OPNsense Forum
International Forums => German - Deutsch => Topic started by: Wayne Train on February 14, 2017, 01:31:25 pm
-
Hallo zusammen,
wir haben eine Deciso "OPNsense Quad Core Gen3 rack appliance OPN19002R" Firewall im EInsatz und zur Zeit kämpfe ich mit der Verbindung zwischen Switch (switchport mode trunk, dynamsciher port-channel) und der Firewall selbst. Solange ich keine VLANs nutze komme ich auch bis zur FW und ins Web durch. Sobald ich einen Port explizit einem VLAN zuweise, komme ich nicht mehr durch.
Auf Seite der Firewall habe ich ein LAGG mit LACP definiert in dem ich zwei Ethernet-Interfaces bündel. Die VLANs habe ich ebenfalls angelegt und diesen dann eine Virtuelle-IP zugewiesen. Der Trunk zwischen den Switchen funktioniert. Sprich ich komme mit meinen Switchports (switchport mode access, switchport access vlan XY) auch über deren Trunk auf das jeweils andere. Die gleiche Trunk-Konfiguration verwende ich auch zwischen dem Uplink-Switch und der Firewall. Allerdings gehen keine Pakete durch. Interfaces auf der FW kann ich von den VLAN-Ports auf den Switchen aus folglich auch nicht pingen. Die Virtuellen-IPs sind als CARP VIPs angelegt, da die Firewall HA läuft. Das Routing wird dementsprechend auch auf der Firewall und nicht von den Switches erledigt.
Daher verstehe ich nicht mehr so ganz woran es liegen könnte...
Da ich so langsam am verzweifeln bin, warum da nix über den Trunk geht habe ich mich nochmal auf der Firewall umgeschaut und unter "Interface/Settings" den Punkt "VLAN Hardware Filtering" entdeckt. Dieser steht bei mir auf "Enable VLAN Hardware Filtering".
Mal abgesehen davon, dass ich nicht ganz erstehe was das heissen soll... Kann mir vielleicht jemand sagen, ob das so richtig ist ?
Viele Grüße
CS
-
BTW: Muss ich für die VLANs auf der Firewall auch noch Routen anlegen ?
Nehmen wir an, die Firewall an sich befindet sich im netz 192.168.100.0/24 (VLAN 100), muss ich dann für Anfragen aus dem Netz 192.168.200.0/24 (VLAN 200) eine Route anlegen ?
Danke schonmal.
Grüße
CS
-
"VLAN Hardware Filtering" -> so weit ich das verstanden habe, wird der VLAN Tag im Packet von der Hardware verwaltet, was voraussetzt, dass sowohl die Hardware als auch der Treiber das unterstützt. Wenn du mal im Netz nach dem Ethernetchip deiner Hardware suchst, kannst du evtl. Fehler mit FreeBSD Treibern finden. Wenn du "VLAN Hardware Filtering" ausschaltest, dann übernimmt die Software die Verwaltung, was mehr Aufwand bedeutet.
Wenn die Interfaces auf der Firewall kreiert wurden, dann kennt die Firewall die Routen schon und du brauchst nichts mehr eintragen. Ggf. ist die Firewall das Problem, weil ohne Rule nicht von einem Interface zum nächsten kommst. Testweise kannst du ja versuchen, eine "allow all" Regel auf den Interfaces anlegen und mal schauen, was die FW logs zeigen.
-
BTW: Muss ich für die VLANs auf der Firewall auch noch Routen anlegen ?
Nehmen wir an, die Firewall an sich befindet sich im netz 192.168.100.0/24 (VLAN 100), muss ich dann für Anfragen aus dem Netz 192.168.200.0/24 (VLAN 200) eine Route anlegen ?
Danke schonmal.
Grüße
CS
Nein. Static Routes benötigst du nur für Firewall fremde Netze. Wenn deine Firewall zum Beispiel an einem Router angeschlossen ist und danach noch ein Netz folgt, kann die Firewall das ja nicht kennen.
Alle an der Firewall selber angelegten Netze und Interfaces kennen sich untereinander.
Die Trennung erfolgt durch Firewall Rules. Da also nochmal schauen, ob du die Kommunikation vom x.x.200.x/24 Netz zum x.x.100.x/24 überhaupt erlaubt hast z.B.
Schöne Grüße
Oxy