18
Netgear Switch erhält IP Adresse aus falschen VLAN DHCP Range von pfSense
Hallo,
nach dem Lesen einiger Anleitungen hier zum Thema pfSense, VLAN und Netgear (mit seinen Besonderheiten im VLAN Handling) und dem Aufsetzen eines physischen Rechners mit pfSense (2.4.4-RELEASE-p3) sowie eine Netgear Switches (GSE116Ev2) habe ich immer noch ein Problem mit DHCP. Ich hoffe, dass mir einer von Euch damit weiterhelfen kann, da ich mit meinem Latein am Ende bin, da ich eher im Bereich Software und Applikationsbetrieb unterwegs bin.
Nun zu dem konkreten Problem:
Auf der pfSense habe ich einige VLAN eingerichtet: VLAN 10, 20, 30, 40 und 50. Um das Zusammenspiel zu verstehen, nutze ich erst einmal das Default VLAN 1 sowie VLAN 10 und 20. Die anderen VLAN kommen erst später und sind noch nicht vollständig konfiguriert. Auch ist in den VLANs 10 und 20 die Firewall noch offen, damit ich Probleme durch die Firewall erst einmal ausschließen kann; die Rules kommen ebenfalls erst später. Sollte ich da evtl. doch einen Konfig Fehler haben, dann sagt es mir.
Habe ich da was vergessen, poste ich gerne noch weitere Informationen.
Hier nun die Einstellungen der pfSense:
Interfaces
Firewall
DHCP
Der Netgear Switch ist wie folgt konfiguriert (an Port #9 soll später mal ein weiterer Switch angeschlossen werden):
DHCP
VLAN
Internet (ibg0) <--> pfSense <--> Netgear (igb1 von pfSense auf Switch Port #16) <--> Notebook an Switch Port #1
Erwarten würde ich, dass der Netgear Switch eine IP Adresse von Default VLAN 1 bekommt, also im Range 192.168.1.100-199, aber er bekommt 192.168.10.100-199 (hier konkret 192.168.10.102). Mein Notebook bekommt jedenfalls ein 192.168.1.x Adresse (192.168.1.100).
Was habe ich falsch gemacht, dass der Switch per DHCP eine Adresse aus dem Range des VLAN10 bekommt und nicht aus dem Default VLAN1?
Danke für alle Hinweise und Tipps.
Gruß,
Tahbs
nach dem Lesen einiger Anleitungen hier zum Thema pfSense, VLAN und Netgear (mit seinen Besonderheiten im VLAN Handling) und dem Aufsetzen eines physischen Rechners mit pfSense (2.4.4-RELEASE-p3) sowie eine Netgear Switches (GSE116Ev2) habe ich immer noch ein Problem mit DHCP. Ich hoffe, dass mir einer von Euch damit weiterhelfen kann, da ich mit meinem Latein am Ende bin, da ich eher im Bereich Software und Applikationsbetrieb unterwegs bin.
Nun zu dem konkreten Problem:
Auf der pfSense habe ich einige VLAN eingerichtet: VLAN 10, 20, 30, 40 und 50. Um das Zusammenspiel zu verstehen, nutze ich erst einmal das Default VLAN 1 sowie VLAN 10 und 20. Die anderen VLAN kommen erst später und sind noch nicht vollständig konfiguriert. Auch ist in den VLANs 10 und 20 die Firewall noch offen, damit ich Probleme durch die Firewall erst einmal ausschließen kann; die Rules kommen ebenfalls erst später. Sollte ich da evtl. doch einen Konfig Fehler haben, dann sagt es mir.
Habe ich da was vergessen, poste ich gerne noch weitere Informationen.
Hier nun die Einstellungen der pfSense:
Interfaces
Firewall
DHCP
Der Netgear Switch ist wie folgt konfiguriert (an Port #9 soll später mal ein weiterer Switch angeschlossen werden):
DHCP
VLAN
Internet (ibg0) <--> pfSense <--> Netgear (igb1 von pfSense auf Switch Port #16) <--> Notebook an Switch Port #1
Erwarten würde ich, dass der Netgear Switch eine IP Adresse von Default VLAN 1 bekommt, also im Range 192.168.1.100-199, aber er bekommt 192.168.10.100-199 (hier konkret 192.168.10.102). Mein Notebook bekommt jedenfalls ein 192.168.1.x Adresse (192.168.1.100).
Was habe ich falsch gemacht, dass der Switch per DHCP eine Adresse aus dem Range des VLAN10 bekommt und nicht aus dem Default VLAN1?
Danke für alle Hinweise und Tipps.
Gruß,
Tahbs
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 523150
Url: https://administrator.de/contentid/523150
Printed on: April 19, 2024 at 16:04 o'clock
18 Comments
Latest comment
Hi,
Du müsstest am Switch einstellen können, wo er ein Web Interface zur Verfügung stellen soll. Von daher holt er sich auch die IP Adresse, Management VLAN, diese Bild:
Du müsstest am Switch einstellen können, wo er ein Web Interface zur Verfügung stellen soll. Von daher holt er sich auch die IP Adresse, Management VLAN, diese Bild:
Hallo.
Hast Du schon einmal an der PFsense versucht der MAC des Switches im VLAN 1 eine feste DHCP Reservierung zu zuweisen?
Ich habe bei mir fast die identische Umgebung. Jedoch habe ich dem Switch eine statische IP vergeben und lasse diese nicht via DHCP beziehen.
Auf Port 7 hängt bei mir ein AP und Port 3 ist der Uplink zum LAN Port an der PFsense.
@nodricmike: Leider gibt es diese Einstellung bei den ProSafe Switches nicht.
Ich habe folgende VLAN Konfiguration:
Gruß
Radiogugu
Hast Du schon einmal an der PFsense versucht der MAC des Switches im VLAN 1 eine feste DHCP Reservierung zu zuweisen?
Ich habe bei mir fast die identische Umgebung. Jedoch habe ich dem Switch eine statische IP vergeben und lasse diese nicht via DHCP beziehen.
Auf Port 7 hängt bei mir ein AP und Port 3 ist der Uplink zum LAN Port an der PFsense.
@nodricmike: Leider gibt es diese Einstellung bei den ProSafe Switches nicht.
Ich habe folgende VLAN Konfiguration:
Gruß
Radiogugu
@NordicMike:
Wie radiguru schon geschrieben hat, diese Einstellung hat mein Switch (leider) nicht. Danke trotzdem für den Tipp.
tahbs
Wie radiguru schon geschrieben hat, diese Einstellung hat mein Switch (leider) nicht. Danke trotzdem für den Tipp.
tahbs
@radiogugu :
Das habe ich noch nicht gemacht, habe die Möglichkeit zwar gesehen, aber eigentlich hätte ich erwartet, dass das so funktioniert, wie es es konfiguriert habe. Zumal ein Kollege mit seine pfSense Testappliance und eine Test Switch (Netgear GS105Ev2) zur Verfügung gestellt hat. Der Switch war analog zu meinen konfiguriert (nur eben weniger Ports pro VLAN) und wir haben alle Einstellungen sowohl von pfSende und Switch abgeglichen und mit seiner Hardware hat es funktioniert. Bin also weiterhin ratlos, aber werde Deinen Tipp ebenfalls probieren.
Gruß,
tahbs
Das habe ich noch nicht gemacht, habe die Möglichkeit zwar gesehen, aber eigentlich hätte ich erwartet, dass das so funktioniert, wie es es konfiguriert habe. Zumal ein Kollege mit seine pfSense Testappliance und eine Test Switch (Netgear GS105Ev2) zur Verfügung gestellt hat. Der Switch war analog zu meinen konfiguriert (nur eben weniger Ports pro VLAN) und wir haben alle Einstellungen sowohl von pfSende und Switch abgeglichen und mit seiner Hardware hat es funktioniert. Bin also weiterhin ratlos, aber werde Deinen Tipp ebenfalls probieren.
Gruß,
tahbs
Ok... ich habe mal daraufhin weiter gegoogelt und eine Aussage gefunden, dass der Switch „immer“ auf VLAN 1 reagiert.
Also scheint auf VLAN1 auch der DHCP Server vom VLAN10 mit zu horchen. Das kannst Du prüfen, indem Du den DHCP auf VLAN 1 kurzzeitig ausschaltest. Wenn dann Dein Notebook und Dein Switch eine x.x.10.x Adresse bekommen (nach einem Neustart), hast Du zwei DHCP Server (oder mehr) auf VLAN 1 gehabt.
Dann routet entweder pfSense zwischen den VLANs oder noch ein anderes Gerät.
Also scheint auf VLAN1 auch der DHCP Server vom VLAN10 mit zu horchen. Das kannst Du prüfen, indem Du den DHCP auf VLAN 1 kurzzeitig ausschaltest. Wenn dann Dein Notebook und Dein Switch eine x.x.10.x Adresse bekommen (nach einem Neustart), hast Du zwei DHCP Server (oder mehr) auf VLAN 1 gehabt.
Dann routet entweder pfSense zwischen den VLANs oder noch ein anderes Gerät.
Hier ist eigentlich wirklich ALLES erklärt was man zu dem Thema wissen muss:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und die entsprechende NetGear Konfig dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der typische Anfängerfehler der gemacht wird, ist das fast immer vergessen wird das das Parent Interface der pfSense, sprich also das physische Interface selber, alle Pakete immer untagged sendet !!!
Hier ist also am Switchport immer wichtig wie die PVID eingestellt ist, also die VLAN ID in die die untagged Pakete an einem Tagged Uplink geforwardet werden.
Meist ist das das VLAN 1 wenn man es nicht entsprechend anderes setzt und das darf dann nie tagged eingestellt sein an dem Port des Switches wo die Firewall angeschlossen ist. PVID ist dann 1.
Das o.a. Tutorial geht explizit darauf ein...wenn man es denn wirklich liest.
Zudem findet man in den Weiterführenden Links noch einen Thread der dieses Thema PVID nochmal genau beschreibt !
Zu 98% ist der o.a. Fehler also ein falsch oder fehlerhaft eingestelltes PVID beim Switch !
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und die entsprechende NetGear Konfig dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Der typische Anfängerfehler der gemacht wird, ist das fast immer vergessen wird das das Parent Interface der pfSense, sprich also das physische Interface selber, alle Pakete immer untagged sendet !!!
Hier ist also am Switchport immer wichtig wie die PVID eingestellt ist, also die VLAN ID in die die untagged Pakete an einem Tagged Uplink geforwardet werden.
Meist ist das das VLAN 1 wenn man es nicht entsprechend anderes setzt und das darf dann nie tagged eingestellt sein an dem Port des Switches wo die Firewall angeschlossen ist. PVID ist dann 1.
Das o.a. Tutorial geht explizit darauf ein...wenn man es denn wirklich liest.
Zudem findet man in den Weiterführenden Links noch einen Thread der dieses Thema PVID nochmal genau beschreibt !
Zu 98% ist der o.a. Fehler also ein falsch oder fehlerhaft eingestelltes PVID beim Switch !
Hallo aqui,
danke für die Rückmeldung. Ich werde mir das noch einmal genau ansehen und berichten, was draus geworden ist.
Gruß,
tahbs
danke für die Rückmeldung. Ich werde mir das noch einmal genau ansehen und berichten, was draus geworden ist.
Gruß,
tahbs
Wir sind gespannt ! 
Hallo @aqui,
ich habe mir noch mal die Einstellung am Switch angesehen:
ich habe mir noch mal die Einstellung am Switch angesehen:
- An Port 16 (Uplink) ist die pfSense angeschlossen, dort habe ich VLAN 10, 20 als Tagged und VLAN 1 als Untagged eingetragen sowie PVID auf 1 gesetzt.
- Habe ich da einen Denkfehler?
die pfSense angeschlossen, dort habe ich VLAN 10, 20 als Tagged und VLAN 1 als Untagged eingetragen sowie PVID auf 1 gesetzt.
Das ist dann absolut richtig !Dann kann der Fehler nur in der IP Range der DHCP Server liegen ! Überprüfe also genau das DHCP Server Setup der pfSense das es zu den 3 VLANs passt.
Zum Testen definierst du dir 3 Untagged Testports auf deinem Switch. Je einen in VLAN 1, 10 und 20 und setzt die Port PVIDs ebenso auf 1, 10 und 20.
So hast du dann 3 untagged Endgeräteports auf dem Switch.
Dann nimmst du einen Test Rechner/Laptop und steckst den abwechselnd in einen dieser 3 Ports.
Du solltest dann immer die korrekte IP aus VLAN 1, aus VLAN 10 und auch aus VLAN 20 bekommen !! (Check mit ipconfig = Winblows bzw. ifconfig = Linux)
Hallo @aqui,
an den Ports bekommt das Notebook die richtigen IP (also passend zur VLAN Zugehörigkeit des Ports). Nur der Switch selbst zieht sich eine IP vom VLAN 10 statt VLAN 1.
Gruß,
tahbs
an den Ports bekommt das Notebook die richtigen IP (also passend zur VLAN Zugehörigkeit des Ports). Nur der Switch selbst zieht sich eine IP vom VLAN 10 statt VLAN 1.
Gruß,
tahbs
Nur der Switch selbst zieht sich eine IP vom VLAN 10 statt VLAN 1
OK, das ist dann ein Fehler im management Setup !Normal im Default ist die Management IP immer an das Default VLAN 1 gebunden. Man kann das aber im Setup fast aller Switches in ein anderes VLAN legen.
Du hast also irgendwo im Setup des Switches dessen Management Port in das VLAN 10 gelegt !
Hier mal ein Beispiel von einem Cisco SoHo Switch:
Das musst du also wieder ins VLAN 1 korrigieren, dann bekommt der Switch auch seine richtige IP aus dem richtigen VLAN !
Schau mal oben auf meine erste Antwort ;c)
Werde mir Eure beiden Vorschläge ansehen und berichten. Danke!
So das hat nun etwas gedauert, aber leider habe ich nirgends bei dem Switch eine Möglichkeit gefunden, die Management IP ans VLAN 1 zu binden; auch wird nirgendswo VLAN 10 angezeigt. Siehe auch Kommentar von @radiogugu (Netgear Switch erhält IP Adresse aus falschen VLAN DHCP Range von pfSense).
Ich werde wohl dem Switch manuelle eine feste IP aus dem VLAN 1 (192.168.1.xxx, außerhalb DHCP Range) zuordnen müssen.
Ich werde wohl dem Switch manuelle eine feste IP aus dem VLAN 1 (192.168.1.xxx, außerhalb DHCP Range) zuordnen müssen.
bei dem Switch eine Möglichkeit gefunden, die Management IP ans VLAN 1 zu binden
Das ist bei ALLEN Switches am Markt der Default !!!Man kann nur vermuten das du das default VLAN 1 vom Switch auf der anderen Seite in ein völlig anderes VLAN konfiguriert hast.
Das der NetGear GS116E kein L3 Switch ist hängt seine Management IP immer im VLAN 1.
Mit dem Uplink hast du aber zu 99% sein VLAN 1 in ein anderes VLAN gehängt und so bekommst du dann auf dem vermeintlichen VLAN 1 des NetGear logischerweise dann eine andere IP.
Fragt sich allso wohin der Uplink des Switches terminiert (Router, Firewall ?) und wie an dem Port die VLAN Zuordnung ist ?!
Das VLAN 1 des Switches ist immer untagged auch an einem Tagged Uplink.
Steckt dieser Port also z.B. dann auf der anderen Seite in einem untagged Port vom VLAN x, dann bekommt der NetGear immer eine IP aus dem VLAN x. Logisch !
Der Uplink des Switches terminiert an der Firewall (pfSense, s.o.) auf igb1. Dort habe ich auch die VLAN 10, 20, ... Firewall seitig drauf gebunden.
Muss ich ggf. noch ein VLAN 1 anlegen, das gibt es so explizit nicht? Ich dachte, dass sei immer vorhanden und VLAN 1 = normales LAN (also igb1)? Ist das mein Denkfehler?
Muss ich ggf. noch ein VLAN 1 anlegen, das gibt es so explizit nicht? Ich dachte, dass sei immer vorhanden und VLAN 1 = normales LAN (also igb1)? Ist das mein Denkfehler?
Der Uplink des Switches terminiert an der Firewall (pfSense, s.o.) auf igb1
Dann hast du da ganz sicher außer Acht gelassen das das native Interface (Parent) also das physische Interface immer untagged ausgesendet wird ! Bei dir also igb1 native !Hast du hier also auch eine IP vergeben und den Tagged Uplink des Switches dort angeschlossen, dann bekommt das Management Interface des Switches so immer die IP des physischen Interfaces.
Kann das sein das du diesen Punkt außer Acht gelassen hast ??
Muss ich ggf. noch ein VLAN 1 anlegen, das gibt es so explizit nicht?
Nein, denn siehe oben !Das VLAN 1 (Default VLAN) ist das IP Netz was direkt auf deinem igb1 Interface liegt !
Ich dachte, dass sei immer vorhanden und VLAN 1 = normales LAN (also igb1)?
Richtig gedacht !! So ist es auch !Kannst du auch selber ganz einfach sehen. Schliesse einen Wireshark Sniffer an den Firewal igb1 Port an und sniffer mit was da kommt wenn du unter Diagnostic --> Ping einen Ping mit der Source IP "LAN" sendest.
Der kommt untagged und wenn du das wiederholst mit den VLAN Interfaces kommen die mit einem entsprechenden VLAN Tag.
Guckst du hier mal als Beispiel mit einem VLAN 14 Tag:
Solltest du keine IP und/oder DHCP dort haben auf der pfSense idb1, dann kommt ein anderes VLAN oder DHCP Server über einen misskonfigurierten Port von irgendwoher in das VLAN 1 des Switches.
