toemtoemgo
Goto Top

OPNSense, virtualisiert, VLAN Problematik

Hallo Gemeinde,

ich habe ein Problem mit der auf Hyper-V virtualisierten OPNSense.

Diese OPNSense hat mehrere konfigurierte VLANs auf einer Netzwerkschnittstelle und ein VLAN auf einer Netzwerkschnittstelle, die nur für die Kommunikation zsichen vOPNSense und Hyper-V gedacht ist.
Auch hat sie das VLAN lose Interface "LAN", was bei der Ersteinrichtung erstellt wird.
Die Netzwerkkarte der OPNSense, die dann am physischen Netzwerk hängen wird ist im Hyper-V als Vlantrunk eingerichtet, damit die VLANs über eine Schnittstelle geleitet werden können.
Die andere Netzwerkschnittstelle ist exklusiv für das Hyper-V Netzwerk da und hat nur eine VLAN ID.
Das Prolbem ist nun, dass weder der Hyper-V über den internen Switch mit VLAN für das Hyper-V Netzwerk eine IP bekommt per DHCP noch ist es erreichbar, wenn die IP-Konfiguration manuell vornehme.
Ich würde mich gern erst einmal auf das Netzwerk vom Hyper-V zur OPNSense beschränken wollen, weil ich schon froh wäre, wenn dieses wenigstens funktionieren würde.


vlans
assignment
dhcp
firewall
netzwerk130opnsense
intern130

Content-ID: 3935957954

Url: https://administrator.de/forum/opnsense-virtualisiert-vlan-problematik-3935957954.html

Ausgedruckt am: 19.12.2024 um 22:12 Uhr

aqui
aqui 14.09.2022 aktualisiert um 11:13:12 Uhr
Goto Top
Die generelle Frage die sich stellt ist warum du das das dedizierte Interface was nur die Verbindung zum Hyper-V realisiert überhaupt taggst? Wenn das nur ein Punkt zu Punkt Link fürs Management ist wie du sagst, ist ein VLAN Tagging dort doch völlig sinnfrei und überflüssig. Es reicht doch dann wenn du das native Interface da ohne Tags verwendest.
Das Setup oben sagt es ja auch selber das dieser UNtagged Traffic des Management Interfaces der Firewall VM dann vom vSwitch in das VLAN 130 geforwardet wird. Der Zusatz "Diese Einstellung wirkt sich nicht auf das Netzwerk für virtuelle Computer aus" sagte es ja eindeutig.
Sprich der Traffic der FW VM an diesem Port darf nicht tagged sein wird dann aber vom v-Switch in das von dir konfigurierte VLAN 130 geforwardet.
Fazit also: Dein Management Interface darf dort kein Tagging machen!

Du solltest auch immer auf dem Radar haben das das physische Interface die Pakete immer untagged sendet. Du hast also an einem physischen Firewall Interface, das ein Parent Interface für VLANs ist auch immer den native Traffic untagged (PVID). Das solltest du bei deinem Setup beachten.

Wird dir bei Hyper-V zwar wenig nützen aber hier siehst du einmal als grundlegendes Beispiel wie das bei VmWare gelöst ist:
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
ToemToemGo
ToemToemGo 14.09.2022 um 11:23:22 Uhr
Goto Top
Das mit dem Tagged ist einzig und allein zum Testen da, wenn es dort klappt, so dachte ich, übertrage ich es auf das andere Interface.
Die beiden Artikel/Kommentare hatte ich bereits gesehen und nach meinem "Gefühl" ist es so konfiguriert bei mir.
Auch hatte ich überprüft, weil ich es las, ob an den Interfaces die Firewallregeln für DHCP gibt, diese wurden von der OPNSense automatisch angelegt (zu erkennen am Zauberstab).
Ich hatte auch schon porbiert, zumindest in den Netzwerkadaptereinstllungen der VM, das VLAN 0 zu löschen, weil ich dachte, vielleicht gibt das Probleme, dass dort ein VLAN loses VLAN ist, aber auch das nicht.
vlankonfigvm
commodity
commodity 14.09.2022 um 18:36:44 Uhr
Goto Top
Hallo,
... Netzwerkkarte der OPNSense, die dann am physischen Netzwerk hängen wird ist im Hyper-V als Vlantrunk eingerichtet ...
ist denn die physische Netzwerkkarte VLAN-fähig und auch selbst entsprechend konfiguriert?

Viele Grüße, commodity
ToemToemGo
ToemToemGo 14.09.2022 um 20:35:57 Uhr
Goto Top
Hallo commodity,
sollte sie, aber es ich bekomme das "einfache" Vlan mit ID 130 schon nicht zum Laufen und dort ist alles virtuell.
Dani
Dani 14.09.2022 um 21:32:31 Uhr
Goto Top
Moin,
sollte sie...
Bitte kontrollieren/nachschauen und ggf. korrigieren. Denn wenn dort auf der Netzwerkkarte nicht die VLAN ID 130 gesetzt ist, wird es mit der Kommunikation zur Firewall auch nichts werden.


Gruß,
Dani
commodity
commodity 14.09.2022 aktualisiert um 23:41:14 Uhr
Goto Top
Zitat von @Dani:
... Denn wenn dort auf der Netzwerkkarte nicht die VLAN ID 130 gesetzt ist, wird es mit der Kommunikation zur Firewall auch nichts werden.

So ist es. Vielleicht teilst Du uns auch noch den Kartentyp mit und was Du dort konfiguriert hast.

Viele Grüße, commodity