Messages

[tagged und untagged auf einem Port nicht zu mischen]

Hallo Patrick,

herzlichen Dank für Deine Hilfe, jetzt funktionieren die VLANs wie gewünscht.
Das Problem waren nicht die Firewall-Regeln (da greifen die von mir hinterlegten pass all Regeln).
Der Bringer war der Hinweis, tagged und untagged auf einem Port nicht zu mischen.
Das bisher ungetaggte "VLAN" für die Firma habe ich jetzt mit der VLAN-ID 100 getaggt, weil die ID 1 bei manchen Switches eine spezielle Funktion zu haben scheint bzw. (korrigiere mich hier bitte gerne) wie ungetaggt behandelt wird.
Anyway, es klappt!

Schönen Feiertag!

Sorry, da war ein Typo drin, ist im Diagramm korrigiert, da haben sich unsere Aktionen überschnitten.
LAN ist untagged.
Und vielen Dank für den Tipp. Ich muß mir also die automatischen Firewall-Regeln von lan anschauen und entsprechend anlegen?

Muß jetzt weg, bin aber später wieder daran und werde berichten.

Ok, ich versuch's mal mit einem Diagramm.
Bitte nicht über die 10er Netze mit /24 Bereichen wundern, ich wollte nur Luft nach oben haben, wenn's nötig werden sollte.

      WAN / Internet
            :
            : Cable
            :
      .-----+------.
      |  Gateway   |  Fritz!Box 6951 (OS 7.57)
      '-----+------'
            | 10.254.0.253 (IP der Fritz!Box)
        LAN 10.254.0.0/24 
            | 10.254.0.250 (IP des Interfaces 1_KabelBoxNetz)
      .-----+------.
      |  OPNsense  | 4 Ethernetports, hier nur der zum Zyxel Switch führende dargestellt
      '-----+------'
            |
        LAN | 10.0.0.1/24
       VLAN | 10.101.0.1/24 (VLAN ID 101)
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients)

Gateway: KabelboxGateway Interface 1_KabelBoxNetz, IP 10.254.0.253
Interfaces:
1_KabelBoxNetz auf igc0/wan, 10.254.0.250/24, IPv4 Upstram Gateway: KabelboxGateway
2_Firma auf igc1/lan, IPv4/6: none
3_FirmaZumSwitch auf igc2/opt16, IPv4/6: none
3_IoTZumSwitch auf vlan02/opt2, IPv4/6: none
4_IoTZumPoESwitch auf vlan04/opt4, IPv4/6: none
IF_BridgeFirma auf bridge3/opt15 , IPv4: 10.1.0.244/24
IF_BridgeIoT auf bridge0/opt11, IPv4: 10.101.0.254/24

VLAN:
device: vlan02, Parent: igc2, Tag: 101
device: vlan04. Parent: igc3, Tag: 101

Bridges:
Bridge_IoT: Interfaces: 3_IoTZumSwitch, 4_IoTZumPoESwitch (bridge0)
Bridge_Firma: Interfaces: 2_Firma, 3_FirmaZumSwitch (bridge3)

DHCPv4:
IF_BridgeIoT: Range 10.101.0.1 - 10.101.0.229, Gateway 10.101.0.254

Der Zyxel-Switch ist an den phys. Port igc2 des OPNSense-Routers angeschlossen. Das zum Testen verwendete Notebook hängt am Port 11 des Zyxel-Switch  (PVID 101, VLAN 101 Untag Egress).
DHCP funktioniert, das Notebook erhält eine gültige IP-Adresse (10.101.0.2). Wenn ich die Lease lösche und das Notebook erneut verbinde, wird eine neue Lease vergeben.
Außer DHCP funktioniert nichts, kein Ping usw.
Ansonsten habe ich oben einge Beobachtungen beschrieben.

Ach ja, was will ich erreichen:
im Netz hinter der Fritz!Box (10.254.0.0/24) sitzt der ganze private Entertainment-Kram, die Handys hängen am Fritz!Box-WLAN.
Der Router greift über die Fritz!Box aufs Internet zu, soll Zugriffe aus dem Fritz!Box-Netz blocken. Hinter dem Router soll ein Netz für's berufliche (soll an igc1 und igc2 zur Verfügung stehen) und ein Netz für IoT-Devices (VLAN 101 an igc2 und igc3) sitzen, die voneinander isoliert sind.


Danke für's Lesen.
Michael

Hi,

danke. Es kommt hier gar nichts an, wenn ich auf das Interface oder die Bridge filtere.

Und das verstehe ich jetzt schon überhaupt nicht mehr: wenn ich von dem Rechner im VLAN 101 dauerpinge, dann sehe ich die Pakete. Aber nicht auf der Bridge, die ich über die Interfaces mit dem VLAN 101 eingerichtet habe, sondern auf der Bridge, die ich über einige andere (ungetaggte) Interfaces angelegt habe.
Aber warum wird der richtige DHCP-Server gefunden?

Und das kapiere ich auch nicht: ein capture auf alle Interfaces ICMP bei laufendem Dauerping auf dem Rechner im VLAN 101 zeigt kein Pakte von diesem Rechner an. Unter Firewall->Logs->LiveView sehe ich die Pakete, aber halt auf dem falschen Interface.
Ich kapier's nicht...

Viele Grüße
Michael

Hallo,

mein aktuelles Problem mit OPNsense (bzw. mit dem Switch - da bin ich mir nicht sicher) sieht so aus:

In OPNsense (23.7.5) sind mehrere Interfaces mit VLAN-ID 101 konfiguriert (also jeweils vlanXX mit dem Port als Parent, dann das zugehörige Interface).
Mehrere von diesen Interfaces sind mit einer Bridge verbunden. Die Bridges haben eine IPv4 mit einem /24er Bereich konfiguriert, als Upstream Gateway ist auto detect eingestellt.
Die Bridges haben aktuell als Firewall-Regel nur eine pass all Regel gesetzt.
Das habe ich einmal untagged bzw. mit VLAN-ID 1 konfiguiert und dann nochmal mit der 101.
Auf der Bridge für das 101er VLAN ist ein DHCP-Server konfiguriert.

An einem der Ports (auf dem die VLANS 1 und 101 liegen) ist ein Zyxel XGS1210-12 Switch angeschlossen (Port zu OPNsense Hardware: PVID 1, VLAN 1 Untag Egress, VLAN 101 Tag Egress).
Auf den Ports des Switch, auf denen PVID 1 / VLAN 1 Untag Egress gesetzt ist, funktioniert alles wie es soll.

An dem Port des Switchs, an dem ich das 101er VLAN ausleiten will, komme ich nicht weiter. Laut den Infos von der Zyxel-Website ist der Port korrekt konfiguriert (PVID 101, VLAN 101 Untag Egress).
Ein an diesem Port angeschlossener Rechner erhält via DHCP von OPNsense eine IP-Adresse im erwarteten Bereich. Aber das ist alles, was klappt. Nicht mal ein Ping auf die Adresse der Bridge für das 101er VLAN klappt, der Zugriff aufs Internet natürlich auch nicht.
In der ARP-Table auf der OPNsense sehe ich diesen Rechner.
Ein Capture auf allen in Frage kommenden Interfaces zeigt keine Pakete.

Sorry für den vielen Text, aber ich konnte das nicht kürzer beschreiben. Ich weiß im Moment nicht, wo ich noch suchen kann bzw. woher dieses Verhalten kommt...

Danke.

Hi Franco,

danke.  Alles statisch, kein DHCP im Spiel. Und 172.24.254.253/24 und 172.24.254.250/24 sind definitiv in demselben Subnetz. Und Router und Fritz!Box sind direkt verbunden, ich habe sogar das Kabel getauscht...
Kann es sein, daß Bridges oder VLAN hier dazwischenfunken?

Vielen Dank
Michael

Hallo,

geht wieder. Gateway als "Far Gateway" markiert.
Gateway ist up, das connectivity zeigt keine Fehler mehr, pingen kann ich auch wieder alles, Internet ist überall da wieder verfügbar, wo es verfügbar sein soll.
Aber: warum ist das so? Das Gateway ist IMHO in dieser Konfiguration nicht "far", weil es in demselben Subnetz liegt wie die Schnittstelle des Routers.
Und: warum trat das Problem erst nach einem Stromausfall auf?
Fragen über Fragen...

Danke an alle

Hi,

ein bis zum Stromausfall funktionierender OPNSense Router (32.7.3-amd64) hält sein einziges Gateway hartnäckig down.
Setup: Fritz!Box Cable 6591 zum ISP. IP: 172.24.254.253/24, Internetverbindung ist up.
Router (dedizierte Hardware)
Gateway KabelBoxGateway (Interface "1_Kabel", IPv4, IP address 172.24.254.253, Upstream Gateway, alle anderen Einstellungen default)
Interface "1_Kabel" (wan/igc0, static IPv4, 172.24.254.250/24, Gateway KabelboxGateway)
Das Interface hat eine Verbindung zur Fritzbox (grüne Anzeige im Dashboard). Im Systemlog sehe ich den Fehler "<7>arpresolve: can't allocate llinfo for 172.24.254.253 on igc0"

Wenn ich mich mit SSH auf den Router verbinde, kann ich Rechner in meinem inneren Netz pingen (172.24.1.0/24), aber nicht die Fritzbox oder Rechner im Fritzbox-Netz (Route 172.24.254.1/24 auf das KabalBoxGateway ist gesetzt). Fehlermeldung beim Ping: "ping: sendto: Invalid Argument" (ich vermute mal, das liegt am offline-Status des Gateways).

Danke
Michael

Oh Mann, so einfach geht's:
neue static route
Network Address => 172.24.254.1/24
Gateway => das einzige definierte Gateway, s.o.
Save, Apply
Kurz warten!!
Erneuter zugriffsversuch auf einen Rechner in 1_Privat: geht. Auch auf die Fritz!Box.

Ich dachte mir, daß OPNsense diese Routen automatisch anlegt... Bleibt spannend :=)

Danke an alle, die sich meine Frage angeschaut haben.

Hi,

was muß ich in OPNSense konfigurieren, um von einem Subnetz ins andere zu kommen?

Setup:
Zugriff auf Internet via Fritz!Box (172.24.254.253/24), an der Fritz!Box hängt das "private" Netz (Tablets, TV, NAS etc.)
OPNSense
* Gateway 172.24.254.253
* Interface 1_Privat, static IPv4 172.24.254.250/24, obiges Gateway
* Interface 2_Firma static IPv4 172.24.1.244/24, Gateway auto-detect
Firewall hat auf beiden Interfaces eine pass-all-Regel

Problem: von Rechnern in 2_Firma erreiche ich das Internet, aber keine Rechner in 1_Privat. Was fehlt mir hier?

Vielen Dank

Danke. Dann muß ich mal schauen, was der (managed) Switch so kann.
Hoppla, jetzt habe ich's kapiert: das muß für Devices im WLAN der AP machen (hat etwas gedauert, bis es bei mir Klick gemacht hat). Und aktuell geht es nur um WLAN Devices.

Hi,

kann ich mit OPNSense die Geräte in einem Netz voneinander isolieren, d.h. die Geräter sollen ins Internet kommen, aber nicht miteinander kommunizieren können. Die Fritz!Box macht das im Gastnetz. Ich würde das gerne in meinem Teilnetz für "geschwätzige" IoT-Devices machen (das Zeug, das nur funktioniert, wenn es nach Hause telefonieren darf).

Danke schonmal

Ok, sorry. RTFMF :=(
https://docs.opnsense.org/manual/how-tos/lan_bridge.html

Sorry, ich nochmal.
Ich habe jetzt eine Brige gebaut, die die 3 VLANs (alle mit dem Tag 101) enthält.
Bisher hatte ich jeden VLAN-Eintrag mit diesem Tag ein Interface angelegt. Soll ich jetzt löschen und stattdessen ein Interface für die Bridge anlegen?
>> Pack die Zuweisung "LAN" auf das Bridge-Interface
Das habe ich nicht kapiert.

Danke!

Wow, danke!