagegen sehr gut.
Sofern Du die OpnSense nach der Installation nicht großartig verändert hast, sollte eigentlich alles funktionieren.
Zeige mal bitte die Zuweisungen.
UND BITTE:
Die Bilder als Anhang direkt im Beitrag!! Viele Benutzer werden solche Links, wie du sie hier anbietest, nicht öffnen! Damit tust du dir selbst keinen Gefallen.
mach doch einfach Schritt für schritt
Sense interface zb 1 192.168.1.1 zum port 1 TPLink switch, am port 2 PC mit 192.168.1.5 GW 192.168.1.1
Ping ok?
Danach Vlan zb. "10" 192.168.10.1 erstellen und Vlan dem interface 1 auf der Sense zuweisen, beim TPlink Vlan 10 erstellen und
tagged port 1 zuweisen und untag zum port 2, PC an Port 2 mit 192.168.10.5
Ping ok?
den PVID am Port 1 beim Switch kannst du bei 1 belassen, es spielt bei tagged keine Rolle, beim Port 2 muss PVID auf 10 und Vlan untag auf 10 sein.
Quote from: kruemelmonster on September 18, 2024, 06:18:45 PM
Deine Hardware der OpnSense kommt mit der Vlan-Technik zurecht?
Würde mich wundern wenn nicht, es handelt sich um ein DEC2680 von OPNsense direkt.
Quote from: kruemelmonster on September 18, 2024, 06:18:45 PM
UND BITTE:
Die Bilder als Anhang direkt im Beitrag!! Viele Benutzer werden solche Links, wie du sie hier anbietest, nicht öffnen! Damit tust du dir selbst keinen Gefallen.
hätte ich gern, aber ich kann hier nur 256kb anhängen ?
Welche Zuordnung meinst du genau? Das hab ich nicht verstanden, welche Infos du jetzt benötigst ?
Quote from: mm_smash on September 18, 2024, 07:40:39 PM
Quote from: kruemelmonster on September 18, 2024, 06:18:45 PM
Deine Hardware der OpnSense kommt mit der Vlan-Technik zurecht?
Würde mich wundern wenn nicht, es handelt sich um ein DEC2680 von OPNsense direkt.
O.K. Da steht die Frage natürlich nicht. Aber du hattest dazu nichts geschrieben. Was die Hardware betrifft werden manchmal da die seltsamsten Kombinationen zum Testen verwendet und dann ist das Erstaunen groß, wenn es nicht wie gewünscht funktioniert.
Quote from: mm_smash on September 18, 2024, 07:40:39 PM
... hätte ich gern, aber ich kann hier nur 256kb anhängen ?
Wenn es jpg ist, sollte das Schrumpfen doch kein Problem sein? Wobei ich nicht weiß, ob man mit der Zeit mehr Anhänge anbieten kann.
Quote from: mm_smash on September 18, 2024, 07:40:39 PM
... Welche Zuordnung meinst du genau? Das hab ich nicht verstanden, welche Infos du jetzt benötigst ?
Ich meine den Menüpunkt Schnittstellen / Zuweisungen. Da führst du die physischen und virtuellen Schnittstellen zusammen.
Ansonsten schau mal auf den Tipp von
Zapad
Hi
ja im Nachhinein wäre es vermutlich schlauer gewesen, mal alles am Anfang aufzuschreiben.
Jetzt haben wir aber gelernt, das meine Bastellösung , die auch noch hier rumsteht, eventuell nicht gehen wird. Aber soweit sind wir noch nicht.
Ich hatte Bildschirmausdrucke gemacht und die waren die 3 Bilder als png halt irgendwie 350 kb groß.
Unten hängen jetzt die Schnittstellen/ Zuweisung dran.
Ansonsten hänge ich mich jetzt mal mit einem Laptop direkt am igb2 Port und schaue, ob das ganze funktioniert, wie geplant.
Warum hast du die vlan-Schnittstellen unter "Schnittstellen" / "Andere.." / "VLAN" mit Punkten im Namen angelegt? Ändere die mal bei einer Schnittstelle testweise in Unterstriche und mache die Zuweisungen neu. Oder lege eine entsprechend neu an. Nicht, das sich das System irgendwo an den Punkten stört. Meistens funktionieren an solchen Stellen nur sehr wenige Sonderzeichen.
Punkte im VLAN device sind okay.
So sieht es bei mir aus als Beispiel:
vlan0.10 [lagg0_vlan10] lagg0 (f4:90:ea:00:d9:f4) 10 Best Effort (0, default) vlan0.10
Wenn VLANs nicht gehen dann ist etwas falsch konfiguriert.
Ich hab unten nochmal eine Übersicht angehangen, wie es bei mir zusammengesteckt aussieht.
Ich hab auf dem Ciscoswitch VLANs eingerichtet und das ging soweit ganz gut, ausser das ich keine DNS auflösung bekommen hab.
Das Problem hab ich jetzt so gelöst, dass ich unter System/Einstellungen/Allgemein meine Fritzbox als DNS Server eingetragen hab und dann unter Dienste/Dnsmasq-DNS diese aktiviert und den Unbound DNS deaktiviert hab.
Damit bin ich online.
Dummerweise kann ich auf das komplette Netzwrk der Fritzbox zugreifen (192.168.178.0/24) . Was so eigentlich nicht gedacht war.
Recherche im Internet haben mich zum Punkt gebracht, dass es an der Konfiguration liegt, das die FB vor der Firewall ist und diese "ganz normal" betreibe.
Das war als Backup eigentlich auch genauso gedacht. Falls alles nicht geht, dass ich dann die Fritzbox einfach wieder direkt anschließen kann.
Also igb0 = WAN, igb1=LAN (standard, nutze ich zur Konfiguration) , igb2 = Trunk fürs Netzwerk (jenseits der FB)