VLAN: DCHP klappt, sonst aber nichts [**GELÖST**]

[Istrice]

Hallo,

mein aktuelles Problem mit OPNsense (bzw. mit dem Switch - da bin ich mir nicht sicher) sieht so aus:

In OPNsense (23.7.5) sind mehrere Interfaces mit VLAN-ID 101 konfiguriert (also jeweils vlanXX mit dem Port als Parent, dann das zugehörige Interface).
Mehrere von diesen Interfaces sind mit einer Bridge verbunden. Die Bridges haben eine IPv4 mit einem /24er Bereich konfiguriert, als Upstream Gateway ist auto detect eingestellt.
Die Bridges haben aktuell als Firewall-Regel nur eine pass all Regel gesetzt.
Das habe ich einmal untagged bzw. mit VLAN-ID 1 konfiguiert und dann nochmal mit der 101.
Auf der Bridge für das 101er VLAN ist ein DHCP-Server konfiguriert.

An einem der Ports (auf dem die VLANS 1 und 101 liegen) ist ein Zyxel XGS1210-12 Switch angeschlossen (Port zu OPNsense Hardware: PVID 1, VLAN 1 Untag Egress, VLAN 101 Tag Egress).
Auf den Ports des Switch, auf denen PVID 1 / VLAN 1 Untag Egress gesetzt ist, funktioniert alles wie es soll.

An dem Port des Switchs, an dem ich das 101er VLAN ausleiten will, komme ich nicht weiter. Laut den Infos von der Zyxel-Website ist der Port korrekt konfiguriert (PVID 101, VLAN 101 Untag Egress).
Ein an diesem Port angeschlossener Rechner erhält via DHCP von OPNsense eine IP-Adresse im erwarteten Bereich. Aber das ist alles, was klappt. Nicht mal ein Ping auf die Adresse der Bridge für das 101er VLAN klappt, der Zugriff aufs Internet natürlich auch nicht.
In der ARP-Table auf der OPNsense sehe ich diesen Rechner.
Ein Capture auf allen in Frage kommenden Interfaces zeigt keine Pakete.

Sorry für den vielen Text, aber ich konnte das nicht kürzer beschreiben. Ich weiß im Moment nicht, wo ich noch suchen kann bzw. woher dieses Verhalten kommt...

Danke.

[Pixelpeter]

Hallo,


Was sagt das firewall log auf opnsense (Firewall->LiveView)?
Kann es sein das hier was geblockt wird?
Eine kleines Topologiebild wäre schön.


Peter

[Istrice]

Hi,

danke. Es kommt hier gar nichts an, wenn ich auf das Interface oder die Bridge filtere.

Und das verstehe ich jetzt schon überhaupt nicht mehr: wenn ich von dem Rechner im VLAN 101 dauerpinge, dann sehe ich die Pakete. Aber nicht auf der Bridge, die ich über die Interfaces mit dem VLAN 101 eingerichtet habe, sondern auf der Bridge, die ich über einige andere (ungetaggte) Interfaces angelegt habe.
Aber warum wird der richtige DHCP-Server gefunden?

Und das kapiere ich auch nicht: ein capture auf alle Interfaces ICMP bei laufendem Dauerping auf dem Rechner im VLAN 101 zeigt kein Pakte von diesem Rechner an. Unter Firewall->Logs->LiveView sehe ich die Pakete, aber halt auf dem falschen Interface.
Ich kapier's nicht...

Viele Grüße
Michael

[Patrick M. Hausen]

Mal bitte ein Netzwerk-Digramm. Ich werde aus der Beschreibung nicht schlau.

[Istrice]

Ok, ich versuch's mal mit einem Diagramm.
Bitte nicht über die 10er Netze mit /24 Bereichen wundern, ich wollte nur Luft nach oben haben, wenn's nötig werden sollte.

      WAN / Internet
            :
            : Cable
            :
      .-----+------.
      |  Gateway   |  Fritz!Box 6951 (OS 7.57)
      '-----+------'
            | 10.254.0.253 (IP der Fritz!Box)
        LAN 10.254.0.0/24 
            | 10.254.0.250 (IP des Interfaces 1_KabelBoxNetz)
      .-----+------.
      |  OPNsense  | 4 Ethernetports, hier nur der zum Zyxel Switch führende dargestellt
      '-----+------'
            |
        LAN | 10.0.0.1/24
       VLAN | 10.101.0.1/24 (VLAN ID 101)
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients)

Gateway: KabelboxGateway Interface 1_KabelBoxNetz, IP 10.254.0.253
Interfaces:
1_KabelBoxNetz auf igc0/wan, 10.254.0.250/24, IPv4 Upstram Gateway: KabelboxGateway
2_Firma auf igc1/lan, IPv4/6: none
3_FirmaZumSwitch auf igc2/opt16, IPv4/6: none
3_IoTZumSwitch auf vlan02/opt2, IPv4/6: none
4_IoTZumPoESwitch auf vlan04/opt4, IPv4/6: none
IF_BridgeFirma auf bridge3/opt15 , IPv4: 10.1.0.244/24
IF_BridgeIoT auf bridge0/opt11, IPv4: 10.101.0.254/24

VLAN:
device: vlan02, Parent: igc2, Tag: 101
device: vlan04. Parent: igc3, Tag: 101

Bridges:
Bridge_IoT: Interfaces: 3_IoTZumSwitch, 4_IoTZumPoESwitch (bridge0)
Bridge_Firma: Interfaces: 2_Firma, 3_FirmaZumSwitch (bridge3)

DHCPv4:
IF_BridgeIoT: Range 10.101.0.1 - 10.101.0.229, Gateway 10.101.0.254

Der Zyxel-Switch ist an den phys. Port igc2 des OPNSense-Routers angeschlossen. Das zum Testen verwendete Notebook hängt am Port 11 des Zyxel-Switch  (PVID 101, VLAN 101 Untag Egress).
DHCP funktioniert, das Notebook erhält eine gültige IP-Adresse (10.101.0.2). Wenn ich die Lease lösche und das Notebook erneut verbinde, wird eine neue Lease vergeben.
Außer DHCP funktioniert nichts, kein Ping usw.
Ansonsten habe ich oben einge Beobachtungen beschrieben.

Ach ja, was will ich erreichen:
im Netz hinter der Fritz!Box (10.254.0.0/24) sitzt der ganze private Entertainment-Kram, die Handys hängen am Fritz!Box-WLAN.
Der Router greift über die Fritz!Box aufs Internet zu, soll Zugriffe aus dem Fritz!Box-Netz blocken. Hinter dem Router soll ein Netz für's berufliche (soll an igc1 und igc2 zur Verfügung stehen) und ein Netz für IoT-Devices (VLAN 101 an igc2 und igc3) sitzen, die voneinander isoliert sind.


Danke für's Lesen.
Michael

[Patrick M. Hausen]

LAN (untagged?) und VLAN 101 beide dieselbe Adresse? Oder ist LAN dem VLAN 101 zugeordnet (Interfaces > Assignments)?

Wenn das VLAN eine Schnittstelle zusätzlich zu dem LAN ist, dann brauchts da natürlich eine Firewall-Regel analog der auf LAN. Die ist im Auslieferzustand nur auf LAN schon vorhanden, für alle neuen Schnittstellen muss man die selbst anlegen. DHCP funktioniert, weil die Regeln dafür automatisch angelegt werden.

[Istrice]

Sorry, da war ein Typo drin, ist im Diagramm korrigiert, da haben sich unsere Aktionen überschnitten.
LAN ist untagged.
Und vielen Dank für den Tipp. Ich muß mir also die automatischen Firewall-Regeln von lan anschauen und entsprechend anlegen?

Muß jetzt weg, bin aber später wieder daran und werde berichten.

[Patrick M. Hausen]

Ja, nicht die automatischen, sondern die eine manuelle aber vordefinierte. Wenn die in einer frischen Installation nicht drin wäre, käme man ja nirgendwohin.

Und besser tagged und untagged nicht mischen. Du kannst das VLAN 1 zwischen Switch und OPNsense auch tagged fahren. Als PVID am Switch (bei Cisco und anderem Enterprise-Gear "native VLAN" genannt) nehme ich immer 1001 und habe das sonst nirgends anliegen.

Hintergrund: mischen kann auf einer Software-Firewall zu komischen Effekten mit DHCP oder IDS/IPS führen. Ports sollten entweder ganz untagged oder ganz tagged sein.

[Istrice]

Hallo Patrick,

herzlichen Dank für Deine Hilfe, jetzt funktionieren die VLANs wie gewünscht.
Das Problem waren nicht die Firewall-Regeln (da greifen die von mir hinterlegten pass all Regeln).
Der Bringer war der Hinweis, tagged und untagged auf einem Port nicht zu mischen.
Das bisher ungetaggte "VLAN" für die Firma habe ich jetzt mit der VLAN-ID 100 getaggt, weil die ID 1 bei manchen Switches eine spezielle Funktion zu haben scheint bzw. (korrigiere mich hier bitte gerne) wie ungetaggt behandelt wird.
Anyway, es klappt!

Schönen Feiertag!