FritzBox, pfSense und VLAN am Cisco SG200-08
Hallo Forum,
vor etwa 4 Wochen habe ich erfolgreich pfSense (latest Version - 2.7.2) auf einer Sophos Appliance installiert. Dies ist eine SG135 in Rev. 2
Die Portbezeichnungen auf der Rückseite findet man in der pfSense wie nachfolgend aufgeführt wieder:
- WAN -> igb4
- LAN -> igb5
- DMZ -> igb6
- HA -> igb7
- ETH4 - > igb0
- ETH5 -> igb1
- ETH6 -> igb2
- ETH7 -> igb3
Diese 8 Ports, möchte ich gerne wie folgt verwenden:
VLANS
für jedes VLAN habe ich auf der pfSense entsprechend einen DHCP Server gestartet und lasse die Range 10.10.10.100 - 10.10.10.199 verteilen. Die Range ist für alle VLANS gleich.
In jedem VLAN existiert eine "Allow Any" Rule.. der Traffic wird protokolliert.
Jetzt versuche ich mich daran, die VLANS auf dem Switch bereitzustellen, das funktioniert aber nicht, so wie ich es mit dachte. Der Switch erhält aus dem VLAN 99, welches untagged auf Port 8 am Switch ankommt, keine IP Adresse via DHCP der pfSense. Ein Client am Switch welcher in das VLAN 10 - 50 kommen soll, erhält ebenfalls keine IP Adresse.
Wie in den Bildern zu sehen, habe ich korrekt die VLANS auf dem Switch konfiguriert.
Der Switch hat leider nur WebGUI und keine CLI ...
Kann mir jemand sagen, wo mein Fehler liegt?
Besten Dank schon jetzt
VG Alexander
vor etwa 4 Wochen habe ich erfolgreich pfSense (latest Version - 2.7.2) auf einer Sophos Appliance installiert. Dies ist eine SG135 in Rev. 2
Die Portbezeichnungen auf der Rückseite findet man in der pfSense wie nachfolgend aufgeführt wieder:
- WAN -> igb4
- LAN -> igb5
- DMZ -> igb6
- HA -> igb7
- ETH4 - > igb0
- ETH5 -> igb1
- ETH6 -> igb2
- ETH7 -> igb3
Diese 8 Ports, möchte ich gerne wie folgt verwenden:
- WAN Port -> an eine FritzBox angeschlossen (IP Bereich 192.168.123.0/24
- LAN Port verteilt erfolgreich IP Adressen über DHCP der pfSense aus dem Bereich 192.168.100.0/24 - dieser Port soll nur zur Konfiguration der pfSense genutzt werden
- ETH4 -> hier stelle ich über die pfSense ein paar VLANS bereit -> es ist hier ein Cisco SG200-08 angeschlossen.
VLANS
- VLAN 10 - 10.10.10.0/24 (geplant - Telefonie DECT der FritzBox)
- VLAN 20 - 10.10.20.0/24(gemeinsam genutze Geräte Drucker, Scanner)
- VLAN 30 - 10.10.30.0/24 (Clients)
- VLAN 40 - 10.10.40.0/24 (geplant Proxmox VMs, CTs)
- VLAN 50 - 10.10.50.0/24 (IoT)
- VLAN 99 - 10.10.99.0/24 (das Management VLAN)
für jedes VLAN habe ich auf der pfSense entsprechend einen DHCP Server gestartet und lasse die Range 10.10.10.100 - 10.10.10.199 verteilen. Die Range ist für alle VLANS gleich.
In jedem VLAN existiert eine "Allow Any" Rule.. der Traffic wird protokolliert.
Jetzt versuche ich mich daran, die VLANS auf dem Switch bereitzustellen, das funktioniert aber nicht, so wie ich es mit dachte. Der Switch erhält aus dem VLAN 99, welches untagged auf Port 8 am Switch ankommt, keine IP Adresse via DHCP der pfSense. Ein Client am Switch welcher in das VLAN 10 - 50 kommen soll, erhält ebenfalls keine IP Adresse.
Wie in den Bildern zu sehen, habe ich korrekt die VLANS auf dem Switch konfiguriert.
Der Switch hat leider nur WebGUI und keine CLI ...
Kann mir jemand sagen, wo mein Fehler liegt?
Besten Dank schon jetzt
VG Alexander
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672639
Url: https://administrator.de/forum/fritzbox-pfsense-und-vlan-am-cisco-sg200-08-672639.html
Ausgedruckt am: 28.04.2025 um 01:04 Uhr
6 Kommentare
Neuester Kommentar
Das Foren Tutorial zu der Thematik hast du gewissenhaft gelesen und auch genau so umgesetzt??
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die pfSense am anderen Ende sendet UNtagged Traffic nur vom physischen Parent Interface für den Trunk.
Bei dir ist das igb0 Interface was du aber gar nicht als aktiven Port im Interface Assignment der pfsense Firwall aktiviert hast. 🤔 Wie du ja selber siehst steht es noch unter "verfügbare" Interfaces und ist damit inaktiv.
Mit anderen Worten:
Der igb0 Port ist also in deinem Setup gar nicht als aktives Interface auf der Firewall definiert und damit physisch gar nicht verfügbar!
Wenn dieses Parent Interface damit generell deaktiviert ist, können logischerweise auch niemals die darauf aufsetzenden VLAN Interfaces aktiv werden die ja diesem physischen Parent Interface zugeordnet sind.
Es war also zu erwarten das dein Setup durch diesen Administrator Fauxpas dann von vorn herein scheitert.
Deine ToDos:
Mit dem Rüstzeug solltest du das Setup im Handumdrehen zum Fliegen bringen!
Tip:
Je nach Traffic Volumen zwischen den VLANs wäre es aus Performance und Redundanz Sicht etwas vorteilhafter du würdest die pfSense mit einem LACP LAG anbinden.
Dann würde sich der VLAN interne Traffic auf 2 (oder mehr) Links verteilen bei gleichzeitiger Leitungsredundanz.
Ist der VLAN interne Traffic lediglich sehr gering wäre dies nicht zwingend nötig.
Alle Details, auch zu diesem Setup, beschreibt ein separates Tutorial:
Link Aggregation (LAG) im Netzwerk
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der Switch erhält aus dem VLAN 99, welches untagged auf Port 8 am Switch ankommt, keine IP Adresse via DHCP der pfSense.
Das ist vermutlich auch normal, denn du hast sicher nicht bedacht das das Management Interface des Switches UNtagged in VLAN 1 liegt wenn du es nicht umstellst.Die pfSense am anderen Ende sendet UNtagged Traffic nur vom physischen Parent Interface für den Trunk.
Bei dir ist das igb0 Interface was du aber gar nicht als aktiven Port im Interface Assignment der pfsense Firwall aktiviert hast. 🤔 Wie du ja selber siehst steht es noch unter "verfügbare" Interfaces und ist damit inaktiv.
Mit anderen Worten:
Der igb0 Port ist also in deinem Setup gar nicht als aktives Interface auf der Firewall definiert und damit physisch gar nicht verfügbar!
Wenn dieses Parent Interface damit generell deaktiviert ist, können logischerweise auch niemals die darauf aufsetzenden VLAN Interfaces aktiv werden die ja diesem physischen Parent Interface zugeordnet sind.
Es war also zu erwarten das dein Setup durch diesen Administrator Fauxpas dann von vorn herein scheitert.
Deine ToDos:
- Aktiviere in den "Assignments" das physische Firewall Interface igb0 für den Trunk Link auf den Switch
- Konfiguriere deine VLAN 99 Management IP und DHCP Server auf dem igb0 Trunk Interface auf der FW.
- Setze das Switch Management Interface von VLAN 1 ins VLAN 99. Diesen Schritt kannst du dir auch sparen wenn du damit leben kannst das das Management IP Netz im VLAN 1 aktiv ist.
Mit dem Rüstzeug solltest du das Setup im Handumdrehen zum Fliegen bringen!
Tip:
Je nach Traffic Volumen zwischen den VLANs wäre es aus Performance und Redundanz Sicht etwas vorteilhafter du würdest die pfSense mit einem LACP LAG anbinden.
Dann würde sich der VLAN interne Traffic auf 2 (oder mehr) Links verteilen bei gleichzeitiger Leitungsredundanz.
Ist der VLAN interne Traffic lediglich sehr gering wäre dies nicht zwingend nötig.
Alle Details, auch zu diesem Setup, beschreibt ein separates Tutorial:
Link Aggregation (LAG) im Netzwerk
Switch und Management IP ist eine Geschichte für sich. VLAN 1 ist Default. Das kann man meist an einer Stelle umstellen.
Kenne das Modell nicht. Management IP und VLAN sind hier die Optionen die du prüfen musst.
Generell kannst du 99 ohne switch testen. Nimm einen Laptop und prüfe trivial in der eine bekommt. Tags werden ignoriert.
Du hast VLAN 1 ausgeklammert. Damit 99 die Aufgabe übernehmen kann muss es untagged aus der Sophos kommen. Wäre dann also ein opt Netz am Port. Untagged...
Normal ist es ja in vielen Dokus vlan 1. Nur das ist LAN.
99 muss hier wie LAN raus gehen. Untagged
Kenne das Modell nicht. Management IP und VLAN sind hier die Optionen die du prüfen musst.
Generell kannst du 99 ohne switch testen. Nimm einen Laptop und prüfe trivial in der eine bekommt. Tags werden ignoriert.
Du hast VLAN 1 ausgeklammert. Damit 99 die Aufgabe übernehmen kann muss es untagged aus der Sophos kommen. Wäre dann also ein opt Netz am Port. Untagged...
Normal ist es ja in vielen Dokus vlan 1. Nur das ist LAN.
99 muss hier wie LAN raus gehen. Untagged
Untagged port ist immer normal.
Wenn der am switch vlan 1 Untagged ist, würde das 99 auf 1 übersetzt.
99U
4711U
42U
Schall und Rauch. Das du vlan 1 nicht nimmst ist gut. So kann man später nicht aus Versehen was zusammen stecken....
Nur 99U wäre an der pfsense sowas wie
LAN99
Das direkt nur als Schnittstellen Namen sehen! Untagged. Der Rest müsste dann passen.
Man kann durch so eine Verkabelung VLAN id's komplett ändern. Macht nur Chaos.
Bei deiner jetzigen Trennung muss 99 Untagged raus geführt werden. Also kein vlan.
Igb0 ist noch frei
VLAN99 löschen
LAN99 als Name für igb9
Nun sollte es klar sein.
Wenn der am switch vlan 1 Untagged ist, würde das 99 auf 1 übersetzt.
99U
4711U
42U
Schall und Rauch. Das du vlan 1 nicht nimmst ist gut. So kann man später nicht aus Versehen was zusammen stecken....
Nur 99U wäre an der pfsense sowas wie
LAN99
Das direkt nur als Schnittstellen Namen sehen! Untagged. Der Rest müsste dann passen.
Man kann durch so eine Verkabelung VLAN id's komplett ändern. Macht nur Chaos.
Bei deiner jetzigen Trennung muss 99 Untagged raus geführt werden. Also kein vlan.
Igb0 ist noch frei
VLAN99 löschen
LAN99 als Name für igb9
Nun sollte es klar sein.
Igb0 ist noch frei
Nein, nicht wirklich!Darauf mappen ja alle seine VLANs!
Das dazu korrespondierende phyische Interface (Parent) ist aber deaktiviert und damit auch der UNtagged Traffic von diesem Interface und auch alle VLANs.
Das ist der Kardinalsfehler den der TO vermutlich im Eifer des Gefechts gemacht hat...?!
Richtig. Ich sehe es so. Statt VLAN 1 hat er 99 als Nummer genommen.
Jain. Ich sagte ja im letzten Satz vlan 99 muss weg.
Das als LAN99 auf igb0. Die anderen können bleiben.
Dann wäre 99 der Name der Schnittstelle! Und ein Hinweis auf ein Netz was Untagged raus geht.
Er hat in Cisco 99U schon stehen.
Wenn er 99 als Schnittstelle und nicht als VLAN betrachtet passt es doch.
Unten ist doch bei add igb0 to sehen. Wenn vlan 99 gedanklich und auf dem Router gelöscht ist passt es doch wieder.
Hallo ihr helfenden Hände!
@aqui
Ja, ich habe nicht bedacht, das ich VLAN ID 99 als untagged gesetzt habe und habe es noch verschlimmbessert, als ich das Native VLAN auf 99 gesetzt habe. Das PVID scheint auf Cisco immer untagged zu terminieren.. natürlich muss es auch tagged am Port ausgewiesen werden, wieder was gelernt.
LAG erstellt:
Kontrolle Port VLAN Membership:
Frage: Warum steht hier nun wieder PVID 1 ??
Default VLAN Settings:
Nein "igb0" muss ja auch nicht aktiv sein, zumindest habe ich es so verstanden. Siehe das Bild Schnittstelle "VLAN10-99" an Netzwerkport "VLAN XX Ein igb0"
Daher ergibt sich nun (nach hinzufügen des LAGG folgendes Bild):
Das LAGG sieht so aus:
@alle
Ich habe nun alle hier genannten Tips umgesetzt und möchte das natürlich einem "Suchenden" wie ich es war, nicht vorenthalten:
1. VLANS auf der pfSense einrichten und DHCP Server dazu
2. auf dem Switch alle VLANS tagged terminieren lassen
3. das hatte ich falsch, VLAN 99 muss auch getagged ankommen
4. Die PVID hatte ich danach auf 99 gestellt und das Feld "Renew IP Adress" angeklickt
5. zack, war die Management IP Adresse aus dem DHCP Bereich da und ich konnte sie in der pfSense reservieren.
Der Beweis:
Dazu habe ich die Tips von @aqui umgesetzt
- aus Performance Gründen ein Lagg auf der pfSense erstellt (igb0 und igb1) sprich ETH4 und ETH5
- LAGG Protokoll - LACP
Vielen Dank für die hervorragende Hilfe!
VG Alexander
@aqui
Ja, ich habe nicht bedacht, das ich VLAN ID 99 als untagged gesetzt habe und habe es noch verschlimmbessert, als ich das Native VLAN auf 99 gesetzt habe. Das PVID scheint auf Cisco immer untagged zu terminieren.. natürlich muss es auch tagged am Port ausgewiesen werden, wieder was gelernt.
LAG erstellt:
Kontrolle Port VLAN Membership:
Frage: Warum steht hier nun wieder PVID 1 ??
Default VLAN Settings:
Nein "igb0" muss ja auch nicht aktiv sein, zumindest habe ich es so verstanden. Siehe das Bild Schnittstelle "VLAN10-99" an Netzwerkport "VLAN XX Ein igb0"
Daher ergibt sich nun (nach hinzufügen des LAGG folgendes Bild):
Das LAGG sieht so aus:
@alle
Ich habe nun alle hier genannten Tips umgesetzt und möchte das natürlich einem "Suchenden" wie ich es war, nicht vorenthalten:
1. VLANS auf der pfSense einrichten und DHCP Server dazu
2. auf dem Switch alle VLANS tagged terminieren lassen
3. das hatte ich falsch, VLAN 99 muss auch getagged ankommen
4. Die PVID hatte ich danach auf 99 gestellt und das Feld "Renew IP Adress" angeklickt
5. zack, war die Management IP Adresse aus dem DHCP Bereich da und ich konnte sie in der pfSense reservieren.
Der Beweis:
Dazu habe ich die Tips von @aqui umgesetzt
- aus Performance Gründen ein Lagg auf der pfSense erstellt (igb0 und igb1) sprich ETH4 und ETH5
- LAGG Protokoll - LACP
Vielen Dank für die hervorragende Hilfe!
VG Alexander
