OPNsense Forum
International Forums => German - Deutsch => Topic started by: Kruemel on March 21, 2018, 02:13:35 pm
-
Hi,
neben WAN (192.168.0.0/24) und LAN (192.168.1.0/24) wollte ich ein drittes Netz für WLAN aufmachen. Die Pläne sind, 192.168.2.0/24 für internes WLAN und 192.168.3.0/24 über VLAN Tagging für Gäste WLAN auf igb3 aufzulegen. So der fromme Wunsch, allerdings scheitere ich schon viel früher. Ich widme mich also erstmal nur dem internen WLAN Netz ohne VLAN Gedöns.
Ich habe das igb3 mit der IP 192.168.2.1 konfiguriert und ein Gateway dafür mit derselben IP definiert. Die Routing Table sieht so aus:
ipv4 192.168.0.0/24 link#2 U 10777 1500 igb1 wan
ipv4 192.168.0.2 link#2 UHS 0 16384 lo0
ipv4 192.168.1.0/24 link#1 U 129422 1500 igb0 lan
ipv4 192.168.1.1 link#1 UHS 0 16384 lo0
ipv4 192.168.2.0/24 link#3 U 6 1500 igb2 WLAN_intern
ipv4 192.168.2.1 link#3 UHS 864 16384 lo0
Das Gateway ist aus dem 192.168.1 Netz pingbar und vice versa. Nun klemme ich zum Testen mal ein opensuse Server an, mit folgender Konfig:
IP 192.168.2.2
Maske: /24
Gateway: 192.168.2.1
Nach meinem Verständnis, sollte die Kommunikation so funktionieren. Aber nichts tut sich. Ich kann weder von der Sense die Server IP erreichen noch kann ich vom Server das Gateway pingen.
Wo ist mein Denkfehler?
Danke und Gruß
Krümel
-
> Wo ist mein Denkfehler?
Ohne mehr Input zu deiner Verkabelung zu kennen kann man das schlecht sagen. Wie ist das überhaupt angeklemmt? Alles am gleichen Switch? Mit DHCP? Denn wenn igb0 und igb2 einfach so an einem "dummen Switch" angeklemmt sind - auch wenn die IP Ranges unterschiedlich sind - baust du nen Loop (zumindest auf Layer 2). Nicht schön!
Ansonsten: Neues Interface WLAN_intern zugewiesen, konfiguriert, getestet? Regeln auf dem Interface erstellt, damit auch überhaupt was rein/raus darf?
-
Danke für Deine Antwort.
LAN und WAN hängen am selben Switch, WLAN hing auch am Switch, erstmal alles im selben VLAN. Funktionierte aber nicht. Um Probleme auf dem Switch auszuschließen, habe direkt nen Server mit 192.168.2.2 an das WLAN Interface gehängt, aber auch den kann ich nicht pingen.
DHCP auf igb2/WLAN und igb1/LAN ist aktiv und funktioniert auch. Wieso habe ich denn mit den verschiedenen Ranges nen Loop?
???
-
> DHCP auf igb2/WLAN und igb1/LAN ist aktiv und funktioniert auch. Wieso habe ich denn mit den verschiedenen Ranges nen Loop?
Wenn igb2 direkt verbunden ist mit dem Server und igb1 LAN (oben schreibst du igb0 ist LAN und 1 ist WAN?) auf nem Switch ist das kein Problem. Aber alle Ports an einen dummen Switch einfach hart dranhängen und nur via IPs trennen geht zwar auf IP Ebene halbwegs gut, aber ab dem ARP/Layer 2 ist das immer noch ein und dasselbe Broadcast/physikalische Netz nur mit unterschiedlichen IPs drauf. Und es gibt einige Switche oder Hardware, die dann erkennen, dann sie 2 Beine im selben Netz hat und wegen Loop Detection das Interface Hops/offline nehmen.
Das ist genauso quark wie die Denkweise, dass man mehrere IP Netze einfach per IP Alias auf das gleiche Interface draufwirft "um die Netze zu trennen". Getrennt ist da gar nichts, eine Fehlkonfiguration kann einem das komplette Netz zerschießen und wenn jemand sein Interface im promiscuous mode hochfährt und mitliest sieht er ja nachdem die unterschiedlichen Netze und kann Blödsinn treiben. IP Netze ist kein VLAN, das wirklich separate kleine virtuelle Switche erzeugt. Und wenn ein Bein dann auch noch DHCP macht (oder sogar zwei - urks) wird es richtig spannend...
-
Okay, vielleicht sollte ich mein Design nochmal überdenken. :-\
Nochmal die Klarstellung der Interfaces:
igb0 => 192.168.1.0 => LAN
igb1 => 192.168.0.0 => WAN
igb2 => 192.168.2.0 => WLAN
Ich betreibe alle drei Interfaces an einem managed Switch. Wenn ich dich richtig verstehe, muss ich diese Netze einfach mit VLANs voneinander trennen, das "VLANing" findet ja auf L2 statt, oder?
igb0 => VLAN 101
igb1 => VLAN 100
igb2 => VLAN 102
Ich kanns ja erstmal so umsetzen und nochmal schauen, ob ich damit weiterkomme. Oder spricht aus deiner Sicht noch etwas gegen diese Konfig?
VG
Krümel
-
igb0 => VLAN 101
igb1 => VLAN 100
igb2 => VLAN 102
Wenn du schon 3 Interfaces an den selben Switch klemmst und der auch managebar ist, warum machst du daraus keine LACP Link Aggregation und erstellst dann VLAN Interfaces AUFBAUEND auf dem LAGG Interface Verbund?
Gibt dir etwas Loadbalancing und Redundanz und hast es später einfacher noch weitere VLAN Interfaces aufzubauen. :)
Natürlich muss dein Switch dafür IEEE 802.3ad Link Aggregation (LAG) und IEEE 802.1Q - Virtual LANs können. :)
Schöne Grüße
Oxy
EDIT: Ja ... VLAN existiert auf OSI-Layer 2.
Das Inter-VLAN Routing (von der OPNsense) hingegen ist (weil IP vorhanden) dann aber OSI-Layer 3
-
Ich würde aus logischem Debugging Grund LAGGs außen vorlassen. Nur weil man was kann muss mans nicht machen. Wir haben LAGGs jetzt auch wieder rausgeworfen, 1G Uplink und 10G LAN sind genug, dass man nicht mit LAGGs rumspielen muss und hat dann auch keine Downtime, wenn man mal ein Interface umswitchen muss - einfach neu zuweisen und gut. Das klappt mit LAGGs nicht so schön. Zudem bringen die natürlich auch immer wieder komplexität rein:
X * phy -> laggX -> VLAN -> CARP -> IP/Protokoll
Mit jeder Schicht steigt der Debugging Aufwand. Daher: Wenn ich nicht mehr als 1G auf dem Interface brauche nehm ich kein Aggregation mit rein. Fehleranfälligkeit steigt einfach unnötig :)
-
Moin,
vielen Dank für die Hinweise. Ob ich LAG nutze oder nicht, muss ich mir mal überlegen, habs bei meinem NAS laufen, weil da schonmal mehr als 1GBit drüber läuft. Bei der Sense ist das eher fragwürdig.... Redundanzgründe kann man nicht wirklich anführen, weil die Interface auf demselben Switch hängen, wenn der hops ist, bringt das LAG auch nichts mehr.
However: Ich habe die VLANs gestern mal eingerichtet und nun funktioniert auch alles wie gewünscht. Den Server hab ich auch wieder auf den Switch gehängt, VLAN drauf und fertig. Damit funktioniert nun auch das Routing wie gewünscht.
Vielen Dank für den "Schubser". :-)
Gruß
Krümel
-
Hm, jetzt hab ich aber doch noch ne Frage:
igb0 => LAN auf VLAN 101 => 192.168.1.0/24
igb1 => WAN auf VLAN 100 => 192.168.0.0/24
igb3 => WLAN auf VLAN 102 => 192.168.2.0/24
Ich kann die IP Range des WLAN Netzes erreichen. Problem ist nur, dass ich aus dem Netz nicht das Default Gateway erreiche (192.168.0.1). Das Interface im WAN der Sense ist die 192.168.0.2, das kann ich pingen.
Der Weg läuft über 2 Switche:
1 Switch (an dem die Sense hängt), hat den WAN Port auf VLAN100 getaggt. Zudem gibt es einen Trunk Port für alle VLANs rüber zum zweiten Switch.
2. Switch, ad dem der DSL Router hängt, Port mit VLAN100 untagged.
Aus dem VLAN101 kann ich normal surfen und auch das Gateway pingen. Das Default Gateway läßt sich auch nicht vom VLAN 102 Interface von der Sense pingen, es liegt also nicht an einer Firewall Regel.
Irgendwie klingt das alles nach nem VLAN Problem, aber ich kann den Fehler einfach nicht finden.
-
SSOLVED!
Es fehlte noch ein NAT Eintrag auf dem WAN Interface für das WLAN Netz.