damopsi
Goto Top

PFsense 2x VDSL Telekom

Hallo Zusammen,

vor ein paar Wochen haben wir einen unserer Internetanschlüsse bereits auf VDSL von der Telekom umgestellt.
Die PFsense ist als Router deklariert (PPPoe Einwahl) und der Zyxel Router von der Telekom fungiert als Modem.
Zudem ist es bei uns so, dass die Räume, in der sich die Firewall und der Anschluss von der Telekom befindet unterschiedlich sind.
Somit habe ich die Strecke durch unsere Switche bis auf die NIC an der Firewall vom Modem "durchgeschleift". Hierfür ist das VLAN 20
eingetragen. Zudem habe ich hier den VLAN Tag 7 mitgegeben, da dies ja die Vorraussetzung ist, dass die Einwahl vom VDSL klappt.
Alles schön und gut. Gestern wurde dann der zweite Anschluss seitens der Telekom migriert, selbes Szenario wieder eingerichtet, diesmal
im VLAN 18 und ebenso mit dem VLAN Tag 7. Grundsätzlich erstmal soweit so gut. Beide Anschlüsse wählen sich ein, erhalten eine IP. Jetzt ist
jedoch das Problem, dass keiner der beiden Anschlüsse richtig funktioniert. Ein Surfen ist unmöglich der Ping reist nach 3 mal gleich ab.
Mir ist durchaus bewusst, dass dies am setzen des VLAN Tags 7 liegt. Entferne ich diesen jedoch bei einem der beiden Anschlüsse
kann dieser sich natürlich gar nicht einwählen. Jedoch fällt mir gerade nichts anderes ein als dass ich für einen der beiden Anschlüsse
den Zyxel Router die Einwahl übernehme lasse, was ich aber eigentlich nicht priorisiere.

Hatte / Hat hier jemand schon mal dieses Szenario? Wenn ja wie habt ihr das gelöst bzw. eine Idee dies zu lösen.

Sollten noch Informationen benötigt werden bitte Bescheid geben.
Danke!

Content-ID: 387194

Url: https://administrator.de/contentid/387194

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

moJ090
moJ090 21.09.2018 aktualisiert um 08:40:30 Uhr
Goto Top
Moin,
Ich verstehe nicht ganz wieso du zwei Vans an der pfsense konfigurierst die laufen ja über das selbe Switch zu den Modems oder?

Hab ich selbst noch nie gemacht aber wie soll dann die pfsense unterscheiden welches Modem es nutzen soll?

Kann dein Modem den vlan Tag 7 entfernen? Wenn ja lass das Modem das übernehmen entferne das vlan 7 auf der pfsense die anderen beiden vlans lässt du aber für jedes Modem-> pfsense ein eigenes.

Wenn ich dich richtig verstanden habe sollte das dann funktionieren.


Kurz eine Skizze ob ich es richtig verstanden habe?
Ist:

Telekom1 -vlan7-> Modem1 -vlan20&vlan7> pfsense port1

Telekom2 -vlan7-> Modem2 -vlan18&vlan7-> pfsenseport2

Wenn ja dann
Soll:
Telekom1 -vlan7-> Modem1 -vlan20> pfsense port1

Telekom2 -vlan7-> Modem2 -vlan18-> pfsenseport2

Vorrausgesetzt du kannst das vlan am Modem entfernen lassen!

Wenn du ein speedlink 5501 hast geht das nur im routermodus mit pppoe passthrough

Sonst ist alles richtig konfiguriert? Regeln natusw.?

Gruß Mojo
daMopsi
daMopsi 21.09.2018 um 09:20:28 Uhr
Goto Top
Hi,

danke für deine Antwort.

Ja wir haben an beiden Anschlüssen einen Speedlink 5501.

Ich hab jetzt bei dem zweiten Anschluss den Routermodus gelassen und das pppoe passthrough
aktiv gesetzt.
Ansonsten hab ich erstmal alle Einstellungen so gelassen..

Skizziert würde das so aussehen:

PFsensePort2 (ohne VLAN Tag) <VLAN 20 über die Switche> SpeedLink LAN Port 2
Hab ich hier noch etwas vergessen zu konfigurieren oder stimmt hier etwas noch nicht?

Danke
moJ090
moJ090 21.09.2018 um 09:36:10 Uhr
Goto Top
Hallo,

und wie hast du es jetzt mit dem VLAN7 konfiguriert? Wird es vom Modem entfernt bzw. hast du die EInstellung dafür gesetzt?
aqui
aqui 21.09.2018 aktualisiert um 10:24:37 Uhr
Goto Top
Hatte / Hat hier jemand schon mal dieses Szenario?
Das gibt es millionenfach...

Wo genau hast du den den VLAN 7 Tag mitgegeben ??
Das kann ja technisich nur am Modem selber passieren und sollte auch so sein.
Was niemals geht ist das du im VLAN 20 einen VLAN 7 Tag sendest. Das ist Blödsinn und lässt sich auch gar nicht auf einem Switch konfigurieren. (Jetzt mal abgesehen von Switches die Metro Funktionen mit Double Tagging supporten !)
Die Kardinalsfrage ist:
Was hast du da gruseliges konfiguriert in Bezug aufs Tagging ??

Die Vorgehensweise ist generell richtig von dir.
Wenn die FW an einer anderen Lokation ist und du die beiden PPPoE WAN Ports an die Modems transportieren musst nimmst du dafür isolierte VLANs wie bei dir 18 und 20
Die Endports zur Firewall und zu den Modems sind dann jeweils Untagged.
Das VLAN 7 Tagging MUSS hier das Modem machen in so einem Setup !
Details dazu kannst du hier nachlesen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Klar, du könntest das auch mit der Firewall machen, dann kommen ja aber schon mit einem VLAN 7 Tag versehene Pakete direkt aus dem WAN Port raus.
Folglich muss auch der Switchport auf Tagged ins VLAN 7 gesetzt sein.
Mit einem 2ten Port hast du nun aber ein Problem logischerweise.
Würde die Firewall den auch taggen mit der ID 7 dann hast du am Switch wieder einen Tagged 7 Port und damit wären dann beide WAN Port physisch am Switch zusammen im VLAN 7 was natürlich tödlich ist, denn damit sind die WAN Ports nicht mehr isoliert und getrennt. Seitens PPPoE gibts das dann ein Chaos.

Die Frage bleibt also was du da konfiguriert hast ?!
Alles zu einem Dual WAN Setup mit Balancing und Failover der pfSense findest du hier:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
https://www.netgate.com/docs/pfsense/routing/index.html