3
PfSense DHCP im VLAN aus falscher Ethernetschnittstelle
Hallo zusammen,
ich hänge gerade an einem Problem mit pfSense. Ich wäre für jede Idee, was das sein kann, dankbar.
Folgende Hardware
APU1D4 mit pfSense 2.2.2 (amd64, LiveCD install mit embedded Kernel (serial)) auf mSATA SSD
Funktion als L3-Router/Firewall
bisher Keine Erweiterungen geladen
3 vorhandene Ethernet-Ports mit folgender Zuordnung.
re0 WAN
re1 LAN
re2 OPT1
Konfiguration
WAN: an Speedport LTE, IP über DHCP 192.168.177.1/24
LAN: 2 VLANs definiert, jedes mit eigenem DHCP
VLAN 10: 10.0.10.1/24 DHCP 10.0.10.10..200
VLAN 20: 10.0.20.1/24 DHCP 10.0.20.10..200
OPT1: eigener Bereich, 10.1.1.1/8 DHCP 10.0.0.10...
An re1 (LAN) hängt ein L2-Managed-Switch (tagged auf Port 1) der die VLANs untagged auf Port 2 und 3 ausgibt. Klappt alles einwandfrei. Die Bereiche sind gegenseitig dicht. Grundsätzlich sind die beiden VLANs identisch konfiguriert. Eigener Bereich, DHCP, keine interne Kommunikation. Es gibt (mittlerweile) auch keine Firewall-Regel in pfSense mehr, die irgendetwas erlauben würde.
DHCP läuft einwandfrei in den beiden VLANs. Der auf OPT1 auch, nur nicht gleichzeitig.
Das Problem: Sobald der DHCP auf OPT1 aktiviert wird, erhalten die VLANs nur noch 10.x.x.x/8 Adressen, nicht die ihres eigenen DHCP. Deaktiviere ich DHCP an OPT1, erhalten die VLANs wieder die korrekten Adressen, also 10.0.10.x bzw. 10.0.20.x
Alle Versuche, das Problem zu lokalisieren, schlagen fehl. Im DHCP Log steht einfach, dass dem VLAN 10 die Adresse 10.1.1.x/8 zugewiesen wurde. Fertig. Tja, das habe ich auch ohne Log bemerkt.
Im pfSense Forum hatte jemand vor drei Jahren exakt das gleiche Problem. Dort stellte sich heraus, dass es eine Bridge gab, die der User gar nicht angelegt hatte, pfSense zeigte keine Bridge im WebConfigurator an, ein ifconfig -a brachte die Bridge aber zutage. Bei mir ist da aber keine Bridge.
Gibt es vielleicht irgendeine nicht dokumentierte Priorisierung zwischen den physikalischen LAN-Schnittstellen und VLANs, z.B. erst alle echten Schnittstellen routen, dann die virtuellen? Aus einem mir nicht erklärlichen Grund landen die DNS-Anfragen aus den VLANs wohl zuerst im re2, also OPT1.
Das ganze geschieht übrigens, ohne dass in OPT1 ein Kabel stecken würde. Irgendwelche Bridges wie gesagt, statische Routen usw. gibt es nicht.
Ich kann´s mir nicht erklären. Hat da irgendjemand eine Idee?
ich hänge gerade an einem Problem mit pfSense. Ich wäre für jede Idee, was das sein kann, dankbar.
Folgende Hardware
APU1D4 mit pfSense 2.2.2 (amd64, LiveCD install mit embedded Kernel (serial)) auf mSATA SSD
Funktion als L3-Router/Firewall
bisher Keine Erweiterungen geladen
3 vorhandene Ethernet-Ports mit folgender Zuordnung.
re0 WAN
re1 LAN
re2 OPT1
Konfiguration
WAN: an Speedport LTE, IP über DHCP 192.168.177.1/24
LAN: 2 VLANs definiert, jedes mit eigenem DHCP
VLAN 10: 10.0.10.1/24 DHCP 10.0.10.10..200
VLAN 20: 10.0.20.1/24 DHCP 10.0.20.10..200
OPT1: eigener Bereich, 10.1.1.1/8 DHCP 10.0.0.10...
An re1 (LAN) hängt ein L2-Managed-Switch (tagged auf Port 1) der die VLANs untagged auf Port 2 und 3 ausgibt. Klappt alles einwandfrei. Die Bereiche sind gegenseitig dicht. Grundsätzlich sind die beiden VLANs identisch konfiguriert. Eigener Bereich, DHCP, keine interne Kommunikation. Es gibt (mittlerweile) auch keine Firewall-Regel in pfSense mehr, die irgendetwas erlauben würde.
DHCP läuft einwandfrei in den beiden VLANs. Der auf OPT1 auch, nur nicht gleichzeitig.
Das Problem: Sobald der DHCP auf OPT1 aktiviert wird, erhalten die VLANs nur noch 10.x.x.x/8 Adressen, nicht die ihres eigenen DHCP. Deaktiviere ich DHCP an OPT1, erhalten die VLANs wieder die korrekten Adressen, also 10.0.10.x bzw. 10.0.20.x
Alle Versuche, das Problem zu lokalisieren, schlagen fehl. Im DHCP Log steht einfach, dass dem VLAN 10 die Adresse 10.1.1.x/8 zugewiesen wurde. Fertig. Tja, das habe ich auch ohne Log bemerkt.
Im pfSense Forum hatte jemand vor drei Jahren exakt das gleiche Problem. Dort stellte sich heraus, dass es eine Bridge gab, die der User gar nicht angelegt hatte, pfSense zeigte keine Bridge im WebConfigurator an, ein ifconfig -a brachte die Bridge aber zutage. Bei mir ist da aber keine Bridge.
Gibt es vielleicht irgendeine nicht dokumentierte Priorisierung zwischen den physikalischen LAN-Schnittstellen und VLANs, z.B. erst alle echten Schnittstellen routen, dann die virtuellen? Aus einem mir nicht erklärlichen Grund landen die DNS-Anfragen aus den VLANs wohl zuerst im re2, also OPT1.
Das ganze geschieht übrigens, ohne dass in OPT1 ein Kabel stecken würde. Irgendwelche Bridges wie gesagt, statische Routen usw. gibt es nicht.
Ich kann´s mir nicht erklären. Hat da irgendjemand eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274048
Url: https://administrator.de/contentid/274048
Printed on: April 19, 2024 at 11:04 o'clock
3 Comments
Latest comment
Na ja, das fällt auch einem Azubi im ersten Lehrjahr sofort auf was bei dir falsch ist !
Du hast einen IP Adressfehler begangen !
Du kannst doch nicht 2 mal /24 er Netze konfigurieren und dann auf einem Adapter ein /8 er Netpz das wiederum beide /24 er Netze inkludiert auf einem Router.
Sorry, aber das ist IP Adresstechnischer Schwachsinn, denn ein Routing ist somit nicht mehr möglich.
Nimm für deine beiden VLANs 172er Adressen oder fürs OPT auch eine Maske die /24 ist im 10er Netz.
Du hast einen IP Adressfehler begangen !
Du kannst doch nicht 2 mal /24 er Netze konfigurieren und dann auf einem Adapter ein /8 er Netpz das wiederum beide /24 er Netze inkludiert auf einem Router.
Sorry, aber das ist IP Adresstechnischer Schwachsinn, denn ein Routing ist somit nicht mehr möglich.
Nimm für deine beiden VLANs 172er Adressen oder fürs OPT auch eine Maske die /24 ist im 10er Netz.
Danke für die Antwort, wenngleich ich den Ton nicht für angemessen halte.
Von Schwachsinn zu sprechen, wenn jemand ein ernsthaftes Problem hat und nicht mehr weiter weiß finde ich ziemlich daneben.
Wie man meinen Ausführungen entnehmen kann hat OPT1 überhaupt keinen Zugang zu den VLANs, das /8er Netz "inkludiert" also gar keine /24er Netze. OPT1 ist ein völlig eigenständiger Bereich, der selbstverständlich einen ganz anderen IP-Bereich mit anderem Subnetz haben kann.
Ich habe mich extra wegen dieses Problems hier angemeldet, weil mir das Niveau dieses Forums sehr hoch vorkam. Wenn noch nicht mal die Fragestellung richtig gelesen wird, dann hat sich das mit dieser Antwort erst mal nicht bestätigt.
Von Schwachsinn zu sprechen, wenn jemand ein ernsthaftes Problem hat und nicht mehr weiter weiß finde ich ziemlich daneben.
Wie man meinen Ausführungen entnehmen kann hat OPT1 überhaupt keinen Zugang zu den VLANs, das /8er Netz "inkludiert" also gar keine /24er Netze. OPT1 ist ein völlig eigenständiger Bereich, der selbstverständlich einen ganz anderen IP-Bereich mit anderem Subnetz haben kann.
Ich habe mich extra wegen dieses Problems hier angemeldet, weil mir das Niveau dieses Forums sehr hoch vorkam. Wenn noch nicht mal die Fragestellung richtig gelesen wird, dann hat sich das mit dieser Antwort erst mal nicht bestätigt.
Von Schwachsinn zu sprechen, wenn jemand ein ernsthaftes Problem
Sorry aber hier schiesst du mit Kanonen auf Spatzen. Wäre ja ganz so als würde man einen leichten Schnupfen den man sich fahrlässig zugezogen hat als lebensbedrohlich zu bezeichnen... Das "ernsthafte" Problem ist ja, wenn du es mal fair zugibst, ein reines PEBCAK Problem was gar nicht passiert wäre, wenn man in den grundlegenden IP Adressierungs Design nicht so gepfuscht hätte.IP Netzdesign lernt jeder Azubi im ersten Lehrjahr und hätte dir eigentlich schon beim Eintippen der IP Adressen auffallen müssen. Da von "ernsthaft" zu sprechen ist ja nun wahrlich nicht nachvollziehbar...aber nundenn.
Klar tut es weh einen Spiegel vorgehalten zu bekommen aber das sollte man aushalten können als Laie in einem Administrator Forum in das du dich ja bewusst eingewählt hast.
Gut, genug zu dem Thema und sehen wir das jetzt mal gelassen und ohne Emotionen und schieben das mal auf deine rudimentären IP Kenntisse die ja nun hoffentlich nicht mehr existent sind nach diesem Thread ?!
OK....bleiben wir mal bei der Technik und der eingehenden Fragestellung:
OPT1 überhaupt keinen Zugang zu den VLANs, das /8er Netz "inkludiert" also gar keine /24er Netze. OPT1 ist ein völlig eigenständiger Bereich
Sorry, aber das ist IP technischer Unsinn ! (oder war das jetzt wieder zu hart...?!?)Auf der Firewall hast du doch 3 IP Netze definiert wie du oben selber schreibst:
VLAN 10: 10.0.10.1/24
VLAN 20: 10.0.20.1/24
OPT1: 10.1.1.1/8
Die Firewall muss also eine eindeutige Wegefindung garantieren mit diesen 3 IP Netzen !
Das Knackpunkt ist hier aber nun das OPT 1 Interface, denn das überstreicht durch seine /8er Maske ja den gesamten 10er Bereich als Hostadressen !
Das heisst die IP Adressen 10.0.0.1 bis 10.255.255.254 sind für die Firewall ALLES Hostadressen in diesem Netzwerk !!!
Da ist es dann völlig sinnfrei wenn du die IP Netze 10.0.10.1/24 und 10.0.20.1/24 dann noch definierst, denn das /8er Netz an OPT1 "tötet" quasi diese Netze, denn wie soll die Firewall nun Adressen aus diesen beiden Netzen noch sauber routen können wenn sie für sie ja Hostadressen des OPT1 Interfaces sind ??
Die 8er Maske "überstimmt" also wenn du so willst die /24er Masken.
Die Firewall weiss also gar nicht mehr ob sie ein eingehendes Paket aus diesen beiden /24er Netzen nun dem OPT1 Interface routen soll oder in eins der VLAN 10 oder 20 Interfaces.
Das Routing ist dahei NICHT mehr eindeutig und auch nicht mehr möglich durch die sich bei dir vollkommen überschneidenden IP Netzwerk Adressen !
Abgesehen mal von der technischen Sinnhaftigkeit ein IP Subnetz (/8) anzulegen was 16 Millionen Hostadressen hat 16.777.214)
Es bleibt also dabei: Deine IP Adressierung der 3 Interfaces ist Unsinn und so definitiv nicht machbar.
Wenn du das sinnvoll korrigierst, dann wird das auch fehlerlos klappen.
Ein gangbarer Weg ist es das IP Subnetz des OPT1 Interfaces entsprechend anzupassen ala:
VLAN 10: 10.0.10.1 /24
VLAN 20: 10.0.20.1 /24
OPT1: 10.1.1.1 /16
Mit der /16 Maske überstreichst du einen Hostadress Bereich von nun 10.1.0.1 bis 10.1.255.253 mit immerhin noch 65tausend (65.534) gültigen Hostadressen was vermutlich für dich immer noch allemal reichen dürfte. (Vermutlich reicht auch hier eine /24 Maske ?!)
Damit ist das IP Forwarding für die Firewall dann eindeutig und alle deine Probleme sind auf einen Schlag verschwunden !
