Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - mfreudenberg

Pages1
#1
German - Deutsch / Re: Probleme mit DNS + VLAN + Managed Switch
Today at 09:23:05 PM
Ping-Tests
Ping auf die Switch-IP geht
Code Select
PING 172.17.50.254 (172.17.50.254) 56(84) Bytes an Daten.
64 Bytes von 172.17.50.254: icmp_seq=1 ttl=254 Zeit=6.30 ms
64 Bytes von 172.17.50.254: icmp_seq=2 ttl=254 Zeit=11.1 ms
64 Bytes von 172.17.50.254: icmp_seq=3 ttl=254 Zeit=6.43 ms
64 Bytes von 172.17.50.254: icmp_seq=4 ttl=254 Zeit=4.74 ms

Ping auf die OPNSense-Client-IP geht (mit pfctl -d)
Code Select
PING 172.17.50.253 (172.17.50.253) 56(84) Bytes an Daten.
64 Bytes von 172.17.50.253: icmp_seq=1 ttl=64 Zeit=2.54 ms
64 Bytes von 172.17.50.253: icmp_seq=2 ttl=64 Zeit=2.34 ms
64 Bytes von 172.17.50.253: icmp_seq=3 ttl=64 Zeit=1.91 ms

Ping auf OPNSense-WAN Adresse geht (mit pfctl -d)
Code Select
PING 192.168.127.9 (192.168.127.9) 56(84) Bytes an Daten.
64 Bytes von 192.168.127.9: icmp_seq=1 ttl=64 Zeit=35.9 ms
64 Bytes von 192.168.127.9: icmp_seq=2 ttl=64 Zeit=5.31 ms
64 Bytes von 192.168.127.9: icmp_seq=3 ttl=64 Zeit=5.87 ms

Ping auf Fritz!Box geht (mit pfctl -d)
Code Select
PING 192.168.127.1 (192.168.127.1) 56(84) Bytes an Daten.
64 Bytes von 192.168.127.1: icmp_seq=1 ttl=63 Zeit=5.41 ms
64 Bytes von 192.168.127.1: icmp_seq=2 ttl=63 Zeit=5.03 ms
64 Bytes von 192.168.127.1: icmp_seq=3 ttl=63 Zeit=5.21 ms

Ping auf 1.1.1.1 geht scheinbar nicht
Code Select
PING 1.1.1.1 (1.1.1.1) 56(84) Bytes an Daten.
^C
--- 1.1.1.1 Ping-Statistiken ---
62 Pakete übertragen, 0 empfangen, 100% packet loss, time 62493ms

Diverse nslookup's
Der Client verwendet den OPNSense-DNS 172.17.50.253 (wird via DHCP bereitgestellt)
Code Select
nslookup heise.de
;; Got SERVFAIL reply from 127.0.0.53
Server: 127.0.0.53
Address: 127.0.0.53#53

---

nslookup heise.de 172.17.50.253
;; Got SERVFAIL reply from 172.17.50.253
Server: 172.17.50.253
Address: 172.17.50.253#53

** server can't find heise.de: SERVFAIL

---

nslookup heise.de 1.1.1.1     
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out
;; communications error to 1.1.1.1#53: timed out
;; no servers could be reached
#2
German - Deutsch / Probleme mit DNS + VLAN + Managed Switch
Today at 07:04:58 PM
Hallo Zusammen,

Das ist mein erster Post hier. Ich habe versucht einen passenden Beitrag zu finden, aber nichts, was zu 100% passt. Daher mein Post. Ich bin noch kompletter OPNsense Neuling, betreibe aber schon seit Jahren ein Homelab mit einer Fritz!Box. Nun wollte ich mein Homelab mit einem managed Switch und OPNSense auf das nächste Level heben.

Ich versuche seit Tagen mein OPNSense mit meinem managed Switch zum laufen zu bekommen. Leider habe ich ein Problem mit der DNS-Auflösung. Ich erhalte zwar innerhalb der VLANs eine IP-Adresse via DHCP, aber die Namensauflösung klappt leider nicht. Ich kann die VLAN-Adresse des OPNSense anpingen, aber ein nslookup schlägt fehl. Ebenfalls ein `nc -vzw 4 <ip-des-opnsense> 53` läuft in einen timeout. Ich nutze für das Debugging ein Arch-Linux Laptop, der sowohl via WLAN (via Port 5), als auch via LAN (Port 3) an den Switch angebunden werden kann. Beim AP handelt es sich um einen TP-Link EAP653, der auch VLAN-Fähig ist und die passenden VLANs konfiguriert hat.

Ich habe ein Zyxel XGS1935 und eine OPNSense in einer VM auf einem Proxmox-Server installiert. Anbei eine kleine Skizze des Netzwerks


Ich habe die folgenden VLANs im Switch konfiguriert:

VLAN1  Management
VLAN20 Heimautomation
VLAN50 Clients

Im folgenden gebe ich nur die Konfigurationsdetails für das VLAN50 aus. Die anderen VLANs identisch konfiguriert und zeigen gleiche Symptome.

In OPNSense habe ich die folgenden VLANs eingerichtet:

Code Select
vlan0.01 [MGMT] vtnet1 (mac-adresse) [LAN] 1 Best Effort (0, default)
vlan0.50 [Clients] vtnet1 (mac-adresse) [LAN] 50 Best Effort (0, default) Internet
vlan01.20 [Heimautomation] vtnet1 (mac-adresse) [LAN] 20 Best Effort (0, default) Heimautomation



Hier beispielhaft die Konfiguration für das Client-Interface (VLAN50) in OPN-Sense.

Code Select
## Basic Configuration
Enable [x] Enable Interface
Lock [x] Prevent interface removal
Identifier opt3
Device vlan0.50
Description Clients

## Generic configuration
Block private networks [ ]
Block bogon networks [ ]
IPv4 Configuration Type Static IPv4
IPv6 Configuration Type None
MAC address [...]
Promiscuous mode [ ]
MTU [...]
MSS [...]
Dynamic gateway policy [ ] This interface does not require an intermediate system to act as a gateway

## Static IPv4 configuration
IPv4 address 172.17.50.253
IPv4 gateway rules Disabled

Hier die Firewall-Regeln für das Client-VLAN50:

Code Select
IPv4 TCP Clients net * Clients address 443 (HTTPS) * * Allow OPNSense HTTPS-Webfrontend from Clients-Net (debugging)
IPv4 * Clients net * * * * * -
IPv4 TCP Clients net * WAN net 443 (HTTPS) * * -
IPv4 TCP/UDP Clients net * WAN net 53 (DNS) * * -
IPv4 TCP/UDP Clients net * Clients address 53 (DNS) * * Allow access to DNS-Servers on the Internet
IPv4 * Clients net * ! PrivateNetworks  * * * Default allow LAN to any rule

Zum Schluss noch die Switch-Konfiguration

VLAN-Setup für VLAN50

Code Select
| Port | VLAN-Member | Tagging    |
| ---- | ----------- | ---------- |
| 1    | 50          | Tx Tagging |
| 2    | -           | -          |
| 3    | 50          | -          |
| 4    | 50          | -          |
| 5    | 50          | Tx Tagging |

Port-Belegungen für VLAN50
Code Select
VLAN50
---
Ports: 2 4 6
Ports: 1 3 5
T/U: - U T
T/U: T U T

Habt ihr eine Idee, was das Problem sein könnte, oder wo ich suchen kann?

Ich habe das Gefühl, dass der Switch korrekt konfiguriert ist. Immerhin kommt ein Ping zum OPNSense durch.

Danke und Grüße,
Michael;
Pages1