[Solved] VLAN Frage - oder wie kompliziert man es machen kann, um zu sparen :D

[inkasso]

Sorry schon vorab:
Wenn das hier die cracks lesen, gibts mit Sicherheit den einen oder anderen facepalm. Ich frage dennoch ernsthaft - allein weil ich jetzt wissen will, ob das, was ich mir in den Kopf gesetzt habe überhaupt geht.

Ich habe eine opnSense 21.1.6 mit 4 physischen Ports, ein Satellitenmodem und einen unmanaged Switch ohne VLAN Fähigkeiten im Arbeitszimmer. Im Wohnzimmer gibts dann noch einen managed Switch mit VLAN Fähigkeit und hinter diesem eine FritzBox 7490 die Festnetz-DSL macht.

Zwischen Arbeitszimmer und Wohnzimmer habe ich leider nur EIN LAN Kabel und zumindest aktuell geht es nicht ohne die Fritzbox ins Internet... (bis die endlich FTTH anschalten hier - liegen tuts schon). Ferner wird aktuell das WLAN der Fritzbox genutzt.

Plan: trotzdem alles über die opnSense ins Internet schieben.

Konfiguration der Sense:
Port 1 steckt am Kabel zum Wohnzimmer
VLAN Trunk auf Port 1: 1,7,37
Port 2 steckt am unmaneged Switch im Arbeitszimmer
Port 4 steckt am Satellitenmodem im Arbeitszimmer

Port1 VLAN 37 + Port 2 sind als Bridge Device gekoppelt.
(Hier sehe ich mein aktuelles Problem!)

Im Wohnzimmer macht der dortige Switch dann aus dem Trunk wieder einzelne Ports. VLAN 7 geht untagged auf den Gastzugang-Port der Fritzbox der nur ins Internet kann.
VLAN 37 wird vom Tag befreit und geht an einen der nicht-Gast-Ports der Fritzbox.

Mal sehen, ob ich das morgen noch vernünftig aufgemalt bekomme, aber vielleicht winkt mir ja vorher schon wer mit dem Zaunpfahl.

Die Geräte aus dem WLAN (sowie auch ein kabelgebundenes im Wohnzimmer) können nicht mit den LAN Geräten im Arbeitszimmer kommunizieren (und umgekehrt). Ich gehe gerade stark davon aus, dass meine Bridge zwar die Netzwerke im Arbeitszimmer und im Wohnzimmer miteinander verbindet - da ich aber auf Port 2 der Sense kein VLAN laufen habe (der Switch im Arbeitszimmer kann ja keins) bleiben die Geräte trotz der Bridge getrennt.

Frage wäre: kann man in der opnSense wie bei einem VLAN Switch einstellen, dass der Port 2 ein untagged VLAN sein soll? Also quasi Übersetzen das alles was da rein kommt als Inhalt aus VLAN 37 anzunehmen ist...
Wenn ich da ein VLAN drauflege, ist es ja nur ein virtuelles Device, was auf das VLAN reagiert, wenn entsprechend getaggte Pakete reinkommen...

Alternative Lösungsvorschläge ohne Neukauf von Hardware nehme ich auch
Ich bin da nicht zu geizig, nur einen 32Port managed Switch für einen temporären Aufbau kaufe ich dann auch nicht "mal so". Sobald die Glasfaser läuft, dreh ich hier nochmal alles auf Links und dann reicht ein einzelner VLAN fähiger Switch völlig aus.

Danke an alle, die es zumindest versuchen mir zu helfen.
(und nu geh ich mich schämen, weil ich sowas verusche )

Gruß

Manuel

[inkasso]

Jetzt auch mit Plan.

Ich habe zum Vereinfachen das VLAN 37 gestrichen. Das interne Netzwerk läuft jetzt komplett ohne VLAN (was ja VLAN ID 1 bedeutet soweit ich mich erinnere).

In den Tunables der opnSense ist eingestellt, dass die Firewall auf der Bridge operiert und nicht auf den Schnittstellen der Bridge.

Aktuell haben alle Geräte funktionierendes Internet über opnSense => VLAN 7 => Netgear => Fritzbox (LAN4 Gast). Also alles ausm Wohnzimmer kommt zumindest bis zur opnSENSE. Leider können aber die Geräte aus beiden Räumen immer noch nicht untereinander kommunizieren und ich sehe nicht, wo es hakt.

Nach meinem Verständnis müssten sich 2 Ports die Bestandteil einer Bridge sind doch so verhalten, wie 2 Ports die an einem Switch im gleichen VLAN stecken?

[Patrick M. Hausen]

Du musst das VLAN 1 auf Port 1 und den Port 2 ohne Tags in eine Bridge stecken. Ist das so der Fall? Wenn Du den Port 2 getaggt betreibst, ist das der Fehler.

[inkasso]

Ich muss wirklich explizit das VLAN Tag 1 nehmen um dem Adapter zu sagen, dass es sich um das Standard-LAN handeln soll?

Probier ich gleich aus, aber das hätt ich nie erwartet.
Hier mal die Screenies von der aktuellen Konfiguration der Devices.

Ok... Ich hab igb0 gegen igb0_vlan1 in der Bridge getauscht.
Resultat: Wohnzimmer kommt nicht mehr ins Internet und von beiden Seiten aus kann man die jeweils andere nicht erreichen. Das war leider nix :-/

[Patrick M. Hausen]

Nein, du darfst auf dem Port 2 kein Tag haben. Und den ungetaggten Port 2 bridgest Du mit dem VLAN 1 auf Port 1.
Das war aus Deiner Beschreibung nicht klar ersichtlich, deshalb wollte ich das nochmal explizit hinschreiben.

Alles, was an Port 2 hängt, hat ja keine Ahnung von VLAN Tags.

[inkasso]

Oh, da hätte ich Reload drücken sollen bevor ich antworte...
Siehe oben - wenn ich dich richtig verstanden hab, hab ich es ausprobiert wie du meintest und das hat es nur schlimmer gemacht.

Vielleicht verwirrt dich dieses ganze VLAN 1 gerede auch nur, weil der Switch das ganz stink normale LAN (ohne VLAN Tags) immer als VLAN ID 1 bezeichnet. Der Trunk is also aus "gewöhnlichem LAN" und zusätzlich VLAN 7.

[Patrick M. Hausen]

*never* mix tagged and untagged frames on one interface.

Es funktioniert nicht. Behandle den Trunk-Port so, dass es dort nur getaggten Traffic gibt. Sobald Du ein phys. Interface in eine Bridge packst, funktionieren VLANs auf diesem phys. Interface nicht mehr.

Wer untagged auf einem Trunk-Port erlaubt hat, gehört erschossen. Ein absolut schwachsinniger Teil des Standards.

Trunks sind Trunks. Access-Ports sind fest einem VLAN zugeordnet. Fertig. Praktisch jeder Switch macht das so.

In FreeBSD legst Du über ein phys. Interface Dein VLAN, und um dann ein zweites Interface als Access-Port in dasselbe VLAN zu packen, legst Du eine Bridge über das VLAN und das phys. Access-Interface.

Hoffe, ich hab mich klar ausgedrückt.

BTW: wenn Du auf einem Port, der in einer Bridge ist, in FreeBSD eine IP-Adresse hast oder mehrere, dann müssen diese Adressen vom phys. oder VLAN auf die Bridge verschoben werden. Müssen. Multicast ist kaputt, sonst. Merkt man mit v4 nichts sehr, aber mit v6 garantiert.

[inkasso]

Aber so hatte ich es ja vorher und da lief es auch nicht.
Ich hab den Trunk ursprünglich aus 7 und 37 gemacht.

Auf der Sense hatte ich eine Bridge aus Port1 VLAN 37 und Port 2 (ohne VLAN). Lief genauso nicht wie jetzt?!
Kann ich gern nochmal versuchen - muss dafür aber natürlich erstmal wieder an den Switch kommen (per Laptop und Kabel - weil der ist aktuell nicht zu managen sonst).

Und IPv6 ist bei mir komplett aus. Da solte also kein Problem her kommen.

[inkasso]

Genau wie vermutet:

Nach der Umstellung ist die Situation unverändert.

igb0 VLAN 37 + igb1 (ohne VLAN) => Bridge => Internes Netz
Am Switch ist VLAN 7 und 37 im Trunk und der Port der zur FritzBox geht ist Untagged 37
Internet geht von beiden Räumen aus, aber man kann den jeweils anderen Raum nicht erreichen.

Hab sicherheitshalber sogar die Firewall mal neu gebootet, weil ich auch schon mal bei einem anderen Gerät erlebt hab, dass alles richtig eingestellt war, aber sich scheinbar doch noch irgendwo was verklemmt hatte.

[inkasso]

Ich hab das Problem heute per Zufall entdeckt. Und ich denke, deine Hinweise, was ich ändern muss, haben da mitgehofen, also vielen Dank!

Heute früh hab ich mir die Gadgets auf dem Dasboard angesehen, weil ich sehen wollte, was ich behalte und was ich wieder rauswerfe - ist ja ne neue Sense, die ich in Betrieb genommen hab. Dabei huschte in dem Moment, wo ich draufgeguckt habe, beim "Firewall Log" eine geblockte Anfrage mit einer IP durch, von der ich wusste, dass sie zum WLAN gehört.

Anfangs hatte ich eine Blockade durch die Firewall vermutet, aber es gab keine Meldungen -> daher die Vermutung, dass erst noch die Änderungen nötig waren, zu denen du mir geraten hast. Ich hab nun eine Regel für das Bridge Interface hinzugefügt Quelle internes Netz - Ziel internes Netz - alles - erlauben. Auf einmal gehts 

Hast mir ein Wochenende gerettet, an dem ich sonst in Affenhitze über der Maschine gebrütet hätte um das Problem endlich zu lösen.