shiring
Goto Top

Einrichtung ICX 7150-C12P mit Vigor 166

Hallo,

Nach langer Zeit des stillen Mitlesens, möchte ich euch um Hilfe bitten bei der Einrichtung meines ICX 7150-C12P Switches in Verbindung eines Draytek Vigor 166. Später soll dann noch, wenn alles läuft eine PfSense dazwischen.

Der Switch läuft im Layer 3 Modus.

Meine IT Kenntnisse würde ich als maximal mittelmässig bezeichnen, mir fehlen sicher einige grundlegende Kenntnisse und das Verstehen der nötigen Zusammenhänge. Das Hauptproblem ist für mich der magere deutsche Support für den Switch, das Monströse Handbuch auf Englisch, und die fehlende Zeit mich mit den Ganzen Sachen auseinanderzusetzen.


Ausgangslage:

Bis jetzt betreibe ich eine FritzBox 7583, diese möchte ich aber durch o.g. Setup ersetzen.

Was ich bisher hinbekommen habe:

- Einrichtung des Vigor 166 im Full Bridge Modus (das läuft denke ich so)

dashboard

operation mode

inet acess general

pppoe

mpoa

static route



- Switch upgedatet und kann auch auf das Webinterface zugreifen

device info



Hier die config:
Startup-config data location is flash memory
!
Startup configuration:
!
ver 08.0.80fT213
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
!
!
!
!
!
!
!
!
!
!
!
aaa authentication web-server default local
aaa authentication login default local                            
enable aaa console
!
no telnet server
username xxxxx password .....
!
!
web-management https
!
!
!
!
!
!
!
!
!
!
interface ethernet 1/1/1
 ip address 10.0.1.1 255.255.255.0
!
interface ethernet 1/3/1
 speed-duplex 1000-full
!
!
!
!
!
!
!
!
!
!
end

Meine Fragen:

-Wo genau muss ich das Modem anschliessen, welchen Port muss ich wie konfigurieren?
-Was muss in Switch und Modem geschrieben werden (Stichpunkt HOP, statische Route)?
-ich hätte gerne 4 VLANS:

10.0.99.0/24 Manage
10.0.1.0/24 LAN
10.0.10/24 WIFI
10.0.20.0/24 Gäste WLAN

Wie erstelle ich diese? Müssen die untag oder getaggt sein?

-Muss ich für jeden Port eine Schnittstellen IP angeben, wenn ja immer dieselbe (10.0.1.1)?
-wie stelle ich den DHCP Server pro VLAN ein?
-Ich habe einige Raspberrys, die bis jetzt über POE laufen, das sollen sie auch weiterhin, muss ich da die Ports konfigurieren?
-Wie erstelle ich am besten Firewallregeln, das auch die WLAN Geräte( WIFI VLAN) mit den Raspberrys (LAN VLAN) kommunizieren können?

Ich würde gerne das Ganze über das Webinterface machen, aber auch über CLI wenn das besser geht.

Ich würde mich sehr freuen, wenn mich hier jemand „an die Hand“ nehmen würde und mir step by step helfen würde.

Vielen Dank schonmal!

Content-ID: 3740131110

Url: https://administrator.de/forum/einrichtung-icx-7150-c12p-mit-vigor-166-3740131110.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

aqui
aqui 24.08.2022 aktualisiert um 17:42:38 Uhr
Goto Top
Solche L2/L3 Premium Switches, egal welcher Hersteller, supporten generell kein PPPoE und in der Regel auch kein NAT!
Beides wäre aber zwingend erforderlich um mit einem NUR Modem wie deinem Vigor eine xDSL Verbindung zu realisieren. (Die richtige Bridge Konfig findest du u.a. hier)
Mit einfachen Worten: Geht so nicht mit der Hardware und auch mit keiner anderen Switchhardware!

Was sollte auch der tiefere Sinn sein einen Layer 2/3 Switch ohne jegliche Firewall Funktion direkt ins Internet zu exponieren? Macht ja kein normal denkender Netzwerker, deshalb macht so eine Funktion auf Switches auch wenig bis keinerlei Sinn.

Fazit:
Deine geplante pfSense/OPNsense kann das viel besser und wäre auch die richtige Hardware das umzusetzen!!
Das hiesige fertige VLAN Konfig für den Ruckus ICX mit an Bord. 😉

Da der ICX Switch ein L3 (Routing) Switch ist kannst du als Alternative mit deiner derzeitigen FritzBox, die ja nicht VLAN fähig ist, auch ein Layer 3 VLAN Konzept umsetzen.
Das würde mit deiner derzeitigen FritzBox auch funktionieren ohne Firewall. Die Access Steuerung deiner VLANs machst du dann direkt auf dem ICX Switch mit IP Accesslisten wenn du damit leben kannst und keine stateful Firewall brauchst. Der Vigor wäre dann allerdings dann obsolet oder du müsstest ihn statt der FritzBox im Router Mode betreiben wie Kollege @Vision2015 unten schon richtig sagt. Macht aber wenig Sinn wenn du eine einigermaßen aktuelle FritzBox hast, denn der Vigor ist primär reines Modem und kein Router weshalb er ein deutlich mickrigeres Layer 3 Featureset hat als die FB.
Du hast die Qual der Wahl...

Nebenbei:
Deine Switch Firmware ist uralt! Die solltest du dringenst updaten. Aktuell recommended ist der "g" Patch mit der 8.0.95g
Siehe
https://support.ruckuswireless.com/software?filter=108#sort=relevancy&f:@source=[Software%20Downloads]&f:@commonproducts=[ICX%207150] 
Tip:
Wenn du dir ins Secondary Flash des Switches die neueste 9.0.10c flashst dann bekommst du auch ein deutlich besseres GUI zu Gesicht als das altbackene GUI der 8er Version. (Nur sofern du einfacher KlickiBunti Admin bist statt CLI)
Vision2015
Vision2015 24.08.2022 um 13:39:13 Uhr
Goto Top
Moin...

abgesehen was @apui schreibt, hast du den Vigor im Router Modus du möchtest aber bestimmt den Modem/ Bridge Modus haben!
wenn du die PfSense hast, kommt da nix "dazwischen" sondern das Modem vor die PF, die dann deine PPPoE einwahl
macht....
Frank
shiring
shiring 24.08.2022 um 15:26:20 Uhr
Goto Top
Vielen Dank für eure schnellen und vor allem kompetenten Antworten. Ich habe gleich wieder dazu gelernt und (versuche) die Layer 3 Variante mit der FritzBox umzusetzen.

Danke auch für den Tip mit den FWs. Mache ich so.

Lg
aqui
aqui 24.08.2022 aktualisiert um 16:49:10 Uhr
Goto Top
Ein kleiner Tip dazu:
Das Layer 3 (Routing) Image muss dazu im Flash installiert sein und du musst das dann auch booten um die L3 Features nutzen zu können! Das sind die Images mit dem "R". Sprich also SPS = Switching (Layer 2) und SPR = Routing (Layer 3)
Wenn das Image im Primary Flash ist passiert das automatisch (Default).
Wenn du es ins Secondary Flash kopiert hast musst du ein boot system flash secondary in der Konfig einstellen damit er aus dem Secondary Image bootet.
Ein show flash zeigt dir an welche Images aktuell in deinem Flash sind.

Sofern du dann auch sinnvollerweise gleich deine Software updaten willst solltest du dir immer die neuen UFI Images installieren.
Non UFI Images sind so oder so zukünftig nicht mehr supportet, deshalb ist UFI Pflicht!
Der Ruckus Upgrade Guide erklärt dir alle erforderlichen Schritte dazu.
Idealerweise machst du das mit einem FAT32 formatierten USB Stick direkt am Switch.
shiring
shiring 24.08.2022 um 17:00:33 Uhr
Goto Top
Jawoll, das war bisher auch das einzigste, was gleich auf Anhieb funktioniert hat, zumindest beim letzten flashen.face-smile… was mir halt fehlt ist ein step by step Guide für Dummis. Ist wohl auch so gewollt, die Switche sind halt für Profis gemacht.
aqui
aqui 24.08.2022 aktualisiert um 17:46:44 Uhr
Goto Top
Der Upgrade Guide erklärt eigentlich alles. Übrigens tun das auch all die anderen PDF Guides die du im Download unter Documentation findest. Damit ist das L3 VLAN Setup dann auch für nicht Profis ein Kinderspiel.
Mit dem dortigen Layer 3 Routing Guide sollte dein angepeiltes Setup dann auch auf Anhieb klappen.

Etwas tricky ist der Wechsel von einem non UFI zu einem UFI Image was der Guide aber anschaulich beschreibt via Interimsimage.
UFI Images haben den Vorteil das sie den Bootloader und auch die PoE Firmware immer gleich mit updaten was die alten Images nicht gemacht haben und man manuell zusätzlich machen musste.
Ist aber Schnee von gestern weil die neuen, supporteten Images nur noch ausschliesslich UFI Images sind. Deshalb auch der dringende Rat diese Images zu verwenden wenn du produktiv gehst mit dem Switch.

Glücklicherweise hast du das Interims Image was auch die UFI Versionen lädt schon drin. Das erspart dir dann diesen Zwischenschritt. 😉
Folge einfach dem was im Kapitel "Software Mandatory Upgrade Steps from a Pre-08.0.90 Non-UFI Version to a 08.0.95 UFI Version" beschrieben ist.
Achte mit einem show flash unbedingt darauf das du den richtigen Bootloader spz10114 zur 8.0.80f Version installiert hast denn nur der kann die UFI Images extrahieren beim Kopieren!
Mache das nicht über TFTP sondern besser bequem über einen USB Stick das geht deutlich schneller und du brauchst keinen TFTP Server im Netz.
Das Kommando lautet: copy disk0 flash SPS08095gufi.bin primary wenn das Image auf dem Stick ins primary Flash soll.
Den mount Befehl must du bei aktuellen Images nicht mehr eingeben das machen die automatisch.
shiring
shiring 01.09.2022 um 05:03:09 Uhr
Goto Top
Hallo Leute,

ich würde dich gerne nochmal um etwas Unterstützung bitten. Hintergrund ist, ich möchte soviel wie möglich vor dem eigentlichen Umstöpseln machen (sonst hängt hier der Haussegen schief wenn die Familie kein Inet hat;))

gemacht habe ich:

-neu geflasht
-Ap R310 eingerichtet
-VLANs erstellt
-FB vorbereitet

Nicht ganz sicher bin ich mir bei dem Koppel VLAN, stimmt das so? Bei der FB DHCP aus? Default Router und DNS Server ist die IP der FB(10.0.1.1)?

An welcher Stelle kommt dann später mein Pihole+Unbound Raspberry ins Spiel? Muss der in die jeweiligen Gateways als DNS Server? In Pihole die IP der FB(10.0.1.1) als Upstream?

Also könntet ihr mal drüberschauen, ob das so stimmt bevor ich richtig ans testen gehe?

Config:
Current configuration:
!
ver 08.0.95gT213
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
!
!
global-stp
!
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name LAN by port
 untagged ethe 1/1/4 to 1/1/11 
 router-interface ve 1
!
vlan 20 name WLAN by port
 untagged ethe 1/1/1 
 !
vlan 30 name Finn by port
 untagged ethe 1/1/2 to 1/1/3
 router-interface ve 3
!
vlan 99 name Koppel by port
 untagged ethe 1/1/12
 router-interface ve 4
 !
aaa authentication snmp-server default local                      
aaa authentication web-server default local
aaa authentication login default local
boot sys fl sec
console timeout 240
enable aaa console
ip dhcp-client disable
ip dhcp-server enable
!
ip dhcp-server pool lan
 excluded-address 10.0.10.1
 excluded-address 10.0.10.2 10.0.10.10
 lease 1 0 0
 network 10.0.10.0 255.255.255.0
 option  3 ip 10.0.10.1  
 option  6 ip 10.0.1.1  
 deploy
!
!
ip dhcp-server pool wlan
 excluded-address 10.0.20.1
 excluded-address 10.0.20.2 10.0.20.10
 lease 1 0 0
lease 1 0 0
 network 10.0.10.0 255.255.255.0
 option  3 ip 10.0.10.1  
 option  6 ip 10.0.1.1  
 deploy
!
!
ip dhcp-server pool wlan
 excluded-address 10.0.20.1
 excluded-address 10.0.20.2 10.0.20.10
 lease 1 0 0
 network 10.0.20.0 255.255.255.0                                  
 static-mac-ip-mapping 10.0.20.16 8c85.9039.f12d
 static-mac-ip-mapping 10.0.20.12 aada.669d.5e76
 static-mac-ip-mapping 10.0.20.14 b67d.604d.54a5
 static-mac-ip-mapping 10.0.20.21 3c6a.9d11.7c5c
 static-mac-ip-mapping 10.0.20.22 0022.61ba.156e
 static-mac-ip-mapping 10.0.20.23 70ee.503f.7220
 option  3 ip 10.0.20.1  
 option  6 ip 10.0.1.1  
 deploy
!
!
ip dhcp-server pool finnwlan
 excluded-address 10.0.30.1
 excluded-address 10.0.30.2 10.0.30.10
 lease 1 0 0
 network 10.0.30.0 255.255.255.0
 option  3 ip 10.0.30.1  
 option  6 ip 1.1.1.1  1.0.0.1  
 deploy
!
!
ip dhcp-server pool koppel
  excluded-address 10.0.1.1                                        
  excluded-address 10.0.1.254
lease 1 0 0                                                      
 network 10.0.1.0 255.255.255.0
 option  3 ip 10.0.1.1  
 option  6 ip 10.0.1.1  
 deploy
!
!
ip dhcp-server pool finn
 excluded-address 10.0.30.1 10.0.30.10
 lease 1 0 0
 network 10.0.30.0 255.255.255.0
 option  3 ip 10.0.30.1  
 option  6 ip 10.0.1.1  
 deploy
!
ip route next-hop-enable-default
ip route next-hop-recursion
ip route 0.0.0.0/0 10.0.1.1
ip router-id 10.0.10.1
!
no telnet server
username shiring password .....
!
password-change any
!
!
web-management https
!
!
manager registrar
!
manager port-list 987
!
!
!
!
!
!
!
!
!
interface ve 1
 ip address 10.0.10.1 255.255.255.0
!
interface ve 2
 ip address 10.0.20.1 255.255.255.0 
!
interface ve 3
 ip address 10.0.30.1 255.255.255.0
!
interface ve 4
 ip address 10.0.1.254 255.255.255.0
 !
!
ip ssh  idle-time 240
!
!
!
!
!
end    
 

Fritz!Box:
fb
route fb

Switch:
koppel
static route


Schonmal vielen Dank für eure Zeit und Mühe!

LG
aqui
Lösung aqui 01.09.2022 aktualisiert um 09:54:05 Uhr
Goto Top
ich würde dich gerne nochmal um etwas Unterstützung bitten.
Aber immer doch... 🙂
Koppel VLAN, stimmt das so?
Das stimmt so. Router ID, Recursion usw. hättest du dir sparen können. Das ist alles für dynamische Routing Protokolle und macht keinen Sinn bei einfachem, statischem Routing. Schadet aber auch nicht.
An welcher Stelle kommt dann später mein Pihole+Unbound Raspberry ins Spiel?
Den packst du am besten in das Koppelnetz und gibst ihn im DHCP der VLANs als DNS Server für die Endgeräte an. Seine Weiterleitung dann auf die IP der FritzBox.
Tip: Nutze statt PiHole besser Adguard. Das hat deutlich mehr Optionen bei Blocking von Apps, Safe Browsing (Kinder) und kann vor allem DoH und DoT direkt out of the Box.
https://github.com/AdguardTeam/AdGuardHome
https://www.heise.de/ratgeber/DNS-Filter-als-Adblocker-einrichten-AdGuar ...
Einen groben und auch schlimmen Fehler hat dein Setup noch und das ist das Thema Spanning Tree!
Im Default macht dein Switch PVSTP, also ein per VLAN Spanning Tree auf Basis von RSTP. Du siehst oben schon deinen Fehler das du es zwar für VLAN 1 aktiviert hast aber nicht für die anderen VLANs. Das ist fatal, denn dann droht dort Looping vor dem du schutzlos bist.
Tip: In einfachen Heimnetzen gibt es oft Geräte die mit PVSTP nicht umgehen können. Es ist besser wenn du den Switch auf das Single Span Verfahren umstellst, also global einen RSTP Prozess für alle VLANs. Generell ist PVSTP schöner und auch sinnvoller aber bei Heimnetzen wo oft billige HW zum Einsatz kommt die damit nicht umgehen kann ist es besser Single Span zu fahren.
Zudem solltest du dem Ruckus Switch eine höhere Spanning Tree Priority geben das der immer Root Switch ist im Netz.
Single Spann schaltest du global mit dem Kommando spanning-tree single ein.
Die Priority (müssen Vielfache von 4096 sein!) setzt du mit
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192

Der Rest passt so...

Nochwas:
Installiere dir im Secondary Flash mal die neue 9.0.10c Version und boote die mal zum Vergleich. Die hat ein deutlich besseres und schöneres GUI als das hässliche der 8.0er. 😉
Wenn man denn überhaupt KlickiBunti braucht als Netzwerker?!🤔
shiring
shiring 01.09.2022 um 10:35:00 Uhr
Goto Top
Okay und wieder was gelernt!😀
Wird 1:1 umgesetzt. Melde mich dann mit einer (hoffentlich) Erfolgsmeldung.

Das 9.0 habe ich nicht geflasht bekommen, da kamen Fehler( irgendwas mit SSL Certificat). Mir reicht das so aber wie es jetzt ist, komme ganz gut klar mit CLI. Eine schicke Oberfläche ist auch nicht alles (hatte das ganze Unifi Geraffel von UDM Pro bis Poe Pro Switch), sieht zwar gut aus, aber da hat immer irgendwas anderes nicht richtig funktioniert. Ergo alles verkauft, und jetzt richtig machen😉.

Vielen vielen Dank!!
aqui
aqui 01.09.2022 um 15:56:42 Uhr
Goto Top
da kamen Fehler( irgendwas mit SSL Certificat).
Kann nicht sein! Hast du das falsche Image runtergeladen. Installation klappt hier auf einem 7150 und 7450 ohne Probleme.
Eine schicke Oberfläche ist auch nicht alles
Du sagst es. Real networkers do CLI! face-wink
shiring
shiring 02.09.2022 aktualisiert um 09:30:24 Uhr
Goto Top
Guten Morgen,

leider funktioniert das hier nicht.

Ich habe gemacht:

-WLAN und DHCP an der FB aus
-von FB WAN Port Kabel zu Port 1/1/12 gesteckt
-PC in Port 1/1/4
bildschirmfoto 2022-09-02 um 08.34.30

Keine Internetverbindung. Kann vom PC aus nur das eigene Gateway anpingen(10.0.10.1), alle anderen nicht. Alles auch mehrfach neu gestartet.

Hier Screenshots von Switch:
bildschirmfoto 2022-09-02 um 08.44.14
bildschirmfoto 2022-09-02 um 08.41.56
bildschirmfoto 2022-09-02 um 08.43.44

Hier die aktuelle Config:

Current configuration:
!
ver 08.0.95gT213
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
!
!
global-stp
!
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name LAN by port
 untagged ethe 1/1/4 to 1/1/5 ethe 1/1/7 ethe 1/1/9 to 1/1/11 
 router-interface ve 1
 no spanning-tree
!                                                                 
vlan 20 name WLAN by port
 untagged ethe 1/1/1 
 router-interface ve 2
 no spanning-tree
!
vlan 30 name Finn by port
 untagged ethe 1/1/2 to 1/1/3 
 router-interface ve 3
 no spanning-tree
!
vlan 99 name Koppel by port
 untagged ethe 1/1/6 ethe 1/1/8 ethe 1/1/12 
 router-interface ve 4
 no spanning-tree
!
!
!
!
!
!
!
!
!
!                                                                 
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
!
aaa authentication snmp-server default local
aaa authentication web-server default local
aaa authentication login default local
boot sys fl sec
console timeout 240
enable aaa console
ip dhcp-client disable
ip dhcp-server enable
!
ip dhcp-server pool lan
 excluded-address 10.0.10.1
 excluded-address 10.0.10.2 10.0.10.10
 lease 1 0 0
 network 10.0.10.0 255.255.255.0 
option  3 ip 10.0.10.1 
option  6 ip 10.0.1.1  
 deploy
!
!
ip dhcp-server pool wlan
 excluded-address 10.0.20.1
 excluded-address 10.0.20.2 10.0.20.10
 lease 1 0 0
 network 10.0.20.0 255.255.255.0
 static-mac-ip-mapping 10.0.20.16 8c85.9039.f12d
 static-mac-ip-mapping 10.0.20.12 aada.669d.5e76
 static-mac-ip-mapping 10.0.20.14 b67d.604d.54a5
 static-mac-ip-mapping 10.0.20.21 3c6a.9d11.7c5c
 static-mac-ip-mapping 10.0.20.22 0022.61ba.156e
 static-mac-ip-mapping 10.0.20.23 70ee.503f.7220
 option  3 ip 10.0.20.1  
 option  6 ip 10.0.1.1  
 deploy
!                                                                 
!
ip dhcp-server pool koppel
 excluded-address 10.0.1.1
 excluded-address 10.0.1.254
 excluded-address 10.0.1.2 10.0.1.3
 lease 1 0 0
 network 10.0.1.0 255.255.255.0
 option  3 ip 10.0.1.1  
 option  6 ip 10.0.1.1  
 deploy
!
!
ip dhcp-server pool finn                                          
 excluded-address 10.0.30.1 10.0.30.10
 lease 1 0 0
 network 10.0.30.0 255.255.255.0
 option  3 ip 10.0.30.1  
 option  6 ip 10.0.1.1  
 deploy
!
ip route next-hop-enable-default
ip route next-hop-recursion
ip route 0.0.0.0/0 10.0.1.1
ip router-id 10.0.10.1
!
no telnet server
username shiring password .....
!
!
password-change any
!
!
web-management https
!
!
 !
!
manager registrar                                                 
!
manager port-list 987
!
!
!
!
!
!
!
!
!
interface ve 1
 ip address 10.0.10.1 255.255.255.0
!
interface ve 2
 ip address 10.0.20.1 255.255.255.0
!
interface ve 3
 ip address 10.0.30.1 255.255.255.0
!
interface ve 4
 ip address 10.0.1.254 255.255.255.0
!                                                                 
!
!
!
!
!
!
!
!
!
ip ssh  idle-time 240
!
!
!
!
!
end

Hier Screenshot von der FB (DNS Server):

bildschirmfoto 2022-09-02 um 08.39.43

Ich bin mit meinem bescheidenen Latein am Ende, das müsste doch eigentlich alles stimmen?

Bin für jede Hilfe dankbar.

LG

Hier noch die Statistik von Port 1/1/4 und 1/1/12

bildschirmfoto 2022-09-02 um 09.13.21
bildschirmfoto 2022-09-02 um 09.14.43
aqui
aqui 02.09.2022 aktualisiert um 10:31:01 Uhr
Goto Top
leider funktioniert das hier nicht.
Wenn du mit "PC" Windows Rechner meinst bedenke das diese ICMP generell blocken und Pakete aus fremden IP Netzen auch generell blocken. Du musst hier also deren Firewall customizen. Bei einem Mac ist das nicht erforderlich.

Du hast mit dem Spanning Tree schon wieder einen fatalen Fehler gemacht, denn deine VLANs 10 bis 30 sind nicht im Single Span!!! Hier MUSST du in den VLANs das "no" vor dem spanning tree entfernen!

Mac ist in VLAN 10 (10.0.10.0 /24 Netz)und der Koppelport bzw. FritzBox sind in VLAN 99 (10.0.1.0/24 Netz FB= .1) verbunden, was soweit richtig ist!
Gehe einmal strategisch vor und poste die Ergebnisse des folgenden Pingchecks:

  • Checke die statische Route auf der FritzBox!: Ziel: 10.0.0.0, Maske: 255.255.0.0, Gateway: 10.0.1.254 ! Ggf. FB danach einmal rebooten.
  • Von der Switchconsole aus die 10.0.1.1 pingen
  • Vom Mac das lokale VLAN 10 Gateway 10.0.10.1 pingen
  • Vom Mac das VLAN 1 Gateway 10.0.1.254 pingen
  • Vom Mac die FritzBox 10.0.1.1 pingen
  • Vom Mac eine Internet IP 8.8.8.8 pingen
  • Vom Mac einen Hostnamen z.B. www.heise.de pingen.
shiring
shiring 02.09.2022 um 11:06:25 Uhr
Goto Top
" Checke die statische Route auf der FritzBox!: Ziel: 10.0.0.0, Maske: 255.255.0.0, Gateway: 10.0.1.254 ! Ggf. FB danach einmal rebooten."


sorry, muss das nicht 255.255.255.0 sein?
shiring
shiring 02.09.2022 um 11:45:37 Uhr
Goto Top
hab jetzt Spanning Tree aktiviert. Muss das auch bei dem Koppel VLAN rein?
bildschirmfoto 2022-09-02 um 11.38.11


Habe die Route auf der FB jeweils mit Maske 255.255.255.0 und 255.255.0.0 durchprobiert.

Hier die Pingchecks:

Von der Switchconsole aus die 10.0.1.1 pingen:

ICX7150-C12 Router#ping 10.0.1.1
Sending 1, 16-byte ICMP Echo to 10.0.1.1, timeout 5000 msec, TTL 64
Type Control-c to abort
Request timed out.
No reply from remote host.

Vom Mac das lokale VLAN 10 Gateway 10.0.10.1 pingen:

imac@Mac ~ % ping 10.0.10.1
PING 10.0.10.1 (10.0.10.1): 56 data bytes
64 bytes from 10.0.10.1: icmp_seq=0 ttl=64 time=1.450 ms
64 bytes from 10.0.10.1: icmp_seq=1 ttl=64 time=0.953 ms

Vom Mac das VLAN 1 Gateway 10.0.1.254 pingen:

imac@Mac ~ % ping 10.0.1.254
PING 10.0.1.254 (10.0.1.254): 56 data bytes
64 bytes from 10.0.1.254: icmp_seq=0 ttl=64 time=1.593 ms
64 bytes from 10.0.1.254: icmp_seq=1 ttl=64 time=0.953 ms

Vom Mac die FritzBox 10.0.1.1 pingen:

imac@Mac ~ % ping 10.0.1.1
PING 10.0.1.1 (10.0.1.1): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1


Vom Mac eine Internet IP 8.8.8.8 pingen:

imac@Mac ~ % ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
Request timeout for icmp_seq 0
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss


Vom Mac einen Hostnamen z.B. www.heise.de pingen

imac@Mac ~ % ping www.heise.de
ping: cannot resolve www.heise.de: Unknown host
aqui
aqui 02.09.2022 aktualisiert um 17:42:32 Uhr
Goto Top
sorry, muss das nicht 255.255.255.0 sein?
Nein, das wäre ja falsch, denn du hast ja mehrere 10.0er VLANs ! Mit einem /16er Prefix routest du alle 10.0.er IP Netze auf den Switch wie es sein soll. Etwas nachdenken beim IP Routing hilft. 😉
Muss das auch bei dem Koppel VLAN rein?
In jedes deiner VLANs !
Von der Switchconsole aus die 10.0.1.1 pingen:
Da ist schon ein Kardinalsfehler!! Siehst du ja auch selber am Ping Ergebnis.
Es besteht keine Connectivity zw. Switch und FritzBox. Da ist dann alles weitere Testen vergebene Liebesmüh!
Das solltest du zuallererst einmal testen warum das so ist?!!
Wenn zw. Switch und FritzBox keinerlei physische Verbindung ist wie soll es dann auch gehen?!

Das du vom Mac die beiden Switch Interfaces pingen kannst zeigt das zumindestens auf dem Switch und den beteiligten VLANs alles OK ist.

Tips für deine verwirrende Konfig!
  • Es macht Sinn das zur VLAN ID korrespondierende Layer 3 Interface auch immer die gleiche Index Nummer mitzugeben. Nicht so wie du oben durcheinander denn das schadet massiv der Übersicht und dem Management.
  • Lasse das VLAN 99 weg und nutze stattdessen das VLAN 1 als Koppelnetz. Das verschlankt deine Konfig.
  • Es mach auch Sinn den VLANs zusammenhängende Port Ranges je nach benötigter Anzahl zuzuteilen und nicht wirr verteilt. So kannst du dir die VLAN Ports einfacher merken und leichter managen. Z.B. 10=Po1-4, 20=Po5-8, 30=Po9-10 und 1=Po11-12.
!
global-stp
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 router-interface ve 1
 spanning-tree
!
vlan 10 name LAN by port
 untagged ethe 1/1/1 to 1/1/4
 router-interface ve 10
 spanning-tree
!                                                                 
vlan 20 name WLAN by port
 untagged ethe 1/1/5 to 1/1/8
 router-interface ve 20
 spanning-tree
!
vlan 30 name Finn by port
 untagged ethe 1/1/9 to 1/1/10 
 router-interface ve 30
 spanning-tree
!
!                                                                 
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
ip route 0.0.0.0/0 10.0.1.1
!
ip dns domain-list fritz.box
ip dns server-address 10.0.1.1
!
ip multicast active
ip multicast version 3
!
clock summer-time
clock timezone europe CET
!
interface ve 1
port-name IP Interface VLAN1 (FritzBox)
 ip address 10.0.1.254 255.255.255.0
!
interface ve 10
 port-name IP Interface VLAN10
 ip address 10.0.10.1 255.255.255.0
!
interface ve 20
 port-name IP Interface VLAN20
 ip address 10.0.20.1 255.255.255.0
!
interface ve 30
 port-name IP Interface VLAN30
 ip address 10.0.30.1 255.255.255.0
!     
interface eth 1/1/1
 port-name Testport MacBook (V10)  
!
interface eth 1/1/12
 port-name Uplink FritzBox (V1)
 trust dscp   
!
ntp
 server ntps1-0.cs.tu-berlin.de
!                                                      
end 
Sieht doch gleich viel besser aus, oder?! Rennt hier auf einem Test ICX 7150 sowohl mit 8.0.95 als auch 9.0.10 absolut fehlerlos. Und jetzt die Pingchecks nochmal... 😉
shiring
shiring 02.09.2022 um 17:29:00 Uhr
Goto Top
Puh ok, mir raucht der Kopf;)

Ich werde versuchen alles umzusetzen.

Erstmal vielen Dank für deine Geduld und Mühe, hab einen schönen Abend!

LG
shiring
shiring 03.09.2022 um 13:54:35 Uhr
Goto Top
so alles ausprobiert...selbe Pingergebnisse wie gestern.
- von Console zu 10.0.1.1 keine Verbindung
-Ping vom Mac auf die beiden Gateways erfolgreich

Route in der FB stimmt:
bildschirmfoto 2022-09-03 um 11.34.40

mal was positives:
-TFTP funktioniert wunderbar
-9.0.10c auch

bildschirmfoto 2022-09-03 um 13.28

Hier meine Config, habe ich insoweit übernommen nur die Portzuweisungen in den VLANs etwas verändert:

Current configuration:
!
ver 09.0.10cT213
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
!
!
!
global-stp
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name LAN by port
 untagged ethe 1/1/1 to 1/1/8
 spanning-tree
!
vlan 20 name WLAN by port
 untagged ethe 1/1/9
 spanning-tree                                                    
!
vlan 30 name Finn by port
 untagged ethe 1/1/10 to 1/1/11 
 spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
!
ip route 0.0.0.0/0 10.0.1.1
!
!
clock summer-time
clock timezone europe CET
ip dns domain-list fritz.box
ip dns server-address 10.0.1.1
ip multicast active
ip multicast version 3
ip tftp blocksize 8192
!
!                                                                 
ntp
 server ntps1-0.cs.tu-berlin.de
!
!
!
!
!
!
!
!
!
interface management 1
!
interface ethernet 1/1/1
 port-name Testport iMac (V10)
!
interface ethernet 1/1/12
 port-name Uplink FritzBox (V1)
 trust dscp 
!
interface ve 1
 port-name IP Interface VLAN1 (FritzBox)
 ip address 10.0.1.254 255.255.255.0
!
interface ve 10                                                   
 port-name IP Interface VLAN10
 ip address 10.0.10.1 255.255.255.0
!
interface ve 20
 port-name IP Interface VLAN20
 ip address 10.0.20.1 255.255.255.0
!
interface ve 30
 port-name IP Interface VLAN30
 ip address 10.0.30.1 255.255.255.0
!
!

!
!



!
!
!
!
username shiring password ..... 
!
aaa authentication login default local                            
!
aaa authentication web-server default local
!
aaa authentication snmp-server default local
!


!


!


!
manager registrar 
manager port-list 987
!
cli timeout 240
!


!

end

Ich versteh die Welt nicht mehr...face-sad
aqui
aqui 03.09.2022 aktualisiert um 21:27:56 Uhr
Goto Top
Und du kannst weiterhin vom Switch (Konsole) die FritzBox nicht pingen, richtig?!
Mach dann mal Folgendes:
  • Setze testweise mal den Port 1/1/1 auch ins VLAN 1
  • Gebe ein show vlan 1 ein um zu checken das beide Ports 1 und 12 Member des VLAN 1 (FritzBox) sind.
  • Stecke in den Port 1 einen Testrechner mit einer 10.0.1.x /24 IP
  • Vom dem pingst du jetzt einmal die FritzBox IP und die Switch IP im VLAN 1
  • Und.. pingst dann von der Switch Konole diesen Rechner
Klappt das ?

Was sein kann: Die FB hat auch einen embeddeten 4 Port Switch. Es ist möglich das die MDI-X Autoerkennung zur Polung des Patchkabels nicht sauber funktioniert.
https://de.wikipedia.org/wiki/Medium_Dependent_Interface
Das ist dann klar wenn von der Konsole der Testrechner pingbar ist aber die FB weiter nicht.
Dann musst du ein Crossover Kabel oder Crossover Adapter nutzen zw. FB und Switch.
shiring
shiring 04.09.2022 um 17:17:10 Uhr
Goto Top
Ich werde das morgen machen.

Weil du schreibst, die Fb hat 4 embeddet LAN Ports: muss ich an den WAN Port oder an einen von den LAN Ports von Port 12 anschliessen? Bitte nicht schlagen, bin da gerade etwas verunsichert...


Crossover Kabel ist erstmal auf Verdacht bestellt...

LG
aqui
aqui 04.09.2022 um 17:33:18 Uhr
Goto Top
Nur die LAN Ports der FB liegen auf dem embeddeten Switch! 😉
shiring
shiring 04.09.2022 um 17:51:35 Uhr
Goto Top
Also da anschließen ja? LAN?
aqui
aqui 04.09.2022 um 23:11:14 Uhr
Goto Top
Meinst du es würde Sinn machen ihn am WAN/Internet Port anzuschliessen?! 😉
shiring
shiring 05.09.2022 um 07:13:18 Uhr
Goto Top
Asche auf mein Haupt, da hatte ich wohl einen üblen Denkfehler.

Wie auch immer: ES LÄUFT!!


Nochmals vielen vielen Dank für deine/eure Hilfe!!!
aqui
aqui 05.09.2022 aktualisiert um 08:28:09 Uhr
Goto Top
Und...?? Wo lag nun final der Fehler?
Wäre ja sinnvoll einmal die Lösung zu posten damit es auch anderen hilft. Der tiefere Sinn eines Forums... 😉
shiring
shiring 12.09.2022 um 11:07:10 Uhr
Goto Top
Hallo, sorry für die verspätete Antwort, kurz und knapp: man sollte nicht so dähmlich sein und WAN mit LAN verwechseln;)

Es funktioniert hier FAST alles jetzt.
Was nicht funktioniert ist der Zugriff vom Wlan (VLAN20) auf die HUE Bridge(VLAN10) via HomeKit. Ich habe hier schon viel gelesen, das Problem ist wohl durchaus bekannt.
Ich habe versucht mir auf dem AP einen Bonjour Proxy zu machen, blicke da nicht ganz durch was in die Regeln rein muss:
bildschirmfoto 2022-09-12 um 10.48.27
bildschirmfoto 2022-09-12 um 10.30.50

Habe jetzt schon einiges Ausprobiert, bis jetzt funktioniert nix. Ich hoffe ihr könnt mir nochmal helfenface-smile
Wenn das dann mal funktioniert, kommt der ganze Smart Home Kram in ein eigenes VLan.

LG

P.S. Habe mich entschieden auf jeden Fall das Layer 2 Konzept mit einer PfSense umzusetzen. Dazu die Frage: Wäre eine Netgate 2100 ausreichend? Auf selber basteln habe ich nicht wirklich Lust.
aqui
aqui 12.09.2022 aktualisiert um 13:40:33 Uhr
Goto Top
Wichtig ist zuerst einmal sicher zu ermitteln WIE sich die HUE Bridges bekannt machen. Wenn das wirklich mDNS ist basiert es auf Multicast. Der Wireshark an einem Mirror Port deines Switches ist hier immer dein bester Freund. face-wink
mDNS nutzt 224.0.0.251 als Zieladdresse mit UDP 5353. Die Adresse ist eine sog. Link Local Multicast Adresse mit einem TTL von 1 und damit nicht routebar. Auch nicht über PIM Routing.
Es bleibt dann nur ein mDNS Proxy wie z.B. hier beschreiben. So ein Proxy klappt aber nur wenn es auch wirklich mDNS ist.
Wichtig ist das der Proxy den Dienst in dem VLAN Segment announced indem die Clients sind und nicht da wo die Bridge selber Multicast Frames sendet. Dürfte der HTTP Dienst sein.
Auf selber basteln habe ich nicht wirklich Lust.
Na ja...du müsstest ja beim Fertigbausatz lediglich nur mit einem Schraubendreher hantieren und ein kleines APU Mainboard in ein Gehäuse schrauben. Das kann ein Drittklässler und ist in 15 Minuten erledigt. Wenn dich sowas überfordert tut es ein 2100 natürlich für den Heimgebrauch auch.
shiring
shiring 12.09.2022 um 17:27:59 Uhr
Goto Top
Jetzt bin ich erstmal auf etwas gestossen was mir schwer zu denken gibt, die DHCP Server der Gateways funktionieren nicht. Ich habe per TFTP meine Config hochgeladen und auch über CLI erneut eingegeben:
ver 09.0.10cT213
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
!
!
!
global-stp
!
lag "NAS LAG" dynamic id 1  
 ports ethe 1/1/7 to 1/1/8 
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 router-interface ve 1
 spanning-tree
!
vlan 10 name LAN by port
 untagged ethe 1/1/1 to 1/1/6 lag 1 
 router-interface ve 10
 spanning-tree
!
vlan 20 name WLAN by port
 untagged ethe 1/1/9 
 router-interface ve 20
 spanning-tree
!
vlan 30 name Finn by port
 untagged ethe 1/1/11 
 router-interface ve 30
 spanning-tree
!
vlan 40 name FinnWLAN by port
 untagged ethe 1/1/10 
 router-interface ve 40
 spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
!
ip route 0.0.0.0/0 10.0.1.1
!
!
clock summer-time
clock timezone europe CET
ip dns domain-list fritz.box
ip dns server-address 10.0.1.1
ip multicast active
ip multicast version 3
ip tftp blocksize 8192
!
!
ntp
 server ntps1-0.cs.tu-berlin.de
!
!
!
!
!
!
!
!
!
interface management 1
!
interface ethernet 1/1/1
 port-name iMac (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/2
 port-name WZ (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/3
 port-name Drucker (V10)
!
interface ethernet 1/1/4
 port-name raspyvpn (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/5
 port-name DM900 (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/6
 port-name raspyadguard (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/9
 port-name AP AZ (V20)
 speed-duplex 1000-full
!
interface ethernet 1/1/10
 port-name AP Finn (V40)
 speed-duplex 1000-full
!
interface ethernet 1/1/11
 port-name Finn (V30)
 speed-duplex 1000-full
!
interface ethernet 1/1/12
 port-name Uplink FritzBox (V1)
 trust dscp 
!
interface ve 1
 port-name IP Interface VLAN1 (FritzBox)
 ip address 10.0.1.254 255.255.255.0
!
interface ve 10
 port-name IP Interface VLAN10
 ip address 10.0.10.1 255.255.255.0
!
interface ve 20
 port-name IP Interface VLAN20
 ip address 10.0.20.1 255.255.255.0
!
interface ve 30
 port-name IP Interface VLAN30
 ip address 10.0.30.1 255.255.255.0
!
interface ve 40
 port-name IP Interface VLAN40
 ip address 10.0.40.1 255.255.255.0
!
!

!
!



!
!
!
username shiring password 8 $1$UFVCr.DB$EwfxeSoa/OCcTY4b.Uhbo/    
!
aaa authentication login default local
!
aaa authentication web-server default local
!
aaa authentication snmp-server default local
!
ip dhcp-client disable
!
ip dhcp-server enable
ip dhcp-server pool lan 
 network 10.0.10.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.10.1 10.0.10.50
 lease 1 0 0
 option routers 10.0.10.1
 option domain-name-servers 10.0.10.3
!
!
ip dhcp-server pool wlan 
 network 10.0.20.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.20.1 10.0.20.50
 lease 1 0 0
 option routers 10.0.20.1
 option domain-name-servers 10.0.10.3
!
!
ip dhcp-server pool finn 
 network 10.0.30.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.30.1 10.0.30.10
 lease 1 0 0
 option routers 10.0.30.1
 option domain-name-servers 10.0.10.3
!
!
ip dhcp-server pool finnwlan 
 network 10.0.40.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.40.1 10.0.40.10
 lease 1 0 0
 option routers 10.0.40.1
 option domain-name-servers 10.0.10.3
!
!
!


!


!


!
manager registrar 
manager port-list 987
!
cli timeout 240
!


!

end

Nach einem Neustart des Switches "schmeisst" er die router-interface ve`s aus der Config:
ver 09.0.10cT213
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
!
!
!
global-stp
!
lag "NAS LAG" dynamic id 1  
 ports ethe 1/1/7 to 1/1/8 
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name LAN by port
 untagged ethe 1/1/1 to 1/1/6 lag 1 
 spanning-tree
!
vlan 20 name WLAN by port
 untagged ethe 1/1/9 
 spanning-tree
!
vlan 30 name Finn by port
 untagged ethe 1/1/11 
 spanning-tree
!
vlan 40 name FinnWLAN by port
 untagged ethe 1/1/10 
 spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
!
ip route 0.0.0.0/0 10.0.1.1
!
!
clock summer-time
clock timezone europe CET
ip dns domain-list fritz.box
ip dns server-address 10.0.1.1
ip multicast active
ip multicast version 3
ip tftp blocksize 8192
!
!
ntp
 server ntps1-0.cs.tu-berlin.de
!
!
!
!
!
!
!
!
!
interface management 1
!
interface ethernet 1/1/1
 port-name iMac (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/2
 port-name WZ (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/3
 port-name Drucker (V10)
!
interface ethernet 1/1/4
 port-name raspyvpn (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/5
 port-name DM900 (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/6
 port-name raspyadguard (V10)
 speed-duplex 1000-full
!
interface ethernet 1/1/9
 port-name AP AZ (V20)
 speed-duplex 1000-full
!
interface ethernet 1/1/10
 port-name AP Finn (V40)
 speed-duplex 1000-full
!
interface ethernet 1/1/11
 port-name Finn (V30)
 speed-duplex 1000-full
!
interface ethernet 1/1/12
 port-name Uplink FritzBox (V1)
 trust dscp 
!
interface ve 1
 port-name IP Interface VLAN1 (FritzBox)
 ip address 10.0.1.254 255.255.255.0
!
interface ve 10
 port-name IP Interface VLAN10
 ip address 10.0.10.1 255.255.255.0
!
interface ve 20
 port-name IP Interface VLAN20
 ip address 10.0.20.1 255.255.255.0
!
interface ve 30
 port-name IP Interface VLAN30
 ip address 10.0.30.1 255.255.255.0
!
interface ve 40
 port-name IP Interface VLAN40
 ip address 10.0.40.1 255.255.255.0
!
!

!
!



!
!
!
username shiring password 8 $1$UFVCr.DB$EwfxeSoa/OCcTY4b.Uhbo/    
!
aaa authentication login default local
!
aaa authentication web-server default local
!
aaa authentication snmp-server default local
!
ip dhcp-client disable
!
ip dhcp-server enable
ip dhcp-server pool lan 
 network 10.0.10.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.10.1 10.0.10.50
 lease 1 0 0
option routers 10.0.10.1
 option domain-name-servers 10.0.10.3
!
!
ip dhcp-server pool wlan 
 network 10.0.20.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.20.1 10.0.20.50
 lease 1 0 0
option routers 10.0.20.1
 option domain-name-servers 10.0.10.3
!
!
ip dhcp-server pool finn 
 network 10.0.30.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.30.1 10.0.30.10
 lease 1 0 0
option routers 10.0.30.1
 option domain-name-servers 10.0.10.3
!
!
ip dhcp-server pool finnwlan 
 network 10.0.40.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.40.1 10.0.40.10
 lease 1 0 0
option routers 10.0.40.1
 option domain-name-servers 10.0.10.3
!
!
!


!


!


!
manager registrar 
manager port-list 987
!
cli timeout 240
!


!

end

Ist ja dann klar das kein DHCP funktioniert. Hat das vielleicht was damit zu tun, das ich im AP den DHCP Server aktiviert habe? Was läuft denn hier schief?

Ich gebe nicht auf und freue mich über jede Hilfeface-smile
bildschirmfoto 2022-09-12 um 17.23.57
aqui
aqui 13.09.2022 aktualisiert um 13:29:43 Uhr
Goto Top
Nach einem Neustart des Switches "schmeisst" er die router-interface ve`s aus der Config:
Bootest du dann eine Layer 2 Firmware, also eine Switching only Firmware? Das ist die mit einem "S=Switching" im Firmware Namen.
Wenn das der Fall sein sollte ist das doch logisch, denn die Switching Firmware kann logischerweise NICHT routen und kennt somit auch keine Layer 3 ve Interfaces!!
Ohne ve Interface kann es dann auch keine Segment bezogenen DHCP Server geben die rein eine Funktion des L3 Images sind.
Im Layer 2 Image funktioniert der DHCP Server auch aber dann musst du immer mit Relay arbeiten auf dem Router bzw. L3 Switch.

In einem L2 Konzept hast du ja immer einen externen Router und DER macht dann logischerweise auch DHCP. Oder du betreibst einen zentralen DHCP Server z.B. auch ein Ruckus L2 Switch kann das sein und dann mit einem DHCP Relay auf dem L2 Switch.
Letztlich also bestimmt das Konzept was du jetzt umsetzen willst wie das Setup aussieht!
shiring
shiring 13.09.2022 aktualisiert um 12:43:35 Uhr
Goto Top
Nein es ist die Router Firmware SPR9.0.
Das habe ich als erstes überprüft, das passt.

ICX7150-C12 Router#show version
  Copyright (c) Ruckus Networks, Inc. All rights reserved.
    UNIT 1: compiled on May 10 2022 at 17:50:42 labeled as SPR09010c
      (33554432 bytes) from Primary SPR09010c.bin (UFI)
        SW: Version 09.0.10cT213 
      Compressed Primary Boot Code size = 786944, Version:10.1.23T225 (mnz10123)
       Compiled on Thu Jan 27 10:44:47 2022
aqui
aqui 13.09.2022 aktualisiert um 12:55:42 Uhr
Goto Top
OK, aber dann verschwinden nicht ganz einfach so ve Interfaces, das ist Unsinn.
Ein weiterer Fehler ist feste Speed und Duplex Werte auf den Ports einzutragen. Das ist ziemlicher Unsinn und macht man ausschliesslich nur dann wenn man Probleme mit der Autonegotiation hat sonst nicht!
Das solltest du dringenst wieder entfernen!
Der DNS Server 10.0.10.3 ist das ein lokaler DNS wie PiHole, Adguard etc.?
shiring
shiring 13.09.2022 um 13:02:30 Uhr
Goto Top
an den Speedwerten habe ich nix gemacht. Die kamen so mit in der Config beim runterladen.

Ja 10.0.10.3 ist Adguard als lokaler DNS. Das läuft auch, zumindestens wenn ich ein Client mit statischer Ip verbinde. Sollte ich den mal entfernen und die FB als Dns Server nehmen in den Gateways?
aqui
aqui 13.09.2022 aktualisiert um 13:24:35 Uhr
Goto Top
Die kamen so mit in der Config beim runterladen.
Das kann nicht sein! Ein show run zeigt sie nicht an weil der "auto" Mode Default ist. Angezeigt wird es nur wenn Einstellungen vom Default abweichen. Irgendwas hast du da also falsch gemacht.
Kannst du ja auch selber sehen wenn du auf einem Interface mal "speed auto" eingibst, dann verschwindet die Anzeige in der Konfig. face-wink
Sollte ich den mal entfernen und die FB als Dns Server nehmen in den Gateways?
Nein, musst du nicht. Wichtig ist das er funktioniert, ins Internet kann und selber übers Routing via FB auf seine Uplink DNS Server kommt. Ansonsten würde nur die DNS Auflösung an den Clients scheitern.
Fehler ist dann aktuell nur das keine DHCP Adressen in den VLANs vergeben werden, richtig?!
shiring
shiring 13.09.2022 um 13:30:09 Uhr
Goto Top
Genau, richtig, da wird nur irgendwelcher Blödsinn wie 169.254.xxx.xxx Subnetzmaske 255.255.0.0 vergeben.
shiring
shiring 13.09.2022 um 13:31:35 Uhr
Goto Top
Den AP ungetaggt an Port 9 ist richtig? Im Ap noch was besonderes einstellen? Hab da bis jetzt alles soweit auf default gelassen. der macht ja auch was er soll.
3803037559
3803037559 13.09.2022 aktualisiert um 13:32:46 Uhr
Goto Top
Zitat von @shiring:
da wird nur irgendwelcher Blödsinn wie 169.254.xxx.xxx Subnetzmaske 255.255.0.0 vergeben.
Der "Blödsinn" heißt Zeroconf/APIPA. face-smile

Cheers
certguy
shiring
shiring 13.09.2022 um 13:33:07 Uhr
Goto Top
Jawollface-smile
aqui
Lösung aqui 13.09.2022 aktualisiert um 14:05:36 Uhr
Goto Top
Deine DHCP Konfig Syntax stimmt auch irgendwie nicht. Siehe dazu Seite 54 und Seiten 56 ff. im DHCP Konfig Guide!
Demnach wäre richtig:
!
ip dhcp-server enable
!
ip dhcp-server pool lan
network 10.0.10.0 255.255.255.0
excluded-address 10.0.10.1 10.0.10.30
lease 1 0 0
option 3 ip 10.0.10.1
option 6 ip 10.0.10.3
!

Das Kommando "lease-count" gibt es überhaupt nicht! Siehe ICX Command Reference 9.0.10! Wo kommt das her? Könnte ggf. eine "Leiche" aus der Konfig mit einem ganz alten Firmware release sein und solltest du dringenst entfernen!
Ggf. löschst du die 3 DHCP Server einmal und setzt dann erstmal einen im VLAN 10 mit der neuen und korrekten Syntax auf und checkst den mit der o.a.Konfig. Klappt es mit dem setrzt du die für die anderen VLANs identisch auf.
Ein show ip dhcp-server address-pools sollte dir dann die korrekt konfigurierten Pools zeigen und show ip dhcp-server binding ob Adressen an die Clients verteilt wurden.
shiring
shiring 13.09.2022 um 14:28:13 Uhr
Goto Top
Halleluja! Es geht!

Vielen vielen Dank aqui!!

Nur, lease-count schreibt er selbst wieder in die Config, und auch option routers und option domain-name-servers:

ver 09.0.10cT213
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
!
!
!
global-stp
!
lag NAS dynamic id 1
 ports ethe 1/1/7 to 1/1/8 
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name LAN by port
 untagged ethe 1/1/1 to 1/1/6 lag 1 
 spanning-tree
!
vlan 20 name WLAN by port
 untagged ethe 1/1/9 
 spanning-tree
!
vlan 30 name Finn by port
 untagged ethe 1/1/11 
 spanning-tree
!
vlan 40 name FinnWLAN by port
 untagged ethe 1/1/10 
 spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
!
ip route 0.0.0.0/0 10.0.1.1
!
!
clock summer-time
clock timezone europe CET
ip dns domain-list fritz.box
ip dns server-address 10.0.1.1
ip multicast active
ip multicast version 3
ip tftp blocksize 8192
!
!
ntp
 server ntps1-0.cs.tu-berlin.de
!
!
!
!
!
!
!
!
!
interface management 1
!
interface ethernet 1/1/1
 port-name iMac (V10)
!
interface ethernet 1/1/2
 port-name WZ (V10)
!
interface ethernet 1/1/3
 port-name Drucker (V10)
!
interface ethernet 1/1/4
 port-name raspyvpn (V10)
!
interface ethernet 1/1/5
 port-name DM900 (V10)
!
interface ethernet 1/1/6
 port-name raspyadguard (V10)
!
interface ethernet 1/1/9
 port-name AP AZ (V20)
!
interface ethernet 1/1/10
 port-name AP Finn (V40)
!
interface ethernet 1/1/11
 port-name Finn (V30)
!
interface ethernet 1/1/12
 port-name Uplink FritzBox (V1)
 trust dscp 
!
interface ve 1
 port-name IP Interface VLAN1 (FritzBox)
 ip address 10.0.1.254 255.255.255.0
!
interface ve 10
 port-name IP Interface VLAN10
 ip address 10.0.10.1 255.255.255.0
!
interface ve 20
 port-name IP Interface VLAN20
 ip address 10.0.20.1 255.255.255.0
!
interface ve 30
 port-name IP Interface VLAN30
 ip address 10.0.30.1 255.255.255.0
!
interface ve 40
 port-name IP Interface VLAN40
 ip address 10.0.40.1 255.255.255.0
!
!

!
!



!
!
!
username shiring password 8 $1$UFVCr.DB$EwfxeSoa/OCcTY4b.Uhbo/    
!
aaa authentication login default local
!
aaa authentication web-server default local
!
aaa authentication snmp-server default local
!
ip dhcp-client disable
!
ip dhcp-server enable
ip dhcp-server pool lan 
 network 10.0.10.0 255.255.255.0
  lease-count 204
 excluded-address 10.0.10.1 10.0.10.50
 lease 1 0 0
option routers 10.0.10.1
 option domain-name-servers 10.0.10.3
!
!
ip dhcp-server pool wlan 
 network 10.0.20.0 255.255.255.0
  lease-count 204
 excluded-address 10.0.20.1 10.0.20.50
 lease 1 0 0
option routers 10.0.20.1
 option domain-name-servers 10.0.10.3
!
!
ip dhcp-server pool finn 
 network 10.0.30.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.30.1 10.0.30.10
 lease 1 0 0
option routers 10.0.30.1
 option domain-name-servers 10.0.10.3
!
!
ip dhcp-server pool finnwlan 
 network 10.0.40.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.40.1 10.0.40.10
 lease 1 0 0
option domain-name-servers 10.0.10.3
!
!
!


!


!


!
manager registrar 
manager port-list 987
!
cli timeout 240
!


!

end
aqui
aqui 13.09.2022 um 14:33:43 Uhr
Goto Top
👏 👍 geht doch! 😉
Ein Problem solltest du noch fixen:
Das Kommando excluded-address gibt Einzeladressen an und m.E. keine Ranges wenn man das aus dem Konfig Guide richtig versteht.
Dein DNS Server im 10.0.10er Netz mit der .3 fehlt dort aber. Es besteht also die große Gefahr das die .3 mal im DHCP Pool vergeben wird und dann doppelt auftaucht was zu Adress Chaos und Ausfall des DNS führt.
shiring
shiring 13.09.2022 um 14:39:01 Uhr
Goto Top
Hatte irgendwo gelesen so wird die Range angegeben. Da jetzt wirklich nur IPs per DHCP über der .50 vergeben werden,,scheint das zu stimmen.
shiring
shiring 13.09.2022 um 14:41:43 Uhr
Goto Top
„ show ip dhcp-server bindings“

Ist wohl das „s“ zuviel. Ohne klappt das laut Handbuch( da sollte ich öfter mal reinguggn) face-smile
aqui
aqui 13.09.2022 aktualisiert um 15:36:03 Uhr
Goto Top
über der .50 vergeben werden,,scheint das zu stimmen.
Dann hast du Recht und dann passt das. Der DHCP Konfig Guide ist da leider nicht so ganz präzise zu dem Thema Ranges. face-sad
shiring
shiring 20.09.2022 um 16:08:33 Uhr
Goto Top
Hallo ich bins mal wieder;)

Derzeitiges Problem: AirPrint via Bonjour Gateway über 2 VLANs hinweg.

Ausgangslage: 2 APs (2xR310) in 2 Vlans mit jeweils einer SSID sollen sich via mDNS einen Drucker teilen.

Drucker ist in VLAN 20 (10.0.20.0/24)
iPad ist in VLAN 40 (10.0.40.0/24)

Hab hier schon alles mögliche gelesen, was aqui vorgeschlagen hat, es geht trotzdem nicht.

Am AP im 20er Netz ist eingestellt:

unter Administration:
bildschirmfoto 2022-09-20 um 04.47.40

unter Accespoint:
bildschirmfoto 2022-09-20 um 04.48.46

im Drucker scheint auch alles zu stimmen:

bildschirmfoto 2022-09-20 um 04.54.59
bildschirmfoto 2022-09-20 um 15.54.38

Ich muss noch dazu sagen, das hier keine IPs namentlich aufgelöst werden, im Raspberry mit Adguard (10.0.1.3) werden mir die Klienten nur mit IP angezeigt. Habe den Raspby erstmal nur bei ein paar Klienten als DNS Server eingestellt. Upstream Server sind ein paar gängige empfohlene.

Hier die aktuelle Config vom Switch:

ver 09.0.10cT213
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
!
!
!
global-stp
!
lag NAS dynamic id 1
 ports ethe 1/1/7 to 1/1/8 
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 no spanning-tree
!
vlan 10 name LAN by port
 tagged ethe 1/1/2 
 untagged ethe 1/1/1 ethe 1/1/3 ethe 1/1/5 lag 1 
 spanning-tree
!
vlan 20 name WLAN by port
 tagged ethe 1/1/2 ethe 1/1/10 
 untagged ethe 1/1/9 
 spanning-tree
!
vlan 30 name Finn by port
 untagged ethe 1/1/11 
 spanning-tree
!
vlan 40 name FinnWLAN by port
 tagged ethe 1/1/2 ethe 1/1/9 
 untagged ethe 1/1/10 
 spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
!
!
ip route 0.0.0.0/0 10.0.1.1
!
!
clock summer-time
clock timezone europe CET
ip dns domain-list fritz.box
ip dns server-address 10.0.1.1
ip multicast active
ip multicast version 3
ip tftp blocksize 8192
!
!
ntp
 server ntps1-0.cs.tu-berlin.de
!
!
!
!
!
!
!
!
!
interface management 1
!
interface ethernet 1/1/1
 port-name iMac (V10)
!
interface ethernet 1/1/2
 port-name WZ (V10)
!
interface ethernet 1/1/3
 port-name Drucker (V10)
!
interface ethernet 1/1/4
 port-name raspyvpn (V10)
!
interface ethernet 1/1/5
 port-name DM900 (V10)
!
interface ethernet 1/1/6
 port-name raspyadguard (V10)
!
interface ethernet 1/1/9
 port-name AP AZ (V20)
!
interface ethernet 1/1/10
 port-name AP Finn (V40)
!
interface ethernet 1/1/11
 port-name Finn (V30)
!
interface ethernet 1/1/12
 port-name Uplink FritzBox (V1)
 trust dscp 
!
interface lag 1
interface ve 1
 port-name IP Interface VLAN1 (FritzBox)
 ip address 10.0.1.254 255.255.255.0
!
interface ve 10
 port-name IP Interface VLAN10
 ip address 10.0.10.1 255.255.255.0
!
interface ve 20
 port-name IP Interface VLAN20
 ip address 10.0.20.1 255.255.255.0
!
interface ve 30
 port-name IP Interface VLAN30
 ip address 10.0.30.1 255.255.255.0
!
interface ve 40
 port-name IP Interface VLAN40
 ip address 10.0.40.1 255.255.255.0
!
!

!
!



!
!
!
username shiring password 8 $1$UFVCr.DB$EwfxeSoa/OCcTY4b.Uhbo/    
!
aaa authentication login default local
!
aaa authentication web-server default local
!
aaa authentication snmp-server default local
!
ip dhcp-client disable
!
ip dhcp-server enable
ip dhcp-server pool lan 
 network 10.0.10.0 255.255.255.0
  lease-count 204
 excluded-address 10.0.10.1 10.0.10.50
 lease 1 0 0
option routers 10.0.10.1
 option domain-name-servers 10.0.1.1
!
!
ip dhcp-server pool wlan 
 network 10.0.20.0 255.255.255.0
  lease-count 204
 excluded-address 10.0.20.1 10.0.20.50
 lease 1 0 0
option routers 10.0.20.1
 option domain-name-servers 10.0.1.1
!
!
ip dhcp-server pool finn 
 network 10.0.30.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.30.1 10.0.30.10
 lease 1 0 0
option routers 10.0.30.1
 option domain-name-servers 10.0.1.1
!
!
ip dhcp-server pool finnwlan 
 network 10.0.40.0 255.255.255.0
  lease-count 244
 excluded-address 10.0.40.1 10.0.40.10
 lease 1 0 0
option routers 10.0.40.1
 option domain-name-servers 10.0.1.1
!
!
!


!


!


!
manager registrar 
manager port-list 987
!
cli timeout 240
!


!

end

Ich weiss nun nicht, ob das 2 Baustellen sind oder eine Grosse;)

Freue mich wieder über jede Hilfe!!

LG
aqui
aqui 21.09.2022 aktualisiert um 11:38:02 Uhr
Goto Top
das hier keine IPs namentlich aufgelöst werden, im Raspberry mit Adguard (10.0.1.3) werden mir die Klienten
Das liegt daran das deine DHCP Server Konfiguration auf dem Switch unvollständig ist, denn du hast dort vergessen eine Domain mitzugeben!! Option 15
Damit existiert dann gar keine Domain in deinen lokalen Netzen.
Deine Bonjour/mDNS Konfig hat auch einen Fehler, denn in der TLD steht zum Schluss kein ".".
Tip:
Lasse mal den Wireshark mitlaufen in dem VLAN und sniffere einmal nach Port 5353 Paketen um zu checken das der AP auch aktiv mDNS Frames mit dem Printer Dienst sendet in dem Segment.
ws
shiring
shiring 21.09.2022 aktualisiert um 16:58:25 Uhr
Goto Top
habe jetzt versucht nach Handbuch(Seite 58 RUCKUS FastIron DHCP Configuration Guide, 09.0.10) die Domain einzugeben:

Anleitung:

Configuring the Domain Name for the Client
Complete the following steps to configure the domain name for the client.
1. Enter global configuration mode by issuing the configure terminal command.
device# configure terminal
2. Create and enter DHCP server pool configuration mode.
device(config)# ip dhcp-server pool cabo
3. Specify the domain name for the client.
device(config-dhcp-cabo)# option domain-name ascii sierra

Fehler:

ICX7150-C12 Router(config-dhcp-LAN)#option domain-name ascii shiring
Invalid input4 -> shiring


Habe vorher noch global den Domain Namen von fritz.box auf shiring.com geändert:

ip dns domain-list shiring.com

im Prinzip möchte ich das alle meine Clienten mit hostname.shiring.com (shiring.com ist erstmal nur testweise) aufgelöst werden. Woran könnte das nun wieder liegen das kein "option domain-name ascii shiring" funktioniert?
Habe auch schon alle möglichen anderen Befehle ausgeführt zb.:

CX7150-C12 Router(config-dhcp-LAN)#option domain-name shiring      
Error: Configure network option before configuring any options
Error - Failed to add option <domain-name> to address pool  "LAN"  

Das will ich erstmal hinbekommen, bevor ich mich an die mDNS Sache wage;)
aqui
aqui 21.09.2022 um 17:21:19 Uhr
Goto Top
shiring
shiring 21.09.2022 um 17:27:42 Uhr
Goto Top
Bezahlschranke leider. was wäre denn richtig? ich lese hier kreuz und queer, weiss das die TLD das .com ist, second level domain das shiring.
aqui
aqui 22.09.2022 um 09:58:01 Uhr
Goto Top
Registrierte TLDs solltest du natürlich nie intern verwenden. Standardkonform wäre z.B. shiring.home.arpa es gehen aber auch andere Klassiker wie shiring.intern usw.
shiring
shiring 22.10.2022 um 07:30:11 Uhr
Goto Top
Guten Morgen!

Habe mich nun entschieden, mein Netzwerk auf eine pfSense umzustellen.

Folgender Aufbau ist geplant:

Vigor 166--> pfSense-->ICX Switch--> Trunks zu L2 Switches (also wohl der klassische Aufbau).

Mein ISP(kleiner lokaler Anbieter) bietet kein PPPoE, die Identifizierung nur mit MAC Erkennung. VLAN Tag 500 muss gesetzt werden.

Ich habe nun folgendes gemacht:
- Vigor als Full Bridge Modem konfiguriert
- die Pfsense nach Anleitung: pfSense baseline guide with VPN, Guest and VLAN support eingerichtet. Habe diese Anleitung genommen, da ich auf jeden Fall ein VLAN zu einem VPN Anbieter tunneln möchte.

Einziger Unterschied zur Anleitung ist, das ich noch ein weiteres VLAN (500) erstellt habe, das mit WAN verknüpft ist. In der WAN Schnittstelle Hab ich noch die MAC Adresse meiner FB eingebeben.

Nun zu meinem Problem: Ich komme nicht ins Internet;) Alle Vlans Funktionieren ordnungsgemäss, sind untereinander ping-bar.

Die Verbindung vom Vigor klappt augenscheinlich, ich bekomme immerhin ein IP auf die WAN Schnittstelle:
dash

Hier weitere Bilder der aktuellen Einstellungen:

Interfaces:
zuweisungen

WAN Schnittstelle:
schnitt-wan

Firewall WAN Regeln:
wan-firewall

NAT ausgehend:
nat-ausgehend

NAT Port Weiterleitungen:
nat-port-weiter

Firewall VLAN500 Regeln bis jetzt keine:
500 firewall

Firewall VLAN10 Regeln (exemplarisch für alle anderen VLANs):
10-firewall

OpenVPN Status:
ststus-openvpn

Die grosse Frage für mich ist jetzt, wie geht es weiter? Was muss ich noch an Regeln erstellen, das das hier alles funktioniert? Bin wie immer für jede Hilfe dankbar!

Viele Grüsse
Vision2015
Vision2015 22.10.2022 aktualisiert um 08:44:50 Uhr
Goto Top
Moin...

hast du mal geprüft ob ein ping ins www funktioniert? in 99% aller fälle geht die DNS auflösung nicht!
was soll das NordVPN bewirken?
hast du mal alles ohne dein NordVPN gebrösel geprüft?
in der regel dauert es 15 Minuten bis die DHCP Lease erneuert wurde, bei gerätetausch etc...

Frank
aqui
aqui 22.10.2022 aktualisiert um 13:39:34 Uhr
Goto Top
Mein ISP(kleiner lokaler Anbieter) bietet kein PPPoE, die Identifizierung nur mit MAC Erkennung. VLAN Tag 500 muss gesetzt werden.
Das wäre sehr außergewöhnlich wenn der lokale Provider einen VDSL oder ADSL Zugang zur Verfügung stellt. Dort wird so gut wie immer PPPoE gemacht!
Das solltest du einmal mit der Support Hotline dieses Anbieters wirklich wasserdicht VORAB klären welche Zugangsparameter der Provider genau erwartet! Ansonsten suchst du dir einen Wolf.

Alternativ müsste er ja dann DHCP machen, die pfSense also als DHCP Client arbeiten und du müsstest die WAN Port Mac Adresse der pfSense zur Freischaltung an den Provider posten.
Der Virgor werkelt ja immer nur als transparente Bridge,reicht also nur durch.
Wie gesagt...im xDSL Umfeld wäre das sehr außergewöhnlich, auch für einen kleinen Provider.

Wichtig beim Einsatz eines externen NUR Modems wie z.B. dem Vigor ist, das man in jedem Falle das Modem selber taggen lässt!!
Das vereinfacht die Konfig nachfolgender Breitband Router oder Firewalls wie z.B. das der pfSense deutlich da du am WAN keinerlei VLAN Frickeleien mehr machen musst.
Hier als Beispiel an einem T-Com Anschluss mit der dort erforderlichen Tag ID 7:
vitag

Falsch ist auch gleich alles auf der pfSense zu konfigurieren. Um überhaupt erstmal den Provider Zugang zum Fliegen zu bringen solltest du strategisch und Schritt für Schritt vorgehen. Sagt einem auch der gesunde Menschenverstand...
Belasse die pfSense als zuerst einmal auf ihren Default Einstellungen und kümmer dich NUR um den WAN Zugang bzw. Provider Link das der als Allererstes zum Fliegen kommt.
Dazu gehört:
  • Klärung der genauen Provider Anschluss Parameter. PPPoE oder DHCP
  • Setup des WAN Ports mit diesen Settings. Ggf. Aktivierung der pfSense WAN Mac Adresse beim Provider wenn erforderlich.
  • Ping Check und nslookup Check erst einmal ausschliesslich nur aus dem Diagnostics Menü der Firewall. (Absender IP = WAN Port IP) So schliesst du ggf. Fehler die du an anderer Stelle im Setup gemacht hast sicher aus!
  • Wenn der WAN Zugang rennt machst du die lokale LAN Infrastruktur nach deinen Vorgaben schick
  • Fertisch

Zum Thema "Unsinn öffentliche VPN Provider" und Datenschutz ist HIER schon alles gesagt worden! Sowas ist gefährlicher Unsinn und man erweist sich einen Bärendienst damit.
Wie Kollege @Vision2015 oben schon richtig sagt sollte man dringenst die Finger davon lassen wenn einem die Datensicherheit lieb ist. Und wenn du dennoch partout meinst sowas Gruseliges nutzen zu müssen machst du das ebenfalls nachdem zuerstmal dein Provider Anschluss rennt und du überhaupt den dafür erforderlichen Internet Zugang hast. Logisches Nachdenken hilft... face-wink
shiring
shiring 22.10.2022 um 13:51:48 Uhr
Goto Top
Lieber Aqui, die Parameter vom ISP stimmen so. Habe schon vor Jahren einen Vigor 130 so betrieben( Vlan Tag 500) mit Dream Machine und weiterem Unifi Geraffel.
Habe auch das Tagging vom Vigor machen lassen. Jetzt wollte ich mal probieren ob das auch mit der pfSense klappt. DHCP stimmt. Sonst würde ich doch auch keine IP vom ISP bekommen? Ist jedenfalls die selbe wie sonst auch.

Jedenfalls werde ich deinen Vorschlag aufgreifen und bei Null anfangen.
aqui
aqui 22.10.2022 aktualisiert um 13:57:26 Uhr
Goto Top
die Parameter vom ISP stimmen so.
OK, perfekt. Wenns vorab so gelaufen ist wird es das ganz sicher auch mit der pfSense machen! Dann frisch und neu ans Werk! face-wink
Ein solches Vorgehen erleichtert auch das Troubleshooting hier deutlich, da du dann nicht kilometerlange Screenshots posten musst. face-wink
4091525239
4091525239 22.10.2022 aktualisiert um 14:48:13 Uhr
Goto Top
Zitat von @shiring:
WAN Schnittstelle:
schnitt-wan

Falsch, hier musst du gar nichts konfigurieren sonder dein WAN ist ja das VLAN500 Interface, und dort gehört der DHCP gesetzt nicht am WAN selbst das kannst du dort bei IPv4 auf "Kein" stellen!
Oder eben wie @aqui schon schreibt statt die pfsense taggen zu lassen das den Vigor übernehmen lassen, dann ist das VLAN Interface an der pfSense überflüssig.
shiring
shiring 22.10.2022 um 14:52:24 Uhr
Goto Top
Okay vielen Dank für den Hinweis.
aqui
aqui 22.10.2022 aktualisiert um 15:15:46 Uhr
Goto Top
Falsch, hier musst du gar nichts konfigurieren sonder dein WAN ist ja das VLAN500 Interface
Wie oben gesagt... Nicht wenn er das Modem selber taggen lässt (siehe oben) was die deutlich bessere Option hier ist statt die Frickelei mit dem VLAN Interface!
dann ist das VLAN Interface an der pfSense überflüssig.
Genau so ist es... face-wink
shiring
shiring 20.11.2022 aktualisiert um 16:58:36 Uhr
Goto Top
Kurzes Feedback: läuft jetzt fast alles wie gewünscht. War ein langer Weg, bin aber jetzt um einiges schlauer;)

Als letztes steht noch ein 2 Port LAG von der pfSense zum Switch an.

Hier nochmal die finale Config vom ICX Switch im Layer 2 Mode, vielleicht hilft es dem einem oder anderen:

ver 09.0.10cT211
!
stack unit 1
  module 1 icx7150-c12-poe-port-management-module
  module 2 icx7150-2-copper-port-2g-module
  module 3 icx7150-2-sfp-plus-port-20g-module
  stack-port ethernet 1/3/1
  stack-port ethernet 1/3/2
!
!
!
!
lag NAS dynamic id 1
 ports ethe 1/1/3 to 1/1/4 
!
spanning-tree single
!
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
vlan 10 name VLAN10_Office by port
 tagged ethe 1/2/2 
 untagged ethe 1/1/1 ethe 1/1/5 
 spanning-tree
!
vlan 20 name VLAN20_Office_Wlan by port
 tagged ethe 1/1/6 ethe 1/2/2 
 spanning-tree
!
vlan 30 name VLAN30_IoT by port
 tagged ethe 1/1/2 ethe 1/1/6 ethe 1/2/2 
 spanning-tree
!
vlan 40 name VLAN40_Media by port
 tagged ethe 1/1/2 ethe 1/1/7 ethe 1/1/9 ethe 1/2/2 
 spanning-tree
!
vlan 50 name VLAN50_Media_VPN by port
 tagged ethe 1/2/2 
 spanning-tree
!
vlan 60 name VLAN60_Guest by port
 tagged ethe 1/1/6 ethe 1/2/2 
 spanning-tree
!
vlan 70 name VLAN70_Finn by port
 tagged ethe 1/1/9 ethe 1/2/2 
 spanning-tree
!
vlan 80 name VLAN80_Finn_Wlan by port
 tagged ethe 1/1/11 ethe 1/2/2 
 spanning-tree
!
vlan 100 name VLAN100_MGMT by port
 tagged ethe 1/1/2 ethe 1/1/7 ethe 1/1/9 ethe 1/2/2 
 untagged ethe 1/1/6 ethe 1/1/8 ethe 1/1/10 to 1/1/12 lag 1 
 spanning-tree
 management-vlan
 default-gateway  10.0.100.1 1
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 12288
!
!
!
!
!
!
!
!
clock summer-time
clock timezone europe CET
hostname ICX7150
ip dns domain-list shiring.intern
ip dns server-address 10.0.100.1
ip address 10.0.100.10 255.255.255.0
ip multicast active
ip multicast version 3
ip tftp blocksize 8192
!
!
ntp
 disable serve
 server 10.0.100.1 minpoll 5
!
!
!
!
interface management 1
!
interface ethernet 1/1/1
 port-name iMacPapaLAN 1-11
 speed-duplex 1000-full
 no inline power
!
interface ethernet 1/1/2
 port-name UnifiMiniSwitch-AZ 2-12(2)
 speed-duplex 1000-full
!
interface ethernet 1/1/5
 port-name McBookLAN 5-15
 speed-duplex 1000-full
 no inline power
!
interface ethernet 1/1/6
 port-name RuckusAP-AZ 6-16
 speed-duplex 1000-full
!
interface ethernet 1/1/7
 port-name UnifiMiniSwitch-WZ 7-17
 speed-duplex 1000-full
!
interface ethernet 1/1/8
 port-name raspycloudkey 8-direkt
 speed-duplex 1000-full
!
interface ethernet 1/1/9
 port-name UnifiMiniSwitch-KZ 9-19
 speed-duplex 1000-full
!
interface ethernet 1/1/10
 port-name raspy3 10-direkt
 speed-duplex 1000-full
!
interface ethernet 1/1/11
 port-name RuckusAP-KZ 11-21
 speed-duplex 1000-full
!
interface ethernet 1/1/12
 port-name raspy4 12-direkt
 speed-duplex 1000-full
!
interface ethernet 1/2/1
 port-name Netgate 4100 LAN3
 speed-duplex 1000-full
!
interface ethernet 1/2/2
 port-name Netgate 4100 LAN2
 speed-duplex 1000-full
 trust dscp 
!
interface lag 1
!

!
!



!
!
!
username super password 1 xxxxxx
username shiring password 1 xxxxx
!
aaa authentication login default local
!
aaa authentication web-server default local
!
aaa authentication snmp-server default local
!


!


!


!
no telnet server
!
manager registrar 
manager port-list 987
!
cli timeout 240
!


!

end



Also vielen vielen Dank an Euch für die Unterstützung!
aqui
aqui 20.11.2022 um 16:39:34 Uhr
Goto Top
läuft jetzt fast alles wie gewünscht.
Glückwunsch! 👏👍 Alles richtig gemacht!
Als letztes steht noch ein 2 Port LAG von der pfSense zum Switch an.
Ist ja für dich jetzt ein Kinderspiel. Guckst du dazu auch HIER. Dort findest du alles was du dazu wissen musst.