Fritzbox in VLAN hängen aber richtig

[0zzy]

Moin zusammen,
ich bin hier am verzweifeln.

Ich habe folgendes Szenario:

alles was die fritzbox betrifft soll in ein eigenes VLAN.
Die Fritz!Box ist nur als IP Client konfiguriert und bezieht ihre IP via DHCP von der Sense.

Dazu habe ich ein Interface im VLAN Menü names WIFI auf vlan0.20 erstellt.

In meinem Netgear Switch habe ich dazu das VLAN 20 erstellt und den Ports jeweils die PVID20 zugeteilt.

Nun ist es so das ich zwar die leases im DHCP sehe, mich jedoch nicht auf die fritzbox verbinden kann, sowie das die fritzbox keine anfragen DHCP seitiges weiter zu geben scheint.

Meine Devices bekommen halt keine IP.

Firewallregeln habe ich auf dem WIFI interface testweise erst mal any:any für ipv4 und ipv6 angelegt.


In einer Kali VM, klappt die IP vergabe. allerdings via DHCP auf den Lan Interface eth0, die vm hat kein wifi.


Wo liegt mein Denkfehler? benötige ich eventuell noch eine statische route auf der fritz oder der sense (oder beides?).

[dMopp]

Mit welchem Port hängt die FB denn an der OPNSense? Und damit du aus einem anderen Netz zugreifen darfst, musst du natürlich eine Regel anlegen in der Sense.

[0zzy]

@dMopp
Also die Fritzbox hängt über ihren LAN1 Port am Netgear Switch auf Port 4.
Sense Port 3 ist auf dem Port 8 des Netgear Switches.

VLAN 20 im Netgear sind Tagged auf Port 4 und 8.

Die Fritzbox soll nicht direkt mit der Sense (Protectli VP2420) verbunden werden, da hier später noch andere Device ins VLAN sollen die allerdings am Netgear Switch hängen.


Zu den Firewall regeln, wie sollte eine solche denn ausschauen?

Ich dachte etwas in der art:

Action: Pass
Quick: Selected
Interface: WIFI
Direction: In
TCP Version: IPv4
Source: Primary_Lan net
Destination: Any

oder sehe ich das falsch?

[Patrick M. Hausen]

VLAN 20 im Netgear sind Tagged auf Port 4 und 8.

Port 4 muss untagged VLAN 20 sein. Die Fritzbox kann kein 802.1q.

[0zzy]

@Patrick das wusste ich nicht das die kein 802.1Q kann, wieder ein Punkt der mir auf den keks geht . probier ich aus, also nix taggen sondern einfach auf Untagged und alles was auf standard VLAN1 hängt dann komplett rausnehmen, richtig?

[Patrick M. Hausen]

Tag oder kein Tag ist immer nur eine Frage zwischen zwei Systemen, die das können. Also zwischen deinem Switch und der OPNsense. Da kannst du auf je einem phys. Port X VLANs anlegen, 10, 20, 30, ... die die OPNsense alle als separate Interfaces sieht.

Wenn du nur ein LAN und ein weiteres Netz auf der OPNsense brauchst, kannst du das auch alles untagged machen.

Auf dem Switch kannst du port based den Switch in mehrere virtuelle Switche unterteilen - also diese 4 Ports VLAN 20, diese 4 Ports VLAN 1 ... und dann sind die eben getrennt.

Und dann kannst du wenn du willst eben auf einem Interface zwischen Switch und OPNsense mehrere VLANs auf einmal transportieren, indem du die tagged konfigurierst wie im ersten Absatz schon beschrieben.

Was du mit dem VLAN 1 meinst, verstehe ich nicht.

OPNsense - Switch: ein Trunk mit N VLANs.
Switch: Ports in port based VLANs X, Y, Z - Geräte, die in dem entspr. VLAN sein sollen auf einen passenden Port stecken.

Die Pakete kommen dann an der OPNsense mit dem passenden Tag an. Das macht der Switch.

[0zzy]

@Patrick VLAN ID 1 meinte ich wie es im Netgear betitelt ist.
Und nein brauche nicht nur ein vlan.
Plan wäre danach den 4ten NIC der Sense mit dedizierten NICs in VMWare und Proxmox zu nutzen.
Darin wären als Beispiel ein paar Webserver die zwar nach außen dürfen, aber keinen verkehr rein lassen sollen.
Dafür wäre dann das DMZ VLAN40.

[0zzy]

Ich danke euch zweien.
Hat wunderbar funktioniert, allerdings ist es echt beschämend wie schlecht die Dokumentation der Fritzbox ist.
Zumindest habe ich nirgends etwas zu VLAN Konfiguration in Bezug auf 802.1Q gefunden.
Es ist immer wieder beflügelnd aus der Erfahrung anderer zu schöpfen.


Meine Firewall regeln funktionieren nun auch, zumindest in Bezug auf die SIP Telefonie einwandfrei.


Hier nochmals mein Aufbau:

OPNSense:
Port 3 der VP2420 auf vlan20 konfiguriert, Firewallregeln für die Devices aktuell simpel any:any, eingeschränkt auf SIP Ports für die Fritzbox.

Fritzbox:
als IP Client eingerichtet, Repeater ins Mesh aufgenommen, statische IP in OPNSense.


Netgear Switch:

port 3 Tagged OPNSense an Port 8 Tagged Netgear Switch, Port 4 switch zu Port 1 der Fritzbox. VLANID 20 Port 4 am Switch untagged.

[Patrick M. Hausen]

Hat wunderbar funktioniert, allerdings ist es echt beschämend wie schlecht die Dokumentation der Fritzbox ist.
Zumindest habe ich nirgends etwas zu VLAN Konfiguration in Bezug auf 802.1Q gefunden.

Warum sollte es Dokumentation zu einem nicht vorhandenen Feature geben?

Und warum fährst du den Port tagged zwischen OPNsense und Switch? Du könntest einfach Port 3 der OPNsense als normales Interface benutzen und am Switch Port 8 ebenfalls Port based VLAN 20 einstellen und hättest dasselbe Ergebnis mit weniger Overhead of Seiten der OPNsense.

Gruß
Patrick