OPNsense Forum

International Forums => German - Deutsch => Topic started by: Oxygen61 on May 19, 2017, 05:59:57 pm

Title: [GELÖST] Geräte hinter TP-Link Switch nicht Pingbar
Post by: Oxygen61 on May 19, 2017, 05:59:57 pm
Hallo Leute,

ich stell mich mal wieder glatt, deswegen schon mal vorher ein großes dickes Sorry!
Bestimmt übersehe ich auch einfach nur wieder irgendwas und irgendwer sieht für mich den Wald bei all den Bäumen. :)

Überlegung:
Mein Problem ist, dass ich keine Geräte hinter meinem VLAN Switch per Ping erreichen kann.
Ich habe einen Switch per Trunk Port an den LAN Port der Firewall angeschlossen und mehrere VLANs mit eigenen Subnetzen definiert. Soweit so gut. Diese können auch alle ins Internet und sollen sich untereinander nicht ansprechen dürfen. Beim Einrichten des Fritzbox WLAN AP, habe ich nun das merkwürdige Verhalten, dass die Konfigurationsoberfläche falsch dargestellt wird wenn ich die IP aus meinem Admin VLAN versuche zu erreichen. Öffne ich die Fritzbox GUI direkt aus dem WLAN Subnetz wird die richtige Oberfläche angezeigt, wo man sich mit Passwort einloggen kann. Also hatte ich die Vermutung, dass irgendwas mit den Routen nicht stimmt, also habe ich mit der OPNsense GUI angefangen Pings und Traceroutes zu machen (vorher natürlich die ICMP Regel dafür erstellt)

Problem:
Jetzt steh ich vor dem Problem das ich generell, also ganz egal ob jetzt nun Fritzbox oder normaler Laptop Client, ich nicht zwischen den Geräten innerhalb verschiedener VLANs pingen kann.

Beispiel:
>> Firewall Freischaltung für ICMP von any nach any auf dem VLAN 1 Interface bereits eingestellt <<
VLAN 1 (Admin) Subnetz: 192.168.1.0/24
VLAN 2 (Nutzer) Subnetz: 192.168.2.0/24
Switch IP: 192.168.1.2
Switch Gateway: 192.168.1.1 (also die IP der OPNsense Schnittstelle in VLAN 1)

Ping von 192.168.1.2 (Switch) auf 192.168.2.1 (OPNsense) funktioniert
Ping von 192.168.1.2 (Switch) auf 192.168.2.7 (Client) funktioniert nicht
Ping von 192.168.2.1 (OPNsense) auf 192.168.1.1 (OPNsense) funktioniert
Ping von 192.168.2.1 (OPNsense) auf 192.168.1.2 (Switch) funktioniert
Ping von 192.168.2.1 (OPNsense) auf 192.168.1.7 (Client) funktioniert nicht

Folgender Aufbau (ungefähr):

[ O P N s e n s e ]
              |
    Trunk | (VLAN 1 &2)
              |
[    TP   -Link   Switch     ]
   |                                   |
General Port              General Port
VLAN 1                           VLAN 2
   |                                    |
[Client 192.168.1.7]         [Client 192.168.2.7]   

_____________________________

Das sieht für mich nach ner 0815 VLAN Aufgabe aus, weshalb ich halt auch grade echt von den Socken bin, dass das einfach beim besten Willen nicht klappen will. Hat irgendwer Erfahrung mit TP-Link Switchen und der Umsetzung mit OPNsense? Kann jemand vielleicht erahnen welchen Denkfehler ich hier habe?
Richtig peinlich... wie gesagt .. Sorry! :(

BTW: VLANs und IPs sind in diesem Post nur Beispielhaft, das Problem bleibt aber natürlich das gleiche.

Schöne Grüße und ein erholsames Wochenende gewünscht,
Oxy

EDIT: Ich bin mir mittlerweile ziemlich sicher, dass es am Switch liegt. Bei allen Ping und Tracert Verbindungen erreiche ich das andere Subnetz bis hin zum Switch und NUR bis zum Switch.
Das verwirrt mich noch viel mehr als vorher... :(
Grade der Switch müsste doch die wenigsten Probleme mit dem getaggten Paket haben?
Ich meine der muss doch nur noch zuordnen an welchen Access/General Port er das Paket dann schicken soll...
uhh... :(
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: faunsen on May 19, 2017, 07:48:23 pm
Hi Oxy,

ich kenne mich nicht so gut mit TP aus aber was verstehst Du genau unter einem Trunk?
Es gibt je nach Hersteller unterschiedliche Bezeichnungen für so etwas:
Cisco: Ether Channel
Avaya: Trunk
Linux: Bond
BSD: LAG

Hast Du irgendeine Link Aggregation eingerichtet?

Kann denn der Switch die 192.168.1.7 auch nicht erreichen?
Wie sieht es mit den Routen auf den Clients aus?


Viele Grüße
Frank
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Oxygen61 on May 19, 2017, 08:13:15 pm
Hey Faunsen,

Access Ports/General Ports = untagged
Trunk Port = Tagged

Ich versuch mal zu erklären was ich bis jetzt umgesetzt hab, vielleicht hab ich auch nen echt harten Fehler gemacht. :)

Ein Trunk Port war für mich immer der Port der mit dem Switch, über ein Patchkabel verbunden, die getaggten Pakete überträgt. Heißt bei der OPNsense habe ich mehrere VLAN Interfaces erstellt die auf dem physischen LAN Port der Firewall liegen. Weil ich nich wollte, dass man sich an den LAN Port der Firewall anschließen kann und sofort die GUI öffnen kann, habe ich das klassische LAN Interface gelöscht und administriere die Firewall nur noch aus dem Admin VLAN.

Ergo habe ich jetzt 3 Kabel an der Firewall:
Das erste Interface geht an das Modem ins WAN
Das Zweite ist mit dem Trunk Port des Switches verbunden und hat mehrere VLANs
Das dritte Interface ist mit dem AP verbunden.

Beim Switch sieht es so aus:
1. Port (Trunk) ist mit der LAN Schnittstelle an der Firewall verbunden.
2. Port an einen Client
3., 4. und 5. ebenso

An Jedem Port an welchem ein Client hängt wurde auf dem Switch eine untagged VlanID zugeordnet.
Dem Trunk Port wurden alle VLANs zugeordnet. Die restlichen VLANs wurden immer demjenigen Port zugeordnet, an welchen der richtige Client sitzt + dem Trunk Port. Wenn also Switchport 2 im VLAN 5 sitzt, dann wurde VLAN 5 Switchport 2 und Switchport 1 (Trunk) zugeordnet.

Link Aggregation hab ich nicht umgesetzt. Es soll erst mal so funktionieren :D

Ja, der Switch kann die 192.168.1.7 erreichen

Wenn ich vom Client zum anderen Client im anderen Netz ein Tracert hinmache, wird der Switch nicht erreicht.
Also um beim Beispiel zu bleiben:
192.168.1.7 macht einen Tracert auf 192.168.2.7
Der erste Hop ist 192.168.1.1 und danach kommt nichts mehr.

EDIT:
Hab irgendwie die Befürchtung nen Groben Fehler gemacht zu haben....
Was ich auch noch sagen möchte ist, dass ich das Default VLAN garnicht genutzt habe, also weder bei der Firewall ein VLAN Interface angelegt, noch beim Switch dieses VLAN verwendet habe.

Ich häng hier mal meine 802.1Q Konfiguration vom TP Link Switch mit ran. Vielleicht wird daraus jemand schlau. :-/
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: tcmax on May 19, 2017, 08:25:46 pm
Nabend,

habe einen TP SG3216 an OpnSense...
Hast Du am OPNSense LAN Port die entsprechenden VLANs angelegt, bzw an LAN gebunden?
Dann taucht ein neues Interface opt mit dem VLAN auf...Guck mal unter Interfaces -> Assignments und Overview nach.

Am SwitchPort zur OPNsense ebenfalls passende VLANs angelegt?
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Oxygen61 on May 19, 2017, 08:28:44 pm
Hallo tcmax und faunsen,

hier die Anhänge.
Geht das so überhaupt oder verrenne ich mich in irgendwas?

Wie gesagt, Ziel sollte es am Ende sein Firewallfreischaltungen von einem VLan Subnetz zu einem anderen zu erlauben und auch zu Routen, damit ich zum Beispiel aus dem Admin VLAN auf die Fritzbox AP GUI komme und andersrum irgendwann mal ein Client aus VLAN Nutzer 1 auf eine NAS zugreifen kann usw.
Sieht nach Routingfehler aus oder?
Was aber auch nicht ganz einleuchtet, weil ich keine Router zwischen den Netzen habe und die OPNsense eigentlich alle Netze kennen müsste ohne zusätzlich konfigurierte statische Routen.
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: tcmax on May 19, 2017, 08:42:10 pm
Entsprechende Routen in der OPNSense für die Subnetze sind angelegt?

Und Rules eine testweise allow any any zwischen den VLANs erstellt?
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Domi741 on May 19, 2017, 09:56:44 pm
Warum hast du die PVIDs mit so "hohen" Werten versehen? deine VLANs sind doch nur 1 & 2?!

Habe auch einen TP-Link Switch und bei meinem ist das so, dass nicht die untagged Einstellung alleine reicht, sondern die PVID effektiv das untagged VLAN sein muss. was ich bei untagged einstelle interessiert den kein Stück -,-

Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Oxygen61 on May 19, 2017, 11:12:42 pm
Hallo tcmax und Domi741,

danke erstmal für die vielen Ratschläge. :)

@tcmax
Die Allow Any Any Regel hat nichts gebracht (hatte ich aber auch vermutet, weil zum Pingen sollte ICMP ja reichen), aber man weiß ja nie. :-(

Quote
Entsprechende Routen in der OPNSense für die Subnetze sind angelegt?
Das ist halt die große Preisfrage. Das hab ich nicht, wenn du von den statischen Routen ausgehst, aber das ist auch gar nicht möglich, bzw. nötig, da alle Netze ja direkt an der OPNsense angeschlossen sind ohne einen zusätzlichen Router der das Netz trennen würde. Zusätzliche Routen müssten daher doch eigentlich nicht nötig sein oder? Die OPNsense kennt doch alle Subnetze die direkt angeschlossen sind.

@Domi741
Die VLANS 1 und 2 waren nur Beispielhaft genauso wie die IPs. Ich hab eigentlich gedacht und auch gehofft dass es was einfaches ist, was ich übersehe und wollte da nicht die richtigen IPs nutzen.
Die VLANs/PVIDs aus den Bildern sind auch die die ich in Echt nutze.
Die sind so hoch gewählt um gleich beim ersten Blick auf die VLANs und IP Adressen zu wissen um welches Netz es sich handelt. Da keine weiteren VLANs hinzu kommen werden passt das für mich. Man hat da ja die freie Wahl. :)

Quote
sondern die PVID effektiv das untagged VLAN sein muss. was ich bei untagged einstelle interessiert den kein Stück -,-
ookaay?? Das klingt ja schonmal nach ner Idee :) Wo meinst du kann man das umsetzen? Finde dazu nichts in der GUI. Wär schön wenn du mir da kurz den Weg zur Einstellung sagen kannst.
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Domi741 on May 20, 2017, 11:06:27 am
ookaay?? Das klingt ja schonmal nach ner Idee :) Wo meinst du kann man das umsetzen? Finde dazu nichts in der GUI. Wär schön wenn du mir da kurz den Weg zur Einstellung sagen kannst.

Das Problem ist du hast eine andere Weboberfläche als ich.  :-\
Auf deinem Screenshot "Port Config" erkennt man die PVID, vielleicht kommst du von dort an die PVID? Oder vllt auch über die "VLAN Config".

Was hast du für ein Switchmodel?
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Oxygen61 on May 20, 2017, 03:38:26 pm
hm dacht ich mir. Bei mir gibt es keine PVID untagged Option oder ähnliches.
Ich hatte meine Umsetzung so wie hier beschrieben durchgeführt: http://www.tp-link.com/us/faq-328.html
Ich sehe da auch keinen Unterschied zu meinem..
Mein Switch Model ist folgendes: TL-SG3210

Bin echt am Verzweifeln. Keine Ahnung was ich da übersehe. :(

EDIT:
Hab die Ports die vorher auf "General" waren mal auf "Access" gestellt, weil die ja kein Teil von dem Default VLAN sein müssen. Aber das brachte auch keine Besserung. :(
Gerade geupdated auf 17.1.7 ohne Änderung/Besserung
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Domi741 on May 20, 2017, 07:12:32 pm
Mach mal auf der Seite Port Config bei allen Ports die du mit z.B. VLAN 1 untagged haben willst nen haken vorne rein, dann trägst du oben bei den eingabefeldern die VLAN ID im Feld PVID ein und klickst unten auf Apply.

Hilft das? =/
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Oxygen61 on May 20, 2017, 07:41:26 pm
Hey Domi741,

nein das hat nichts gebracht, aber so war es ja auch schon vorher eingestellt oder?
Port 2 z.B.: VLAN 5 also auch PVID 5
Port 3 z.B.: VLAN 10 also auch PVID 10
usw...
In meinem Fall gibt es keine Clients die über mehrere Switchports hinweg im selben VLAN sein sollen.
Es gibt nur ~5 Clients und jeder hat sein eigenes VLAN, ergo auch seinen eigenen Switchport Anschluss, eigenes Ruleset und Interface/DHCP von der Firewall.

Noch eine Idee? :(
Kann auch über Konsoleneingabe sein, dann stöpsel ich mich halt mal kurz an die Konsole des Switches.
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: fabian on May 20, 2017, 08:22:05 pm
blockiert der client auch die pings nicht?

prüfe mal die Firewall des Clients
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Oxygen61 on May 20, 2017, 08:47:30 pm
Ich glaub mich hackts... es ist tatsächlich die Win Firewall vom Client gewesen...
wow. da wär ich im Leben nicht drauf gekommen!
Vielen Dank Fabian für den Tipp. Daran lag es dann wohl.

Einzig und allein die Fritzbox will noch nich die richtige Oberfläche anzeigen, obwohl ich von der Fritzbox zu meinem Client und vom Client zur Fritzbox pingen kann.
Ohne Firewall und ohne Browser Plugins und auch im private Modus wird nicht die richtige Oberfläche angezeigt, wo man nur das Passwort eingeben muss, sondern (siehe Anhang) ein Login Formular wo man sich nicht einloggen kann.

Habt ihr da vielleicht auch noch einen Rat? Ansonsten vielen herzlichen Dank für das Trobuleshootings meiner VLANs! ;) :D

Schöne Grüße
Oxy
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Oxygen61 on May 20, 2017, 10:29:07 pm
Die Sache mit der Fritzbox hat sich auch erledigt....
Wer es wissen will, der "Fehler" ist, dass die Fritzbox denkt aus dem Internet angesprochen zu werden, wenn der Web GUI Zugriff aus einem anderen Subnetz erfolgt (anscheinend auch wenn es sich dabei um eine RFC1918 Adresse handelt)
In der Fritzbox legt man einen Nutzer an und sagt diesem, dass der "Zugriff aus dem Internet erlaubt ist". (Dafür gibt es ein Häkchen).
Loggt man sich dann mit diesem Account ein funktioniert es tatsächlich. :)

Vielen Dank nochmal an all die Helfer! Wie immer große Klasse. :)
Title: Re: Geräte hinter TP-Link Switch nicht Pingbar
Post by: Domi741 on May 20, 2017, 11:40:52 pm
Ich glaub mich hackts... es ist tatsächlich die Win Firewall vom Client gewesen...
wow. da wär ich im Leben nicht drauf gekommen!
Vielen Dank Fabian für den Tipp. Daran lag es dann wohl.

WTF xD

Da muss man erst mal drauf kommen  ::)

Aber schön wenn nun alles klappt :)
Title: Re: [GELÖST] Geräte hinter TP-Link Switch nicht Pingbar
Post by: Oxygen61 on May 21, 2017, 12:01:59 am
Das dacht ich mir auch.. Auch gerade dann danach noch gleich die Sache mit der Fritzbox, die private Adressen aus nem anderen Subnetz einfach als "Internet" sieht.... was will man da noch sagen. :D

Aber bin sehr froh das jetzt tatsächlich alles klappt. Bis zum nächsten Problem Yippih! :D