Probleme mit VLANs

[rblztomek]

Hallo zusammen,

ich bin neu im Thema Firewalls und beschäftige mich aktuell mit der VLAN-Konfiguration. Dabei bin ich auf ein Problem gestoßen, bei dem ich aktuell nicht weiterkomme.

Mit meiner jetzigen Konfiguration kann ich nicht auf das VLAN zugreifen. Ich vermute, dass es sich um einen Anwendungsfehler meinerseits handelt – vielleicht erkennt jemand von euch mit mehr Erfahrung den Fehler.

Meine Konfiguration in OPNSense:

VLAN:
Tag: 50
Name: vlan01
VLAN-Schnittstelle:
Aktiviert
Statische IP: 10.110.0.1/24
Zugewiesen zur physischen Schnittstelle re02 (LAN oder WAN sind nicht auf der selben Schnittstelle)
IPv6 deaktiviert
Firewall-Regeln:
In/Out: auf ,,any" (zu Testzwecken)

Hinweis:
Ich kann das Gateway (10.110.0.1) aus dem Default-Netz erfolgreich pingen.

Switch-Konfiguration:

802.1Q VLAN aktiv
Port 1–3: ungenutzt / PVID 1
Port 4: Access-Port, PVID 50 (PC angeschlossen)
Port 5: Trunk-Port, PVID 1, VLAN 50 tagged (Verbindung zu re02)

DHCP:

Aktiv auf der VLAN-Schnittstelle
Adressbereich: 10.110.1.2 – 10.110.1.254

Ich freue mich über jeden Hinweis oder Denkanstoß!

Vielen Dank im Voraus

[viragomann]

Hallo,

Port 4: Access-Port, PVID 50 (PC angeschlossen)

muss abgesehen davon nicht das VLAN auf dem Port als untagged definiert werden?

PVID sorgt normalerweise nur dafür, dass eingehende Pakete getaggt werden, was auch nötig, aber eben nur die halbe Miete ist.

[meyergru]

Vergleich mal:

VLAN:
Tag: 50
Name: vlan01
VLAN-Schnittstelle:
Aktiviert
Statische IP: 10.110.0.1/24

Aktiv auf der VLAN-Schnittstelle
Adressbereich: 10.110.1.2 – 10.110.1.254

[rblztomek]

Entschuldige bitte die Angabe eines falschen IP-Adressbereichs im DHCP – das war ein Fehler in der Beschreibung. In OPNsense befindet sich der DHCP-Adressbereich tatsächlich im selben Subnetz wie das Gateway.

Die Kommunikation funktioniert allerdings auch dann nicht, wenn ich mir die IP-Adresse manuell vergebe.

Zum Testen verwende ich aktuell nur einen kleinen UGREEN webmanaged Switch. Dort habe ich leider nur eingeschränkte Konfigurationsmöglichkeiten:

Entweder kann ich einen Port als Tagged-Port konfigurieren, wenn die Port Art auf Trunk steht.
Oder eine PVID setzen, wenn der Port auf Zugriff steht.

Eine wirklich ,,untagged" Konfiguration lässt sich dort leider nicht einstellen.

Der Standard soll, aber IEEE 802.1Q sein.

[viragomann]

Zum Testen verwende ich aktuell nur einen kleinen UGREEN webmanaged Switch. Dort habe ich leider nur eingeschränkte Konfigurationsmöglichkeiten:

Entweder kann ich einen Port als Tagged-Port konfigurieren, wenn die Port Art auf Trunk steht.
Oder eine PVID setzen, wenn der Port auf Zugriff steht.

Dann macht er das wahrscheinlich automatisch.

Zum Testen lass mal den Switch weg und verbinde den Rechner direkt mit OPNsense. In der Netzwerkkonfiguration des Rechners musst du dann das VLAN einstellen.

[rblztomek]

Selbst wenn ich das VLAN manuell in den Adaptereigenschaften von Windows konfiguriere, lässt sich keine Verbindung herstellen.

Auch bei einer direkten Verbindung – also ohne den Switch dazwischen, direkt an der OPNsense – kommt keine Kommunikation zustande.

[viragomann]

Es gibt da bekannte Probleme mit VLANs auf Realtek Schnittstellen auf OPNsense (bzw. FreeBSD allgemein). Dazu kann ich aber nichts Genaueres sagen. Ich hab diese immer gemieden.
Im Forum gibt es aber einige Threads dazu. Vielleicht trifft das hier zu.

Ich glaube gelesen zu haben, dass ein spezieller Treiber verfügbar ist, der Probleme behebt.

[rblztomek]

Vielen Dank!

Meine Lösung bestand darin, das Plugin os-realtek-re zu installieren und anschließend die Firewall neu zu starten.
Ein großes Dankeschön an euch – ich bin wirklich positiv überrascht, wie schnell und professionell mir geholfen wurde.

Ich wünsche euch noch einen schönen Tag!

[viragomann]

Toll dass du es so rasch beheben konntest.

Wünsche dann noch gutes Gelingen für deine weiteren Vorhaben mit OPNsense!