VLAN Problem

Started by SvL, September 05, 2025, 04:13:01 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 05, 2025, 04:13:01 PM
Hallo zusammen,

///

Tl;dr:

VLAN zwischen Opnsense, 802.1Q VLAN, portbasiertem VLAN und WLAN-AP funktioniert nicht.

///

ich habe aktuell folgendes Setup

Opnsense 25.7.2 -> Netgear GS308Ev4 -> Patchfeld -> Netgear GS105Ev2 -> Unifi AP AC lite

In der Opensense ist ein VLAN wie folgt konfiguriert

Code Select
- Interfaces / Devices /VLAN

Device: vlan0
Parent: igb0 [LAN]
VLAN tag: 2
Code Select
- Interfaces / Assignements

Interface: Name
Identifier opt1
vlan 01 Name (parent: igb0, Tag:2)
Code Select
-Interfaces / Interface

Enabled
Static IPv4
IPv4 address: 172.16.254.1/24
Code Select
Services / ISC DHCPv4 / Interface

Enabled
Range: 172.16.254.20 - 172.16.254.35
Gateway: 172.16.254.1
Code Select
- Firewall / Rules / Interface

Automatically generaterd rules (anti-lockout, icmp, dhcp, etc.)
Protocol Source         Port Destination Port Gateway Schedule Description
IPv4 *         VLAN net * WAN net * * * Internet
IPv4 *         VLAN net * LAN net * * * LAN

- Auf dem GS308Ev4 ist der Port zum AP-Switch auf Trunk gestellt
- Auf dem GS105Ev2 ist das portbasierte VLAN am Port mit dem AP an, Port ist im default VLAN 1 und im VLAN 2

Im LAN steht noch ein Unifi-Controller für das AP-Management. Dort gibt es das Standard-WLAN mit VLAN ID 1 und 192.168.1.0/24 und das neue mit VLAN-ID 2, bisher ohne Netzwerk.

Der Controller erkennt das Netzwerk nicht. Wenn ich den Uplink Port am GS308Ev4 zur Opnsense auf Trunk stelle, läuft gar nichts mehr.

Wenn ich am GS105Ev2 einen zusätzlichen Port auf VLAN 2 stelle und dort ein Laptop anschließe, bekomme ich keine 172.16.254.x IP-Adresse. Ich kann weder in den Firewall- noch in den DHCP-Logs irgendetwas bez. 172.16.254.x finden.

Lt Recherche soll das mit dem Trunk und portbasiertem VLAN funktionieren:

Code Select
Wenn ein Gerät an einem Access Port Daten sendet, wird der Port dem entsprechenden VLAN zugeordnet.
Um diesen Datenverkehr zu einem anderen Switch oder zu einem Gerät in einem anderen VLAN zu senden, wird der Datenverkehr über den Trunk-Port geleitet.
An der Schnittstelle zum Trunk-Port wird das Datenpaket mit dem entsprechenden VLAN-Tag versehen, das die VLAN-ID des Datenpakets enthält.
Der Trunk-Port leitet dann die getaggten Pakete über die physische Verbindung zum anderen Switch.
Ich finde keinen Ansatz wo hier das Problem liegt. Irgendwelche Ideen?

Vielen Dank.

MfG

 
September 05, 2025, 06:07:49 PM #1
Grundsätzlich ist die Empfehlung VLANs auf einem eigenen Port zu führen auf der OPNsense, getrennt vom LAN.

Quote from: SvL on September 05, 2025, 04:13:01 PMAuf dem GS308Ev4 ist der Port zum AP-Switch auf Trunk gestellt
Ein schrittweises Vorgehen würde ich empfehlen: Wie ist der Port des GS308Ev4 der zur OPNsense geht konfiguriert? Konfiguriere ein Port auf dem GS308E für VLAN 2 und schliesse einen Klient an um zu sehen ob es bis dahin funktionert.

Wie ist der Port der den GS105E mit dem GS308E verbindet, konfiguriert?

Wie viel Erfahrung hast Du mit VLAN im Generellen? Bist Du vertraut mit PVID setzen auf einem Port?

Betreffend Deinen Firewall Regeln:

Code Select
IPv4 *         VLAN net * WAN net * * * Internet
Mit dieser Regel wirst Du nicht ins Internet kommen, sollte dies das Ziel sein. 'WAN net' bezeichnet nur den IP Bereich des WAN Interfaces. Wenn z.B. Dein WAN Interface die IP 10.10.10.5/24 bekommt, bezeichnet 'WAN net' 10.10.10.0 - 10.10.10.255.
Deciso DEC740
September 06, 2025, 08:45:35 PM #2
Hallo patient0,

danke für die Rückmeldung, ich werde dann wie folgt vorgehen:

1. Freien Netzwerkport der OPNSense Appliance mit einem freien Port auf dem GS308E verbinden, Port auf 802.1Q einstellen, VLAN in OPnSense konfigurieren, einen zus. Port am GS308E auf das VLAN konfigurieren.

2. Laptop am GS308E VLAN Port anschließen und testen ob IP vergeben wird und Zugriff möglich ist (zunächst mit any/any Regel).

3. Falls 2. erfolgreich, VLAN auf GS105E einrichten und dort Test wiederholen.

4. Falls 3. erfolgreich, AP-Port auf GS105E auf VLAN und Default VLAN konfigurieren, testen ob Haupt-WLAN funktioniert.

5. Wenn 4. erfolgreich, zus. Netzwerk im Unifi-Controller einrichten, auf das VLAN konfigurieren und zus. WLAN aktivieren.

6. Firewallregeln im VLAN anpassen.

// Hab gerade gesehen das der AP selbst die Pakete taggt, dann muss ich den Switchport am GS105E gar nicht auf das VLAN einstellen. Ich befürchte jedoch das dann die Kommunikation zum GS308E nicht funktioniert über das VLAN und ich mir eine aktuelleren Switch holen muss.

Besten Dank
September 06, 2025, 11:44:41 PM #3
Quote from: SvL on September 06, 2025, 08:45:35 PM[...]

// Hab gerade gesehen das der AP selbst die Pakete taggt, dann muss ich den Switchport am GS105E gar nicht auf das VLAN einstellen. Ich befürchte jedoch das dann die Kommunikation zum GS308E nicht funktioniert über das VLAN und ich mir eine aktuelleren Switch holen muss.

Ich weiß nicht, wie du auf die Idee kommst, den Port für den AP keiner PVID zuzuweisen oder warum du einen anderen Switch kaufen willst. Das System, was bei den Geräten hinter den PVID's steckt ist doch ganz einfach. PVID=Vlan - eins oder mehrere je Port, je nach Anwendungsfall. Entweder getaggt, oder ungetaggt für Geräte die das selbst nicht können. Was weiß ich, älterer PC , IoT-Hardware , Fritzbox für Telefonie etc. Ich habe bei mir alles 24er Subnetze. Das 3. Oktett ist bei mir gleichlautend zur PVID (192.168.125.0 / PVID 125 usw.). Du musst es nur sauber einstellen. Ich hatte damals was zu vlans u. a. bei Administrator(.de  .com ?) gefunden - bevor ich damit angefangen habe. Suche einfach mal.

Selbst habe ich den NETGEAR GS116Ev2 im Einsatz. Deine Switches dürften da auch problemlos funktionieren. Allerdings  war/ist das Eintragen/Ändern der PVID bei meinem GS116Ev2 immer etwas Frickelei - aber es geht. Allerdings habe ich den Switch auch bei mir zu Hause "eingesperrt", weil ich es absolut nicht leiden kann, wenn die Dinger alles "nach Hause telefonieren".

Der Port des 1. Switch zur zur Sense bekommt alle PVID's als getaggt. Der Trunk-Port am 1. Switch und der Trunk am 2. Switch bekommen alle PVID's getaggt, die auch am 2. Switch benötigt werden.
Du musst auf jeden Fall dem Switchport für den AP genau die eine oder mehrere Port-VID als getaggt zuweisen, die der AP bedienen soll. Und natürlich eine weitere getaggte PVID für die Administration des AP. Was du da im Zusammenhang mit dem AP machen willst, wird nicht funktionieren.


Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
September 07, 2025, 08:03:57 AM #4 Last Edit: September 07, 2025, 10:21:21 AM by SvL
Moin kruemelmonster,

QuoteIch weiß nicht, wie du auf die Idee kommst, den Port für den AP keiner PVID zuzuweisen oder warum du einen anderen Switch kaufen willst.

Wenn das verbundenen Gerät selbst taggt, Port auf Trunk, wenn nicht, dann portbasiert, so habe ich die Theorie zu VLAN verstanden.

// Edit:

QuoteWenn ein getaggtes Paket an einem portbasierten VLAN ankommt wird überprüft, ob die ID im Header mit der ID des Port übereinstimmt. Wenn ja, dann weiterleiten, wenn nein, dann verwerfen oder umleiten.

Da der GS105E nur portbasierte VLAN kann habe ich halt vermutet das es zu Problemen kommen kann. Der GS305E, welcher dann in Frage käme, kann auch 802.1Q.

Und weiter unten schreibst Du

QuoteDer Trunk-Port am 1. Switch und der Trunk am 2. Switch bekommen alle PVID's getaggt, die auch am 2. Switch benötigt werden.

Der GS105E kann kein Trunk

QuoteWarum der GS105E keinen Trunk-Modus hat:
Nicht verwalteter Switch:
Der GS105E ist ein sogenannter "Smart Managed Switch", der keine komplexen Funktionen wie VLAN-Tagging über verschiedene Ports hinweg unterstützt.


//Edit:

Das ist in den Fall aber nicht relevant.

//Edit 2:

Der kann sehr wohl 802.1Q


September 07, 2025, 09:58:38 AM #5
Quote from: SvL on September 07, 2025, 08:03:57 AMDer GS105E kann kein Trunk
Bist Du Dir sicher, dass er das nicht kann? Ich hatte einen GS105E und habe noch immer einen GS108E welchen ich zwar schon lange  nicht mehr eingesetzt hattte. Ohne VLAN trunks wäre er mir nicht von Nutzen gewesen.

Und laut Dokumentation sollte er das könnené
Netgear Docu: configure VLANs trunks

Was er nicht kann laut Product Sheet is Port-Trunking, also zwei Port zusammenfassen.
https://www.downloads.netgear.com/files/GDC/Plus_Switches/Gigabit_Ethernet_Plus_Switches_DS.pdf
Deciso DEC740
September 07, 2025, 08:19:18 PM #6
Ich hatte das heute Morgen bereits korrigiert, der kann das.

Ich habe es einerseits hinbekommen, Setup wie folgt:

1. Switche

- GS308E hat auf Port 8 einen Uplink auf ein zus. Interface an der OPNSense-Appliance.
- GS308E VLAN im einfachen 802.1Q Modus, Port 8 auf Trunk konfiguriert
- GS308E Port 2 (da hängt der GS105E mit Port 1 dran) auf Trunk konfiguriert

- GS105E 802.1Q mit VLAN 1, default, alle Ports drin und VLAN10 mit Port 1, 2 (WLAN-AP) und 5 (Testzwecke)
- GS105E Port 1 (Uplink zum GS208E)) und Port 2 (WLAN AP) auf Trunk konfiguriert. Port 5 (Testzwecke) auf Untagged

2. OPNSense

- Neues Interface angelegt (igb2) 192.168.2.0/24, DHCP etc. konfiguriert
- Neues VLAN erstellt, Parent igb2, VLAN-ID 10, IP 172.16.254.1/24
- DHCP für VLAN10 konfiguriert (172.16.254.100-172.16.254.130
- Firewall Zugriff auf das LAN-Netz verboten
- Firewall DNS erlauben
- IPv4 any/any

// Hier besteht sicher Potential für Verbesserungen

2.1 Verschiedene Tests

- Port 7 und 8 an GS308E auf VLAN10 konfiguriert, Notebook bekam eine IP aus dem 172.16.254.1/24 Bereich und konnte ins Internet
- Port 8 auf Trunk und Port 7 an GS308E auf VLAN10 konfiguriert, Notebook bekam eine IP aus dem 172.16.254.1/24 Bereich und konnte ins Internet
- Port 8 an GS308E auf Trunk gelassen, Port 1 an GS105E auf Trunk, Port 5 an GS105 auf VLAN10 konfguriert, Notebook bekam eine IP aus dem 172.16.254.1/24 Bereich und konnte ins Internet     

3. Unifi Controller

- Neues Netzwerk angelegt, VLAN10 zugeordnet
- Neues WLAN hinzugefügt, das neue Netzwerk zugeordnet

// Info: das primäre WLAN läuft weiterhin über das default VLAN 1 und geht daher wohl nicht (?) über Port 8 in die OPNSense, sonder über Port 1 des GS803E (Standard Uplink Port Switch zur OPNSense)   

Andererseits:

4. Test mit Endgeräten

- Anmeldung im WLAN hakelig, klappt erst bei zweiten oder dritten mal
-- surfen, ping etc. funktioniert.
- Weitere Gerät (primär Fire TV Sticks und Echos verschiedener Generationen) ins neue WLAN integriert, stellenweise hakelig, machmal unmöglich. Fehlermeldungen der Geräte: Passwort falsch (Stimmt nicht), Verbindung konnte nicht hergestellt werden

Veruche die Geräte im vorherige WLAN anzumelden schlugen ebenfalls fehl mit denselben Fehlermeldungen.

Testweise mobilen Hotspot getestet, das funktionierte problemlos.

- Streaming über die Firetv Sticks bricht ab, buffert, etc.
- Im default WLAN keine Probleme außer Zugriff auf GS308E, funktioniert nur über LAN. GS105E und weiterer GS erreichbar
 

Etwas Recherche meinte, es könnte an spanning-tree liegen, das kann ich in den Switchen aber nicht konfigurieren. Vermutlich liegt der Fehler in meiner Konfiguration, ich kann ihn aber aktuell nicht sehen.

Meine Vermutungen:

- Uplink auf OPNsense auf Port 1 und Port 8 des GS308E verursacht das Problem
- Irgendwo auf dem Weg von Quelle zum Ziel werden die Pakete falsch geleitet
- [...]

Bin offen für Ideen woran es liegen kann.

Vielen Dank     

September 07, 2025, 09:01:19 PM #7
Nur mal so ein Einwurf, ich habe nicht alles gelesen: Redet Ihr aneinander vorbei, wenn Ihr über "Trunks" sprecht?

Zumindest im Handbuch eines anderen TP-Link-Switches (SG108-PE) wird mit Trunk ausschließlich der Zusammenschluss einer Gruppe von Ports, im Sinne von Link Aggregation, bezeichnet.

Z.B. Cisco spricht dagegen von "Access" und "Trunk" Mode für Ports, womit ein auf ein bestimmtes VLAN gemappter, ungetaggter Port bzw. ein Port, auf dem alle VLANs durchgereicht werden (z.B. für APs oder Uplinks). Mutmaßlich ist es das, was Patient0 meinte.

Das sind zwei Paar Schuhe - just saying.


Am Rande bemerkt finde ich in den Unterlagen von TP-Link keine Angaben darüber, wie die mit VLAN 1 umgehen. Bei manchen Switchherstellern wird dieses VLAN quasi nur "switch-intern" genutzt, während es auf Trunk Ports immer ungetaggt weitergeleitet wird (beispielsweise Unifi). Andere leiten es wie jedes andere VLAN mit Tags weiter. Wenn man da zwei Hersteller wie Unifi und einen dazu nicht kompatiblen Switchhersteller koppelt, wird es bunt.

Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
September 07, 2025, 10:39:36 PM #8
Quote from: meyergru on September 07, 2025, 09:01:19 PMNur mal so ein Einwurf, ich habe nicht alles gelesen: Redet Ihr aneinander vorbei, wenn Ihr über "Trunks" sprecht?

[...]
Das will ich nicht ausschließen. Ich verstehe einen Trunk als einen Zusammenschluss bzw. Kaskadierung von 2 oder mehreren Switchen. Ggf. auch über Portaggregation auf beiden Switchen.
Wenn das verkehrt ist, berichtigt mich bitte. Ich lerne gern dazu. Bin leider nicht der große Netzwerkspezi. Netzwerken hat man uns vor Ort im RZ einer bundesweiten Behörde nicht gelassen. Konnte mir also Netzwerkkenntnisse nur selbst aneignen.

Bei meinem Netgear GS116Ev2 kann ich die PortVID 1 problemlos von allen Port's herunternehmen. Und da alle Regeln der OpnSense greifen, muss der Switch die Einstellungen wohl korrekt akzeptieren.
Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
September 07, 2025, 10:52:45 PM #9
In Cisco-Lingo und auch so wie ich das verwende, ist ein Trunk ein Interface, auf dem tagged Frames zwischen zwei Geräten ausgetauscht werden. Dazu muss da nichts kaskadiert werden und es müssen auch keine Switche dabei sein. Ein Port, über den nur untagged Frames übertragen werden, ist ein Access-Port.

Im Prinzip hat @meyegru genau das auch schon geschrieben.

Ein Trunk ohne beteiligte Switche kann z.B. ein Access-Point mit mehreren SSIDs/VLANs direkt an einer OPNsense sein.

Prinzipiell sollte es so sein:

- auf einen Trunk gibt es *nur* tagged Frames
- auf einem Access-Port gibt es *nur* untagged Frames

Wer das "native VLAN" in den 802.1q-Standard gebracht hat, gehört erschossen.

Leider spielt gerade Unifi da nicht mit. Aber ich kann dir versichern, in Rechenzentren ist das so.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 08, 2025, 12:42:54 PM #10
Tja,

leider konnte ich die Probleme mit der Anmeldung der Geräte und der schlechten Performance nicht lösen, daher habe ich alles wieder zurückkonfiguriert. Nun läuft alles wieder problemlos.

Vielen Dank an alle Beteiligten.

 
September 08, 2025, 04:09:52 PM #11
Mikrotik hat ne vergleichsweise gute Erklärung für VLAN Einstellungen. Nur die Beschreibung für Force VLAN ID ist sprachlich sinnlos.
September 09, 2025, 12:06:00 PM #12
// Update:

Ich habe das ganze jetzt mit einem Vigor AP 903 und statischen VLAN-Ports umgesetzt, das funktioniert problemlos. Die OPNSense macht also alles richtig, ich vermute das Problem beim Unifi-Controller bzw. AP.
September 10, 2025, 06:39:53 PM #13 Last Edit: September 11, 2025, 08:27:54 AM by Tuxtom007
Quote from: SvL on September 05, 2025, 04:13:01 PMVLAN tag: 2
Ändere mal das VLAN auf einem Wert größer / gleich 10
Unifi rät davon ab VLAN-ID zwischen 2 und 9 zu nutzen, da die diese selber intern nutzen, das macht immer wieder Probleme.
Today at 10:12:59 AM #14
// Noch ein Update:

Nachdem ich den Unifi Controller auf 9.3.45 aktualisiert habe, funktioniert es jetzt auch mit Default (und inzwischen) VLAN4 auf dem AP AC lite, ohne das es zu Anmeldefehlern oder Abbrüchen kommt.

Quote from: Tuxtom007 on September 10, 2025, 06:39:53 PMVLAN tag: 2

Ändere mal das VLAN auf einem Wert größer / gleich 10
Unifi rät davon ab VLAN-ID zwischen 2 und 9 zu nutzen, da die diese selber intern nutzen, das macht immer wieder Probleme.

Aktuell funktioniert es, wenn es Probleme geben sollte werde ich das im Hinterkopf behalten.
Print
Go Up Pages1
User actions