Irgendwo gibt es einen Haken wo man einstellen kann, das Kommunikation auf Bridges zugelassen werdenGesendet von meinem OnePlus 8t mit Tapatalk
Sorry war vorhin nur schnell am Handy geschrieben...Unter System -> Settings -> Tunables gibt es den Eintrag:net.link.bridge.pfil_memberSet to 0 to disable filtering on the incoming and outgoing member interfaces.default (1)Diesen würde ich mal auf 0 stellen.
Das Filtering im System habe ich auch schon auf das Bridgefiltering umgestellt, ohne Änderung.
Eventuell sollte zusätzlich erwähnt werden, dass der Accesspoint untagged im verkabelten VLAN und tagged im drahtlosen VLAN hängt. Könnte mir vorstellen dass dies zu Problemen führt?
D.h. alle WLAN-Clients setzen ein VLAN-Tag? Das kommt mir merkwürdig vor. Sicher, dass Du nicht umgekehrt meinst?
Was genau meinst Du mit "Bridge aus zwei VLANs"? Du bridgest zwei ungetaggted Ports Deiner OPNsense und die stecken in einem Port von irgendeinem Gerät in VLAN X (untagged)? Oder Du bridgest zwei VLAN-Interfaces (tagged)?
Wo steckt denn dann das phys. Parent-Interface drin, also in was für einem Gerät? Ist dort der Port auch als Trunk konfiguriert und beide VLANs liegen tagged an?
Und zu guter Letzt: was soll das? Wenn Du zwei VLANs (Broadcast Domains) bridgest, machst Du eine Broadcast Domain draus. Dann kannst Du Dir die VLANs auch sparen ...
Die Verarbeitung übernimmt der Accesspoint. Der Client bekommt basierend auf dem Netz in das er sich einwählt eine andere IP.
Wie bereits geschrieben, zwei VLAN Interfaces. Da gibt es kein tagged oder untagged. Am Switchport sind sie tagged, falls du das meinst.
Ich trunke doch nicht zwei unterschiedliche Netze - was soll das bringen?
OK, Switchport ist ein Trunk, die OPNsense hat zwei getaggte VLAN-Interfaces auf einem phys. Interface verbunden mit diesem.
Ein Trunk Port ist ein Port, der getaggte Frames transportiert. Ein ungetaggter Port ist ein Access Port.https://www.gns3network.com/switchport-mode-trunk-and-access/
Ich bin mir nicht sicher, ob eine Bridge über mehrere VLAN Interfaces unter FreeBSD überhaupt funktioniert. Was ich mit Sicherheit weiß, ist dass Du keinen ungetaggten Traffic auf dem Interface haben darfst und das dann in eine Bridge tun. Anders gesagt: phys. Interface in Bridge --> keine VLANs mehr auf demselben IF.
Wenn alles getaggt ist, was ich sowieso empfehlen würde, dann könnte es klappen mit Deiner Bridge. Ist das so?
Hast Du auf dem phys. Interface das Hardware Offloading aus?
Zwei VLAN-Interfaces auf zwei unterschiedlichen physikalischen Interfaces, um genau zu sein.Physikalische Interfaces sind aktiviert, aber nicht für IPv4 konfiguriert - VLAN Interfaces ebenfalls nicht. VLAN Interfaces sind zu einer Bridge verbunden, auf der IPv4 inkl. DHCP eingerichtet ist.
Das habe ich in dem Zusammenhang tatsächlich noch nie gehört - vielen Dank!Scheint auch aus dem Cisco Jargon zu kommen, vermutlich deswegen.
Der untagged Traffic vom Wifi über den AP wird doch wahrscheinlich vom AP mit einem Tag versehen und an den Switch übergeben. Das Interface ist ja auch tagged und gibt das dann an die Bridge weiter. Oder verstehe ich das falsch?
So ist es aus FreeBSD-Sicht richtig.
Da fehlt mir jetzt wieder was. Also ein WLAN ohne Tags ist einem VLAN zugeordnet. Z.B. n SSIDs, n VLANs. Dann Trunk-Port (im Cisco-Jargon) zum Switch. So weit klar. (denke ich)Wie geht es denn nun vom Switch zur OPNsense weiter? Dort brauchst Du ja jetzt auch einen Port, an dem die Frames getaggt an die OPNsense übergeben werden. Wenn nicht, dann darfst Du auf der OPNsense kein VLAN konfigurieren, aber das ist Dir sicher auch klar.
Also wenn Deine OPNsense genügend Interfaces hat - und Dein Switch auch - dann würde ich diese beiden VLANs einmal ungetaggt zu je einem Switchport rauströpfeln lassen ("Access Port") und mit je einem Port der OPNsense verbinden, ebenfalls ohne Tags. Und die beiden Ports bridgen. Das geht sicher. ...So würde ich versuchen, das aufzudröseln.
Quote from: pmhausen on September 15, 2021, 02:19:45 pmUnd zu guter Letzt: was soll das? Wenn Du zwei VLANs (Broadcast Domains) bridgest, machst Du eine Broadcast Domain draus. Dann kannst Du Dir die VLANs auch sparen ...Ich habe unterschiedliche Netze, die ich trennen möchte. Dazu gehören auch drei Wifi Netze mit verschiedenen Subnetzen. Ich möchte aber jeweils 1 kabelgebundenes und 1 kabelloses Netzwerk miteinander kombinieren und daraus ein Netz bauen.
Was mich allerdings wundert, ist die Tatsache, dass ich die Probleme erst seit der Umstellung auf einen HP Switch habe. Ich habe gerade alles wieder auf einen D-Link zurück gebaut, wo das ohne Probleme läuft.
Dann würde ich allerdings nicht auf der OPNsense sondern auf dem Switch anfangen zu suchen
Richte doch jeweils ein vlan für ein Wlan und zusätzlich ein vlan für die Adminstration des UAP ein.Auf dem UAP kannst du dann dem Wlan das gewünschte vlan zuweisen. Wenn du dann die Adressvergabe komplett über die opnsense machst, bist du mit geringem Aufwand fertig. So läuft es zumindest bei mir. Zusätzlich brauchst du dann nur noch eine Regel, die dir den Zugriff vom Rechner auf den UAP erlaubt.
