18
Konfiguration Access-Point: Grundsätzliche Fragen
Hallo,
Ziel: fritz.repeater 1750e über Lan-Anschluss als Access-Point nutzen
Mein Router ist ein Apu2, darauf pfsense installiert.
Mein Switch ist ein Cisco SG350-28
Ich habe mehrere VLANs konfiguriert, natürlich auf den Switch und dem Router.
Diese sind verbunden über einen "tagged Trunk Port"
Als Firewallregel habe ich das „Scheunentor“ geöffnet, um jene als Fehlerquelle auszuschließen.
Meine PCs haben auch eine Internetverbindung im jeweiligen VLAN.
Diese sollten also richtig konfiguriert sein.
Mit dem fritz.repeater 1750e als Access-Point verhält es sich so:
Liegt der Anschluss des Access-Points in einem VLAN (hier VLAN10), wird der Access-Point in der Pfsense angezeigt unter: Status > DHCP Leases.
Ich kann auf den Repeater zugreifen und diesen konfigurieren.
Ein Smartphone verbindet sich auch mit dem Access-Point, erhält aber keinen Zugriff auf das Internet. (Das gleiche Ergebnis habe ich auch, wenn ich dem Access-Point eine feste IP gebe.)
Liegt der Anschluss des Access-Points im gleichen Netzwerk, wie der Lan Anschluss der pfsense (VLAN1, also quasi ohne VLAN-Konfiguration) funktioniert er, wie ich das will. Mein Smartphone kann sich mit Repeater verbinden und erhalte Zugriff auf das Internet.
Die Frage ist: Warum?
Bzw. wie kann ich den Access-Point mit dem VLAN10 verbinden und damit dann eine Verbindung ins Internet herstellen?
Ziel: fritz.repeater 1750e über Lan-Anschluss als Access-Point nutzen
Mein Router ist ein Apu2, darauf pfsense installiert.
Mein Switch ist ein Cisco SG350-28
Ich habe mehrere VLANs konfiguriert, natürlich auf den Switch und dem Router.
Diese sind verbunden über einen "tagged Trunk Port"
Als Firewallregel habe ich das „Scheunentor“ geöffnet, um jene als Fehlerquelle auszuschließen.
Meine PCs haben auch eine Internetverbindung im jeweiligen VLAN.
Diese sollten also richtig konfiguriert sein.
Mit dem fritz.repeater 1750e als Access-Point verhält es sich so:
Liegt der Anschluss des Access-Points in einem VLAN (hier VLAN10), wird der Access-Point in der Pfsense angezeigt unter: Status > DHCP Leases.
Ich kann auf den Repeater zugreifen und diesen konfigurieren.
Ein Smartphone verbindet sich auch mit dem Access-Point, erhält aber keinen Zugriff auf das Internet. (Das gleiche Ergebnis habe ich auch, wenn ich dem Access-Point eine feste IP gebe.)
Liegt der Anschluss des Access-Points im gleichen Netzwerk, wie der Lan Anschluss der pfsense (VLAN1, also quasi ohne VLAN-Konfiguration) funktioniert er, wie ich das will. Mein Smartphone kann sich mit Repeater verbinden und erhalte Zugriff auf das Internet.
Die Frage ist: Warum?
Bzw. wie kann ich den Access-Point mit dem VLAN10 verbinden und damit dann eine Verbindung ins Internet herstellen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 574140
Url: https://administrator.de/contentid/574140
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
18 Kommentare
Neuester Kommentar
vermutlich Routing oder Firewall-regeln, die das verhindern.
Bzw. wie kann ich den Access-Point mit dem VLAN10 verbinden und damit dann eine Verbindung ins Internet herstellen?
Einfach direkt verbinden, Routing einrichten und per Firewall erlauben.
- Stimmt das default gateway sowohl auf fritte als auch auf Mobiltelefon?
- Wer macht das DHCP?
- Bekommt das Mobiltelefon die korrekten Daten per DHCP?
Normalerweise arbeiten die fritten als AP unproblematisch, wenn man denen sagt, daß sie nur AP sein sollen.
lks
Hi,
danke für Deine Antwort.
Ich muss vorweg sagen, dass ich mich gerade erst in die Thematik einarbeite.
Wahrscheinlich sehe ich die Zusammenhänge noch nicht.
Dazu habe ich noch keine Einstellungen vorgenommen.
"Gateway auf dem Mobiltelefon einstellen"
Diesem Stichwort gehe ich noch mal nach.
danke für Deine Antwort.
Ich muss vorweg sagen, dass ich mich gerade erst in die Thematik einarbeite.
Wahrscheinlich sehe ich die Zusammenhänge noch nicht.
Einfach direkt verbinden, Routing einrichten und per Firewall erlauben.
Kannst Du hierzu noch ausführlicher etwas schreiben?Dazu habe ich noch keine Einstellungen vorgenommen.
* Stimmt das default gateway sowohl auf fritte als auch auf Mobiltelefon?
Auf der fritte auf auf jeden Fall (VLAN10=192.168.10.1)"Gateway auf dem Mobiltelefon einstellen"
Diesem Stichwort gehe ich noch mal nach.
* Wer macht das DHCP?
Die pfsense* Bekommt das Mobiltelefon die korrekten Daten per DHCP?
Davon gehe ich mal aus, denn "ohne Vlan" funktioniert es ja.̣̣̣Normalerweise arbeiten die fritten als AP unproblematisch, wenn man denen sagt, daß sie nur AP sein sollen.
Das ist schon mal gut zu wissen, dass es grundsätzlich kein Problem sein sollte.Zitat von @scriptorius:
Normalerweise arbeiten die fritten als AP unproblematisch, wenn man denen sagt, daß sie nur AP sein sollen.
Das ist schon mal gut zu wissen, dass es grundsätzlich kein Problem sein sollte.Du mußt nur beachten, daß der AP selbst keine VLANs kann.
lks
2 Dinge solltest du vorab mal aufklären bevor wir ins Eimngemachte gehen:
1.)
Ist deine VLAN Switch / pfSense Kombination so konfiguriert das der Switch rein als Layer 2 VLAN Switch rennt und die pfSense zentral routet, sprich genau wie es im hiesigen VLAN Tutorial beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Oder, da du ja einen Layer 3 Switch betreibst der ja auch routen kann...
2.)
Das dieser das Routing macht mit einem ransfer Netz zur pfSense wie es hier beschrieben ist:
Verständnissproblem Routing mit SG300-28
Das wäre essentiell wichtig zu wissen fürs Troubleshooting !
Es hört sich etwas nach Option 1.) an ?!
Der klassische Fehler der hier gemacht wird ist das vergessen wird dann am virtuellen VLAN 10 IP Interface der Firewall auch eine Scheunentor Regel zu definieren.
Es ist völlig unverständlich warum du nicht einmal strategisch vorgegangen bist:
Das sind doch nun allersimpelste Schritte die auch ein völliger Laie und ein Anfänger einmal Schritt für Schritt abarbeitet um den Fehler sauber einzugrenzen. Fragt sich warum du dazu nicht in der Lage bist ??
Fazit:
Führe diese Tests aus und sage uns genau an welchem Schritt es kneift.
Generell ist es besser wenn du auch dein WLAN segmentierst wie Gast WLAM, IoT/Haustechnik und privates WLAN z.B. das du immer mit SSID fähigen APs arbeitest. Sie dazu das Praxisbeispiel im o.a. VLAN Tutorial !
Einen Repeater im WLAN zu verwenden ist immer ein vollständiges NoGo. Wegen der Half Duplex und Hidden Station Problematiken reisst das meist die Performance so in den Keller das das WLAN unbrauchbar wird.
Mal ganz abgesehen davon das MSSID Designs damit technisch nicht möglich sind !
1.)
Ist deine VLAN Switch / pfSense Kombination so konfiguriert das der Switch rein als Layer 2 VLAN Switch rennt und die pfSense zentral routet, sprich genau wie es im hiesigen VLAN Tutorial beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Oder, da du ja einen Layer 3 Switch betreibst der ja auch routen kann...
2.)
Das dieser das Routing macht mit einem ransfer Netz zur pfSense wie es hier beschrieben ist:
Verständnissproblem Routing mit SG300-28
Das wäre essentiell wichtig zu wissen fürs Troubleshooting !
Es hört sich etwas nach Option 1.) an ?!
Der klassische Fehler der hier gemacht wird ist das vergessen wird dann am virtuellen VLAN 10 IP Interface der Firewall auch eine Scheunentor Regel zu definieren.
Es ist völlig unverständlich warum du nicht einmal strategisch vorgegangen bist:
- Auf die pfSense ins Diagnostics Menü und dann Ping
- Dort einen Ping ausführen auf die VLAN 1 IP der pfSense mit Source Address = VLAN 10 IP
- Klappt das mit der Source Address = VLAN 10 IP einen Ping auf eine Internet IP wie 8.8.8.8 machen
- Test PC an einen Untagged Access Port des Switches in VLAN 10
- Check mit ipconfig ob der Test PC eine korrekte IP Adresse im VLAN 10 von der pfSense bekommen hat und das Gateway und DNS auf die pfSense VLAN 10 IP Adresse zeigen. Check auch in den DHCP Leases.
- Ping mit dem Test PC auf die VLAN 10 IP der pfSense. Sollte klappen !
- Ping mit dem Test PC auf die VLAN 1 IP der pfSense. Sollte klappen !
- Ping mit dem Test PC auf eine Internet IP Adresse z.B. 8.8.8.8
- Ping mit dem Test PC auf einen Internet Host Namen wie z.B. www.heise.de. Sollte dann auch klappen.
- Access Point an den VLAN 10 Untagged Access Port
- Bekommt der Accesspoint eine IP von der pfSense ? Wenn ja: ist er pingbar und hat Management GUI Access von einem Endgerät im VLAN 10 ?
- Dann mit einem WLAN Endgerät, Smartphoen, Laptop etc. den AP verbinden
- Check wieder mit ipconfig oder den Smartphone Tools wie z.B. den bekannten_HE.net_Tools ob die VLAN 10 IP sowie Gateway und DNS korrekt ist.
- Ping Check der 3 IP Adressen und des Hostnamens dann wie oben.
Das sind doch nun allersimpelste Schritte die auch ein völliger Laie und ein Anfänger einmal Schritt für Schritt abarbeitet um den Fehler sauber einzugrenzen. Fragt sich warum du dazu nicht in der Lage bist ??
Fazit:
Führe diese Tests aus und sage uns genau an welchem Schritt es kneift.
Generell ist es besser wenn du auch dein WLAN segmentierst wie Gast WLAM, IoT/Haustechnik und privates WLAN z.B. das du immer mit SSID fähigen APs arbeitest. Sie dazu das Praxisbeispiel im o.a. VLAN Tutorial !
Einen Repeater im WLAN zu verwenden ist immer ein vollständiges NoGo. Wegen der Half Duplex und Hidden Station Problematiken reisst das meist die Performance so in den Keller das das WLAN unbrauchbar wird.
Mal ganz abgesehen davon das MSSID Designs damit technisch nicht möglich sind !
Zitat von @aqui:
Einen Repeater im WLAN zu verwenden ist immer ein vollständiges NoGo. Wegen der Half Duplex und Hidden Station Problematiken reisst das meist die Performance so in den Keller das das WLAN unbrauchbar wird.
Einen Repeater im WLAN zu verwenden ist immer ein vollständiges NoGo. Wegen der Half Duplex und Hidden Station Problematiken reisst das meist die Performance so in den Keller das das WLAN unbrauchbar wird.
Hallo Aqui,
Auch wenn das Fritzteil "Repeater" heißt, ist es genaugenommen ein AP, der sowohl "WLAN" als auch "LAN" als Distribution System nutzen kann.
Wenn man den über LAN anschließt, ist das ein ganz normaler AP.
Daß es bessere APs gibt, die man mit einer pfsense sinnvoller einsetzen kann (z.B. die Mikrotik hAPs), steht natürlich außer Frage.
lks
Auch wenn das Fritzteil "Repeater" heißt, ist es genaugenommen ein AP
Versteht wohl nur AVM diesen Unsinn !Danke für das Feedback...wieder was gelernt und froh keinen solchen AVM Kram zu besitzen...
Zitat von @aqui:
Auch wenn das Fritzteil "Repeater" heißt, ist es genaugenommen ein AP
Versteht wohl nur AVM diesen Unsinn !Mit "Repeater" können die typischen AVM-Kunden etwas anfangen. Mit AP oder Distributions System nicht. Ist also nur Marketing.
lks
Betonung liegt dann auf "die typischen AVM-Kunden" !! Ein Schelm wer Böses dabei denkt !
Hallo,
entschuldigt, der Mittagstisch hat gerufen, anschließend gab es Kaffee
Ja, der Switch ist als Layer 2 Switch konfiguriert (ich weiß, aber der Switch war eineinmaliges Angebot)
Ja, Deine Anleitung war bei der Konfiguration meine Grundlage.
Nein, die "Routing-Funktion" habe ich auf dem Switch deaktiviert.
Das wird wahrscheinlich der Fehler sein.
Ich kann das allerdings erst heute Abend in Ruhe testen, da der Besuch noch eine Weile "beschäftigt" werden will.
Ich melde mich sofort, wenn ich die Tests durchgeführt (s.u.).
Das wäre essentiell wichtig zu wissen fürs Troubleshooting !
Es hört sich etwas nach Option 1.) an ?!
Der klassische Fehler der hier gemacht wird ist das vergessen wird dann am virtuellen VLAN 10 IP Interface der Firewall auch eine Scheunentor Regel zu definieren.
In den unterschiedlichen VLANs habe ich auch die "Scheunentor-Regel" gesetzt.
Genau deshalb bin ich hier, um das zu lernen, vielen Dank
Nein, hier wird klar, dass ich wirklich ganz am Anfang bin
Danke für die Geduld.
Die WLAN-Segmention will ich auch letzlich machen.
Ich will aber erstmal die vorhandenen Hardware nutzen, um zu sehen, ob ich es grundsätzlich hinbekomme.
Nicht, dass ich neue Sachen besorge und anschließend feststelle, dass das ganze Projekt doch eine Schuhnummer zu groß für mich ist
entschuldigt, der Mittagstisch hat gerufen, anschließend gab es Kaffee
2 Dinge solltest du vorab mal aufklären bevor wir ins Eimngemachte gehen:
1.)
Ist deine VLAN Switch / pfSense Kombination so konfiguriert das der Switch rein als Layer 2 VLAN Switch rennt und die pfSense zentral routet, sprich genau wie es im hiesigen VLAN Tutorial beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Oder, da du ja einen Layer 3 Switch betreibst der ja auch routen kann...
1.)
Ist deine VLAN Switch / pfSense Kombination so konfiguriert das der Switch rein als Layer 2 VLAN Switch rennt und die pfSense zentral routet, sprich genau wie es im hiesigen VLAN Tutorial beschrieben ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Oder, da du ja einen Layer 3 Switch betreibst der ja auch routen kann...
Ja, der Switch ist als Layer 2 Switch konfiguriert (ich weiß, aber der Switch war eineinmaliges Angebot)
Ja, Deine Anleitung war bei der Konfiguration meine Grundlage.
2.)
Das dieser das Routing macht mit einem ransfer Netz zur pfSense wie es hier beschrieben ist:
Verständnissproblem Routing mit SG300-28
Das dieser das Routing macht mit einem ransfer Netz zur pfSense wie es hier beschrieben ist:
Verständnissproblem Routing mit SG300-28
Nein, die "Routing-Funktion" habe ich auf dem Switch deaktiviert.
Das wird wahrscheinlich der Fehler sein.
Ich kann das allerdings erst heute Abend in Ruhe testen, da der Besuch noch eine Weile "beschäftigt" werden will.
Ich melde mich sofort, wenn ich die Tests durchgeführt (s.u.).
Das wäre essentiell wichtig zu wissen fürs Troubleshooting !
Es hört sich etwas nach Option 1.) an ?!
Der klassische Fehler der hier gemacht wird ist das vergessen wird dann am virtuellen VLAN 10 IP Interface der Firewall auch eine Scheunentor Regel zu definieren.
In den unterschiedlichen VLANs habe ich auch die "Scheunentor-Regel" gesetzt.
Es ist völlig unverständlich warum du nicht einmal strategisch vorgegangen bist:
- Auf die pfSense ins Diagnostics Menü und dann Ping
- Dort einen Ping ausführen auf die VLAN 1 IP der pfSense mit Source Address = VLAN 10 IP
- Klappt das mit der Source Address = VLAN 10 IP einen Ping auf eine Internet IP wie 8.8.8.8 machen
- Test PC an einen Untagged Access Port des Switches in VLAN 10
- Check mit ipconfig ob der Test PC eine korrekte IP Adresse im VLAN 10 von der pfSense bekommen hat und das Gateway und DNS auf die pfSense VLAN 10 IP Adresse zeigen. Check auch in den DHCP Leases.
- Ping mit dem Test PC auf die VLAN 10 IP der pfSense. Sollte klappen !
- Ping mit dem Test PC auf die VLAN 1 IP der pfSense. Sollte klappen !
- Ping mit dem Test PC auf eine Internet IP Adresse z.B. 8.8.8.8
- Ping mit dem Test PC auf einen Internet Host Namen wie z.B. www.heise.de. Sollte dann auch klappen.
- Access Point an den VLAN 10 Untagged Access Port
- Bekommt der Accesspoint eine IP von der pfSense ? Wenn ja: ist er pingbar und hat Management GUI Access von einem Endgerät im VLAN 10 ?
- Dann mit einem WLAN Endgerät, Smartphoen, Laptop etc. den AP verbinden
- Check wieder mit ipconfig oder den Smartphone Tools wie z.B. den bekannten_HE.net_Tools ob die VLAN 10 IP sowie Gateway und DNS korrekt ist.
- Ping Check der 3 IP Adressen und des Hostnamens dann wie oben.
Genau deshalb bin ich hier, um das zu lernen, vielen Dank
Das sind doch nun allersimpelste Schritte die auch ein völliger Laie und ein Anfänger einmal Schritt für Schritt abarbeitet um den Fehler sauber einzugrenzen. Fragt sich warum du dazu nicht in der Lage bist ??
Nein, hier wird klar, dass ich wirklich ganz am Anfang bin
Danke für die Geduld.
Fazit:
Führe diese Tests aus und sage uns genau an welchem Schritt es kneift.
Generell ist es besser wenn du auch dein WLAN segmentierst wie Gast WLAM, IoT/Haustechnik und privates WLAN z.B. das du immer mit SSID fähigen APs arbeitest. Sie dazu das Praxisbeispiel im o.a. VLAN Tutorial !
Einen Repeater im WLAN zu verwenden ist immer ein vollständiges NoGo. Wegen der Half Duplex und Hidden Station Problematiken reisst das meist die Performance so in den Keller das das WLAN unbrauchbar wird.
Mal ganz abgesehen davon das MSSID Designs damit technisch nicht möglich sind !
Führe diese Tests aus und sage uns genau an welchem Schritt es kneift.
Generell ist es besser wenn du auch dein WLAN segmentierst wie Gast WLAM, IoT/Haustechnik und privates WLAN z.B. das du immer mit SSID fähigen APs arbeitest. Sie dazu das Praxisbeispiel im o.a. VLAN Tutorial !
Einen Repeater im WLAN zu verwenden ist immer ein vollständiges NoGo. Wegen der Half Duplex und Hidden Station Problematiken reisst das meist die Performance so in den Keller das das WLAN unbrauchbar wird.
Mal ganz abgesehen davon das MSSID Designs damit technisch nicht möglich sind !
Die WLAN-Segmention will ich auch letzlich machen.
Ich will aber erstmal die vorhandenen Hardware nutzen, um zu sehen, ob ich es grundsätzlich hinbekomme.
Nicht, dass ich neue Sachen besorge und anschließend feststelle, dass das ganze Projekt doch eine Schuhnummer zu groß für mich ist
anschließend gab es Kaffee
Ein Stück 🍰 hätt ich jetzt auch gerne... Nein, die "Routing-Funktion" habe ich auf dem Switch deaktiviert. Das wird wahrscheinlich der Fehler sein.
Nein !Der Switch arbeitet ja dann rein nur im Layer 2 ! Von IP und Routing hat er dann keinerlei Ahnung. Den kannst du deshalb also komplett ausschliessen. Natürlich nur sofern die VLAN Zuordnung sauber stimmt, denn DIE ist natürlich immer vom Switch abhängig !
Fürs Routing und IP Forwarding ins Internet ist bei dir und Option 1. immer rein nur die pfSense zuständig. Deshalb solltest du dort immer zuerst die Diagnostics Optionen nutzen !
In den unterschiedlichen VLANs habe ich auch die "Scheunentor-Regel" gesetzt.
Was zum Testen erstmal gut ist !Ich will aber erstmal die vorhandenen Hardware nutzen, um zu sehen, ob ich es grundsätzlich hinbekomme.
Ist auch der richtige Weg und macht Sinn !Ich melde mich sofort, wenn ich die Tests durchgeführt
Wir sind sehr gespannt...
Hi,
ich habe mal die Tests durchgeführt:
Das klappt!
3 packets transmitted, 3 packets received, 0.0% packet loss
Das klappt auch.
3 packets transmitted, 3 packets received, 0.0% packet loss
ifconfig
enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.10.101 netmask 255.255.255.0 broadcast 192.168.10.255
inet6 fe80::99e1:d17e:11b4:26de prefixlen 64 scopeid 0x20<link>
ether j0:55:79:91:51:9f txqueuelen 1000 (Ethernet)
RX packets 24909 bytes 16956971 (16.9 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 14107 bytes 3253421 (3.2 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
ping 192.168.10.1
4 packets transmitted, 0 received, 100% packet loss, time 3063ms
ping 192.168.1.1
4 packets transmitted, 0 received, 100% packet loss, time 3059ms
4 packets transmitted, 0 received, 100% packet loss, time 3056ms
3 packets transmitted, 0 received, 100% packet loss, time 2033ms
Die letzten vier Ping-Versuche sind fehlgeschlagen!
ping 192.168.10.102
3 packets transmitted, 3 received, 0% packet loss, time 2052ms
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
Gateway: 192.168.10.1
DNS1: 192.168.10.1
Das passt.
Wie oben werden vom Smartphone die pings verworfen
Das müsste es gewesen sein.
Oben wird deutlich, dass ich vom Test PC im VLAN10 nichts von dem oben anpingen kann.
Ich kann aber damit im Internet surfen, was mich erstaunt ...
ich habe mal die Tests durchgeführt:
* Auf die pfSense ins Diagnostics Menü und dann Ping
- Dort einen Ping ausführen auf die VLAN 1 IP der pfSense mit Source Address = VLAN 10 IP*
Das klappt!
3 packets transmitted, 3 packets received, 0.0% packet loss
* Klappt das mit der Source Address = VLAN 10 IP einen Ping auf eine Internet IP wie 8.8.8.8 machen
Das klappt auch.
3 packets transmitted, 3 packets received, 0.0% packet loss
Klappt das beides weisst du sicher das das VLAN 10 Routing ins Internet klappt. Dann der nächste Schritt:
- Test PC an einen Untagged Access Port des Switches in VLAN 10
- Check mit ipconfig** ob der Test PC eine korrekte IP Adresse im VLAN 10 von der pfSense bekommen hat und das Gateway und DNS auf die pfSense VLAN 10 IP Adresse zeigen. Check auch in den DHCP Leases.
ifconfig
enp3s0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.10.101 netmask 255.255.255.0 broadcast 192.168.10.255
inet6 fe80::99e1:d17e:11b4:26de prefixlen 64 scopeid 0x20<link>
ether j0:55:79:91:51:9f txqueuelen 1000 (Ethernet)
RX packets 24909 bytes 16956971 (16.9 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 14107 bytes 3253421 (3.2 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
* Ping mit dem Test PC auf die VLAN 10 IP der pfSense. Sollte klappen !
ping 192.168.10.1
4 packets transmitted, 0 received, 100% packet loss, time 3063ms
* Ping mit dem Test PC auf die VLAN 1 IP der pfSense. Sollte klappen !
ping 192.168.1.1
4 packets transmitted, 0 received, 100% packet loss, time 3059ms
* Ping mit dem Test PC auf eine Internet IP Adresse z.B. 8.8.8.8
ping 8.8.8.84 packets transmitted, 0 received, 100% packet loss, time 3056ms
* Ping mit dem Test PC auf einen Internet Host Namen wie z.B. www.heise.de. Sollte dann auch klappen.
ping www.heise.de3 packets transmitted, 0 received, 100% packet loss, time 2033ms
Die letzten vier Ping-Versuche sind fehlgeschlagen!
Klappt das auch kannst du dir jetzt ganz sicher sein das die VLAN 10 Connectivity ins Internet wasserdicht funktioniert. Weiter gehts...
* Access Point an den VLAN 10 Untagged Access Port
Ja, er bekommt eine IP von der pfesense- Bekommt der Accesspoint eine IP von der pfSense ? Wenn ja: ist er pingbar und hat Management GUI Access von einem Endgerät im VLAN 10 ?
ping 192.168.10.102
3 packets transmitted, 3 received, 0% packet loss, time 2052ms
* Dann mit einem WLAN Endgerät, Smartphoen, Laptop etc. den AP verbinden
ping 192.168.10.111 # IP des Smartphones- Check wieder mit ipconfig oder den Smartphone Tools wie z.B. den bekannten_HE.net_Tools ob die VLAN 10 IP sowie Gateway und DNS korrekt ist.
- Ping Check der 3 IP Adressen und des Hostnamens dann wie oben.
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
Gateway: 192.168.10.1
DNS1: 192.168.10.1
Das passt.
Wie oben werden vom Smartphone die pings verworfen
Das müsste es gewesen sein.
Oben wird deutlich, dass ich vom Test PC im VLAN10 nichts von dem oben anpingen kann.
Ich kann aber damit im Internet surfen, was mich erstaunt ...
Ping mit dem Test PC auf die VLAN 10 IP der pfSense. Sollte klappen !
Zeigt ja dann ganz klar das der Test PC nicht im VLAN 10 ist und dort vermutlich kein Gateway bekommt.Da du (vermutlich) ein Mac hast musst du mal netstat -r -n -inet ausführen um mal zu checken ob du eine richtige Gateway IP bekommst im VLAN 10.
Das Fehlerbild zeigt ja klar das die VLAN 10 Konfig soweit auf der pfSense sauber ist. Internet Connectivity ist also da vorhanden.
Der Fehler liegt also dann "dahinter".
- Falsches oder fehlerhaftes Regelwerk auf dem VLAN 10 IP Interface der FW
- Falsche oder fehlerhafte Trunk Link Konfig auf dem Switch. (VLAN 1 untagged und VLAN 10 Tagged, Mode = Trunk)
- Falsche oder fehlerhafte Zuweisung des Switch Access Ports zum VLAN 10. (VLAN 10 Member Untagged, Mode=Access Port.)
Das ein VLAN 10 Client trotz richtiger DHCP IP und Gateway sowie DNS das pfSense VLAN 10 IP Interface nicht pingen kann lässt den Schluss zu das du KEINE Firewall Regel auf dem VLAN 10 IP Interface der Firewall definiert hast.
Vermutlich hast du das rein nur auf dem physischen Parent Interface gemacht (VLAN 1) und dann laienhaft gedacht das das dann auch für das eigenständige VLAN 10 IP Interface geht. Kann das sein ??
Ein Screenshot der Regelwerke beider VLAN Interfaces wäre mal hilfreich hier.
Zitat von @aqui:
Da du (vermutlich) ein Mac hast musst du mal netstat -r -n -inet ausführen um mal zu checken ob du eine richtige Gateway IP bekommst im VLAN 10.
Ping mit dem Test PC auf die VLAN 10 IP der pfSense. Sollte klappen !
Zeigt ja dann ganz klar das der Test PC nicht im VLAN 10 ist und dort vermutlich kein Gateway bekommt.Da du (vermutlich) ein Mac hast musst du mal netstat -r -n -inet ausführen um mal zu checken ob du eine richtige Gateway IP bekommst im VLAN 10.
Nein, einen Mac nutze ich nicht.
Eigentlich am liebsten Debian, zur Zeit aber Mint, da bei Debian bei mit zumindest der Nextcloud Desktop-Client Probleme gemacht hat.
Ein Screenshot der Regelwerke beider VLAN Interfaces wäre mal hilfreich hier.
Nein, einen Mac nutze ich nicht.
Sorry, ifconfig sah etwas danach aus. Linux ist umso besser... Der Fehler springt einen förmlich sofort ins Auge !!
Peinlich das du den nicht selber gesehen hast !
Am VLAN 10 Interface hast du statt All wie es bei den Protokollen üblich ist rein nur TCP erlaubt. Damit scheitert dann die Hälfte aller Dienste (UDP) und es ist klar das das dann sofort scheitert !
Man kann aber daran sehen das die Firewall sauber arbeitet...ist ja auch was. Zu 99,9% ist sowas immer ein PEBKAC Problem.
Zudem ist es falsch als Source "any" anzugeben !! Hier sollte vlan10_net rein. Es können (und sollen) da ja nur Absender vom VLAN 10 kommen !
Korrigier das, dann klappt das auch sofort !
Fazit:
Vor lauter ☕️ und 🍰 wohl 🍅 auf den 👀 Augen gehabt ?!
Super, vielen Dank, jetzt klappt es.
Wieder mal was dazu gelernt.
In Deiner Anleitung >hier< , die sehr hilfreich ist, steht:
Das hatte ich falsch interpretiert.
Kannst Du mir noch einen "vernüftigen" Access-Point empfehlen?
Wichtiger als das Neuste und vielleicht technisch Beste ist für mich wahrscheinlich eine weite Verbreitung und Anleitungen im Netz.
Dann komme ich bis zu einem gewissen Grad selber zurecht.
Hier wird öfter dieser >hier< angesprochen.
Könnte das was für mich sein oder ist der eher für Fortgeschrittene?
Wieder mal was dazu gelernt.
In Deiner Anleitung >hier< , die sehr hilfreich ist, steht:
Um aufkommenden Frust erst einmal kleinzuhalten kann man eine einfache "Scheunentor" Regel aufsetzten, die zum Testen erstmal alles erlaubt.
Das erreicht man unter Firewall -> Rules für das entsprechende Interface !
Hier legt man eine Regel:
PASS Source: any, Destination: any
an die dann allen Traffic erstmal durchlässt.
Das erreicht man unter Firewall -> Rules für das entsprechende Interface !
Hier legt man eine Regel:
PASS Source: any, Destination: any
an die dann allen Traffic erstmal durchlässt.
Das hatte ich falsch interpretiert.
Kannst Du mir noch einen "vernüftigen" Access-Point empfehlen?
Wichtiger als das Neuste und vielleicht technisch Beste ist für mich wahrscheinlich eine weite Verbreitung und Anleitungen im Netz.
Dann komme ich bis zu einem gewissen Grad selber zurecht.
Hier wird öfter dieser >hier< angesprochen.
Könnte das was für mich sein oder ist der eher für Fortgeschrittene?
Das hatte ich falsch interpretiert.
Nee, da bist du natürlich schuldlos und der Verfasser ist der Buhmann ! Ich werde das mal korrigieren...annst Du mir noch einen "vernüftigen" Access-Point empfehlen?
Single Radio oder Dual Radio ??Single:
https://www.varia-store.com/de/produkt/31918-mikrotik-rbcap2nd-routerboa ...
Dual:
https://www.varia-store.com/de/produkt/31829-mikrotik-cap-ac-rbcapgi-5ac ...
Ist also was für dich !
Ruckus R310 ist auch eine sehr gute Wahl.
Leider hast du dein Budget nicht angegeben...
Vielen Dank,
ich denke, ich nehme den Dual.
Als nächstes beschäftige ich mich aber mit VOIP.
Habe da ein Gigaset c430a, das versuche ich gerade ans Laufen zu bringen.
Das wird bis jetzt wahrscheinlich die größte Herausforderung.
Mein Anbieter ist die Deutsche Glasfaser
Ich versuche erstmal selber soweit ich kann.
Wahrscheinlich werde ich dazu aber noch ein eigenes Thema eröffnen müssen
Wäre Dir dankbar, wenn Du dann bei Zeiten wieder gute Tipps für mich hast ...
ich denke, ich nehme den Dual.
Als nächstes beschäftige ich mich aber mit VOIP.
Habe da ein Gigaset c430a, das versuche ich gerade ans Laufen zu bringen.
Das wird bis jetzt wahrscheinlich die größte Herausforderung.
Mein Anbieter ist die Deutsche Glasfaser
Ich versuche erstmal selber soweit ich kann.
Wahrscheinlich werde ich dazu aber noch ein eigenes Thema eröffnen müssen
Wäre Dir dankbar, wenn Du dann bei Zeiten wieder gute Tipps für mich hast ...
Das wird bis jetzt wahrscheinlich die größte Herausforderung.
Warum ? Ist doch eigentlich eine Lachnummer... SIP Credentials deines VoIP Providers einstellen (User, Passwort, SIP Server, STUN Server)...lostelefonieren...Fertisch. Mein Anbieter ist die Deutsche Glasfaser
Ist das auch dein Voice Provider ? Wenn ja, dann siehe oben.Wahrscheinlich werde ich dazu aber noch ein eigenes Thema eröffnen müssen
Wäre taktisch klüger... wenn Du dann bei Zeiten wieder gute Tipps für mich hast ...
Wenn ich welche habe immer gerne. 
