gruenhorn
Goto Top

Internet auf Interfaces (+ VLAN) sauber durchschleifen

Hallo in de Runde,
ich war bisher fleißiger Mitleser, jetzt wollte ich mich aber nach stundelangem Haareraufen doch mal heraustrauen.
Hoffe ich kann mit meinem bisher Gelernten auch anderen Noobs helfen, wo ich kann.


Bin gerade dabei das Upgrade von Fritzbox 7490 auf OPNsense zu vollziehen.
Die Grundlage dafür läuft auch eigentlich und ich hatte mit VLANS angefangen...
Das mit einem HPE Aruba AP12 und 1830 Switch. Das war ein riesen Fehler, die Verwaltung der Geräte ist ne absolute Zumutung, die schicke ich zurück und besorg mir nen Unifi 6er AP + managed Switch

Was ich dort umsetzen wollte waren VLANS. Ich habe allerdings das Problem gehabt, dass ich kein Internet in den VLANS kriege. DHCP habe ich für alle einzeln aktiviert und die standard VLAN -> Any Regel in der Firewall hinterlegt.
Für die untrusted VLANS noch mit !private networks weiter eingeschränkt und dns in einer Regel davor durchgelassen.

Ich konnte auch munter Clients dran hängen und das hat grob funktioniert.

Habe de AP aber ums verrecken nicht angesprochen bekommen. Und irgendwann hatte ich keine Lust mehr, VLANS gelöscht, Switch wieder raus genommen und in den Karton geschmissen.

Und ab dann hatte ich mit keinem Client mehr Zugriff aufs Netzwerk.
Erst das wieder aktivieren der VLANs brachte mir den Zugriff wieder zurück.
Jetzt steckt halt ein Client (der von dem ich schreibe) direkt im Guest Port an der OPNsense und kommt dann über VLAN Guest rein...
An LAN von der OPNsense hängt eine Fritzbox, die zukünftig als VoIP Cliet arbeiten soll.
Diese funktioniert, aber wenn ich da nen Client anstecke, dann kriege ich keine IP für diesen. Das ging vor dem ganzen VLAN Versuch aber... VoIP läuft ohne Probleme

In der Grafik sieht man noch eine zweite Fritzbox, das ist mein altes Produktivsystem und hängt als "unabhängiger" Router am vierten Port der OPNsense und soll ganz stumpf auf WAN durchgeleitet werden. Irgendwie funktioniert das auch, aber Internet habe ich dort auch nicht zuverlässig. Ein fest verdrahteter Client am Gast LAN der Fritz hat Internet, aber Clients auf dem Wifi der Fritz nicht.

Im ersten Bild der Plan fürs finale Setup

Im zweiten der aktuelle Testaufbau, auf den ich mich jetzt erst mal fokussieren möchte: Internet sauber an beide Fritzboxen und deren Clients brigen

Ist ganz schön zerfahren mittlerweile und ich komme nicht weiter.
Ich vermute ich habe irgendwo das falsche Verständnis davon, wie ich Interfaces, vor allem VLANs, sauber ins Internet bringe...

Könnt ihr mir dabei helfen das noch einmal sauber durchzugehen?
Danke
clipboard-image
clipboard-image

Content-ID: 671059

Url: https://administrator.de/forum/internet-auf-interfaces-vlan-sauber-durchschleifen-671059.html

Ausgedruckt am: 27.02.2025 um 16:02 Uhr

aqui
aqui 31.01.2025 aktualisiert um 10:20:39 Uhr
Goto Top
Gut das du dich getraut hast um dich vor weiterem Haarausfall zu bewahren! 🤣
Nur nochmal nachgefragt...
Hast du in Neandertaler Manier jedes VLAN einzeln auf separate Firewall Ports gesteckt??
Wenn ja, warum machst du das nicht sinnvollerweise über einen VLAN Trunk wie es in diesem VLAN Tutorial im Detail beschrieben ist? (Spezifisch für OPNsense hier)
Idealerweise, wenn man wie in deinem Fall mehrere Ports an der FW hat, bindet man den Switch mit einem LACP LAG aus Performance- (Lastverteilung) und Redundanzgründen an.
So sähe ein modernes Layer 2 Konzept mit VLAN Routing über eine Firewall aus! Das was du da oben machst ist gruselige Frickelei. Tutorials lesen und verstehen kann helfen... 😉

Tip:
Spare dir in den Topologie Darstellungen die Endgeräte. Die sind für eine Lösung völlig irrelevant, da es bei dir einzig nur um die Netzwerk Infrastruktur geht. Letztlich macht das die Topologiezeichnung nur unnötig unübersichtlich und eher zu einem wirren "Wimmelbild" wo keiner mehr weiss was gemeint ist. Insbesondere wenn man noch handschriftliche Änderungen einfügt. face-sad
em-pie
em-pie 31.01.2025 aktualisiert um 10:55:23 Uhr
Goto Top
Moin,

Geh doch einfach mal strukturiert vor und mache VLAN für VLAN…

  • Kommt die pfSense sauber ins WWW?
  • Wenn das klappt, geht es weiter: Kommst du mit dem VLAN 10 bis zur pfSense?
    • Nein-> Problem zergliedern und analysieren
    • Ja -> kommst du aus dem VLAN 10 ins WWW?
      • Nein -> passt das NAT für das VLAN? Stimmen die Firewall-Rules?
      • Ja -> weiter mit dem nächsten VLAN


Eigentlich ein Billiges Setup.
Zur Thematik Trunk/ LAG hat @aqui ja schon was geschrieben face-smile


Edit:
Ping, nslookup und tracert sind, zusammen mit WireShark deine Freunde
gruenhorn
gruenhorn 31.01.2025 aktualisiert um 12:10:43 Uhr
Goto Top
Zitat von @aqui:

Gut das du dich getraut hast um dich vor weiterem Haarausfall zu bewahren! 🤣
Nur nochmal nachgefragt...
Hast du in Neandertaler Manier jedes VLAN einzeln auf separate Firewall Ports gesteckt??
Wenn ja, warum machst du das nicht sinnvollerweise über einen VLAN Trunk wie es in diesem VLAN Tutorial im Detail beschrieben ist? (Spezifisch für OPNsense hier)
Idealerweise, wenn man wie in deinem Fall mehrere Ports an der FW hat, bindet man den Switch mit einem LACP LAG aus Performance- (Lastverteilung) und Redundanzgründen an.
So sähe ein modernes Layer 2 Konzept mit VLAN Routing über eine Firewall aus! Das was du da oben machst ist gruselige Frickelei. Tutorials lesen und verstehen kann helfen... 😉

Tip:
Spare dir in den Topologie Darstellungen die Endgeräte. Die sind für eine Lösung völlig irrelevant, da es bei dir einzig nur um die Netzwerk Infrastruktur geht. Letztlich macht das die Topologiezeichnung nur unnötig unübersichtlich und eher zu einem wirren "Wimmelbild" wo keiner mehr weiss was gemeint ist. Insbesondere wenn man noch handschriftliche Änderungen einfügt. face-sad

Habe ich so angelegt wie in den Anleitungen. Und dann eben eins ans LAN device gehängt und zwei ans "guest" device.

Mit den parallelen Leitungen von FW zu Switch wollte ich keine Link Aggregation erreichen, sondern einfach physisch getrennt LAN für trusted devices und Guest für Gäste/IoT bereitstellen.


Sorry wegen der wirren Bilder, ich hoffe es hilft mir später bei der detaillierten Fehlersuche, aber klar, spätestens die Devices haben da nichts zu suchen.
Ich bereite das nochmal auf wie per Hand abgeändert, das sollte fürs Basis Setup ja laufen... Ohne VLANS


Zitat von @em-pie:

Moin,

Geh doch einfach mal strukturiert vor und mache VLAN für VLAN…

  • Kommt die pfSense sauber ins WWW?
  • Wenn das klappt, geht es weiter: Kommst du mit dem VLAN 10 bis zur pfSense?
    • Nein-> Problem zergliedern und analysieren
    • Ja -> kommst du aus dem VLAN 10 ins WWW?
      • Nein -> passt das NAT für das VLAN? Stimmen die Firewall-Rules?
      • Ja -> weiter mit dem nächsten VLAN


Eigentlich ein Billiges Setup.
Zur Thematik Trunk/ LAG hat @aqui ja schon was geschrieben face-smile


Edit:
Ping, nslookup und tracert sind, zusammen mit WireShark deine Freunde

Ich habe sogar ohne extra VLANS schon Probleme befürchte ich...
Ich kriege an der "FrizAlt" am Client Zugriff auf die OPNsense und Internet, mit Wifi davon quasi nie, aber ab und zu hakt das auch.

An der "neuen" Fritz kriege ich keine LAN Client Verbindung zu irgendwas, aber über Wifi komme ich ins Internet.
Das macht doch überhaupt keinen Sinn, oder?

NAT Outbound
clipboard-image

Firewall Rules
clipboard-image

clipboard-image

Die VLANS waren alle so konfiguriert:
Die erste Zeile nur testweise...
clipboard-image


Könnt ihr mir helfen, dass die beiden Fritzboxen sauber eingestellt sind?
Am Guest Port der FW hänge ich gerade direkt mit einem Client, das klappt gut. Da habe ich die erste Zeile temporär dafür, dass ich Zugriff auf die OPNsense habe und ich mich nicht aussperre...

Ich besorge mir jetzt Unifi AP und Switch, ich hab die Schnauze voll von dem HP Mist!
Oder soll ich einfach "irgendwas" von TP Link nehmen und mich über die gesparte Kohle freuen?
Mein Netz wird nie wirklich anspruchsvoll für die Komponenten denke ich...


edit:
DHCP bei allen Interfaces enabled und eine Range vergeben, mehr nicht

Eventuell noch wichtig: Es läuft AdGuard und Unbound.
Ich bin aber der Meinung, dass ich kein DNS Problem habe und der Log von Adguard sagt auch nichts gegenteiliges...
aqui
aqui 31.01.2025 aktualisiert um 14:15:35 Uhr
Goto Top
Habe ich so angelegt wie in den Anleitungen.
Welche "Anleitungen" denn? In einem VLAN Umfeld nimmt man ja üblicherweise immer einen tagged Uplink dafür.
Ich habe sogar ohne extra VLANS schon Probleme befürchte ich...
Uuhhh, das klingt nicht gut. face-sad
Das macht doch überhaupt keinen Sinn, oder?
In der Tat! Das zeigt das du ganz grundsätzlich irgendwo irgendetwas "verfummelt" hast.
Normal ist jegliche Fummelei am Regelwerk völlig unnötig, denn die OPNsense arbeitet wie auch die pfSense "out of the box" direkt nacht der Installation fehlerfrei ohne das man irgendwo etwas am Regelwerk oder sonstwo einstellen oder verschlimmbessern muss!

Die wichtigste Frage ist also WIE deine OPNsense derzeit betrieben wird am WAN Port? In einer Router Kaskade mit einem bestehenden Router davor oder direkt mit einem NUR Modem via PPPoE??
Vermutlich (geraten) betreibst du sie im ersten Step in einer Kaskade an einem bestehenden Router (Fritzbox)?!
Das ist auch eine sehr sinnvolle Vorgehensweise beim Setup, weil du damit dann alles wasserdicht und sauber konfigurieren kannst und später beim Wechsel auf ein nur Modem lediglich nur den WAN Port umkonfigurieren musst.

Es ist also empfehlenswert das du, wie Kollege @em-pie schon gesagt hast, erstmal strukturiert vorgehst und die Firewall auf ihre Werkseinstellungen zurücksetzt und nochmal sauber von vorne beginnst.
Ob du jetzt mit der Kaskade startest oder gleich direkt mit dem Modem spielt keine Rolle.
Wichtig ist das du dieses Default Setup erstmal zum Spielen bringts ohne irgendwelche (überflüssigen) Einstellungen am Regelwerk oder NAT machst.
Über die Diagnostic Tools machst du dann entsprechende, grundlegende Ping und DNS Checks. Besonders indem du bei den Pings als Source IP die LAN Adresse definierst, denn so kannst du wasserdicht testen das auch aus diesem Segment alles klappt wie es soll.

Klappt das alles machst du langsam und struktieriert weiter, denn nur so kannst du erkennen welchen Konfig Fehler du begangen hast. Es ist wenig zielführend wenn man etwas unsicher ist gleich 20 Einstellungen auf einmal zu setzen und dann mühsam den Fehler zu suchen. Alles banale Binsenweisheiten. face-wink
Lange Rede... Strukturiert vorgehen und nochmal sauber von Anfang an starten...
Hilfreich ist dafür ggf. das FW Grundlagentutorial. Zwar etwas älter aber die grundlegenden Setup Schritte sind weiter aktuell.
gruenhorn
gruenhorn 31.01.2025 aktualisiert um 15:46:48 Uhr
Goto Top
Zitat von @aqui:
Welche "Anleitungen" denn?
Die von Homenetworkguy habe ich benutzt.
3 VLANs erzeugt und den entsprechenden Interfaces zugeordnet + Firewall Regeln Allow any.
Wie gesagt, VLAN ist jetzt schon wieder rausgeflogen, weil der Switch rausgeflogen ist.
Aber ich hatte den VLAN für die Verbindung zum Switch mit 1 getaggt, Guest 20 und IoT 30.

Im Switch für VLAN1 alle bis auf den Uplink untagged 1, damit Clients an den anderen Ports wieder ins LAN kommen. Hat auch richtig geswitched, aber halt ohne Internet.


Zitat von @aqui:
Die wichtigste Frage ist also WIE deine OPNsense derzeit betrieben
Modem <-WAN(pppoe)-> OPNsense <-LAN-> Fritzbox
............................................................................<-GUEST-> FritzboxAlt
DrayTec Vigor 167 Modem im Bridge Modus
Zwei pppoe devices an WAN und WAN_voip zugewiesen.


Zitat von @aqui:
Es ist also empfehlenswert das du, wie Kollege @em-pie schon gesagt hast, erstmal strukturiert vorgehst und die Firewall auf ihre Werkseinstellungen zurücksetzt und nochmal sauber von vorne beginnst.
Es funktioniert ja im Serien Trim alles.
Aktuell einfach Client direkt per Kabel an den dritten Port (Interface "Guest") gehängt, DHCP an, Firewall Any und fertig.
Der Client kann verwalten und hat Internet.

Sonst hab ich auch nichts verändert, kann die Interfaces ja auch löschen.
Unbound und Adguard habe ich natürlich auch zu testzwecken deaktiviert und auch mal 1.1.1.1 oder 8.8.8.8 als DNS Server benutzt.

Und ja, ich kanns auch nochmal ganz frisch machen wenn nötig.


Ich habe jetzt 2 Sorgen:
Einmal die beiden Fritzboxen zum Laufen kriegen und dann nen Switch + AP in VLANs am LAN Port.

Sorge 1a:
Fritzbox an LAN Port hat irgendein Problem mit dem dem Internet. Es werden ein paar Sachen geblockt wie Discord und der Bildversand/empfang bei Whatsapp, aber nur auf dem PC via Kabel und auch nur sporadisch, find ich sehr sehr seltsam. Smartphones an diesem Wifi funktionieren ohne Probleme.
Ich beobachte das mal weiter und dokumentiere was schief läuft.


Sorge 1b:
Die alte Fritzbox soll quasi nur das Modem mitbenutzen bzw die vorhandene Einwahl.
Dafür läuft es im Router Modus mit Uplink auf LAN 1, angeschlossen an den vierten Port der OPNsense.
Ich dachte hier ist es mit einer Firewall Regel Any und NAT erledigt, aber ich kriege da ums verrecken kein Internet. Witzigerweise funktioniert mein FirmenPC an LAN4 von dem Ding. Das ist als Guest LAN eingerichtet und bekommt von der Fritz ein eigenes, nicht einstellbares Subnet: 192.168.189.5, Standardgateway/DHCP/DNS: 192.168.189.1


Sorge 2:
Da ich offensichtlich unter 1b schon was falsch mache wundert es mich nicht, dass ich dann auch keine ordentliches Einstellungen für die VLANs habe...
Ich denke das Tagging war nicht das Problem, sondern eher die Tatsache, dass ich einfach kein Internet habe.
Grundsätzlich konnte ich ja einen Client an einem untagged 1 Port anstecken und bin damit auch ins VLAN 1 reingerutscht mit richtiger IP und ich konnte auch mit der OPNsense sprechen.
Was hier aber gefehlt hat war das Internet, was der AP zwingend zur Ersteinrichtung verlangt, das habe ich da nicht hinbekommen.

Ich würde erst mal Sorge 1b abhaken bevor ich mit Sorge 2 weiter mache, muss eh noch auf die Hardware warten.

Weiß aber echt nicht, wie ich hier noch systematisch vorgehen soll face-sad
Hat jemand die Muße mich an die Hand zu nehmen?
Also nur mal die wichtigen grundsätzliche Einstellungen abfragen...
Wenn ich irgendwo nen Schreibfehler drin hab und deswegen gehts nicht wäre schon ziemlich dumm :D
aqui
aqui 31.01.2025 aktualisiert um 17:24:33 Uhr
Goto Top
3 VLANs erzeugt und den entsprechenden Interfaces zugeordnet
Ab da kann man schon aufhören zu lesen. So einen Unsinn separate Strippen zu ziehen hat man, wie bereits gesagt, bei den Neandertalern gemacht. Moderne und sinnvolle VLAN Designs nutzen dafür einen VLAN Trunk. Idealerweise in einem LACP LAG.
Wenn du es gut und richtig machen willst vergisst du den Unsinn aus dem o.a. Tutorial.
VLAN ist jetzt schon wieder rausgeflogen, weil der Switch rausgeflogen ist.
Das muss ja nicht so bleiben. Es gibt ja außer UBQT noch andere Hersteller mit guten VLAN UIs. Siehe o.a. VLAN Tutorial. face-wink
Aber ich hatte den VLAN für die Verbindung zum Switch mit 1 getaggt
Vermutlich aus Unwissenheit ein böser Fehler, denn das ist das Default-, Native oder PVID VLAN und in der Regel immer UNtagged!! face-sad
Auf der OPNsense entspricht das im VLAN Setup dem physischen Parent Interface, dessen Pakete auch immer UNtagged gesendet werden.
Es ist also folglich erwartbar wenn du so einen Kardinalsfehler machst und das PVID VLAN einseitig taggst.
Bitte dazu nochmal in aller Ruhe die VLAN Schnellschulung lesen und verstehen und im VLAN Tutorial den weiterführenden Link zum Thema PVID VLAN!!
Einer der Fehler warum dein VLAN Setup scheitern musste... face-sad
Hat auch richtig geswitched, aber halt ohne Internet.
Das ist leider auch so eine typische Freitags Aussage... Was genau ist denn "das Internet". In einem Administrator Forum würde man erwarten das wenigstens ein paar grundlegende Ping Checks gemacht wurden um den Fehler ansatzweise eingrenzen zu können. Das sollte auch ein Anfänger beherrschen.
  • Im Diagnostics Mode ein nslookup auf einen Hostnamen um die korrekte DNS Auflösung der FW zu checken
  • Diagnostics Mode Ping auf einen nackte Internet IP wie z.B. 8.8.8.8 um generell die "Internet" IP Connectivity zu testen
  • Das gleiche macht man mit einer auf das LAN Interface gesetzten Absender IP was dann verifiziert das auch über das lokale LAN Interface der Internet Zugang funktioniert
  • Die beiden letzten Tests wiederholt man mit einem Hostnamen wie z.B. www.administrator.de
Man kann das auch mit einem LAN Client PC (Windows) checken:
  • Korrekte IP Adressierung mit ipconfig -all
  • Ping des Firewall LAN Interfaces
  • Ping einer Internet IP 8.8.8.8
  • Ping eines Hostnamens
Mit dieser Handvoll von einfachen Tests kann man 98% aller Verbindungsfehler detektieren und nach den Ursachen suchen. Fragt sich warum du diese einfachen Checks nicht gemacht hast und mit so einer Killeraussage "kein Internet" um die Ecke kommst?? Wozu hat die Firewall ein "Diagnostics" Menü?!
Es funktioniert ja im Serien Trim alles.
Wer oder was ist "Serien Trim"?? 🤔
und auch mal 1.1.1.1 oder 8.8.8.8 als DNS Server benutzt.
Googles Schnüffel DNS benutzen heute nichtmal mehr Dummies aus gutem Grund. Warum nicht den DNS deines Provider oder wenn man unbedingt meint externe nutzen zu müssen dann Vertrauenswürdige.
ich kanns auch nochmal ganz frisch machen wenn nötig.
Deine Entscheidung... face-wink

Zu deinen "Sorgen":
Einmal die beiden Fritzboxen zum Laufen kriegen
Wozu 2 Fritten?? Reicht nicht eine als VoIP Anlage? Zäume aber nicht das Pferd von hinten auf!! Die Fritte ist als VoIP Anlage erstmal nur ein unwichtiges Endgerät.
Fange sinnvollerweise mit deiner eigentlichen Netzwerk Infrastruktur zuerst an! Eine funktionierende Infrastruktur ist das sichere Fundament ALLER Funktionen. Folglich kommt das zuerst!
und dann nen Switch + AP in VLANs am LAN Port.
OK, das alles erklärt dir, wie schon gesagt, das VLAN Tutorial haarklein im Detail inklusive diverer Switch Setups. Viel mehr "Silbertablett" zum fertigen Abtippen geht da nicht.

Sorge 1a:
Es werden ein paar Sachen geblockt wie Discord und der Bildversand/empfang bei Whatsapp
Das lässt eher auf ein DNS Problem schliessen. Möglich das dein Adguard dazwischen ist und diese Apps filtert oder du einen (überflüssigen) externen DNS Dienstleister nutzt der Filtert oder was auch immer.
Lasse erstmal nur die Firewall als Caching DNS laufen mit dem per PPPoE dynamisch vom Provider gelernten DNS Server. Hier checkst du mit nslookup auf einem Test PC die DNS Funktion. Das "Diagnostic" Menü lässt grüßen...

Sorge 1b:
Die alte Fritzbox soll quasi nur das Modem mitbenutzen bzw die vorhandene Einwahl.
Das ist schon seit langem nicht mehr supportet von AVM!
Das Einzige was noch klappt ist ein PPPoE Passthrough das sie quasi PPPoE Traffic ans xDSL Modem durchreicht. Das wird aber auch zu 99% scheitern weil Provider in der Regel keine 2 PPPoE Sessions parallel erlauben. Das kannst du also sehr wahrscheinlich vergessen.
Wozu auch eine 2te Fritte??
Eine als reinen VoIP Client den du im IP Client Mode konfigurierst für die interne Nutzung im lokalen LAN reicht doch. Wozu also eine 2te Fritte?

Dafür läuft es im Router Modus mit Uplink auf LAN 1, angeschlossen an den vierten Port der OPNsense.
Du sagst ja ein Test PC an diesem "vierten Port" rennt fehlerfrei inkl. Internet Zugang??
Wenn der Test PC Internet Zugang hat dann wird auch eine dort angeschlossenen Fritte den haben.
Hilfreich ware mal das Dashboard der Fritte dann zu checken! Dort steht doch welche IP sie von der OPNsense gezogen hat, Gateway und DNS!
Wichtig ist natürlich das das lokale LAN dieser Fritte nicht mit anderen IP Netzen der Firewall identisch ist!! Du musst sicherstellen das ALLE deine IP Netze einzigartig sind. Das gilt insbesondere für die Fritten Adressierung inkl. ihrer Gastnetze! Die dürfen niemals doppelt vorkommen!
Nur wozu soll das generell gut sein daran eine weitere Fritte zu betreiben? 🤔
Das ist als Guest LAN eingerichtet
WAS genau soll das sein?? Die Firewall selber kennt kein "Guest LAN"!

Sorge 2:
Ich denke das Tagging war nicht das Problem
Leider doch, denn wenn man das PVID VLAN einseitig fälschlicherweise tagged ist das Scheitern vorprogrammiert! face-sad
Und...bitte nicht immer dies "kein Internet" sondern eine etwas profundere Analyse des Warum!! 🙄
Grundsätzlich konnte ich ja einen Client an einem untagged 1 Port anstecken
Auch an einem tagged Port, denn der überträgt ja immer das Native VLAN (PVID) untagged. Über dieses PVID VLAN hast du also auch an einem Tagged Port immer Verbindung. face-wink
Was hier aber gefehlt hat war das Internet, was der AP zwingend zur Ersteinrichtung verlangt
Wieso, bitte sehr, benötigt ein simpler WLAN AP "zwingend" Internet?? Kein AP braucht sowas und hat immer ein eigenes, lokales WebGUI an Bord über den sowas auch OHNE Internet konfiguriert wird! Nur Dummies beschaffen sich APs oder Infrastrukturgeräte mit Schnüffelfunktion in eine (Chinesen) Cloud! face-sad

Hat jemand die Muße mich an die Hand zu nehmen?
Das tun wir hier ja schon! face-wink
Sorge zuallererst einmal dafür das deine eigentliche Netzwerk Infrastruktur sauber und fehlerfrei rennt. Sprich "Sorge 1a und b" fixen. Mit dem o.a. VLAN Tutorial und seinen vielfältigen Beispielen sollte das ja auch für einen Anfänger kein Problem sein! Ansonsten immer zielgerichtet hier fragen.
gruenhorn
gruenhorn 31.01.2025 aktualisiert um 20:52:29 Uhr
Goto Top
Zitat von @aqui:

3 VLANs erzeugt und den entsprechenden Interfaces zugeordnet
Ab da kann man schon aufhören zu lesen. So einen Unsinn separate Strippen zu ziehen hat man, wie bereits gesagt, bei den Neandertalern gemacht. Moderne und sinnvolle VLAN Designs nutzen dafür einen VLAN Trunk. Idealerweise in einem LACP LAG.

Okay okay jetzt hab ichs verstanden glaube ich. Ja, macht Sinn! Am Anfang aber wohl erst mal gar nicht, weil ich da dann nur ein einziges VLAN nehmen werde bis alles läuft.

Das muss ja nicht so bleiben. Es gibt ja außer UBQT noch andere Hersteller mit guten VLAN UIs. Siehe o.a. VLAN Tutorial.
Bleibt auch nicht so, aber der Aruba Kram ist eine Frechheit.
Wenn ich mir die GUIs der anderen im Tutorial anschaue, das ist ja ein "Traum". Der Aruba zwingt dich entweder in die Cloud App, da ist es leichter zu bedienen, ABER: Online Zwang. Und du kannst quasi nichts einstellen. Dafür muss man ins webUI switchen, das bleibt dann aber dauerhaft, ein zurück gibts nicht und ab dann geht die App auch nicht mehr. Nein danke...

Vermutlich aus Unwissenheit ein böser Fehler, denn das ist das Default-, Native oder PVID VLAN und in der Regel immer UNtagged!!
Auf der OPNsense entspricht das im VLAN Setup dem physischen Parent Interface, dessen Pakete auch immer UNtagged gesendet werden.
Es ist also folglich erwartbar wenn du so einen Kardinalsfehler machst und das PVID VLAN einseitig taggst.
Witzigerweise war mein erstes VLAN die #10 statt der 1, aber tagged. Da hat es aber auch schon zumindest dahingehend funktioniert, dass ich verlässlich auf den Switch kam und dran rumspielen konnte.
Dann hab ich mir, warum auch immer gedacht, dass ich vielleicht fürs Management von dem AP auf 1 umstellen muss. Das in Verbindung mit Tagged hat dann wohl Fehler produziert.

Was genau ist denn "das Internet". In einem Administrator Forum würde man erwarten das wenigstens ein paar grundlegende Ping Checks gemacht wurden um den Fehler ansatzweise eingrenzen zu können. Das sollte auch ein Anfänger beherrschen.
Werde ich beherzigen, ich habe vergessen, dass ihr auch keine Glaskugeln habt face-smile
Mit kein Internet meine ich hier prinzipiell Zugang auf die OPNsense und die Fritzbox dazwischen, aber in der OPNsense wird das Internet weggeblockt.

Wer oder was ist "Serien Trim"??
Serien-Settings / Grundlegendes Setup nur mit WAN und einem Interface, DHCP, Any Regel an den ich einen Client stecke.


Wozu 2 Fritten?? Reicht nicht eine als VoIP Anlage? Zäume aber nicht das Pferd von hinten auf!! Die Fritte ist als VoIP Anlage erstmal nur ein unwichtiges Endgerät.
Fange sinnvollerweise mit deiner eigentlichen Netzwerk Infrastruktur zuerst an! Eine funktionierende Infrastruktur ist das sichere Fundament ALLER Funktionen. Folglich kommt das zuerst!
Habe ich doch beschrieben, eine (FritzAlt) ganz dumm im Hintergrund als Fallback Lösung, wenn ichs nicht hinbekomme mit dem restlichen Netzwerk.
Dann steck ich einfach schnell meine Clients an das Ding, wähl mich in das Wifi davon ein und kann weiter aus dem HomeOffice arbeiten (meine Frau auch)
Die soll perspektivisch rausfliegen, verbraucht ja nur Strom!
Ich mache das weil das Modem ewig zum Einwählen braucht und die Fritzboxen auch durchdrehen, wenn man sie trennt. Um diese wirklich nervige Wartezeit und auch das ständig hin und her Gelaufe zu vermeiden soll die zweite Box einfach im Hintergrund hängen und ich kann vorm Schlafengehen den einen Client umstecken und wir können am nächsten Morgen wieder ohne Probleme arbeiten. Dann kann sogar die Frau abends Tv übers Internet gucken und ich kann an der FW spielen.

Und die zweite soll als reine VoIP/DECT Anlage betrieben werden, ja. Kein Switching, Kein Wifi, Kein Smart, Kein VPN, Kein Garnix.


Meine für den Anfang sichere Struktur sollte so aussehen:
Zweite Fritzbox als Client an die OPNsense, Endgeräte an die Fritzbox und Wifi aus der Fritzbox benutzen.
Im Hintergrund die Alte ohne Clients angeschlossen, aber bitte Internet drauf, damit ich jederzeit drauf kann oder meine Frau eben auch Internet hat.

Nächster Schritt: Switch an die OPNsense, AP, Fritzbox und Clients alle getrennt an den Switch.
Zweite Fritz abstecken.


OK, das alles erklärt dir, wie schon gesagt, das VLAN Tutorial haarklein im Detail inklusive diverer Switch Setups. Viel mehr "Silbertablett" zum fertigen Abtippen geht da nicht.
Passt, ich muss nur rausfinden wo ich den Fehler gemacht habe, mal abgesehen vom VLAN 1 Tagged. Ansonsten sieht das alles schon vertraut aus. Aber klar, ich arbeite mich da auf jeden Fall noch das ein oder andere mal durch.

Sorge 1a:
Es werden ein paar Sachen geblockt wie Discord und der Bildversand/empfang bei Whatsapp
Das lässt eher auf ein DNS Problem schliessen. Möglich das dein Adguard dazwischen ist und diese Apps filtert oder du einen (überflüssigen) externen DNS Dienstleister nutzt der Filtert oder was auch immer.
Lasse erstmal nur die Firewall als Caching DNS laufen mit dem per PPPoE dynamisch vom Provider gelernten DNS Server. Hier checkst du mit nslookup auf einem Test PC die DNS Funktion. Das "Diagnostic" Menü lässt grüßen...

Ja, hab ich versucht rauszurkriegen, bin da noch nicht so fit drin..
Und ja, ich lasse das mal alles aus. Wenn DNS überall leer dann nimmt er den vom Provider?


Das ist schon seit langem nicht mehr supportet von AVM!
Es gibt neben dem PPPoE Passthrough auch den Betrieb als Router, der auf LAN 1 von einem Modem Internet bekommt. Dann sind auch noch sämtliche Schutzfunktionen an + Gäste Lan, Gäste Wifi, VPN. Sogar VoIP geht.


Du sagst ja ein Test PC an diesem "vierten Port" rennt fehlerfrei inkl. Internet Zugang??
Wenn der Test PC Internet Zugang hat dann wird auch eine dort angeschlossenen Fritte den haben.
Hilfreich ware mal das Dashboard der Fritte dann zu checken! Dort steht doch welche IP sie von der OPNsense gezogen hat, Gateway und DNS!
Wichtig ist natürlich das das lokale LAN dieser Fritte nicht mit anderen IP Netzen der Firewall identisch ist!! Du musst sicherstellen das ALLE deine IP Netze einzigartig sind. Das gilt insbesondere für die Fritten Adressierung inkl. ihrer Gastnetze! Die dürfen niemals doppelt vorkommen!
Ja, bilde ich mir zumindest ein. Ich muss das nochmal genau checken. Klar, wenn der Client schon kein Internet hat, woher dann die Fritz. Gateway und DNS check ich nochmal. Ah halt, DNS ist noch die von o2 eingetragen, damit VoIP geht. Ich glaube hier könnte der Fehler stecken. Ich kann doch in OPNsense auch nur bestimmte Adressen über bestimmte DNS jagen, oder? Dann muss man hier wohl nur den SIP server über die DNS lassen, dass die die auflösen können.

WAS genau soll das sein?? Die Firewall selber kennt kein "Guest LAN"!
Einfach nur einen Port auf dem ich ein Interface mit dem Namen Guest angelegt habe und dem ich eigentlich die Kommunikation zurück ins LAN verbieten wollte. Testweise aber alles erlaubt, der Name war nur so.


Wieso, bitte sehr, benötigt ein simpler WLAN AP "zwingend" Internet?? Kein AP braucht sowas und hat immer ein eigenes, lokales WebGUI an Bord über den sowas auch OHNE Internet konfiguriert wird! Nur Dummies beschaffen sich APs oder Infrastrukturgeräte mit Schnüffelfunktion in eine (Chinesen) Cloud!
Ich hab versucht zu googeln wie ich auf das Ding komme, da hieß es auf Reddit "nur mit Internet". Aber das galt vermutlich für die App gestützte Cloud Anbindung, die ich von Anfang an vermeiden wollte. Klar, wenn jetzt was mit den VLAN verkehrt ist, dann wird das wohl nichts...

Das tun wir hier ja schon!
Ich bin euch wirklich dankbar und heilfroh, dass es hier so toll klappt face-smile face-smile face-smile
Ich mach ja schon Fortschritte :D
gruenhorn
gruenhorn 01.02.2025 aktualisiert um 00:13:12 Uhr
Goto Top
Okay, dann mal hier die ersten Diagnosen zu der Fritzbox bzw den daran angeschlossenen Clients...

Client per Wifi der Fritzbox.
Hat "kein Internet" und keine Verbindung zur OPNSense
IP 192.168.178.39 per DHCP
DHCP Server 192.168.178.1
DNS Server 192.168.178.2


Adresse meiner OPNsense: 192.168.100.1

Die Fritzbox ist an Port igc3
Das Interface ist static IPv4 192.168.178.2/24
DHCP Enabled 192.168.178.10-192.168.178.254
Firewall Regel: Source AlteFritz net any port to any

Die Box läuft im Router Modus, kann also alles was sie sonst auch kann, außer dass ihr eigenes Modem nicht benutzt wird. Auf LAN1 wird das Internetsignal reingefüttert (hier über die OPNsense)
IP Adresse der Box ist manuell in der Box eingetragen 192.168.178.1
DNS Server: Bevorzugt: DHCP Server 192.168.178.2
Alternativ: 8.8.8.8

DHCP Server aus!


Interessant, warum kriegt der Client DHCP Server .1 wo doch in der Fritz selbst der Server ausgeschaltet ist und eigentlich das Interface übernehmen müsste?


nslookup www.google.de
timeout, Server unknow, Adress 192.168.178.2
Ping auf 8.8.8.8 geht durch
Ping 192.168.178.2 Keine Antwort
Ping 192.168.178.1 geht durch
Ping 192.168.100.1 geht durch


NAT Einstellung vergessen:
Interface: AlteFritz
Source: AlteFritz net
Port: any
Destination: WAN Adress
Port: any
NAT Adress: WAN adress
NAT Port: any
Static Port: No


Das sieht doch total falsch aus....
Lasst mich raten...
Device sollte WAN sein und die Destination any?
em-pie
em-pie 01.02.2025 um 01:03:00 Uhr
Goto Top
Was mir als erstes auffällt (sofern die alte Fritte wirklich im RouterModus läuft):
WAN und LAN haben dasselbe IP-Netz.
Stell mal die LAN-Seite auf z.B. 192.168.200.0/24 um
Die Fritte weiß ja sonst gar nicht, wohin mit den Paketen.


Was allerdings gegen den RouterModus spricht: dein Client bekommt eine IP von der Sense. Das passiert nur, wenn die Fritte als IP-Client arbeitet. Dann ist sie nur eines von vielen „Endgeräten“ im LAN.


Wenn du eine IP bekommst, während das Kabel zwischen Fritte und Sense aufgestöpselt ist, ist es per se erstmal gut. Wenn nicht, bist du im Client-Modus…


Zu den NAT-Settings selbst kann ich zur Sense nichts sagen. Hatte die bisweilen noch nicht in den Fingern…
gruenhorn
gruenhorn 01.02.2025 um 09:30:34 Uhr
Goto Top
Hatte gedacht, dass die OPNsense sich um DHCP kümmert und die Clients von der Fritzbox den Server (Opnsense) mitgeteilt bekommen.
Also soll das Interface an der FW eine andere IP haben als die Fritzbox mit ihren Clients?
aqui
aqui 01.02.2025 aktualisiert um 10:18:37 Uhr
Goto Top
Am Anfang aber wohl erst mal gar nicht, weil ich da dann nur ein einziges VLAN nehmen werde bis alles läuft.
Ja, das ist der richtige Weg!
  • Du belässt erstmal den Default LAN Port um einen sicheren Zugang auf das Konfig GUI der Firewall zu haben falls ein Konfig Fehler passiert.
  • Dann kasperst du 2 Ports aus die du in einen LACP LAG laut o.a. Tutorial bringst.
  • Den LAG aktivierst du im Interface Assignement
  • LAG Interface IP und DHCP setzen bzw. aktivieren. Damit arbeitet dann das virtuelle LAG Interface als Native UNtagged Port also als PVID VLAN und ist dann das Parent Interface für die weiteren VLANs die du anlegst.
  • LACP LAG auf dem Switch konfigurieren und das LAG Interface des Switches einem separaten VLAN zuweisen. Das ist wichtig um hier nicht einen Loop zu schaffen mit dem VLAN 1 weil dort vermutlich dein LAN Interface arbeitet. LAN und das neue LAG Interface sind auf der Firewall 2 getrennte IP Netze und müssen folglich auf dem VLAN Switch ebenfalls strikt getrennt sein, sprich in unterschiedlichen VLANs liegen.

Wenn du unsicher bist kannst du dir die LAG Geschichte auch erstmal sparen und im ersten Schritt behutsam vorgehen und zu Anfang nur mit einem singulären Trunk Port arbeiten um in Ruhe das Handling damit zu lernen.
Dann gehst du wie oben oder Tutorial vor und lässt den LAG erstmal weg und nimmst nur einen einzelnen Port. Schritte sind die gleichen
  • Port an der FW auskaspern, im Assignement aktivieren
  • IP und DHCP auf dem Port aktivieren
  • Port ist UNtagged und in ein Trunk Mode Port des Switches stecken auch hier auf das separate VLAN achten!
  • Dann weitere VLANs auf dieses Interface mappen in der FW und tagged auf dem Switch einrichten
Ob mit oder ohne LAG sind es immer die gleichen Schritte. Einfach ans VLAN Tutorial halten. face-wink
aber der Aruba Kram ist eine Frechheit.
Na ja das weiss man aber vorher das die besser Drucker und Laptops können. Von Netzen haben die keine Ahnung. Das ist alles ein zugekaufter Zoo von Fremdfirmen was die haben, nichts Eigenes. Da gilt immer Finger weg.
Witzigerweise war mein erstes VLAN die #10 statt der 1, aber tagged.
Nein, ganz sicher nicht, denn diese Aussage ist bei einem VLAN Switch immer unsinnig, sorry!
Das erste VLAN ist immer das Default VLAN 1 auf einem Switch was immer vorhanden ist und man auch nicht löschen kann. Es ist das Native oder PVID VLAN in dem per Default alle Ports UNtagged hängen. Das Native- oder PVID VLAN wird niemals getagged. Das war schon ein Kardinalsfehler von dir.
Alle weiteren, zusätzlichen VLANs werden dann entweder UNtagged betrieben auf einem Access Port für Endgeräte oder eben Tagged auf einem Trunk Port. (Siehe VLAN Schnellschulung!)

Mit kein Internet meine ich hier prinzipiell Zugang auf die OPNsense und die Fritzbox dazwischen
Wieder so ein verwirrender Unsinn, sorry! face-sad
  • Die OPNsense blockt per se gar nichts ins Internet im Default Setup
  • Du hast am WAN/Internet Port keine Fritzbox dazwischen sondern ein reines Modem
  • Eine Fritzbox in einem internen LAN Segment verhält sich wie ein Endgerät (PC, Drucker etc.) auch der Traffic wird von der OPNsense im Default NICHT geblockt.
WAS genau meinst du also mit dieser kryptischen und unlogischen Aussage?
Habe ich doch beschrieben, eine (FritzAlt) ganz dumm im Hintergrund als Fallback Lösung
Das funktioniert so nicht wie du das umgesetzt hast und ist der völlig falsche Ansatz. Du musst dann eine Multi WAN Lösung umsetzen die alternierend mal den einen mal den anderen WAN/Internet Port nutzen kann je nach Zustand der Leitung.
https://docs.opnsense.org/manual/how-tos/multiwan.html
https://www.thomas-krenn.com/de/wiki/OPNsense_Multi_WAN
Wie bereits gesagt. Als Anfänger nicht gleich die Saturn V zünden sondern mit einer kleinen Sylvesterrakete anfangen und es im ersten Schritt erstmal bei einem WAN Port belassen!! Bringe erstmal deine lokale VLAN Infrastruktur zum Fliegen und wage dich dann an andere Dinge aber nicht gleich alles auf einmal!! 🧐
Meine für den Anfang sichere Struktur sollte so aussehen:
Vielleicht lieferst du dazu nochmal eine saubere Topologiezeichnung ohne Wimmelbild damit wir alle wissen was dein genaues Ziel ist.
Wenn DNS überall leer dann nimmt er den vom Provider?
Ja!
Es gibt neben dem PPPoE Passthrough auch den Betrieb als Router, der auf LAN 1 von einem Modem Internet bekommt. Dann sind auch noch sämtliche Schutzfunktionen an + Gäste Lan, Gäste Wifi, VPN. Sogar VoIP geht.
Ja, kennt jeder Laie und Administratoren sowieso. Das ist der sog. "Modem Bypass" Mode der Fritte. Was dort gemacht wird ist schlicht und einfach das Modem deaktiviert und umgangen und der Internet Port im "DHCP Client Mode" direkt auf den LAN 1 Port gelegt. Kennt jeder....
Wie man einen WLAN Router in einen einfachen Accesspoint verwandelt erklärt dieses Tutorial. Sollte man aber besser nicht machen sondern immer dedizierte Accesspoints betreiben wie z.B. diese oder andere.

Hatte gedacht, dass die OPNsense sich um DHCP kümmert und die Clients von der Fritzbox den Server (Opnsense) mitgeteilt bekommen.
Nicht denken sondern nachdenken... DHCP funktioniert nur in einem Layer 2 Netz da es bekanntlich auf Broadcasts basiert. Router leiten aber prinzipbedingt keine Broadcasts in andere IP Segmente. Der tiefere Sinn übrigens warum man Router und Firewalls zur Segmentierung einsetzt. Ein Router arbeitet auf L3 (IP) und ist keine L2 Bridge. Sonst hiesse er auch "Bridge".
Also NEIN, deine Fritte kann kein DHCP weiterleiten! Schlimmer noch, der DHCP Server und der der Firewall laufen beide parallel Amok im Netz. Ein NoGo.
Bei DHCP gilt immer das "Highlander Prinzip": Es kann nur einen geben!!. Du musst also einen DHCP Server abschalten, entweder Fritte oder Firewall, denn 2 dürfen niemals parallel laufen.
Noch viel lernen du noch musst... würde Meister Yoda da sagen... face-wink
gruenhorn
gruenhorn 01.02.2025 aktualisiert um 10:43:50 Uhr
Goto Top
Zitat von @aqui:
Wenn du unsicher bist kannst du dir die LAG Geschichte auch erstmal sparen und im ersten Schritt behutsam vorgehen und zu Anfang nur mit einem singulären Trunk Port arbeiten um in Ruhe das Handling damit zu lernen.
Dann gehst du wie oben oder Tutorial vor und lässt den LAG erstmal weg und nimmst nur einen einzelnen Port.

Exakt so werde ich es tun face-smile


Da gilt immer Finger weg.
Lernen durch Schmerz nehme ich an...

Nein, ganz sicher nicht, denn diese Aussage ist bei einem VLAN Switch immer unsinnig, sorry!
Ne so war das nicht gemeint. Was ich zu aller erst gemacht habe war, das VLAN 10 20 und 30 zu nehmen, das 1er hatte ich außen vor gelassen. Trotzdem war natürlich der Fehler da, das ganze im Uplink Port am Switch zu Taggen.
Das 1er habe ich erst beim letzten Versuch genommen, aber auch das war tagged, von daher dann auch schon egal


WAS genau meinst du also mit dieser kryptischen und unlogischen Aussage?
Internet-FW-Fritzbox-Client, wenn der Client schon nicht auf die Fritzbox kommt, wie soll er dann jemals ins Internet kommen. Meine Aussage war dann eher: "Es wundert mich da auch nicht, dass ich kein Internet am Client habe, wenn ich schon nicht mit dem Client auf die Fritzbox komme"

Das funktioniert so nicht wie du das umgesetzt hast und ist der völlig falsche Ansatz. Du musst dann eine Multi WAN Lösung umsetzen die alternierend mal den einen mal den anderen WAN/Internet Port nutzen kann je nach Zustand der Leitung.

Ne ich will kein echtes Fallover haben. Nur das Internet vom WAN Port direkt auf einen anderen Port schicken.
Dann kann ich an den anderen Ports so viel spielen wie ich will, stecke ich aber meinen Client an die alte Fritzbox, dann habe ich da mit großer Wahrscheinlichkeit ein funktionierendes Internet.

Ja, kennt jeder Laie und Administratoren sowieso. Das ist der sog. "Modem Bypass" Mode der Fritte. Was dort gemacht wird ist schlicht und einfach das Modem deaktiviert und umgangen und der Internet Port im "DHCP Client Mode" direkt auf den LAN 1 Port gelegt. Kennt jeder....
Warte, da muss ich widersprechen glaube ich... Den Bypass gibt es nicht mehr bei den neueren Fritten. Und PPPoE Weiterleitung nutze ich auch nicht. Mit dem Bypass hättest du ja die Möglichkeit das Modem der Fritz zu benutzen, aber das ist deaktiviert. Egal jetzt, ich brauchs ja eh nicht. Und keine Sorge, diese verdammte Fritz fliegt sofort raus, wenn der Switch da ist und läuft.


Nicht denken sondern nachdenken... DHCP funktioniert nur in einem Layer 2 Netz da es bekanntlich auf Broadcasts basiert. Router leiten aber prinzipbedingt keine Broadcasts in andere IP Segmente. Der tiefere Sinn übrigens warum man Router und Firewalls zur Segmentierung einsetzt. Ein Router arbeitet auf L3 (IP) und ist keine L2 Bridge. Sonst hiesse er auch "Bridge".
Also NEIN, deine Fritte kann kein DHCP weiterleiten! Schlimmer noch, der DHCP Server und der der Firewall laufen beide parallel Amok im Netz. Ein NoGo.
Bei DHCP gilt immer das "Highlander Prinzip": Es kann nur einen geben!!. Du musst also einen DHCP Server abschalten, entweder Fritte oder Firewall, denn 2 dürfen niemals parallel laufen.
Ja dass nicht zwei parallel können ist mir bewusst.
Ich habe DHCP auf der Fritzbox ja deaktiviert. Aber was ich nicht wusste ist, dass der Router das nicht einfach von der FW weiterleiten kann.

Also, DHCP für das FW Interface deaktivieren und auf der Fritzbox aktivieren, korrekt?
Die IP des Interfaces ist aktuell die 178.2, die der Box 178.1 manuell vergeben, die Clients kriegen also auch immer eine 178.X
Ist das so richtig oder muss das Interface z.b. die 178.1 haben und die Fritz kriegt dann die 179.1 und verteilt die 179.X dann an ihre Clients?

Noch viel lernen du noch musst
Ooooh yes
aqui
aqui 01.02.2025 aktualisiert um 11:05:25 Uhr
Goto Top
Trotzdem war natürlich der Fehler da, das ganze im Uplink Port am Switch zu Taggen.
Vermutlich hast du es noch immer nicht genau verstanden...?!
An einem Uplink / Trunk Port ist es schon richtig diese VLANs zu taggen. Wie sollte die VLAN Information sonst übertragen werden? Das was aber nie getagged werden darf ist das PVID VLAN (Parent Interface der Firewall, Native VLAN) an diesem Uplink / Trunk Port.
Oder meintest du damit dein erstes "Neandertal" VLAN Konzept indem du alle VLAN Strippen einzeln ziehst??
In dem Falle wäre das dann in der Tat falsch, denn das dürfen dann natürlich immer nur UNtagged Ports sein. Aber wer lebt heutzutage noch im Neandertal mit Feuer und Keule?? 🤣
Den Bypass gibt es nicht mehr bei den neueren Fritten.
Das ist Unsinn, denn das ist die LAN 1 Umleitung des WAN Ports. Auch auf modernsten Fritten ist das logischerweise noch verfügbar.
Mit dem Bypass hättest du ja die Möglichkeit das Modem der Fritz zu benutzen
Nein! Das Modem wird in dem Mode komplett abgeschaltet wie oben schon gesagt!
Aber egal, das alles tut jetzt, wie du schon richtig sagst, hier für eine zielführende Lösung für dich erstmal nichts zur Sache.
Also, DHCP für das FW Interface deaktivieren und auf der Fritzbox aktivieren, korrekt?
Nein! Du solltest gar nicht mehr mit DHCP auf der Fritte arbeiten. Das sollte zentral immer nur die Firewall machen um sich nicht mit dem Setup zu verzetteln.
Der DHCP Server auf der Fritte darf nur da laufen wenn du eine Fritte per LAN 1, Modem Bypass an einen Firewall Port klemmst.
Endgeräte am LAN Port der Fritte würden sonst keine IP bekommen. Hier gilt dann die berechtigte Mahnung des Kollegen @em-pie von oben das WAN IP Netz (Firewall Port) und LAN IP Netz der Fritte nicht gleich sein dürfen und auch nirgendwo sonst noch an der Firewall auftreten dürfen!
Also als Beispiel für so ein Setup:
  • IP Netz des Firewall Ports an dem die Fritte mit WAN (LAN 1) angeschlossen wird = 192.168.200.0 /24
  • LAN IP Netz der Fritte = 192.168.178.0 /24
  • Beide Netze dürfen nicht noch woanders an der Firewall auftauchen!
Intelligent und sinnvoll ist es z.B. die gesamte IP Adressierung der OPNsense in den RFC 1918 Bereich 172.16.0.0 /12 zu legen und alles was an externen Routern usw. betrieben wird in den 192.168.0.0 /16 er Bereich.
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
So kann es niemals eine Dopplung oder Überschneidung geben und man kann schon beim Management und Troubleshooting sicher unterscheiden wer was ist! Eben intelligent adressieren... face-wink
gruenhorn
gruenhorn 01.02.2025 aktualisiert um 13:17:26 Uhr
Goto Top
Ich versuche es mal auf Bild Basis...
Die bunten T und U...
clipboard-image


Das ist Unsinn, denn das ist die LAN 1 Umleitung des WAN Ports. Auch auf modernsten Fritten ist das logischerweise noch verfügbar.
Die Fritzbox kann/konnte drei Sachen:
  • Bridge-Modus gibts nicht mehr, da hätte man aber das Modem nutzen können und die Fritz mit all ihren Funktionen isoliert davon auf LAN 2 3 4.
  • PPPoE forward geht noch, da ist aber die Firewall in der Fritz abgeschaltet und sie ist nur noch Client + Switch auf LAN 2 3 4
  • Im Router Betrieb ist das Modem komplett deaktviert, dafür geht der Rest noch. LAN 2 3 4 sind dann auch nicht isoliert von LAN 1

Du meinst PPPoE forwarding mit Bypass?
Ja hätte ich machen können, wollte aber ein unabhängiges Modem, weil ich glaube, dass die Fritzbox so langsam aber sicher einen weg hat (sporadische mikro Internetaussetzer, die mir jedes Mal die VPN Verbindung zur Arbeit killen)

Ich nutze aktuell den Router Modus. So kann ich in der OPNsense sicherheitstechnisch "verkacken" was ich will, die Fritz schützt sich mit ihrer eigenen FW aber noch selbst. Verstehst du den Gedanken?
Wie gesagt, das Ding fliegt sofort raus wenn der Switch da ist und läuft.
Die Fritte stelle ich dann wieder auf PPPoE Einwahl um und kann beim Totalausfall der OPNsense dann einfach mit Telefonkabel eingesteckt werden und ich kann zumindest arbeiten.


Nein! Du solltest gar nicht mehr mit DHCP auf der Fritte arbeiten. Das sollte zentral immer nur die Firewall machen um sich nicht mit dem Setup zu verzetteln.
Gut, genau das habe ich ja aktuell, DHCP auf der FW an, auf der Fritz aus. Client kriegt ja auch eine IP, die kommt dann ja zwangsweise von der FW oder nicht?!

Also als Beispiel für so ein Setup:
IP Netz des Firewall Ports an dem die Fritte mit WAN (LAN 1) angeschlossen wird = 192.168.200.0 /24
LAN IP Netz der Fritte = 192.168.178.0 /24
Beide Netze dürfen nicht noch woanders an der Firewall auftauchen!
Und das versteh ich nicht glaube ich...
Ja, das Interface an der FW soll eine andere IP haben als die Fritte, okay
Dann MUSS die Fritte aber doch selbst der DHCP Server für die Clients sein und das hast du ja vorher gesagt, dass sie das nicht soll

Oder mischen wir gerade wieder Bypass und Router Betrieb?
Bypass: DHCP von FW, Fritte + Clients alle im gleichen Subnet wie das FW Interface
Router: DHCP auf FW aus, Fritte separate IP + DHCP an --> Clients nur im Subnet der Fritte
aqui
aqui 01.02.2025 aktualisiert um 17:56:52 Uhr
Goto Top
Am Trunk Port 1 der FW fehlt oben wieder das Native VLAN sprich das IP Netz des Parent Interfaces! face-sad
Es sei denn du willst das nicht konfigurieren. Das wäre aber blöd weil du dich so um eine UNtagged Zugangsoption bringst wie oben schon mehrfach besprochen!
Es wäre also intelligent das Trunk Parent Interface auch mit einer IP Adresse zu versehen!! Idealerweise mit einer VLAN 1 IP was dann aber erzwingt das dann das Default LAN Interface als "Notzugang" in ein separates VLAN z.B. 99 gelegt werden muss damit das getrennt ist.
Verstehst du den Gedanken?
Ja, verstanden!
Macht Sinn und dafür kannst du als WAN (LAN 1) Koppelport der Fritte dann das LAN Interface nehmen (neu 99) was dann so oder so eine Scheunentorregel hat.
Und das versteh ich nicht glaube ich...
Hast du aber schon dennoch richtig verstanden. Wenn die Fritte als stinknormaler NAT Router an der FW arbeiten soll dann hast du natürlich Recht, dann muss die Fritte auch DHCP Server für ihr LAN spielen.
Ein Bild sagt mehr als 1000 Worte... So sähe z.B. ein gangbares Design aus:

vlan-opnsense
Der "Notfall Konfig" LAN Port kann später entfallen wenn der Trunk sauber funktioniert, denn dann kann der Trunk/Uplink natürlich zur FW Konfiguration genutzt werden. Den freiwerdenden Port kannst du dann als Memberport für einen LACP LAG Firewall<->VLAN-Switch verwenden.
gruenhorn
gruenhorn 01.02.2025, aktualisiert am 02.02.2025 um 01:27:55 Uhr
Goto Top
Zitat von @aqui:

Am Trunk Port 1 der FW fehlt oben wieder das Native VLAN sprich das IP Netz des Parent Interfaces! face-sad
Es sei denn du willst das nicht konfigurieren. Das wäre aber blöd weil du dich so um eine UNtagged Zugangsoption bringst wie oben schon mehrfach besprochen!
Es wäre also intelligent das Trunk Parent Interface auch mit einer IP Adresse zu versehen!! Idealerweise mit einer VLAN 1 IP was dann aber erzwingt das dann das Default LAN Interface als "Notzugang" in ein separates VLAN z.B. 99 gelegt werden muss damit das getrennt ist.
Sorry, hatte die Adressen alle noch nicht geupdated, ja, so wie du es gemalt hast ists nachvollziehbar!

Also ich muss, sobald ich einen Switch betreibe, ALLES über VLANS machen, weil ich sonst nicht kontrollieren kann wo das Eingangssignal überall hin geht.

Für den Start baue ich dann einfach nur das VLAN 1+99 bis ein Client an einem Port und Wifi einwandfrei funktioniert.

Wo ist der Unterschied zwischen 1 und 99?
Nur, dass 99 einen eigenen Port hat und komplett offen ist?
Oder erwarten mich naturgemäß fiese Probleme, sobald ich mit mehreren VLANs auf einem Port rumspiele und mich aussperre?


Hast du aber schon dennoch richtig verstanden. Wenn die Fritte als stinknormaler NAT Router an der FW arbeiten soll dann hast du natürlich Recht, dann muss die Fritte auch DHCP Server für ihr LAN spielen.
Würde bei mir direkt an der OPNsense hängen, dann spar ich mir ein Level Komplexität. Per FW Regel sperre ich sie aus den Private Networks raus.
Aber die IP vom Interface muss dann zur manuell gesetzten IP der Fritte passen, korrekt? Sonst würden die zwei sich ja auch nicht finden.

Der "Notfall Konfig" LAN Port kann später entfallen wenn der Trunk sauber funktioniert, denn dann kann der Trunk/Uplink natürlich zur FW Konfiguration genutzt werden. Den freiwerdenden Port kannst du dann als Memberport für einen LACP LAG Firewall<->VLAN-Switch verwenden.
Wenn man den 99er entfallen lässt, dann schickt man die "roten Clients" auf die 1?


Intelligent und sinnvoll ist es z.B. die gesamte IP Adressierung der OPNsense in den RFC 1918 Bereich 172.16.0.0 /12 zu legen
Hat die Klasse B nen Grund?
Finde Klasse A viel besser zum merken/eintippen
10.10.X.X ist doch super :P


Plan für die IPs:
OPNsense. ................................................................100.1
Port des Interfaces für WAN:............................. 099.1
Port des Interfaces für VLAN 1/LAG#1:. ........101.1
VLAN 1: .................................................................................201.1
VLAN 10: ...............................................................................210.1
VLAN 20: ................................................................................220.1
Port des Interfaces für LAG#2:. .........................102.1
Port des Interfaces für VLAN 99:. ......................199.1
VLAN 99: ................................................................................299.1

Mein Fritz Box VoIP Client + der AP kriegen dann Adressen auf 201.0 richtig?
Also vorausgesetzt ich lösche den 99er wieder nach erfolgreichem Einrichten...

Und dann hänge ich alle trusted Clients an unttaged Ports ins VLAN 1?
Workstation, Unraid Server, Backup Synology, Smartphones
Das Smartphone meiner Frau könnte ich ja z.B. per IP auf den Geräten sperren, wo es nichts verloren hat. Das wären die OPNsense und der Backup Server.

Ich wollte ungern noch ein extra Management VLAN eröffnen und dann konsquenterweise ja auch kein extra Management Wifi und und und. Wird glaube ich etwas viel.
Hauptsache iot und Gäste fliegen erst mal raus...


edit:

Also funktionieren tut das alles noch nicht mit der Fritzbox...
Hab jetzt alles durch: interface ne andere ip als die fritzbox, dhcp bei fritzbox, NAT
Weiß nicht was ich hier machen soll...Funtz alles nicht, bleibe immer direkt bei nem ping auf das interface hängen


auf dem Gastnetz der alten Fritte funktioniert es übrigens, das hat ein anderes Subnet (DHCP+DNS 192.168.189.1; das in Verbindung mit den NAT Einstellungen klappt, DHCP auf OPNsense aus, auf der Fritzbox an)
Interface: AlteFritz
Source AlteFritz.net
Source: any
Destination: WAN address
NAT address: WAN address

Hääääh?
Ich hab jetzt mal das Interface auf 177.2 geändert, in der fritte aber nichts geädert.
Damit hat das Gast Netz auch kein Internet mehr (also bleibt auch schon mit dem ping vor dem Interface hängen)
Das heißt das 189er Gastnetz benutzt defintiv das 178er Netz um seine Pakete weiterzuschaffen.
Warum kriegt das Gastnetz das hin, das Hauptnetz aber nicht?!
aqui
aqui 02.02.2025 aktualisiert um 14:19:07 Uhr
Goto Top
ich muss, sobald ich einen Switch betreibe, ALLES über VLANS machen
Nein müssen musst du gar nichts. Du kannst natürlich bei 3 Netzen auch 3 Strippen einzeln ziehen und dir pro Netz einen eigenen Switch anschliessen. DU bist doch der Admin und bestimmst wie dein Netz aussehen soll?! face-wink
Wo ist der Unterschied zwischen 1 und 99?
Gegenfrage: Wo ist der Unterschied zw. 1 und 4095?? (Die ganze VLAN ID Range)?
Eine rein kosmetische Frage die du nach deinem eigenen, persönlichen Geschmack beantworten kannst.
Aber die IP vom Interface muss dann zur manuell gesetzten IP der Fritte passen, korrekt?
Nein, das ist leider NICHT korrekt denn, wie jedermann weiss, ist bei einem Modem Bypass auf der Fritte deren LAN 1 Port (WAN/Internet Port) und dortige IP Adresse nicht statisch konfigurierbar! Der Port arbeitet fest im "DHCP Client Mode", zieht sich also eine IP von der Firewall. Man muss also sicherstellen das dort ein DHCP Server rennt auf der Firewall. Die Fritte wird ja mit ihrem WAN, sprich LAN-1 Port an die Firewall angeschlossen!
Wenn man den 99er entfallen lässt, dann schickt man die "roten Clients" auf die 1?
Ja und nein.
Du hast ja 2 Optionen:
  • Einmal löschst du das 99er VLAN und damit den LAN Port komplett bzw. nutzt ihn wenn du willst als LACP LAG Memberport
  • Ob man dann mit dem LAP/Uplink Parent IP Netz (VLAN 1) arbeitet oder das VLAN 99 zusätzlich noch tagged mit über den Trunk/Uplink sendet ist rein persönliche Geschmackssache.
Hat die Klasse B nen Grund?
Oha, du lebst vermutlich doch in der Netzwerk Steinzeit?! face-sad
Netzwerk "Klassen" gibt es seit über 30 Jahren NICHT mehr. Wir befinden uns seitdem im Zeitaler der CIDR Netze!!
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Lesen und verstehen...!
Mal abgesehen davon hast du wohl auch Probleme im Umgang mit Netzwerkmasken denn ein 12 Bit Prefix entspricht nicht der damaligen Class B (16 Bit) aus der Netzwerk Steinzeit. Meister Yoda lässt grüßen... face-wink
https://de.wikipedia.org/wiki/Netzmaske
Finde Klasse A viel besser zum merken/eintippen
Dann nutzt du eben die...
Die hast die freie Auswahl und es ist alles eine Frage des persönlichen (Adress) Geschmacks solange nur die IP Netze einzigartig bleiben! Und...bitte lasse den altertümlichen "Klassen" Unsinn (Siehe oben)
Plan für die IPs:
Kann man so machen.
Einen fatalen Fehler musst du noch korrigieren!! Das mögliche LAG Interface ist virtuell ein Interface und folglich dann mit einer einzigen Interface IP adressiert!!
Die Memberports werden NICHT einzeln adressiert. (Bitte Tutorial dazu genau lesen und verstehen!)
Die Bezeichnung "WAN Port" benutzt du leider wirr und irreführend. face-sad
Gemeinhin ist damit immer der eigentliche WAN/Internet Port der Firewall gemeint. Also der Port mit der die Firewall direkt am Internet hängt. Bei dir also der Modemport in Richtung Internet.
Hier solltest du sinnvolle und eindeutige Bezeichnungen im Thread benutzen um die Community hier nicht grundlos in Irrwege zu schicken! face-sad
Und dann hänge ich alle trusted Clients an unttaged Ports ins VLAN 1?
Kann man so machen...
Was trusted ist und was nicht bestimmst doch immer DU selber mit dem Regelwerk an der Firewall!! Genau deshalb hat man sie ja.
Ich wollte ungern noch ein extra Management VLAN eröffnen
Das musst und solltest du auch nicht.
Wenn der Trunk/Uplink auf den Switch sauber rennt hast du ja prinzipiell über ALLE VLANs Konfigurationszugriff auf die Firewall.
Der LAN Port ist lediglich ein "Notfall Port" für das Setup sofern du auf dem Trunk/Uplink oder später mal LAG Interface einen Konfig fehler gegehst und dich selber vom FW Management aussperrst. Über das LAN Interface hast du dann immer noch Zugang um diese Fehler zu korrigieren.
Später wenn alles rennt kannst du das LAN Interface bzw. dessen Port dann entfernen. Sollte die FW mal kollabieren bekommst du sie immer über das Backup in Minuten wieder zum Fliegen.

Also funktionieren tut das alles noch nicht mit der Fritzbox...
Funktioniert denn das Grundsetup der Firewall an sich?? Ping Checks, DNS etc.?
Ich hab jetzt mal das Interface auf 177.2 geändert
Das 177.2er Netz ist kein privates RFC 1918 IP Netz und sollte niemals verwendet werden da es NICHT dir sondern der brasilianischen Telekom gehört!! face-sad
inetnum: 177.0.0.0/14
aut-num: AS8167
country: BR
owner-c: SEIVT2
nserver: ns03-cta.brasiltelecom.net.br
person: Brasil Telecom S. A. - CNRS
country: BR

Tip:
Screenshots deines vermutlich falschen FW Setups könnten allen helfen deinen vermeintlichen Fehler zu finden. face-wink
gruenhorn
gruenhorn 02.02.2025 aktualisiert um 17:31:28 Uhr
Goto Top
Nein müssen musst du gar nichts. Du kannst natürlich bei 3 Netzen auch 3 Strippen einzeln ziehen und dir pro Netz einen eigenen Switch anschliessen
Schon klar, aber wenn ich mich für den VLAN Weg entscheide, dann muss ich ja auch dabei bleiben

Wo ist der Unterschied zwischen 1 und 99
Ne ich meine in deinem Konfigurationsvorschlag. Was brächte mir das separate 99er, was das1er nicht kann?

Nein, das ist leider NICHT korrekt denn, wie jedermann weiss, ist bei einem Modem Bypass auf der Fritte deren LAN 1 Port (WAN/Internet Port) und dortige IP Adresse nicht statisch konfigurierbar! Der Port arbeitet fest im "DHCP Client Mode", zieht sich also eine IP von der Firewall. Man muss also sicherstellen das dort ein DHCP Server rennt auf der Firewall. Die Fritte wird ja mit ihrem WAN, sprich LAN-1 Port an die Firewall angeschlossen!
Ja gut klar, das macht Sinn, also habe ich grundsätzlich schon was falsch gemacht, was ich mit Nachdenken hätte feststellen können. Aaaaaber:
Das 177.2er Netz ist kein privates RFC 1918 IP Netz
Aber benutzen kann ich es trotzdem oder sagen dann FW/Fritzbox NEIN?
ist ja egal was ich nehme, das Experiment war ja nur um festzustellen was passiert.


du lebst vermutlich doch in der Netzwerk Steinzeit?
merkt man gar nicht, dass ich überfordert bin, oder? :D
Sorry, normalerweise kann man ja in viele Themen einfach so reinstolpern und das irgendwie hinkriegen, aber das hier ist echt ne tiefe Grube... Ich les mal was zur Neuzeit...


Das mögliche LAG Interface ist virtuell ein Interface und folglich dann mit einer einzigen Interface IP adressiert!!
So weit war ich mit dem Lesen noch nicht, weil nicht relevant, aber super, das macht die Sache ja leichter (während das Hirn noch in Steinzeit denkt)


Die Bezeichnung "WAN Port" benutzt du leider wirr und irreführend.
Gemeinhin ist damit immer der eigentliche WAN/Internet Port der Firewall gemeint. Also der Port mit der die Firewall direkt am Internet hängt. Bei dir also der Modemport in Richtung Internet.
Eh, genau so habe ich es auch gemeint

Wenn der Trunk/Uplink auf den Switch sauber rennt hast du ja prinzipiell über ALLE VLANs Konfigurationszugriff auf die Firewall.
Ja, dem IoT und Guest VLAN gebe ich Zugriff auf den DNS Server und einen Internetzugriff mit !PrivateNetworks Regel, dann kommen die nicht auf die LAN Seite.
Im VLAN 1 könnte ich ja gezielt nur die IP meiner Workstation zulassen.
Und wenns gröbere Probleme sind, dann schließe ich die Workstation direkt statt des Switches an den Port der FW

Funktioniert denn das Grundsetup der Firewall an sich?? Ping Checks, DNS etc.?
Klar, meine neue Fritz als Client und Clients daran läuft alles super, auch mit Adguard keine Probleme.


Screenshots deines vermutlich falschen FW Setups könnten allen helfen deinen vermeintlichen Fehler zu finden
Hatte ich ja hier geschrieben:
Internet auf Interfaces (+ VLAN) sauber durchschleifen

Was mich halt verwundert: Warum funktioniert das Gast netz aus der Box? DHCP auf der FW ist aus und sobald ich das Interface auf eine andere Adresse als die der Fritz stelle geht auch die Gastseite nicht mehr. D.h. der Fritz ist das DHCP auf der FW egal, aber mit einer anderen Interface IP funktioniert der Gastzugang auch nicht mehr. Dann ist doch grundsätzlich irgendwas and er 178er Adresse richtig, weil das 179er Netz damit durch kommt und sich scheinbar nicht direkt mit dem Interface verbindet. Und dann macht es ja noch weniger Sinn, warum das plötzlich nicht mehr geht, wenn ich das Interface ändere... Du weiß was ich meine, oder?
aqui
aqui 02.02.2025 aktualisiert um 19:29:04 Uhr
Goto Top
Was brächte mir das separate 99er, was das1er nicht kann?
Nichts, da hast du Recht. Deshalb kannst du das vollständig entfernen wenn der Trunk rennt.
Aber benutzen kann ich es trotzdem
Sagen wir mal so: Ein guter Netzwerk Admin macht sowas aus guten Gründen niemals. Ganz besonders weil es vollkommen unnötig ist.
Du weiß was ich meine, oder?
Nein, nicht wirklich weil nicht klar ist WIE du die Fritte(n) an die Firewall adaptierst.
gruenhorn
gruenhorn 02.02.2025 um 20:50:12 Uhr
Goto Top
Zitat von @aqui:

Nichts, da hast du Recht. Deshalb kannst du das vollständig entfernen wenn der Trunk rennt.
Ich frag nur, warum das überhaupt als VLAN laufen soll.
Allesa klar face-smile

Sagen wir mal so: Ein guter Netzwerk Admin macht sowas aus guten Gründen niemals. Ganz besonders weil es vollkommen unnötig ist.
Logisch, hab ich auch gar nicht vor, nur bei dem unwissentlichen Test war es ja jetzt total unerheblich.

WIE du die Fritte(n) an die Firewall adaptierst.
Eine Fritz an "FritzAlt", die andere an LAN
clipboard-image
clipboard-image
clipboard-image

DHCP an/aus auf der FW juckt das Gast Netz auf der "AlteFritz" nicht
clipboard-image
clipboard-image

NAT:
clipboard-image

FW Rules:
clipboard-image
clipboard-image
gruenhorn
gruenhorn 02.02.2025 aktualisiert um 21:10:23 Uhr
Goto Top
Neue Fritz in LAN:


clipboard-image

Aktuell hat der noch die VoIP DNS drin stehen, das muss ich noch anpassen, dass nur die sip anfragen darüber gehen und der Rest über Adguard, wenn ich herausgefunden habe wie das geht.
clipboard-image

clipboard-image


Für die FritzAlt:
clipboard-image
clipboard-image
clipboard-image
clipboard-image
clipboard-image
clipboard-image
clipboard-image
aqui
aqui 03.02.2025 aktualisiert um 09:51:19 Uhr
Goto Top
Ich frag nur, warum das überhaupt als VLAN laufen soll.
Ein klein wenig in Ruhe Nachdenken kann hier helfen! face-wink
Es läuft ja nirgendwo als VLAN wie du aus der Skizze selber ersehen kannst. Logisch, denn sowohl der LAN Port der Firewall als auch der dazu korrespondierende Anschlussport des Switches laufen als Access Port UNtagged und haben damit keinerlei VLAN Information. Stinknormaler UNtagged Traffic also mit Pakete ohne jegliche VLAN Information...
Der Einzige der ansatzweise etwas von VLANs weiss ist einzig und allein der Switch, denn dessen "Accessport" Konfig hat eine statische Zuweisung auf die PVID 99 die besagt: "Forwarde alles was hier ohne einen VLAN Tag reinkommt, also ohne jegliche VLAN Information ist, in das VLAN 99.
Mit anderen Worten:
Da läuft nix als VLAN oder wenn dann nur ein klein bisschen auf dem Switch, denn dem musst du ja logischerweise an seinem Port statisch sagen WO er mit Netzwerk Paketen ohne VLAN Information hin soll. Woher sollte er das denn auch sonst wissen wenn nicht vom Admin und seiner Konfig?! KI innerhalb des Switches, die das von deiner (Admin) Stirn ablesen könnte, gibt es ja (noch) nicht.
Solche einfachen Binsenweisheiten und Vorgänge sagen einem doch auch der gesunde IT Verstand! face-wink

Fehler in deiner FW Konfig:
  • Ein WAN Port mit einem PPPoE Nur-Modem hat keine statische IP Adresse! Die WAN/Internet IP Adresse liegt einzig und allein nur auf dem virtuellen PPPoE Interface was durch die Konfig geschaffen wird. Eine statische RFC 1918 IP ist zudem sicherheitstechnisch fatal dort. Ein NoGo.
  • Der Port "Alte-Fritz" hat eine falsche IP Adressierung. Es wäre fatal hier das Default Allerwelts Fritzbox Netz zu verwenden, denn das bedingt immer eine Überschneidung und Adresschaos mit Fritzboxen. Das Kind ist ja unten schon in den Brunnen gefallen mit deiner 178er Adressierung im Fritten Screenshot. Genau aus dem Grunde wurde dir oben mehrfach empfohlen auf der Firewall ausschliesslich nur 172.er Netz oder weil DU es schöner findest 10.er Netze zu verwenden um solche Doppelvergabe sicher zu vermeiden. Warum hälst du dich nicht an deine eigenen Planung und klebst wie Kaugummi an den 192er Netzen?! Sowas lernt man in der IP Adress Grundschule...
  • Ein Riesenfehler ist die DHCP Adressrange bei einem /24er Prefix in dem Bereich .1 bis .254 zu legen. Ein fataler Anfängerfehler der durch fehlendes Nachdenken passiert!! face-sad Damit überstreicht der Bereich auch die statisch vergebenen Adressen und es kommt unweigerlich zum Adresschaos im Netz durch Doppelbelegung von Hostadressen. Gute Adminstratoren lassen die "Netzenden" immer frei im Pool um so Sicherheit für Router Adressen und andere statisch vergebene Adressen zu schaffen!! Setze also die DHCP Range immer mit einem intelligenten "Sicherheitsabstand" z.B. von .10 bis .240.
  • Deine LAN Rule ist mit Verlaub gesagt Blödsinn. Bei Regeln gilt immer: First match wins!. Sprich beim ersten positiven Hit im Regelwerk wird der gesamte Rest NICHT mehr abgearbeitet! Wenn du also in der ersten Regel schon alles erlaubst triggert das den positven Hit und deine folgende Fritten Adress Regel wird niemals mehr abgearbeitet, ist allso völlig wirkungslos und überflüssig. Zeigt das du leider das FW Grundlagen Tutorial NICHT gelesen oder verstanden hast. face-sad Fazit: Lasse den Unsinn mit der Fummelei an den Regeln und belasse die alle im Default wie sie sind. Am Default Regelwerk muss man nichts ändern. Die FW rennt damit fehlerfrei!! Setze zum initialen Testen der FW lediglich zuallererst die Regeln der neuen Interfaces auf: PASS, Prot:IPv4/IPv6, Source: <Port_net>, Destination: ANY so das erstmal ALLER Traffic aus dem Netzsegment geforwardet wird. Damit checkst du erstmal dein Gesamtkonstrukt und erst NACHHER machst du dann die Schotten dich die du dichthaben willst. Mit dieser intelligenten Vorgehensweise stellst du sicher das das gesamte Routing und IP Handling sauber funktioniert und spätere Fehler lediglich am Regelwerk liegen können wie z.B. dein Reihenfolge Fehler von oben!

Fritz Fehler:
  • Keinen externen DNS Server eintragen. Das ist völliger Unsinn, denn die Fritte bekommt den DNS Server dynamisch über DHCP an ihrem LAN 1 Port übermittelt. Beim Anschluss an die FW ist das die FW selber die als DNS Proxy arbeitet. Belasse das auf dem LAN-1 Default
  • Weise deshalb auch nie die Fritte als DNS Server zu sondern immer die FW da diese ja DNS Server im Pfad ist!
  • Die Fritte darf niemals im Heimnetz die .178er IP Netzadresse verwenden wenn das gleiche Netz oben schon auf der Firewall verwendet wurde!!! Das wurde dir oben mehrfach gesagt und ist ein fundamentaler IP Designfehler. face-sad Setze deinen eigenen Vorschlag um und nutze nur 10er IP Netze (oder 172er) auf der Firewall dann kann so ein Unsinn nicht mehr passieren!!
  • 10 Tage Gültigkeit für die DHCP Leases ist zuviel und macht kein normaler Admin. Üblich sind 1 Tag bzw. ein Maximum von 3 Tagen sollte nie überschritten werden!
Fazit:
3 schlimme Kardinalsfehler die dir die ganzen Connectivity Probleme verursachen. Etwas mehr Sorgfalt und Überlegen beim Setup wäre angebracht! Meister Yoda würde mit den Augen rollen... 🙄
gruenhorn
gruenhorn 03.02.2025 aktualisiert um 11:00:47 Uhr
Goto Top
Zitat von @aqui:
Ein klein wenig in Ruhe Nachdenken kann hier helfen! face-wink
Es läuft ja nirgendwo als VLAN wie du aus der Skizze selber ersehen kannst. Logisch, denn sowohl der LAN Port der Firewall als auch der dazu korrespondierende Anschlussport des Switches laufen als Access Port UNtagged und haben damit keinerlei VLAN Information. Stinknormaler UNtagged Traffic also mit Pakete ohne jegliche VLAN Information...
Der Einzige der ansatzweise etwas von VLANs weiss ist einzig und allein der Switch, denn dessen "Accessport" Konfig hat eine statische Zuweisung auf die PVID 99 die besagt: "Forwarde alles was hier ohne einen VLAN Tag reinkommt, also ohne jegliche VLAN Information ist, in das VLAN 99.
Also einfach nur, dass Pakete zwischen FW und Switch nicht ins Nirvana laufen weil der Switch nicht weiß wohin, richtig?

Fehler in deiner FW Konfig:
  • Ein WAN Port mit einem PPPoE Nur-Modem hat keine statische IP Adresse! Die WAN/Internet IP Adresse liegt einzig und allein nur auf dem virtuellen PPPoE Interface was durch die Konfig geschaffen wird. Eine statische RFC 1918 IP ist zudem sicherheitstechnisch fatal dort. Ein NoGo.
Du meinst bei den NAT Einstellungen den WAN_voip? Jetzt frag mich nicht, warum ich das getan habe, vielleicht zu viele Anleitungen für o2 VoIP Probleme gelesen, und da so viel experimentiert wurde...


* Der Port "Alte-Fritz" hat eine falsche IP Adressierung. Es wäre fatal hier das Default Allerwelts Fritzbox Netz zu verwenden, denn das bedingt immer eine Überschneidung und Adresschaos mit Fritzboxen. Das Kind ist ja unten schon in den Brunnen gefallen mit deiner 178er Adressierung im Fritten Screenshot. Genau aus dem Grunde wurde dir oben mehrfach empfohlen auf der Firewall ausschliesslich nur 172.er Netz oder weil DU es schöner findest 10.er Netze zu verwenden um solche Doppelvergabe sicher zu vermeiden. Warum hälst du dich nicht an deine eigenen Planung und klebst wie Kaugummi an den 192er Netzen?! Sowas lernt man in der IP Adress Grundschule...
Neee halt, ich habe es einfach noch gar nicht geändert, ich hab ja erst mal die letzte Lektion verdaut face-smile face-smile face-smile
Mach ich heute alles!
Aber: Ich hatte das Interface doch schon testweise auf die 177 geändert und dann ging nix mehr, das verstehe ich nicht.


* Ein Riesenfehler ist die DHCP Adressrange bei einem /24er Prefix in dem Bereich .1 bis .254 zu legen. Ein fataler Anfängerfehler der durch fehlendes Nachdenken passiert!! face-sad Damit überstreicht der Bereich auch die statisch vergebenen Adressen und es kommt unweigerlich zum Adresschaos im Netz durch Doppelbelegung von Hostadressen. Gute Adminstratoren lassen die "Netzenden" immer frei im Pool um so Sicherheit für Router Adressen und andere statisch vergebene Adressen zu schaffen!! Setze also die DHCP Range immer mit einem intelligenten "Sicherheitsabstand" z.B. von .10 bis .240.
Eh warte, ich habe nie ab 1 vergeben, ja bis 254, aber nie ab 1.
Das sind zwei Zeilen bei der DHCP config, einmal die available range und darunter die tatsächlich definierte


* Deine LAN Rule ist mit Verlaub gesagt Blödsinn. Bei Regeln gilt immer: First match wins!. Sprich beim ersten positiven Hit im Regelwerk wird der gesamte Rest NICHT mehr abgearbeitet! Wenn du also in der ersten Regel schon alles erlaubst triggert das den positven Hit und deine folgende Fritten Adress Regel wird niemals mehr abgearbeitet, ist allso völlig wirkungslos und überflüssig. Zeigt das du leider das FW Grundlagen Tutorial NICHT gelesen oder verstanden hast. face-sad Fazit: Lasse den Unsinn mit der Fummelei an den Regeln und belasse die alle im Default wie sie sind. Am Default Regelwerk muss man nichts ändern. Die FW rennt damit fehlerfrei!! Setze zum initialen Testen der FW lediglich zuallererst die Regeln der neuen Interfaces auf: PASS, Prot:IPv4/IPv6, Source: <Port_net>, Destination: ANY so das erstmal ALLER Traffic aus dem Netzsegment geforwardet wird. Damit checkst du erstmal dein Gesamtkonstrukt und erst NACHHER machst du dann die Schotten dich die du dichthaben willst. Mit dieser intelligenten Vorgehensweise stellst du sicher das das gesamte Routing und IP Handling sauber funktioniert und spätere Fehler lediglich am Regelwerk liegen können wie z.B. dein Reihenfolge Fehler von oben!

Warte, ich hab das schon verstanden mit der Regel-Abarbeitung. Die zwei Regeln unten stehen da halt noch drin, weil ich weiß, dass egal sind. Ja ich hätte sie mal deaktivieren/löschen können...
Diese o2 VoIP Geschichte ist halt echt eklig und du findest zig Ansätze in diversen Foren. Da probiert man halt mal rum...

Fritz Fehler:
  • Keinen externen DNS Server eintragen. Das ist völliger Unsinn, denn die Fritte bekommt den DNS Server dynamisch über DHCP an ihrem LAN 1 Port übermittelt. Beim Anschluss an die FW ist das die FW selber die als DNS Proxy arbeitet. Belasse das auf dem LAN-1 Default
Ich habs ja versucht zu erklären, auf der neuen Fritz brauche ich diese zwei DNS Server für die SIP Server Auflösung.
Da ich noch nicht weiß, wie ich das auf FW Ebene mache steht es halt hier.
Auf der Alten Fritte lösch ichs raus, ja.

* Weise deshalb auch nie die Fritte als DNS Server zu sondern immer die FW da diese ja DNS Server im Pfad ist!
  • Die Fritte darf niemals im Heimnetz die .178er IP Netzadresse verwenden wenn das gleiche Netz oben schon auf der Firewall verwendet wurde!!! Das wurde dir oben mehrfach gesagt und ist ein fundamentaler IP Designfehler. face-sad Setze deinen eigenen Vorschlag um und nutze nur 10er IP Netze (oder 172er) auf der Firewall dann kann so ein Unsinn nicht mehr passieren!!
Die 178 ist die Standard IP von der Fritte, deswegen hatte ich die erst mal gelassen. Und mit der gleichen IP am Interface funktioniert der Gast, das Rätsel konnte ich ja immer noch nicht lösen.
Aber hab ich ja bereits kommentiert, ich hab die IPs alle noch nicht geändert, mache ich heute aber.

* 10 Tage Gültigkeit für die DHCP Leases ist zuviel und macht kein normaler Admin. Üblich sind 1 Tag bzw. ein Maximum von 3 Tagen sollte nie überschritten werden!
Serieneinstellung Fritz; Auch egal, da die Fritz APs alle rausfliegen sobald die neue Hardware läuft.

Fazit:
3 schlimme Kardinalsfehler die dir die ganzen Connectivity Probleme verursachen. Etwas mehr Sorgfalt und Überlegen beim Setup wäre angebracht! Meister Yoda würde mit den Augen rollen... 🙄
clipboard-image
aqui
aqui 03.02.2025 aktualisiert um 12:18:49 Uhr
Goto Top
Du meinst bei den NAT Einstellungen
Nein, denn an den NAT Einstellungen muss man rein gar nix fummeln! Die Adressierung des physischen WAN Ports ist gemeint. (99er Netz)
Eh warte, ich habe nie ab 1 vergeben, ja bis 254, aber nie ab 1.
So so... Deine Konfig ist da aber ganz anderer Meinung!! 🧐
dhcp
Ja ich hätte sie mal deaktivieren/löschen können...
Verwirrt hier alle Beteiligten nur wenn du solche Fehler immer mitpostest. face-sad
Die 178 ist die Standard IP von der Fritte
Ist allen Admins hinreichend bekannt und deshalb darf dieses IP Netz niemals irgendwo in der Firewall Adressierung auftauchen! (10er, 172er Thema...)
gruenhorn
gruenhorn 03.02.2025 um 13:06:03 Uhr
Goto Top
Nein, denn an den NAT Einstellungen muss man rein gar nix fummeln! Die Adressierung des physischen WAN Ports ist gemeint. (99er Netz)

Das ist ein Management Zugang.
Das Modem ist gebrückt, also kommt über die 99 nichts aus dem Internet rein. Das ist ein reiner Zugang aufs WebUI des Modems. Oder bin ich hier schon wieder komplett falsch unterwegs gedanklich?


So so... Deine Konfig ist da aber ganz anderer Meinung!!
Dann versteh ichs nicht. Ich hätte gesagt, dass das available Range nur aufs Suffix der Interface IP guckt.
Hier findet doch die Einschränkung statt:
clipboard-image

Ist allen Admins hinreichend bekannt und deshalb darf dieses IP Netz niemals irgendwo in der Firewall Adressierung auftauchen! (10er, 172er Thema...)
Hab ich verstanden, ändere ich auch!
Trotzdem ist doch irgendwas falsch auf der Fritzbox...
aqui
aqui 03.02.2025 um 14:27:44 Uhr
Goto Top
Stimmt, das ist die Available Range, sorry. Allerdings ist deine dann konfigurierte Range auch wieder falsch konfiguriert. face-sad
Dort sollte dann sowas stehen wie "192.168.100.11 - 192.168.100.250". Du hast den oberen Wert vergessen und damit greift dann die Range insgesamt nicht.
Trotzdem ist doch irgendwas falsch auf der Fritzbox...
Ja, das manuelle Setting des LAN-1 Koppelnetzes. Belasse das auf dem Default und lasse den DHCP Client am LAN-1 Port das für dich erledigen. Dann klappt das auch.
gruenhorn
gruenhorn 03.02.2025 aktualisiert um 16:27:38 Uhr
Goto Top
Du hast den oberen Wert vergessen
Den hast du abgeschnitten face-smile
clipboard-image


Ja, das manuelle Setting des LAN-1 Koppelnetzes. Belasse das auf dem Default und lasse den DHCP Client am LAN-1 Port das für dich erledigen. Dann klappt das auch.

Ich teste das fix (sieh mir die 192er Adressen bitte für den Moment nach ;) )


edit:

AAAAAAAH, ich dachte die ganze Zeit du meinst die 192.168.177.0/24

Aber du meinst
177.0.0.0/7 oder was auch immer?!!?!?
Für wie verrückt hälst du mich, dass ich spontan auf den Adressbereich gehe :D
gruenhorn
gruenhorn 03.02.2025 aktualisiert um 16:37:35 Uhr
Goto Top
so...
Interface Fritz Alt
IP: 192.168.177.1
DHCP: an
NAT: aus
FW: Rule Source AlteFritz net; any


Fritzbox:
IP: 192.168.178.1
DHCP: an
DNS: 192.168.100.1 (FW adresse)


Jetzt komme ich mit pings bis zur FW und auch auf 1.1.1.1 8.8.8.8
Habe aber noch ein DNS Problem, Adressen werden nicht aufgelöst


was für mich halbwegs interessant ist, wenn ich tracert starte, dann geht
tracert 192.168.100.1

nur über 192.168.178.1 und ist am Ziel

mache ich aber tracert 8.8.8.8
dann geht es über
192.168.178.1
192.168.177.1
und dann direkt ins internet ohne firwall adresse dazwischen.
ich hätte ja gedacht, dass es hier zwecks DNS noch über die FW laufen müsste?!
Aber vermutlich tut es das gar nicht, weil tracert nicht über port 53 geht?


Ich habe die DNS Adresse in den Interneteinstellungen auf Auto, aber auch auf der FW Adresse funktioniert es nicht.


Unter Heimnetz-Netzwerk-Netzwerkeinstellungen-IPv4-Adressen stelle ich die IP des Routers ein , also 192.168.178.1, vergebe DHCP von .20-.200

Hier wird aber zwingend ein DNS verlangt, ich kann ihn nicht leer lassen:
"Wenn sie einen anderen DNS Server in ihrem Heimnetz verwenden möchte, tragen sie hier dessen IP-Adresse ein, damit die Fritzbox diese den Geräten im Heimnet bekannt gibt.
Ich habe die FW Adresse reingeschrieben...


Das Gastnetz unter 192.168.189.1 geht übrigens ohne Probleme ins Internet...auch wieder ohne die FW als zwischenstopp, nur über die Interface Adresse 192.168.177.1
aqui
aqui 03.02.2025 um 17:12:08 Uhr
Goto Top
Den hast du abgeschnitten
Wie peinlich... 🙈
Habe aber noch ein DNS Problem, Adressen werden nicht aufgelöst
Was sagt ein nslookup vom Endgerät und auch vom Diagnostics Menü?
wenn ich tracert starte
Hoffentlich dann auch mit einem -n um die DNS Auflösung anzuschalten?!
dass es hier zwecks DNS noch über die FW laufen müsste?!
DNS hat mit den Routing Hops nichts zu tun, vergiss das.
Aber vermutlich tut es das gar nicht, weil tracert nicht über port 53 geht?
Das hast du hoffentlich nicht Ernst gemeint und verstehen wir mal als einen Scherz!
https://de.wikipedia.org/wiki/Traceroute
Lesen und verstehen...!
aber auch auf der FW Adresse funktioniert es nicht.
Du meinst damit das Diagnostics GUI richtig?
Wenn dem so ist hast du ein grundsätzliches DNS Problem mit der Firewall!! Das musst du zuallererst fixen bevor du überhaupt weitermachst ansonsten hast du weiterhin DNS Probleme, egal wo.
Hier wird aber zwingend ein DNS verlangt, ich kann ihn nicht leer lassen:
Unüblich, denn wenn man es leer lässt vergibt die Fritte ihre eigene IP als DNS Server.
Zitat:""Wenn sie einen anderen DNS Server in ihrem Heimnetz verwenden möchten" Normalerweise will man keinen anderen sondern üblicherweise die Fritte die ja in der Regel als (Cache) DNS Server arbeitet und so lässt man das Feld dann leer damit die Fritte sich selber angibt.
Wenn sie es dennoch zwingend fordert gibst du halt die LAN IP der Fritte an. face-wink
em-pie
em-pie 03.02.2025 um 17:19:32 Uhr
Goto Top
Könnte es ggf. sein, dass in der FW nicht hinterlegt ist, dass Clients aus den verschiedenen Netzen (aktuell die IP der alten Fritte) die FW als DNS-Resolver nutzen dürfen?

Bei Sophos weiß ich, dass man hinterlegen muss, wer alles die SG/ XGS als DNS-Resolver nutzen darf…
gruenhorn
gruenhorn 03.02.2025 um 17:31:51 Uhr
Goto Top
Hoffentlich dann auch mit einem -n um die DNS Auflösung anzuschalten?!
eh ich dachte -d schaltet sie AUS


Lesen und verstehen...!
gelesen und zumindet verstanden, dass ICMP nicht über ports geht


Du meinst damit das Diagnostics GUI richtig?
Wenn dem so ist hast du ein grundsätzliches DNS Problem mit der Firewall!! Das musst du zuallererst fixen bevor du überhaupt weitermachst ansonsten hast du weiterhin DNS Probleme, egal wo.
Ne sorry, ich meinte, dass es mit der FW manuell eingetragen als DNS Server nicht geht

Unüblich, denn wenn man es leer lässt vergibt die Fritte ihre eigene IP als DNS Server.
Dann kommt ein popup "bitte gültige IP Adresse eingeben"


Egal, denn es geht jetzt, obwohl ich natürlich die Fritz neu gestartet hatte und im Client die Verbindung deaktiviert und wieder aktiviert hatte.

Super face-smile Ich hoffe stabil, falls nicht berichte ich. DANKE!!!!!!


Als nächstes mach ich mich dann ans VLAN, wünscht mir Glück
clipboard-image
aqui
aqui 03.02.2025 aktualisiert um 20:12:20 Uhr
Goto Top
dass Clients aus den verschiedenen Netzen (aktuell die IP der alten Fritte) die FW als DNS-Resolver nutzen dürfen?
Guter Punkt! Das ist aber in der OPNsense schon im Default aktiv. face-wink

dnsopn

eh ich dachte -d schaltet sie AUS
Richtig das ist der Schalter in der Linux Variante. Bei Winblows ist es der oben genannte, sorry.
gruenhorn
gruenhorn 04.02.2025 aktualisiert um 08:29:12 Uhr
Goto Top
So, kleines Update nach einem großen Schock.
Interface LAN gelöscht (das mit der IP über die ich immer aufs WebUI bin)
Aber mir war ja eigentlich klar, dass ich mich jederzeit an den anderen Ports anstecken kann oder über beide Fritzboxen per Wifi dran könnte. Tja, sollte man meinen. Bis man dann gemerkt hat, ja logisch, die 192.168.100.1 wird wohl nicht mehr existieren, testest du Held mal die 200, weil du ja schließlich gerade dadrin bist...
Und dann ging das nicht, ###eeee :D Panik gekriegt, schon seelisch und moralisch ans anschließen der Box an einen Monitor vorbereiter, Befehle zum zuweisen des Interfaces gesucht...
Naja, einfach mal die Fritz neustarten und den Ethernet Port deaktivieren/aktvieren und siehe da, WebUI Zugriff, man man man man.... Wieder Lebenszeit verschwendet, aber viel gelernt. Z.B. Backup noch engmaschiger halten wenn man hier so viel rumspielt...


Egal, Thema VLAN/LAGG...
clipboard-image
clipboard-image
clipboard-image
Kannst du mir sagen, ob das soweit iO ist?
DHCP ist für alle Interfaces an (Lass mich raten, das manuelle einschalten hätte ich mir sparen können, das geht auch einfacher?
Allow Any FW Regeln sind auch für jeden erstellt.

Next steps dann, wenn der Switch da ist oder kann ich noch was vorbereiten?
Es ist übrigens ein Zyxel GS1900-8 V2 geworden.
Dazu ein Zyxel NWA50AX AP


Und ja, sobald du quasi bestätigst, dass der Aufbau grundsätzlich richtig ist fange ich sofort an die IPs umzustellen.
Ich wollte erst sicherstellen, dass ich grundsätzlich die "Verschachtelung" verstehe, dann fang ich an mir, für mich logische Strukturen zu bauen, dass ich auf einen Blick anhand der IP erkenne wo ich bin oder direkt weiß wer mit wem.
Hier noch eine Verständnisfrage:
Alle Interfaces schiebe ich jetzt meinetwegen ins 10.10.0.0 oder 172.16.0.0, bleibt die alte Fritz auf 192.168.178.1, damit ich daran erkenne, dass sie ein eigenständiger Router ist?
Was ist mit dem Modem?

Und ja, erst auf einem Endgerät auf einem Port, dann das Interface auf dem Port, dann checken ob ich von da aufs UI komme und dann erst den Rest face-smile
aqui
aqui 04.02.2025 aktualisiert um 11:54:10 Uhr
Goto Top
Kannst du mir sagen...
Wer ist damit gemeint? Kollege @em-pie?!
Interface LAN gelöscht
Warum hast du denn stattdessen ein neues (wieder überflüssiges) "Config" dafür angelegt? Das ist doch ziemlich sinnbefreit wenn du so oder so über den Trunk und dessen Parent- sowie allen (Konfig) VLANs einen Konfig Zugriff auf die FW hast. Soweit hast du ja schon alles richtig gemacht mit LAG usw. Warum hast du nicht einfach das LAN belassen bis der Trunk bzw. LAG zum Switch rennt, dort den Konfig Zugriff getestet und dann erst das LAN Interface komplett gelöscht? Das wäre doch ein sinnvolles strategisches Vorgehen?! Wieviel zahllose Konfig Interfaces willst du denn noch einrichten?! Sinnfreie Aktion, aber egal....
Fehler:
  • Physischer WAN Port weiter mit einer überflüssigen RFC1918 IP versehen
  • Hilfreich für alle um zielführend zu antworten zu können wäre zu wissen auf welchem physischen Parent Port die VLANs liegen. Gut, im Endausbau auf dem LAG aber dennoch hilft es dein Setup besser zu verstehen
  • Das der LACP LAG nur einen einzigen Memberport hat ist natürlich technisch unsinnig aber vermutlich nur ein temporärer Fehler. Die grundlegende Logik eines LAGs besagt ja immer mehr als nur einen singulären Port zu haben. Ansonsten bräuchte man ja keinen LAG. face-wink
    • Warum das "V_Config" VLAN auf igc2 gemappt ist statt auch auf den LAG verstehst wohl auch nur du selber?!
    • Ein VLAN mit dem Tag 1 zu kreieren ist Unsinn und solltest du löschen. Da das VLAN 1 immer das Default VLAN auf allen Switches ist und damit auch das PVID VLAN (Untagged) macht es Sinn dieses VLAN bzw. IP Netz immer auf das native lagg0(LAGG1) Interface zu legen. Traffic von diesem Interface sendet die Firewall, wie oben schon mehrfach gesagt, immer UNtagged was dann am gegenüberliegenden Switch Trunk dann automatisch ins VLAN-1 geforwardet wird. Ein 1er VLAN muss und sollte man in der Regel deshalb nicht nochmals separat anlegen.
DHCP ist für alle Interfaces an
Hoffentlich NICHT für den WAN Port?! face-wink
Next steps dann, wenn der Switch da ist oder kann ich noch was vorbereiten?
Nope, ist soweit erstmal alles korrekt. Bis auf die überflüssigen Konfig Interfaces und überflüssigen IPs die nicht genutzt werden (WAN).
dass ich grundsätzlich die "Verschachtelung" verstehe
Wenn wir nur wüssten was du unter "Verschachtelung" verstehst? 🙄
dass ich auf einen Blick anhand der IP erkenne wo ich bin oder direkt weiß wer mit wem.
Das ist sehr vernünftig und der richtige Weg. 👍 Sowas nennt der Admin einen IP Adress Plan. Ggf. machst du dir auch schon vorab mal Gedanken über ein Regelwerk was du zum Schluss wenn alles rennt umsetzen willst?!

Hier noch eine Verständnisfrage:
Leider schwer zu beantworten da du keine Subnetzmaske mitgegeben hast die du planst in den Segmenten zu verwenden. So ist eine zielführende Antwort eher Raterei. face-sad
Nur so viel: Wenn du von einer klassischen 24 Bit Adressierung ausgehst macht es aus Management Sicht Sinn bei VLANs die VLAN ID ins 3te Byte der Adresse zu "kodieren". Bei den nicht VLAN Interfaces ist das Geschmackssache was du verwendest.
Das .178.0er Netz der Fritte ist davon unberührt, weil die Fritte immer per Adress Translation (NAT) an ihrem WAN Port auf die FW geht und ihre lokalen LAN Netze somit "versteckt". (Siehe dazu auch NAT Grundlagen)
Der Modem Port, sprich PPPoE, ist aus dieser Adressierungs Thematik vollkommen rausgelöst. Logisch, denn der bekommt dynamisch vom Provider eine IP per PPPoE auf die du keinerlei Einfluss hast. Ausnahme ist die statische IP auf dem physischen WAN Port die natürlich aus den o.a. Gründen dann unsinnig ist. Es sei denn du willst unbedingt das Modem Management offen ins Internet exponieren?! (Siehe dazu hier und auch hier)
Die Adressierung gilt also lediglich nur für die lokalen Netzwerk Segmente.
Und ja, erst auf einem Endgerät auf einem Port, dann das Interface auf dem Port
Du sprichst in Rätseln. Diesen kryptischen Satz verstehst wohl nur du selber?! 🤔
gruenhorn
gruenhorn 04.02.2025 aktualisiert um 14:32:12 Uhr
Goto Top
Wer ist damit gemeint?
Du :D

Warum hast du denn stattdessen ein neues (wieder überflüssiges) "Config" dafür angelegt? Das ist doch ziemlich sinnbefreit wenn du so oder so über den Trunk und dessen Parent- sowie allen (Konfig) VLANs einen Konfig Zugriff auf die FW hast. Soweit hast du ja schon alles richtig gemacht mit LAG usw. Warum hast du nicht einfach das LAN belassen bis der Trunk bzw. LAG zum Switch rennt, dort den Konfig Zugriff getestet und dann erst das LAN Interface komplett gelöscht? Das wäre doch ein sinnvolles strategisches Vorgehen?! Wieviel zahllose Konfig Interfaces willst du denn noch einrichten?! Sinnfreie Aktion, aber egal....

Mh, ich glaube das war mehr für meinen Kopf...

Vorab die physischen Ports an der FW:
LAN............WAN.........OPT1........OPT2
igc0............ igc1...........igc2..........igc3
LAGG......Modem....CONFIG...AlteFritz

Das mit dem KONFIG hatte ich mir irgendwie gedacht, dass ich den jetzt nicht LAN nenne, dass ich mich nicht verwirre mit den anderen Bezeichnungen und weiß, dass ich den Port nur noch zur Einstellzwecken brauche wenn ich mich am Switch aussperre. Also kurzum, ja ist qua
Irgendwie hatte ich mir auch gedacht, dass ich den LAGG auf dem ersten physischen Port haben will, aber das ist ja unnötig.

Dann könnte ich ja lieber OPT1 und OPT2 nebeneinander belegen und lasse
Und ja klar, das LAGG soll dann erweitert werden.

Warum das "V_Config" VLAN auf igc2 gemappt ist statt auch auf den LAG verstehst wohl auch nur du selber?!
Ich glaube weil ich hier gedacht habe, dass du das 99er Netz auf einem zweiten port und kabel liegen lassen wolltest während der Einstellphase. Daher auch dieses Konfig Namen Zeugs von oben...


Ich mach es jetzt so:
LAN............WAN.........OPT1........OPT2
igc0............ igc1...........igc2..........igc3
LAN.........Modem.....LAGG0.....LAGG1


Ein VLAN mit dem Tag 1 zu kreieren ist Unsinn und solltest du löschen. Da das VLAN 1 immer das Default VLAN auf allen Switches ist und damit auch das PVID VLAN (Untagged) macht es Sinn dieses VLAN bzw. IP Netz immer auf das native lagg0(LAGG1) Interface zu legen. Traffic von diesem Interface sendet die Firewall, wie oben schon mehrfach gesagt, immer UNtagged was dann am gegenüberliegenden Switch Trunk dann automatisch ins VLAN-1 geforwardet wird. Ein 1er VLAN muss und sollte man in der Regel deshalb nicht nochmals separat anlegen.
Ah sorry, dachte evtl es tut nicht weh und ich als noob kann mir das so immer in Erinnerung rufen.
Aber jetzt sagst du es macht Sinn, das auf den lagg0 zu legen, das kann ich doch dann gar nicht verhindern?!
Oder meinst du, dass ich dann Switch seitig 1 Untagges auf dem Trunk Port auch wirklich zuweise?

Wenn wir nur wüssten was du unter "Verschachtelung" verstehst?
Dass ich für mich sehe auf welcher Ebene das läuft, quasi was ist auf FW Ebene, Was ist virtuell, was soll LAN Zugriff haben, was ist ein Gast.


Nur so viel: Wenn du von einer klassischen 24 Bit Adressierung ausgehst macht es aus Management Sicht Sinn bei VLANs die VLAN ID ins 3te Byte der Adresse zu "kodieren". Bei den nicht VLAN Interfaces ist das Geschmackssache was du verwendest.
Ja, Kodierung wollte ich im dritten Byte machen, irgendwie grundsätzlich 1XX für FW Interface Adressen und 2XX für VLAN.


Physischer WAN Port weiter mit einer überflüssigen RFC1918 IP versehen
Ausnahme ist die statische IP auf dem physischen WAN Port die natürlich aus den o.a. Gründen dann unsinnig ist. Es sei denn du willst unbedingt das Modem Management offen ins Internet exponieren?!
Du reitest da so drauf rum, ich bin immer noch der Überzeugung, dass ich das brauche, damit ich auf das Modem UI komme. Ich versuch mich mal an den zwei Links...Verstanden hab ich es ja scheinbar noch nicht

Du sprichst in Rätseln. Diesen kryptischen Satz verstehst wohl nur du selber?!

Ich meinte,dass ich erst die neue IP am Endgerät einstelle bevor ich die Interface IP ändere, dann sperr ich mich nicht vom Endgerät aus. Hoffentlich.
aqui
aqui 04.02.2025 aktualisiert um 14:58:35 Uhr
Goto Top
Ich mach es jetzt so:
👍
dass ich dann Switch seitig 1 Untagges auf dem Trunk Port auch wirklich zuweise?
Das ist so oder so immer Default da das PVID VLAN auf allen Switchports immer 1 ist wenn man es nicht dediziert ändert.
und 2XX für VLAN.
Ist nur blöd bei einer VLAN ID > 54 🤣
damit ich auf das Modem UI komme
Ja, das ist auch richtig wie an den beiden Links oben ja beschrieben wurde. Damit exponiert man aber ungeschützt das Modem UI ins Internet. Ob das eine gute Idee ist musst du selber beurteilen...
Ich meinte,dass ich erst die neue IP am Endgerät einstelle bevor ich die Interface IP ändere
Na ja, du sägst dir ja nicht den eigenen Ast ab auf dem du sitzt, das wäre nicht besonders intelligent. Folglich macht man IP Adress- und DHCP Änderungen für ein Interface immer von einem anderen IP Netz (Interface) aus, dann kann sowas auch niemals passieren.
Genau deshalb solltest du auch das LAN Interface als "Notzugang" behalten über das du die gesamte Konfig Anpassung des Trunks und LAGs machst bis der fehlerfrei funktioniert. Dann brauchst du dieses Interface nicht mehr und löscht es vollständig indem du dich vorher auf einen anderen Ast setzt und über den VLAN Trunk auf die FW verbindest bevor du die Säge für den LAN Ast rausholst! Einfache Logik die ja oben schon mehrfach diskutiert wurde... face-wink
gruenhorn
gruenhorn 04.02.2025 aktualisiert um 15:23:16 Uhr
Goto Top
Ist nur blöd bei einer VLAN ID > 54 🤣
Und so gerade eben habe ich mich entschieden, dass interne auf 0XX zu legen und VLANs auf 1XX face-big-smile


Ja, das ist auch richtig wie an den beiden Links oben ja beschrieben wurde. Damit exponiert man aber ungeschützt das Modem UI ins Internet. Ob das eine gute Idee ist musst du selber beurteilen...
Dachte das fang ich dann mit einer Firwall Regel, die nur Zugriff von LAN/LAGG erlaubt, ab? Ach so, ich kann einem Interface ja nicht verbieten mit sich selbst zu kommunizieren, mhm
Gibts nen eleganteren Weg?

Na ja, du sägst dir ja nicht den eigenen Ast ab auf dem du sitzt
Ich habe so die Befürchtung, dass das mal passieren MUSS, dass man es lernt face-smile
gruenhorn
gruenhorn 05.02.2025 aktualisiert um 00:56:11 Uhr
Goto Top
@aqui
Kannst du mir kurz beim verstehen davon helfen?
Ein VLAN mit dem Tag 1 zu kreieren ist Unsinn und solltest du löschen. Da das VLAN 1 immer das Default VLAN auf allen Switches ist und damit auch das PVID VLAN (Untagged) macht es Sinn dieses VLAN bzw. IP Netz immer auf das native lagg0(LAGG1) Interface zu legen. Traffic von diesem Interface sendet die Firewall, wie oben schon mehrfach gesagt, immer UNtagged was dann am gegenüberliegenden Switch Trunk dann automatisch ins VLAN-1 geforwardet wird. Ein 1er VLAN muss und sollte man in der Regel deshalb nicht nochmals separat anlegen.

Du schreibst davon VLAN1 Tag auf das lagg0 zu legen, aber wenn ich kein V_LAN1 anlege, dann hab ich auch nichts, was ich legen kann, weißt wie ich mein?

Ich hatte vergessen es zu löschen bevor ich den ganzen VLAN Kram auf dem Switch eingerichtet habe und nun läuft alles... Jetzt hab ich Angst, dass ich zwar nicht den Ast absäge auf dem ich sitze, aber stattdessen die Wurzeln kappe...Ich mag nicht mal die IP Adresse der Wurzel ändern...

Nur, dass ich das richtig verstanden habe:
Alles was mit VLAN 1 getaggt ist kommt gar nicht auf meinem nachgebauten VLAN1 an, sondern landet direkt ohne Umwege auf dem LAG wenn es kein anderes TAG auf dem Weg bekommen hat?
D.h. wenn ich den VLAN 1 jetzt einfach lösche tut sich gar nix?
clipboard-image

____________________________________________


Und dann noch zum Tagging auf dem Switch (man man man, wieso bleiben die alle mit ihren UIs in der Steinzeit hängen??? Das ist ja grausam wie die einen auf die Cloud Lösungen zwingen wollen wo dann alles schön übersichtlich ist...
Ich krieg irgendwie den Gastzugang auf Port 8 nicht hin, der kriegt nicht mal ne IP Adresse...
clipboard-image

Was zum Teufel sind die LAG Ports da unten?!
Die Anleitung zum Switch taugt zum Popo Abwischen, sinngemäß steht da "LAG Ports: Das sind die LAG ports" Aber mit keinem Wort erwähnt, ob die gelten, wenn man LAG aktiviert hat, keine Ahnung.
Da sieht man PVID gesetzt für Port 8 und auch 1 als Trunk (wird 2 auch ein Trunk oder gibts nur einen?)
clipboard-image

Oder muss ich jetzt etwa die LAG Ports konfigurieren statt der normalen ports?! Das ist doch grausaum schlecht gemacht....
clipboard-image
Ist ja nicht so, dass man dann die, die nicht mehr aktiv sind in der Konfiguration, ausblenden könnte oder so, neee
HPE Aruba Instant on und Zyxel sind, ohne die anderen UIs zu kennen die schlechtesten, buuuuh
clipboard-image
clipboard-image


So sollte es ein, richtig?
clipboard-image
Tabellen sind schon echt schwer... Was habe die für ein Problem bei HP und Zyxel damit?!

____________________________________________

Und noch was:
Gibts irgendeinen schicken Workaround, mit dem ich Dummy Devices bauen kann um darauf nicht benutze Interfaces zu parken?
Man löscht ja sämtliche Regeln etc wenn man ein Interface löscht, nur weil kein Device frei ist, dem man es zuweisen kann.
Ich würde aber gerne beim "Spielen" schnell ein neues anlegen können und dann temporär ein anderes gegen das neue tauschen...
aqui
aqui 05.02.2025 aktualisiert um 10:27:35 Uhr
Goto Top
Du schreibst davon VLAN1 Tag auf das lagg0 zu legen
Es war auch nicht das Taggen gemeint sondern eben das NICHT taggen. Sproch also das du das VLAN 1 als PVID VLAN nutzt! Irgendwo muss ja auch der UNtagged Traffic hin. VLAN 1 also NICHT taggen sondern das immer als PVID VLAN für die ungetaggten Frames nutzen. Hat auch den Vorteil das bei Switches das Management Interfave immer untagged im VLAN 1 als Default liegt. So behältst du immer Zugriff auf die Infrastruktur. Gilt auch für die Firewall von dessen Parent Interface der Traffic immer untagged kommt. Weisst wie ich meine?!
Ansonsten nochmal die VLAN Schnellschulung lesen und verstehen. face-wink

Das ist ja grausam wie die einen auf die Cloud Lösungen zwingen wollen
Klar, alle wollen an deine persönlichen Daten. Die sind bekanntlich 1000mal mehr wert als der Switch selber. Ist aber eine bekannte Binsenweisheit und jeder verantwortungsvolle Admin deaktiviert die Cloud Funktion als Erstes.
Was zum Teufel sind die LAG Ports da unten?!
Der Switch supportet maximal 8 LACP LAGs im System. Das ist bei Billigheimern ein üblicher Wert. Diese werden per Default schon im System fest eingerichtet. Welche Memberports des Switches du den LAGs zuordnest ist dann deine Wahl. Normales verhalten also.
und auch 1 als Trunk...
Wie oben schon mehrfach gesagt wurde ist das VLAN 1 immer das Default PVID VLAN auf allen Ports!!! Dazu gehören auch Uplinks und natürlich auch LAGs! Besagt das alles was UNtagged an diesem Port ankommt ins VLAN 1 geforwardet wird. Einfache Logik! face-wink
Oder muss ich jetzt etwa die LAG Ports konfigurieren statt der normalen ports?!
LAGs sind immer eine Funktion beider Seiten! Bitte lies dir dringend nochmal das LAG Tutorial hier durch was alle Details haarklein und einfach zu verstehen beschreibt!
Link Aggregation (LAG) im Netzwerk
Nur So viel:
Wenn du auf der Firewall 2 Ports zu einem LAG zusammengefasst hast musst du das logischerweise auch auf der Switchseite machen. Dazu wählst du einen der vordefinierten LAGs z.B. "LAG1" und weisst dem in deinem Setup die beiden Memberports auf dem Switch zu die diesen LAG bilden und klickst auf Tagged. Fertisch...
Dann kannst du die beiden LAG Ports von der Firewall mit denen des Switches verbinden und fertig ist der LAG(CK). face-wink
Das ist doch grausaum schlecht gemacht....
DU selber hast dich doch für den Hersteller entschlossen, oder? face-big-smile
Aber mal im Ernst: So ein Hexenwerk ist das doch nun auch wieder nicht.
Meister Yoda sagt: Du musst hier immer eine manchmal etwas verwirrende Nomenklatur bei den Herstellern beachten. Cisco hat den Begriff "Trunk" für einen tagged Uplink geprägt aber sehr viele Hersteller, besonders die im Low Budget Bereich, bezeichnen einen LAG, also eine Link Aggregation mehrerer Ports, als "Trunk". (Cisco nennt das Etherchannel) Auf dem Zyxel ist also (vermutlich) mit "Trunk" die Link Aggregation LAG gemeint...
Nicht das du da durcheinander kommst.
So sollte es ein, richtig?
Jepp, das sieht gut aus! 👍
Workaround, mit dem ich Dummy Devices bauen kann um darauf nicht benutze Interfaces zu parken?
Meinst du Switch oder Firewall? 🤔
In der Regel nicht. Auf der FW nimmst du unbenutzte Interfaces einbfach aus dem Assignement raus und auf dem Switch setzt du sie in den Shutdown Mode, schaltest sie also ab. Oder was meinst du??
Wenn du ein Interface der FW killst dann ist logischerweise auch das Regelwerk dazu weg. Würde ja sonst auch keinen Sinn machen. Das ist bei allen so.
gruenhorn
gruenhorn 05.02.2025 aktualisiert um 11:23:05 Uhr
Goto Top
Es war auch nicht das Taggen gemeint sondern eben das NICHT taggen. Sproch also das du das VLAN 1 als PVID VLAN nutzt! Irgendwo muss ja auch der UNtagged Traffic hin. VLAN 1 also NICHT taggen sondern das immer als PVID VLAN für die ungetaggten Frames nutzen. Hat auch den Vorteil das bei Switches das Management Interfave immer untagged im VLAN 1 als Default liegt. So behältst du immer Zugriff auf die Infrastruktur. Gilt auch für die Firewall von dessen Parent Interface der Traffic immer untagged kommt. Weisst wie ich meine?!
Ansonsten nochmal die VLAN Schnellschulung lesen und verstehen.

Ne ich versteh es einfach nicht. Wo kommt das PVID VLAN her, wie ist das für mich greifbar?
Ist das IMMER im Hintergrund da und ich muss dafür kein Interface anlegne, kein VLAN damit erzeugen, garnix?
Es läuft unsichtbar im Hintergrund für Untagged Frames mit und die gehen direkt auf das physische Interface eines VLANs? Also in meinem Fall aufs LAG Interface?

Nehmen wir mal das LAG raus gedanklich. Dann kommen mit VLAN 1 ungetaggte Pakete auf dem physischen Device an, auf dem dann beispielsweise VLAN10 und VLAN20 liegen, wenn vom Switch ein Paket kommt, das nicht mit 10 oder 20 getaggt wurde.

Also ich habe das Interface 10.10.1.1
das VLAN10 10.10.10.1
das VLAN20 10.10.20.1

Und jetzt kommt auf dem Switch ein Paket von einem Client, auf einem nicht getaggten oder einem untagged 1 Port, an.
Dann schiebt der Switch es natürlich in den Uplink Port mit VLAN 1 Untagged.
Ab hier hat das Paket keine VLAN ID mehr und kann demzufolge von der FW auch keinem VLAN mehr zugeordnet werden und landet dann direkt auf dem physischen Port.
Ein Client an so einem Port würde dann auch eben die IP Adresse 10.10.1.2 beispielsweise kriegen, da er keinem VLAN zugeordnet wurde über ein Tag, was an dem Switchport hinge.
Mit Ausnahme der untagged 1/PVID 1, die er natürlich bekommt, damit die Pakete im Switch zu allen Ports laufen können, außer zu denen, die explizit mit einer anderen Nummer getaggt sind.

Sorry für meine "eigene Sprache" hier, ich bin nicht vom Fach face-sad

Oder ich raffs nicht...


und auch 1 als Trunk...
Wie oben schon mehrfach gesagt wurde ist das VLAN 1 immer das Default PVID VLAN auf allen Ports!!! Dazu gehören auch Uplinks und natürlich auch LAGs! Besagt das alles was UNtagged an diesem Port ankommt ins VLAN 1 geforwardet wird. Einfache Logik!

Das meine ich nicht, sondern Port 1 ist der Trunk, da steht VLAN1 als untagged drin und die 10 und 20 als tagged.
Das passt. Aber muss ich auf Port 2 auch noch einen Trunk definieren oder ist der durch die LAG/LACP Einstellung (die ja sagt LAG auf Port 1 und 2) schon definiert? Der kann ja dann nur noch den selben Kram wie Trunk 1 kriegen, richtig?

Oder kann ich bei 10 VLANs quasi sagen Trunk 1 für Verkehr von VLAN 123456789 und Trunk 2 aber nur für 123, weil ich nur hier hohen Traffic erwarte und nur diesen über die extra Leitung schicken will? Quasi eine Priorisierung direkt in der Definition der Trunks.


LAGs sind immer eine Funktion beider Seiten! Bitte lies dir dringend nochmal das LAG Tutorial hier durch was alle Details haarklein und einfach zu verstehen beschreibt!
Link Aggregation (LAG) im Netzwerk
Nur So viel:
Wenn du auf der Firewall 2 Ports zu einem LAG zusammengefasst hast musst du das logischerweise auch auf der Switchseite machen. Dazu wählst du einen der vordefinierten LAGs z.B. "LAG1" und weisst dem in deinem Setup die beiden Memberports auf dem Switch zu die diesen LAG bilden und klickst auf Tagged. Fertisch...
Dann kannst du die beiden LAG Ports von der Firewall mit denen des Switches verbinden und fertig ist der LAG(CK).

Auch das meinte ich anders.
Das LAG ist in einem anderen Menü definiert, dort sage ich Port 1 und 2 sind LAG in LACP Modus oder so ähnlich.

Ich frage mich, ob ich die Tags nun auf den LAG Ports definieren muss anstatt auf den "normalen" Ports darüber, da ich eben LAG betreibe.


Auf dem Zyxel ist also (vermutlich) mit "Trunk" die Link Aggregation LAG gemein
Ne, der Zyxel unterscheidet da auch nochmal, ich muss aber explizit in einem wieder anderen Menü einstellen, welcher Port ein Trunk Port ist. Die Einstellung welcher Port zum LAG gehört ist wieder wo anders.

Meinst du Switch oder Firewall? 🤔
In der Regel nicht. Auf der FW nimmst du unbenutzte Interfaces einbfach aus dem Assignement raus

Auf der Firewall. Das ist ja genau der Punkt, ich will es aus den Assignments rausnehmen ohne es zu löschen. Ich kann es aber nicht von dem einen Device (auf dem ich was anderes testen will) entfernen, da er dann meckert, dass dem alten Interface kein Device zugeordnet ist. Das geht nur, wenn ich noch ein anderes Device frei habe, auf dem ich das Interface parken kann.

Ich brauche also ein dummy device, dem ich dann temporär das aktuell nicht verwendete Interface zuweisen kann.
aqui
aqui 05.02.2025 aktualisiert um 12:00:52 Uhr
Goto Top
Wo kommt das PVID VLAN her, wie ist das für mich greifbar?
Bitte lesen: Warum gibt es PVID bei VLANs? !!!
Du musst einem Switch doch immer statisch in der Konfig sagen wo er mit UNgetaggtem Traffic an dem Port hinsoll! Der o.a. Thread sollte das klären und greifbar machen. face-wink
Es läuft unsichtbar im Hintergrund für Untagged Frames mit und die gehen direkt auf das physische Interface eines VLANs?
Nein, so ist es natürlich nicht sondern viel einfacher.
Du musst dem Switch ja sagen was er mit ungetaggtem Traffic machen muss der keinen VLAN Information mitliefert. Das muss Port bezogen auf jedem einzelnen Port gemacht werden! Wobei LAG Ports immer als virtuell ein Port gesehen werden. Deshalb tauchen die bei dir unter den Ports z.B. als "LAG1" Port auf.
Du kannst (und musst) an jedem dieser Ports also einzeln Port für Port sagen in welches deiner VLANs an diesem Port ankommender UNtagged Traffic gesendet werden soll.

Das ist für alle Endgeräte wie PCs, Drucker IoT usw. essentiell wichtig, denn man will die ja nicht alle in einem großen Netz haben sondern logischerweise segmentieren wenn man mit VLANs arbeitet.
Nochmal:
Das PVID VLAN oder auch Native VLAN Setting bestimmt für jeden einzelnen Port in welches VLAN er UNgetaggten Traffic, also Traffic OHNE jegliche VLAN Information forwardet.
So einfach und banal ist das... face-wink
Alter Schwede...das ist aber VLAN, 1te Klasse Grundschule und solltest du nach der Lektüre der hiesigen VLAN Tutorials und Threads doch langsam mal auf die Kette bekommen haben! face-wink

Dann kommen mit VLAN 1 ungetaggte Pakete auf dem physischen Device an
Wenn du von der Firewall redest dann ja. Aber auch nur dann, wenn am dazugehörigen Switchport das PVID VLAN auf 1 steht.
Hast du z.B. die PVID ID an dem Port auf 10 stehen geht der ungetaggte Traffic vom "physischen Device" logischerweise ins VLAN 10 (siehe oben). Ein Switch hat kein "physisches Device" in dem Sinne.
Gemäß deines Beispiels oben dann ganz einfach:
  • FW physisches (Parent) Interface = UNtagged = 10.1.1.1 = geht am Switch ins VLAN 1 wenn die Port PVID auf 1 steht
  • VLAN 10 auf o.a. Parent = Tagged = 10.1.10.1 = Switch liest den mitgesendeten Tag und forwardet in VLAN 10
  • VLAN 20 auf o.a. Parent = Tagged = 10.1.20.1 = Switch liest den mitgesendeten Tag und forwardet in VLAN 20
  • Der dazugehörige Switchport (oder LAG Port) steht also auf
    • PVID 1
    • VLAN 10, tagged
    • VLAN 20, tagged
Alles ganz logisch und easy. face-wink
(Hier siehst du das mal an einem Server statt Firewall wie das aussieht)

ich will es aus den Assignments rausnehmen ohne es zu löschen.
Das geht so nicht. Sowas wie Dummies gibt es da nicht. Wozu soll das auch gut sein wenn man seine physische Interface Belegung fest bestimmt hat und noch 1 oder 2 ungenutzte Interfaces zum Spielen hat.
Sorry für meine "eigene Sprache" hier, ich bin nicht vom Fach
Kein Problem dafür versuchen wir das für dich hier ja zielführend zu klären. 😊
gruenhorn
gruenhorn 05.02.2025 um 12:01:47 Uhr
Goto Top
Alles ganz easy also.

Ich glaube ich habe es kapiert, der Hänger bei mir war, dass das physische Interface auch noch Pakete schicken darf, obwohl ich ja VLANs daran gehängt habe. Das wurde mit LAG noch eine Nummer abstrakter.

Also, ich lösche VLAN1 einfach raus und alles sollte weiterhin funktionieren, weil das VLAN1 eh ignoriert wurde von den Paketen, richtig?
Sehe ich ja an einem Client, der tatsächlich die IP des LAG bekommen hat und nicht des VLAN1


ich will es aus den Assignments rausnehmen ohne es zu löschen.
Das geht so nicht.

Gibts noch ne andere Idee dazu, wie ich alles was mit einem Interface zusammenhängt irgendwie parken kann, damit ich bei einem Fehlschlag eines Tests wieder schnell zurück kann?


Nochmal zu meinem Switch...
Bezüglich der Trunks...
So dann taggen?
clipboard-image


Und dann grundsätzlich mit dem Switch im LAG Modus...
so taggen wie oben oder fasse ich die Ports alle gar nicht mehr an, sondern stelle meine Tabelle unten bei den LAG Ports ein? Muss ich dann die oberen Ports alle standardmäßig excluden oder wie oder wer oder was? Total wild face-big-smile
aqui
aqui 05.02.2025 aktualisiert um 12:10:43 Uhr
Goto Top
Also, ich lösche VLAN1 einfach raus und alles sollte weiterhin funktionieren
VLAN 1 kann man als VLAN nicht zentral löschen weil es das Default VLAN ist.
Du hast dich aber vermutlich nur gedrückt aus falsch und meinst das Tagging für das VLAN 1 an dem Port, richtig?!
Da lautet die Antwort JA. Kein VLAN 1 taggen und das Tagging entfernen. Macht auch keinen Sinn wenn am gleichen Port auch noch das PVID VLAN auf 1 steht. Das würde so oder so großes Chaos geben wenn man das gleiche Netz 2mal tagged und untagged gleichzeitig anliefert.
Gibts noch ne andere Idee dazu, wie ich alles was mit einem Interface zusammenhängt irgendwie parken kann,
So mit Dummie frickeln geht das nicht. Du kannst dann nur ein Setup Backup machen und das wieder einspielen wenn du was rückgängig machen willst.
So dann taggen?
Das sieht gut aus! 👍
mit dem Switch im LAG Modus...so taggen wie oben
Jepp genau richtig!
Erst dem LAG Port (z.B. "LAG1") die beiden (unkonfigurierten!) Memberports zuweisen und dann das o.a. Tagging NUR auf dem LAG Port machen wie es oben zu sehen ist!
Denk dran: Der Switch "sieht" den LAG Port nur als einen einzelnen Port und repliziert die Konfig dann automatisch auf seine Memberports!
gruenhorn
gruenhorn 05.02.2025, aktualisiert am 06.02.2025 um 09:14:33 Uhr
Goto Top
@aqui
VLAN 1 kann man als VLAN nicht zentral löschen weil es das Default VLAN ist.
Du hast dich aber vermutlich nur gedrückt aus falsch und meinst das Tagging für das VLAN 1 an dem Port, richtig?!
Da lautet die Antwort JA. Kein VLAN 1 taggen und das Tagging entfernen. Macht auch keinen Sinn wenn am gleichen Port auch noch das PVID VLAN auf 1 steht. Das würde so oder so großes Chaos geben wenn man das gleiche Netz 2mal tagged und untagged gleichzeitig anliefert.

Ich kann ja nicht nur das Tagging entfernen, ich muss das Interface löschen oder nicht?!
clipboard-image

Oder meinst du, dass ich Switch Seitig Port 1 nie mit 1 Tagge, sondern immer Untagged 1 lasse und da auch immer die PVID 1 drauf lasse? Das war mir schon klar, das mache ich die ganze Zeit so...


Ich glaube beim Switch spreche ich wider meine eigene wilde Sprache...
Hier definiere ich das LAG und die Member:
clipboard-image

Hier sieht man ihn dann, wenn ein Kabel eingesteckt ist (ich hab jetzt nur eins drin)
clipboard-image


Hier werden die VLANs erstellt:
clipboard-image

Hier noch irgendein extra konfig Menü. Ich habe hier die PVID 20 für Port 8 vergeben und Port 1 ans TRUNK gekennzeichnet. Muss Port 2 auch Trunk sein? Eigentlich kennt der Switch Port 2 doch so gar nicht mehr, da ich das LAG als Trunk will und nicht den expliziten Port. Chaos pur...
clipboard-image

Hier wird getagged:
clipboard-image


Ich verstehe den unteren Teil der Tabelle einfach nicht...

Was ist LAG1-8?

Sind LAG1 und LAG2 für mich relevant und die werden beiden mit 1U 10T 20T beschriftet?
Sind dann die normalen 1+2 inaktiv?
Aber streng genommen habe ich doch nur LAG1 als fassbares Konstrukt, dem beide Ports zugewiesen sind.
Steht LAG1 unten für die Gruppe 1 und 2-8 sind nur platzhalter für weitere LAG Gruppen, die ich aufbauen KÖNNTE. Sie werden aber nicht ausgeblendet wenn inaktiv?

Oder heißt das, dass die LAG1-8 Ports die sind, die bei der Verwendung von LAG benutzt werden?
Also alles oberen Ports inaktiv und ich tagge nur unten z.b. LAG 8 mit 20, damit er ausschließlich für Guest Traffic benutzt wird?

Und wenn ich doch oben was tagge und unten nicht, dann soll der port explizit nicht mit dem LAG1 kommunizieren?!


Und was ist der Unterschied zwischen Forbidden und Excluded?
Ich dacht wenn der Port #8 ein Tag 20 und PVID 20 hat, dann kriegt er doch gar nichts mit was auf PVID 1 läuft, oder?! Wofür dann noch mal extra forbidden? Exlcuded heißt einfach keine tag nummer, egal ob tagged oder untagged und hier gilt nur die PVID?
Kann forbidden den PVID blockieren und da geht gar kein Traffic über den Port?


Das sind ganz grob alle Fragen die mir bei dem Chaos im Kopf rumschwirren....
face-sad
aqui
aqui 06.02.2025 aktualisiert um 10:15:19 Uhr
Goto Top
ich muss das Interface löschen oder nicht?!
Richtig!
Du musst nicht nur das VLAN 1 Interface löschen sondern zusätzlich auch noch global das VLAN 1 selber! Beides muss weg.
Hier definiere ich das LAG und die Member:
Jepp, hast du richtig gemacht! Mode LACP und den Port 1 und 2 als Memberports zugewiesen. Alles richtig!
Hier sieht man ihn dann, wenn ein Kabel eingesteckt ist
Auch korrekt!
Hier werden die VLANs erstellt:
Ebenso korrekt!
Ich habe hier die PVID 20 für Port 8 vergeben
Ist richtig. Port 8 ist dann ein Endgeräte Port im VLAN 20
und Port 1 ans TRUNK gekennzeichnet.
Das ist falsch!!
Dir wurde oben mehrfach gesagt das der Switch einen LAG1 als ein einzelnes Interface sieht! Du darfst also nach Anlegen des LAGs niemals mehr die Memberports einzeln anfassen. Dann kommt es zu einer Miskonfiguration der einzelnen LAG Memberports und damit zum Scheitern des LAGs! 😡 Port 1 und 2 sind Memberports deines LAGs mit dem Interface "LAG1"!
Also: Nach der LAG Konfiguration alle Konfig Settings immer nur auf dem LAG Interface ausführen und NICHT mehr auf den einzelnen Memberports!!
Konfigs auf dem LAG Interface sorgen dafür das diese dann immer sicher synchron auf beide Memberports übertragen werden ohne das die Gefahr eines Mismatches passiert wie du ihn oben durch deine Einzelkonfig provoziert hast. Kein Wunder also das "Chaos" passiert wenn man das missachtet.
Schlimm genug das die Zyxel Gurke solche Kommandos auf den Memberports überhaupt ausführt... face-sad
Damit sollte nun hoffentlich nach dieser 2ten Erklärung alle Fragen was es mit den LAG1-8 Ports auf sich hat geklärt sein?! 🤔

Ich dacht wenn der Port #8 ein Tag 20 und PVID 20 hat
Das ist mit Verlaub doch Blödsinn!! Denk mal selber nach... Du kannst doch niemals an einem gleichen physischen Port Frames aus dem gleichen Netzwerk Segment zugleich tagged und auch untagged konfigurieren. Kein normaler Switch würde so eine Unsinns Konfig zulassen. Was sollte die auch für einen tieferen Sinn haben den gleichen Traffic doppelt zu senden?! Endgeräte verstehen bekanntlich keinen getaggten Traffic.
Auch das wurde dir oben schon mehrfach gesagt. 🙄
  • PVID X = UNgetaggter Endgeräte Port im VLAN X = kein Tagging mit gleicher ID erlaubt!
  • Tagged X = getaggter Port = X darf niemals gleich dem PVID Setting am Port sein!

Kann forbidden den PVID blockieren und da geht gar kein Traffic über den Port?
Ja, kann es aber das zu verwenden ist unsinnig und muss man nur in Ausnahmefällen. Wen n du hier kein VLAN X Tagging haben willst, dann konfigurierst du es dort schlicht und einfach nicht. Es trotzdem zu senden dann aber mit der Forbidden Funktion zu blocken macht ja wenig Sinn.
gruenhorn
gruenhorn 06.02.2025 aktualisiert um 11:21:11 Uhr
Goto Top
@aqui
Das ist falsch!!
Dir wurde oben mehrfach gesagt das der Switch einen LAG1 als ein einzelnes Interface sieht! Du darfst also nach Anlegen des LAGs niemals mehr die Memberports einzeln anfassen. Dann kommt es zu einer Miskonfiguration der einzelnen LAG Memberports und damit zum Scheitern des LAGs! 😡 Port 1 und 2 sind Memberports deines LAGs mit dem Interface "LAG1"!
Also: Nach der LAG Konfiguration alle Konfig Settings immer nur auf dem LAG Interface ausführen und NICHT mehr auf den einzelnen Memberports!!
Konfigs auf dem LAG Interface sorgen dafür das diese dann immer sicher synchron auf beide Memberports übertragen werden ohne das die Gefahr eines Mismatches passiert wie du ihn oben durch deine Einzelkonfig provoziert hast. Kein Wunder also das "Chaos" passiert wenn man das missachtet.
Schlimm genug das die Zyxel Gurke solche Kommandos auf den Memberports überhaupt ausführt...
Damit sollte nun hoffentlich nach dieser 2ten Erklärung alle Fragen was es mit den LAG1-8 Ports auf sich hat geklärt sein?!

Da ist doch genau das Problem mit dem Mist Ding.

Du meinst also dass ich einfach statt Port 1 und 2 nur noch LAG1 einstelle, ja?
So würde das für mich auch Sinn machen, aber nicht, wenn die LAG2-8 auf disabled stelle und sie trotzdem in der Liste auftauchen.
Das impliziert doch irgendwie die Option, dass ab dem Zeitpunkt zu dem man ein LAG aktiv hat ALLE ports nur noch über die LAG Ports eingestellt werden und die klassischen Ports 1-8 komplett deaktiviert sind.
Also dass LAG nicht einen Verbund meint, sondern die Portnamen dann einfach mit LAG vorab gekennzeichnet sind um zu sagen, dass diese Ports mit dem zuvor erstellten LAG1 kommunizieren sollen. (das macht vermutlich wieder keinen Sinn was ich hier geschrieben habe)


Das ist mit Verlaub doch Blödsinn!! Denk mal selber nach... Du kannst doch niemals an einem gleichen physischen Port Frames aus dem gleichen Netzwerk Segment zugleich tagged und auch untagged konfigurieren. Kein normaler Switch würde so eine Unsinns Konfig zulassen. Was sollte die auch für einen tieferen Sinn haben den gleichen Traffic doppelt zu senden?! Endgeräte verstehen bekanntlich keinen getaggten Traffic.
Auch das wurde dir oben schon mehrfach gesagt. 🙄
PVID X = UNgetaggter Endgeräte Port im VLAN X = kein Tagging mit gleicher ID erlaubt!
Tagged X = getaggter Port = X darf niemals gleich dem PVID Setting am Port sein!

Ah warte, das war wieder falsch von mir geschrieben.
Ich meinte Untagged 20 + PVID 20, dass Tagged 20 und PVID 20 nicht geht ist schon klar

Ich hab aber auch da nicht verstanden, warum der Switch das nicht einfach von alleine automatisch macht, andere Hersteller schaffen das ja auch...
Egal...hat bestimmt seine Gründe in exotischen Anwendungsfällen die ich erst recht nicht verstehe, wurde ja auch schon in einem verlinkten Thread besprochen...

Ich mach es dann so:
Trunk nur auf LAG 1; Ports 1-8 + LAG2-LAG8 deaktiviert.
PVID auf allen Ports auf 1
Port 1+2 lasse ich auf exclude
Port LAG2-8 lasse ich auf exclude
Und den Rest wie in der Tabelle
clipboard-image


Witzig ist ja, dass es trotzdem in der Config läuft wie weiter oben ge-screenshoted
aqui
aqui 06.02.2025 aktualisiert um 14:43:31 Uhr
Goto Top
Du meinst also dass ich einfach statt Port 1 und 2 nur noch LAG1 einstelle, ja?
Ja, das ist doch der tiefere Sinn dieser LAG Konfig Logik
  • Im LAG Setup die beiden nackten Memberports hinzufügen
  • NUR noch mit dem virtuellen LAG Interface in der Konfig arbeiten! Die Memberinterfaces sind Tabu!!
Das LAG Interface zeigt auf die LAG Gruppe! Mit LAG"1", LAG"2", LAG"3" usw. sind immer die jeweiligen LAG Gruppen (Interfaces) gemeint die dann in sich die zugewiesenen Memberinterfaces beinhalten. Was ist daran so schwer zu verstehen?? 🤔
Statt alle Interfaces einzeln konfigurierst du einfach nur das LAG Gruppeninterface der diese Konfigs dann automatisch auf die Memberports anwendet. Ist doch gang easy...
dass ab dem Zeitpunkt zu dem man ein LAG aktiv hat ALLE ports nur noch über die LAG Ports eingestellt werden
Richtig verstanden! 👍
und die klassischen Ports 1-8 komplett deaktiviert sind.
Das ist dein katastophaler Denkfehler!! 1-8 ist kein Switchport!! Damit sind, wie oben bereits mehrfach gesagt, die "Gruppen" gemeint die dann wiederum die der Gruppe zugewiesenen Switchports (Memberinterfaces) enthalten. Dein Switch supportet max. 8 LAG Gruppen.
Bei dir also das Gruppeninterface LAG1 zur LAG Gruppe 1 was dann wiederum die Member Interfaces Switchport 1 und 2 enthällt.
Die LAG Gruppe 2 (LAG2) kann dann z.B. die Switchports 10 und 11 enhalten und wird über das LAG2 Interface angesprochen. Einfache Logik!!
das macht vermutlich wieder keinen Sinn was ich hier geschrieben habe
Richtig!
Wenn du nun endlich die o.a. Logik erkannt hast wirst du auch selber erkennen das das sinnfrei ist. Gruppennummern sind eben keine Ports. face-smile
andere Hersteller schaffen das ja auch...
Ja, da hast du Recht. Das Feature was das intelligent umsetzt und viele andere Hersteller supporten nennt sich Auto PVID.
Du hast dich aber ja ganz bewusst und willentlich für deinen Hersteller entschieden der das nicht supportet! (Datenblatt) Also heul nicht rum, sei ein Admin und beachte das!
Ich mach es dann so: Ports 1-8 + LAG2-LAG8 deaktiviert.
Neiiiin! Switchports 1 + 2 sind Tabu, die gehören zu deiner LAG1 Gruppe!! 😡
Port LAG2-8
...gibt es gar nicht und ist Schwachsinn. Den Unterschied LAG Gruppen und Switchports hast du ja nun hoffentlich verstanden?!
Witzig ist ja, dass es trotzdem in der Config läuft
Zeigt wie mehr oder minder idiotensicher (sorry) VLAN Konfigs sind. 🤣
gruenhorn
gruenhorn 06.02.2025 aktualisiert um 15:38:48 Uhr
Goto Top
Ich mach es dann so: Ports 1-8 + LAG2-LAG8 deaktiviert.
Neiiiin! Switchports 1 + 2 sind Tabu, die gehören zu deiner LAG1 Gruppe!! 😡

ach shit ich meinte doch Ports 1-2 deaktiviert. ich weiß nicht warum ich 8 geschrieben habe.
Sorry wenn das unnötig deinen Puls in die Höhe getrieben hat.


Damit sind, wie oben bereits mehrfach gesagt, die "Gruppen" gemeint die dann wiederum die der Gruppe zugewiesenen Switchports (Memberinterfaces) enthalten. Dein Switch supportet max. 8 LAG Gruppen.

Ja genau, mit der "Defintion" ist mir die Sache auch klar, aber das steht halt nirgends.
Und es ist defitniv ein Firmware Bug wenn die LAG2-8 nicht definiert sind, dass sie trotzdem in der Liste auftauchen.

Ich erwarte sowas und dann VLANs in Tabellenform, ich äußere das mal im Zyxel Support, vielleicht geschehen ja noch Wunder...
clipboard-image
Die nicht konfigurierbaren sind ausgegraut und können gar nicht getaggt werden.


Also nochmal "abschließend", zumindest für das Teilthema LAG face-smile
Mir hat nur die Defintion gefehlt, dass ab dem Zeitpunkt der Gruppenbildung die LAG Gruppen angezeigt werden und konfiguriert werden müssen. Das habe ich auch irgendwie vermutet, konnte das aber nicht kommunizieren.


Also heul nicht rum, sei ein Admin und beachte das!
Über das heulen bin ich schon hinweg...das war jetzt eher in der Hass-Phase face-big-smile

Ich dachte wohl, dass die bei Zyxel (immerhin namenhaft) wissen was sie tun...
Das mit HPE Aruba war wohl Pech, Unifi=Apple,wäre vermutlich leichter gewesen, aber gelernt hätte ich nicht so viel.
Cicso ist für meine Mikro Anwendung zu teuer, Mikrotik wäre sicher interessant gewesen.
Egal jetzt, läuft ja jetzt hoffentlich auch so...

Ich hab eher Angst, dass in einem Jahr irgendwas grundlegend geändert wird und dann fang ich wieder von vorne an. Ohne Übung vergisst man sicher einiges face-smile

Ich bin sicher, dass irgendwann das 2.5G upgrade einziehen wird und ich PC, Switch und Server aufrüsten muss aiaiaiai....

Irgendwas hatte ich noch, aber wieder vergessen.


Ich stell jetzt erst mal noch die Tags ein und teste dann gründlich.


Danke nochmal!!!!
gruenhorn
gruenhorn 06.02.2025 um 15:55:54 Uhr
Goto Top
Ach und hier, auch wild:
https://community.zyxel.com/en/discussion/22045/configure-vlan-on-lag-fo ...

Dort haben sie auf dem Modell einfach keine Anzeige von LAG Gruppen und du musst die Ports entsprechend selbst synchron einstellen.
Würde mich nicht wundern, wenn das bei allen von den Switches geht, also dass du einfach die Member in der normalen Liste trotzdem konfigurierst und die Gruppe ignorierst
aqui
aqui 06.02.2025 aktualisiert um 18:55:09 Uhr
Goto Top
Und es ist defitniv ein Firmware Bug wenn die LAG2-8 nicht definiert sind
Was soll denn "LAG2-8" genau sein. Die Bezeichnung ist doch völliger Unsinn! Wenn, dann gibt es nur einen LAG2 der sich auf die 2te LAG Gruppe bezieht. Der ordnet man dann wieder Memberports zu. Eine "8" in dem Namen ist da doch völliger Unsinn oder was willst du damit ausdrücken?
Wie man unschwer an deinem eigenen Screenshot sieht ist die LAG2 Gruppe bzw. deren dazu korrespondierendes, gleichnamiges Interface sehr wohl definiert!!
lagg
Unverständlich wo du hier einen "Bug" siehst?! 🤔
also dass du einfach die Member in der normalen Liste trotzdem konfigurierst und die Gruppe ignorierst
Kann z.B. auf dem allereinfachstem Modell, einem 1200er, definitiv nicht passieren. face-wink
zylag
Ich stell jetzt erst mal noch die Tags ein und teste dann gründlich.
Guter Punkt... Wir sind gespannt wie das VLAN Drama hier weitergeht. face-smile
gruenhorn
gruenhorn 06.02.2025, aktualisiert am 07.02.2025 um 00:06:44 Uhr
Goto Top
Ich meine das hier:
clipboard-image
Die Gruppen LAG2 BIS 8 sind deaktiviert und trotzdem erscheinen sie in der Liste der zu konfigurierenden Ports, das ist einfach nur verwirrend.

Und ich hätte schwören können ich hätte bei meiner Suche im Internet Bilder von anderen Modellen gefunden, wo die deaktivierten auch ausgeblendet waren.

Und nein, so ist es natürlch kein Bug, es ist einfach nur dämlich face-smile


edit: Jetzt ist mir wieder eingefallen was ich noch hinkriegen wollte. Die Verbindung zur Modem Oberfläche...
Wenn ich dem WAN Interface keine IP Adresse verpassen soll, was kann ich alternativ tun um auf das Modem zu kommen?
aqui
aqui 07.02.2025 aktualisiert um 09:07:12 Uhr
Goto Top
Die Gruppen LAG2 BIS 8 sind deaktiviert und trotzdem erscheinen sie in der Liste der zu konfigurierenden Ports, das ist einfach nur verwirrend.
Na ja, verwirrend ist das nicht. Du hast bei diesen LAGs sicher keine Memberports zugewiesen, oder? Ein LAG ohne Memberports ist dann natürlich kein funktionsfähiger LAG und folglich ist das Interface automatisch "disabled" was dann nicht nur logisch sondern auch folgerichtig ist. Erst wenn du Memberports zuweist entsteht ja überhaupt erst ein LAG und dann wechselt auch der Status automatisch auf "enabled". Ist eigentlich nachvollziehbar.
Ein unbenutzer Switchport wird im Status "down" ja auch angezeigt in der Übersicht was für dich anscheinend dann nicht verwirrend ist. Du misst hier ein bisschen mit zweierlei Maß?!
was kann ich alternativ tun um auf das Modem zu kommen?
Den zweiten OOB Port des Modems nutzen! face-wink
Das ist zu mindestens sicherer. Wenn du es dennoch inbound im Zugriff haben willst oder musst guckst du hier:
Modem Management Firewall 1
Modem Management Firewall 2
gruenhorn
gruenhorn 07.02.2025 aktualisiert um 15:21:35 Uhr
Goto Top
Erst wenn du Memberports zuweist entsteht ja überhaupt erst ein LAG und dann wechselt auch der Status automatisch auf "enabled"
Neeee, der Status ist frei einstellbar auf dem Zyxel und unabhängig davon stehen die immer in der Liste...
Wirklich bescheiden gelöst...


Ich hab noch was dummes gemacht gestern, das darf ich im Rahmen der VLAN/LAG Geschichte nicht für mich behalten face-big-smile
Hab die ganzen Geräte mal provisorisch auf ein Brett geschraubt und ein bisschen Kabelmanagement gemacht und auch mal die alte Frite abgesteckt.
Bei der überschaubaren Anzahl an Geräten und Kabeln war das nicht nötig zu beschriften etc.

Also alles wieder zusammengesteckt, Steckdosenleiste an, alles startet, Internet, yeah, Bett.

Heute Morgen die DNS Probleme des Todes, Webseitenaufbau ultra langsam und irgendwann dann gar nicht mehr, keine VPN Verbindung zur Arbeit, Handys Wifi tot --> Panik

Was hab ich falsch gemacht? (Also vermute ich mal, dass das der Fehler war)
In Port 4 von der FW, der für die alte Fritzbox gedacht war) Einfach das zweite LAG Kabel reingestöpselt.
Das Interface war aber noch gar nicht dem LAG zugeordnet.


Was ich nicht verstehe, warum hat das auch das VLAN 20 so außer Fassung gebracht auf dem physischen Port 8 des Switches? Genau hier hängt nämlich der Arbeits-PC dran. Hätte der nicht völlig unbeeindruckt von dem Traffic über PVID1 sein müssen und einfach weiter seinen Dienst über das LAG tun müssen? Oder hatte der dann durch die zwei möglichen Ausgänge (einmal auf das alte Fritzbox Interface und einmal über das LAG) keine klare Zuordnung mehr und das würde erklären, warum das dann sehr sporadisch war?


Den zweiten OOB Port des Modems nutzen!
Nunja, frei wäre der Port ja aktuell... Hatte ich auch schon überlegt, hmm
Was ist denn das Sicherheitsrisiko, wenn ich nur ein Kabel nutze?
Oder meinst du, dass man es physisch trennen sollte, wo immer möglich und sich nicht auf Firewall Regeln verlässt?
aqui
aqui 07.02.2025 um 16:20:28 Uhr
Goto Top
Solche Fauxpas' passieren auch dem besten Admin im Eifer des Gefechtes. Devise ist immer ruhig bleiben und strategisch vorgehen beim Troubleshooting. 😉
Was ist denn das Sicherheitsrisiko, wenn ich nur ein Kabel nutze?
Du meinst an einem LAG wenn du z.B. ein Kabel ziehst oder temporär nicht nutzt??
Das macht gar nichts und ist auch nicht schlimm. Der LAG funktioniert trotzdem. Ist ja auch der Sinn der Sache, denn der LAG bringt eben von Haus aus diese Redundanz Funktion gleich mit. Es ist also nicht nur die doppelte Bandbreite sondern auch die Redundanz.
Gute Switches melden im Log dann immer ein "Degraded" beim LAG Status so das man weiss das man da mal nachsehen sollte weil meistens ein Memberlink dann ausgefallen ist.
Works as designed..
Oder war die Frage jetzt anders gemeint?! 🤔
gruenhorn
gruenhorn 07.02.2025 um 17:51:40 Uhr
Goto Top
@aqui
Oder war die Frage jetzt anders gemeint?

Ja 🤣 es ging mir um den Modem Zugriff
aqui
aqui 07.02.2025 aktualisiert um 18:41:07 Uhr
Goto Top
Ahhhsoo...sorry, das war dann missverständlich! Dann vergiss was oben zum LAG Link steht oder betrachte es als zusätzliches Training. face-wink
gruenhorn
gruenhorn 07.02.2025, aktualisiert am 08.02.2025 um 00:37:05 Uhr
Goto Top
Das LAG betreibe ich ja gerade sogar noch mit nur einem Kabel, da ich das andere Interface noch als Fallback Lösung nutze.

Dann wollte ich nur nachhaken, warum du die Lösung mit einem Kabel nicht unterstützt
Was ist denn das Sicherheitsrisiko, wenn ich nur ein Kabel nutze?
Oder meinst du, dass man es physisch trennen sollte, wo immer möglich und sich nicht auf Firewall Regeln verlässt?


Hab grad auch mal auf Version 25.1 geupgraded, hab jetzt massive DNS Probleme face-confused Ultra langsames Auflösen. Wenns dann einmal geladen ist gehts, aber Windows attestiert schon kein Internet, so lange dauert es

edit: ich bin schon mal weiter, das Problem scheint im jetzt neuen Gateway (also seit Update) "WAN_DHCP6" zu liegen.
Da hats im pppoe device die IPv6 aktiviert, ich nehme mal an dafür ist die ganze DNS Infrastruktur nicht definiert bei mir?!


Ich hab ja eh schon keine Ahnung, aber von IPv6 noch weniger. Bei meinem o2 gibt es wohl echtes Dual Stack.
Macht das irgendeinen Sinn für mich, dass ich auch v6 Adressen an meine Geräte verteile?
aqui
aqui 08.02.2025 aktualisiert um 09:26:09 Uhr
Goto Top
aber von IPv6 noch weniger
Das muss ja nicht so bleiben und da hilft etwas kostenlose Literatur!
https://danrl.com/ipv6/
dafür ist die ganze DNS Infrastruktur nicht definiert bei mir?!
Das ist egal weil im Default v6 so oder so lokal erstmal nicht aktiv ist sofern du es nicht explizit einrichtest. Ob am WAN Port Dual Stack aktiv ist spielt keine Rolle.
Wenn du einen Dual Stack Anschluss hast macht es natürlich Sinn auch IPv6 zu aktivieren. Wie das geht auf der OPNsense kannst du z.B. hier sehen:
IPv6 auf der OPNsense
Auch lesenswert zu der Thematik:
PFsense IPv6 - Was mache ich falsch ?
Dual Stack Setup u. Ping Check
gruenhorn
gruenhorn 08.02.2025 aktualisiert um 16:39:33 Uhr
Goto Top
definiert bei mir?!
Das ist egal weil im Default v6 so oder so lokal erstmal nicht aktiv ist sofern du es nicht explizit einrichtest.

Das meine ich ja... Mit dem Update auf 25.1 hat es bei mir im pppoe device neben static v4 auch dhcpv6 aktiviert und automatisch auch ein V6 Gateway erzeugt. Bei meiner FW Regel fürs LAG Interface hatte ich damals ipv4/V6 übernommen, war glaube ich Standard. Fragt sich nur, wie es dann weiter gegangen ist, kann der Switch DHCP Server sein?


Aber trotz deaktivieren des v6 läufts immer noch nicht gut face-sad
aqui
aqui 09.02.2025 aktualisiert um 13:26:17 Uhr
Goto Top
Du solltest dann hier auch fairerweise auf deine zahllosen Folgethreads verweisen damit wir uns alle hier nicht im Kreise drehen! face-sad
OPNsense DNS "halb tot" - Keine Auflösung nach längerer Zeit
O2 VoIP mit Fritzbox als Client hinter OPNsense
gruenhorn
gruenhorn 09.02.2025 um 18:41:32 Uhr
Goto Top
Mh Sorry, ich hatte irgendwie das Gefühl das passt hier nicht her, weil das hier ja eigentlich gelöst ist, bis auf die v6 Thematik, bei der ich mich vermutlich wieder saublöd anstellen werde
gruenhorn
gruenhorn 11.02.2025 um 11:38:57 Uhr
Goto Top
@aqui
Ich bin wirklich der Meinung, dass ich mit den anderen Geschichten nicht die eigentliche Funktion der FW beeinträchtige....Am DNS scheint weniger gepfuscht als angenommen und das VoIP Thema könnte eher drunter leiden, ja,


Ich hätte dann tatsächlich etwas, was hier besser hin passt:
Der Modem Zugriff funktioniert nicht und ich verstehe nicht warum.
Ich gebe dem Modem die feste IP 10.10.10.5 und hänge den zweiten Port vom Modem an mein LAN Interface 10.10.10.1

Ich komme auf Teufel kommt raus nicht auf das Modem. Stecke ich das Kabel in meinen Laptop und geb dem manuell eine IP 10.10.10.2, dann komm ich sofort drauf.
aqui
aqui 11.02.2025 aktualisiert um 12:13:29 Uhr
Goto Top
und hänge den zweiten Port vom Modem an mein LAN Interface 10.10.10.1
WIE greifst du denn mit dem Client auf diese Modem IP zu bzw. WO befindet sich der Client??
Mit einem Management Client der per Layer 2 auch ans LAN Interface angeschlossen ist, sprich also dann im gleichen IP Netz liegt wie das Modem selber?
Sollte der Management Client in einem anderen IP Netz liegen ist der Zugriff aufs Modem natürlich nicht möglich, weil dem Modem ein Default Gateway für die Rückroute fehlt! (Siehe Routing Grundlagen)
Der Management Client muss also L2technisch zwingend immer im gleichen IP Netz liegen sonst scheitert der Zugang.
Ob es generell sicherheitstechnisch sinnvoll ist ein am Internet offen exponiertes Modem direkt in einem lokalen LAN erreichbar zu machen musst du selber entscheiden. Verantwortungsvolle Admins machen sowas nicht.
gruenhorn
gruenhorn 11.02.2025 um 16:13:50 Uhr
Goto Top
WIE greifst du denn mit dem Client auf diese Modem IP zu bzw. WO befindet sich der Client??
Mit einem Management Client der per Layer 2 auch ans LAN Interface angeschlossen ist, sprich also dann im gleichen IP Netz liegt wie das Modem selber?

Modem 10.10.10.5 am LAN Interface 10.10.10.1
Client 10.10.100.20 am LAG Interface 10.10.100.1

Und dann mit Gateway und Route die Verbindung schaffen?


Ob es generell sicherheitstechnisch sinnvoll ist ein am Internet offen exponiertes Modem direkt in einem lokalen LAN erreichbar zu machen musst du selber entscheiden. Verantwortungsvolle Admins machen sowas nicht.

Das hab ich noch nicht verstanden. Das Management UI hat ja keine Verbindung zum Internet oder meinst du, dass über ein Sicherheitsleck in der Modem Firmware genau diese Verbindungen möglich sein könnte und dann hätte man damit nen Bypass an der FW vorbei gebaut?


Was wäre denn eine sinnvolle Lösung des Problems?
Per Kabel ans Modem anschließen, wenn man wirklich muss?
clipboard-image
aqui
aqui 11.02.2025 aktualisiert um 16:56:28 Uhr
Goto Top
Und dann mit Gateway und Route die Verbindung schaffen?
Route? Wieso Route? Default Gateway im Modem reicht doch sofern das an seinem Managementzugang supportet ist!
Das Management UI hat ja keine Verbindung zum Internet
Das weisst du sicher?? 🤔
Was wäre denn eine sinnvolle Lösung des Problems?
Den Zugang über das WAN Interface realisieren! Da ist zu mindestens die Firewall mit Regelwerk und NAT dazwischen. Das WAN Port NAT löst dir dann auch gleichzeitig das o.a. Gateway/Routing Problem. face-wink
Modem Mgmt.Zugang 1
Modem Mgmt.Zugang 2
gruenhorn
gruenhorn 11.02.2025 um 17:21:37 Uhr
Goto Top
Okay, stimmt, man könnte das ja auch deaktiviert lassen und dann bei Bedarf kurz aktivieren.
Sind wir mal ehrlich, wie oft brauch ich das? face-smile
gruenhorn
gruenhorn 11.02.2025 aktualisiert um 20:06:25 Uhr
Goto Top
clipboard-image

clipboard-image
Hab ich da jetzt schon wieder was falsch?

Ping aus dem 10.10.100.1er Netz geht nicht durch
clipboard-image

Ah und noch was, es soll performance/kontrolltechnisch von Vorteil sein, wenn die FW das VLAN 7 steuert anstatt des Modems, ist dem tatsächlich so oder ist das total egal?!
aqui
aqui 12.02.2025 aktualisiert um 11:19:06 Uhr
Goto Top
Sind wir mal ehrlich, wie oft brauch ich das?
Einsicht ist der erste Weg.... face-wink
es soll performance/kontrolltechnisch von Vorteil sein, wenn die FW das VLAN 7 steuert anstatt des Modems
Nein!
Wer hat dir diesen Unsinn erzählt?! Das erfordert a.) eine deutlich aufwändigere Konfig auf der Firewall selber mit einem überflüssigen Tagging Subinterface und b.) ist es mehr Overhead und Ballast für die Firewall.
Völlig unsinnig also das über die Firewall zu machen wenn es das Modem nebenbei erledigt. Das sagt einem aber auch schon der gesunde IT Verstand.
Für dein Vigor also:
vigor
Damit entfällt das dann überflüssige VLAN Tagging Subinterface und der gante Overhead in der Firewall WAN Port Konfig.
gruenhorn
gruenhorn 12.02.2025 aktualisiert um 13:00:14 Uhr
Goto Top
Die Argumentation war, dass man das Modem von seiner letzten extra Aufgabe entbindet und es soll dann nur noch Modem sein, nichts anderes mehr und das mit voller Leistung ohne "Ablenkung".
Aber klar, wenn die FW es nicht übernehmen muss, dann hat die im Extremfall mehr Leistungsreserver, als wenn sie da auch noch ein VLAN bereitstellen muss.

Einstellung passt, ist out of the box beim 167er so, danke face-smile


Aber was mach ich denn jetzt noch falsch, wenn das 100er Netz nicht ins 10er Netz gucken kann bzw auf deren Clients.
Auf das FW Interface im 10er Netz komme ich vom 100er Client ohne Probleme
aqui
aqui 12.02.2025 aktualisiert um 13:02:27 Uhr
Goto Top
Aber was mach ich denn jetzt noch falsch, wenn das 100er Netz nicht ins 10er Netz gucken kann bzw auf deren Clients.
Auf einer Firewall spricht das immer klar für ein falsches Regelwerk! Oder ggf. falsche oder fehlende Gateway IP Adressen an den Endgeräten die ein Routing verhindern.
Eins oder beides wird es wohl sein?? 🤔
gruenhorn
gruenhorn 12.02.2025 um 14:03:43 Uhr
Goto Top
Gateway am Modem ist ein guter Punkt, das prüfe ich gleich.

Am PC wird's nicht liegen, der ist per DHCP dran
aqui
aqui 12.02.2025 aktualisiert um 15:06:02 Uhr
Goto Top
Gateway am Modem ist ein guter Punkt, das prüfe ich gleich.
Sollte aber in dem Fall obsolet sein wenn der Port an dem das Modem hängt der FW WAN Port ist. Dort sollte per Default NAT (IP Address Translation) aktiv sein sofern du es nicht verfrickelt und/oder deaktiviert hast?!
Dann werden so oder so ALLE internen Absender IPs auf die 10er IP translated und das Modem "denkt" so das sie alle aus dem lokalen Netz kommen. Ein Gateway auf dem Modem wäre dann eh obsolet.
Einfach mal den Interface Packet Capture auf dem WAN Port laufen lassen und auf die Ziel IP des Modems filtern. Dann solltest du dort TCP 80 oder 443 Frames vom Management Client sehen.
Wenn nicht hast du ein Problem im Regelwerk irgendwo.

Hier ein Beispiel von einem Browser Client im lokalen LAN 192.168.1.0 /24 der auf ein Modem (10.11.1.254) am WAN Port per HTTP GUI zugreift.
capure
Wie man am o.a. Capture sieht greift hier das NAT am WAN Port der Firewall so das die ausgehende Absender IP erwartungsgemäß die WAN IP ist und nicht die 192.168er Client IP. Ein Gateway am Modem ist damit obsolet!
Works as designed!
gruenhorn
gruenhorn 12.02.2025 um 19:42:08 Uhr
Goto Top
Da sehe ich die hier:
clipboard-image
aqui
aqui 13.02.2025 aktualisiert um 11:30:56 Uhr
Goto Top
Da sehe ich die hier:
Jepp, da pingt (ICMP Echo-Anforderung) die 10.10.11.1 (vermutlich WAN Interface) die 10.10.11.2 (vermutlich Modem) was auch prompt antwortet (ICMP Echo-Antwort) also fehlerfrei klappt wie man unschwer sieht!
Works as designed! face-wink
gruenhorn
gruenhorn 13.02.2025 um 12:14:54 Uhr
Goto Top
Das ist leide das einzige was klappt.
Wenn ich jetzt mit meine Client 10.10.100.21 versuche auf die Adressen was zu schicken, dann geht es nicht durch.

Das Interface (mein LAG) hat ne Allow any Regel. Der Client hängt am VLAN1...
aqui
aqui 13.02.2025 um 12:17:16 Uhr
Goto Top
auf die Adressen was zu schicken...
WAS denn?? HTTP?
Wenn ja hast du das mal gecaptured ob außer ICMP auch HTTP da ankommt und beantwortet wird?
gruenhorn
gruenhorn 13.02.2025 aktualisiert um 12:28:53 Uhr
Goto Top
Ich meinte auch so ein Packet Capture mit any Protocol

Von allen Clients kann ich auch die 10.10.11.1 anpingen, nur die .2(Modem) geht halt nicht.
Packet Capture Logs bleiben komplett leer, da passiert rein gar nichts
aqui
aqui 13.02.2025 aktualisiert um 12:42:32 Uhr
Goto Top
ein Packet Capture mit any Protocol
Wäre ja sinnfrei wenn du nach HTTP (80) fahnden willst?!
Logs bleiben komplett leer, da passiert rein gar nichts
Bedeutet dann ja das die Firewall irgendwo TCP 80 auf 10.10.11.x Adressen blockiert. Stichwort RFC1918 Blocking am WAN Port... face-wink
gruenhorn
gruenhorn 13.02.2025 um 12:59:46 Uhr
Goto Top
Du meinst Block private/bogon networks, ja?

Auf dem WAN Interface, was bei mir das pppoe Device zugewiesen hat oder meinst du mein Modem Interface, das den phyischen Port hat? Modem Interface ist offen. WAN hab ich testweise gemacht, ändert aber nichts.


Im Firewall Log sehe ich TCP 80 Traffic Out vom Modem Interface, sobald ich mit einem Client versuche das WebUI zu erreichen. ICMP ebenso beim Ping. Also, das Modem Antwortet auf Anfragen der Clients, das ist ja schon mal gut nehme ich an?
aqui
aqui 13.02.2025 um 13:07:56 Uhr
Goto Top
Physisches WAN Interface, denn das 10.10.11er Netz liegt ja da drauf und nicht auf dem virtuallen PPPoE.
gruenhorn
gruenhorn 13.02.2025 um 14:06:29 Uhr
Goto Top
Also ist mein Interface vom Client das Problem...
aqui
aqui 13.02.2025 aktualisiert um 17:45:19 Uhr
Goto Top
Kann, muss aber nicht. Das du am WAN ggf. fälschlicherweise taggst kann man ja ausschliessen, denn sonst würde auch der Ping scheitern der ja nachweislich funktioniert.
Wenn lediglich nur TCP 80 und 443 geblockt werden spricht das eher für einen Fehler im Regelwerk.
Alternativ kannst du ja mal auf dem Client ein PuTTY starten und versuchen eine Telnet (TCP 23) oder SSH (TCP 22) Session auf das Modem zu öffnen.
Auch wenn das Modem diese Zugänge nicht supportet solltest du zumindestens ausgehende TCP Pakete mit diesen Ports mit der Modemziel IP sehen. Ggf. antwortet das Modem auch mit einem ICMP Zielport nicht erreichbar. Das wäre dann auch ein Indiz das 80 und ggf. 443 irgendwo blockiert sind. Wo auch immer?!
Mit einem Default Setup klappt es ja fehlerlos wie man oben am Wireshark Trace sehen kann.
gruenhorn
gruenhorn 14.02.2025 aktualisiert um 11:46:43 Uhr
Goto Top
Das mit dem Telnet/SSH teste ich mal...

Ich check auch nochmal was für ein Traffic zwischen Client und Modem von der Firewall geblockt wird.

Wenn ich doch keine Blocks in der Firewall sehe und die Regeln offen sind, was kann dann noch falsch sein?

Kann ich testweise den LAN Port ins gleiche Subnet verfrachten wie WAN Port und das Modem und ich stöpsel mich mit dem Laptop am LAN Port an?
Oder fliegt mir das um die Ohren?
aqui
aqui 14.02.2025 aktualisiert um 16:58:03 Uhr
Goto Top
Kann ich testweise den LAN Port ins gleiche Subnet verfrachten wie WAN Port
Nein!
Das klappt nur mit reinen Ethernet Interfaces. Dazu erzeugt man eine Bridge, wählt die Memberports der Bridge aus und mappt die Interface IP auf das Bridge Interface! Es darf kein Bridge Member Interface mit einer IP versehen sein!! Logisch, denn Bridging ist immer Layer 2 only, also Forwarding rein auf Basis der Hardware Mac Adressen.
Allein diese Tatsache würde eine Bridge Kopplung von LAN und WAN Port völlig absurd machen weil die zwingend routingtechnisch getrennt sein müssen.
Wie gesagt: Kannst du abgesehen davon das es eh sinnfrei ist, auf einer routenden Firewall gleich vergessen, weil das PPPoE Interface nicht auf einem Bridge Parent Interface funktioniert!! Fliegt dir also gleich um die Ohren solche üble Frickelei! face-sad
Wozu sollte das auch gut sein??
Sniffern kannst du über die Interface Capture Funktion und mit einem Mirror Port am Switch. (Siehe dein VoIP Thread!)