OpnSense Bridge Ports haben untereinander keine Verbindung

[Spacer]

Ähnlich wie in diesem Thread (https://forum.opnsense.org/index.php?topic=33621.0), habe ich eine Bridge für ein LAN erstellt, um mir ein zusätzliches Switch für dieses LAN zu sparen. In der Bridge habe ich die weiteren freien physikalischen Ethernet Ports der Firewall zusammengefasst, damit ich z.B. einen Drucker über die Bridge von einem Client PC aus nutzen kann.

Die Bridge habe ich nach der Anleitung von OpenSense erstellt. Leider kann ich den Drucker nicht anpingen!

Bedauerlicherweise ist der Tipp aus dem Thread auch offensichtlich fehlerhaft, dass die Option "enable link-local address" in den Einstellungen der Bridge gesetzt werden muss. Nachdem ich das gelesen und eingestellt habe, war ich von der OpenSense ausgesperrt und ich musste eins der vorigen Backups einspielen, um wieder auf die OpenSense zu kommen.

Ansonsten funktioniert die Bridge auf allen Ports der Firewall, wenn ich z.B. mit dem Client PC alle Ports der Firewall nach und nach umstecke und durchprobiere. Offensichtlich kennen sich die Ports nicht untereinander.

Oder muss ich dazu erstmal eine Regel erstellen?
Wenn ja, dann wäre die Aussage (aus dem Netz...) das sich so eine Bridge wie ein Switch verhält ja nicht richtig.

[Patrick M. Hausen]

Du musst nur die Anleitung befolgen, speziell die beiden Tunables in Schritt 6 setzen:
https://docs.opnsense.org/manual/how-tos/lan_bridge.html#step-six

[Spacer]

Du musst nur die Anleitung befolgen, speziell die beiden Tunables in Schritt 6 setzen:

Schrieb ich ja schon, dass ich das nach dieser Anleitung genau befolgt habe und es geht trotzdem nicht.

[Patrick M. Hausen]

Und du hast unter Interfaces > Assignments dem LAN die Bridge zugewiesen? Und nach dem setzen der Tunables rebootet?

Wenn alles ja, poste doch mal die Ausgabe von "ifconfig". Die Bridge funktioniert, überhaupt kein Problem von gewissen Einschränkungen (z.B. keine VLANs) abgesehen.

[meyergru]

In der Bridge habe ich die weiteren freien physikalischen Ethernet Ports der Firewall zusammengefasst, damit ich z.B. einen Drucker über die Bridge von einem Client PC aus nutzen kann.

Diese Formulierung legt nahe, dass entweder einer der Ports vorher schon eine IP hatte und diese deshalb jetzt nicht der Bridge selbst zugewiesen werden kann (zumindest nicht ohne Klimmzüge bzw. kurzzeitigem Verlust der Konnektivität) oder, dass die neuen Interfaces zwar eine Bridge bilden, diese aber nicht im selben Subnetz wie das (ungebridgte) LAN-Interface liegt. Ohne zusätzliche Regeln kann man darauf natürlich nicht so einfach zugreifen.

[Bob.Dig]

damit ich z.B. einen Drucker über die Bridge von einem Client PC aus nutzen kann.

Das kannst Du auch in einem anderen Subnet.

[Spacer]

Und du hast unter Interfaces > Assignments dem LAN die Bridge zugewiesen? Und nach dem setzen der Tunables rebootet?

Ja und Ja

Wenn alles ja, poste doch mal die Ausgabe von "ifconfig"

hier die Ausgabe von ifconfig (ich gehe mal davon aus, dass die MAC Adressen nicht benötigt werden..):

Code: [Select]

igb0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: OPT1 (opt1)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f0
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb1: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: WAN (wan)
        options=4900028<VLAN_MTU,JUMBO_MTU,NETMAP,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f1
        inet 192.168.2.xxx netmask 0xffffff00 broadcast 192.168.2.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb2: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: OPT2 (opt2)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f2
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb3: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: OPT3 (opt3)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f3
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb4: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: OPT4 (opt4)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f4
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb5: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: OPT5 (opt5)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f5
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb6: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f6
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb7: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f7
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=1008049<UP,LOOPBACK,RUNNING,MULTICAST,LOWER_UP> metric 0 mtu 16384
        options=680003<RXCSUM,TXCSUM,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 xxxx::xxxxx prefixlen 64 scopeid 0x9
        groups: lo
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
enc0: flags=0 metric 0 mtu 1536
        options=0
        groups: enc
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
pflog0: flags=20100<PROMISC,PPROMISC> metric 0 mtu 33152
        options=0
        groups: pflog
pfsync0: flags=0 metric 0 mtu 1500
        options=0
maxupd: 128 defer: off version: 1400
        syncok: 1
        groups: pfsync
bridge0: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: LAN (lan)
        options=0
        ether xx:xx:xx:xx:xx:xx
        inet 192.168.3.254 netmask 0xffffff00 broadcast 192.168.3.255
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: igb5 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 6 priority 128 path cost 2000000
        member: igb4 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 5 priority 128 path cost 200000
        member: igb3 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 4 priority 128 path cost 2000000
        member: igb2 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 3 priority 128 path cost 20000
        member: igb0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 1 priority 128 path cost 2000000
        groups: bridge
        nd6 options=9<PERFORMNUD,IFDISABLED>

[Patrick M. Hausen]

Und du hast die "allow all" Regel auf LAN auch noch? Dann müssen alle Geräte an igb0/2/3/4/5 miteinander reden können. Prüf nochmal die Tunables.

[Spacer]

Und du hast die "allow all" Regel auf LAN auch noch? Dann müssen alle Geräte an igb0/2/3/4/5 miteinander reden können.

Jau, das wars! Habe die LAN Regeln noch mal überprüft und die "allow all" Regel hatte ich durch eigene ersetzt und da fehlte dann die Logik, dass die Schnittstellen dann alle untereinander kommunizieren können. Wenn ich das irgendwann wieder individuell anpassen will, muss ich mir mehr Gedanken dazu machen..

Damit wäre diese Sache dann gelöst. Vielen Dank!

[Patrick M. Hausen]

Es ist ein bißchen unintuitiv. Bei einem System mit einem richtigen Switch-Chip drin, wäre die Kommunikation der Geräte untereinander nicht von Layer 3 Firewall-Regeln abhängig sondern erst Verbindungen, die über den "Router-Teil" des Geräts weitergeleitet werden. Mikrotik hat z.B. so eine Architektur.

Aber die FreeBSD-Bridge ist eben auch nur ein Behelfs-Switch. Das was sie dokumentiert kann, funktioniert aber. Deshalb verstehe ich das Bashing, das ich hier manchmal lese, nicht ganz.

Ich finde es völlig ok, zu erwarten, dass man eine OPNsense mit 1 WAN und 5 LAN Ports aufsetzen kann. Kann jedes Plastik-Router-Teil ja auch.