13
PfSense und VLANs mit LAGG
Hallo,
ich habe ein Mikrotik Switch Netzwerk welches über 2 LWL an die pfSense angeschlossen ist
pfSense:
ixl2 = 2 Mikrotik Router
ixl3 = 3 Mikrotik Router
Die Mikrotiks haben auf VLAN10 das Management und sind per Uplink miteinander verbunden.
Ich habe die VLANs:
10
100
300
400
Nun habe ich beide LWL per LAGG zusammengefasst, damit die pfSense als nur ein Interface zu nutzen ist:
Ich habe die VLAN angelegt:
Ich habe die Interfaces angelegt:
Als Firewall Regel habe ich bei allen einmal:
DHCP habe ich auch bei allen eingerichtet.
Wenn ich nun aber versuche, in der pfSense einen Ping an einen Switch zu senden, erhalte ich ein Timeout.
Den LWL Port am switch meine ich richtig gesetzt zu haben. Gleich wie alle anderen über den uplink, die ja auch funktionieren
Darum denke ich das es an der pfSense liegt ... sieht jemand einen Fehler?
Danke!
ich habe ein Mikrotik Switch Netzwerk welches über 2 LWL an die pfSense angeschlossen ist
pfSense:
ixl2 = 2 Mikrotik Router
ixl3 = 3 Mikrotik Router
Die Mikrotiks haben auf VLAN10 das Management und sind per Uplink miteinander verbunden.
Ich habe die VLANs:
10
100
300
400
Nun habe ich beide LWL per LAGG zusammengefasst, damit die pfSense als nur ein Interface zu nutzen ist:
Ich habe die VLAN angelegt:
Ich habe die Interfaces angelegt:
Als Firewall Regel habe ich bei allen einmal:
DHCP habe ich auch bei allen eingerichtet.
Wenn ich nun aber versuche, in der pfSense einen Ping an einen Switch zu senden, erhalte ich ein Timeout.
Den LWL Port am switch meine ich richtig gesetzt zu haben. Gleich wie alle anderen über den uplink, die ja auch funktionieren
Darum denke ich das es an der pfSense liegt ... sieht jemand einen Fehler?
Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 561915
Url: https://administrator.de/contentid/561915
Ausgedruckt am: 05.11.2024 um 09:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo.
Wie sehen denn die IP-Ranges bei den einzelnen VLANs aus?
Hast Du die Gateways in den Netzen korrekt hinterlegt?
Bist Du mal die VLAN Tutorials von @aqui hier durchgegangen?
Gruß
Radiogugu
Wie sehen denn die IP-Ranges bei den einzelnen VLANs aus?
Hast Du die Gateways in den Netzen korrekt hinterlegt?
Bist Du mal die VLAN Tutorials von @aqui hier durchgegangen?
Gruß
Radiogugu
um beim Management zuerst zu bleiben:
Gateways? Nimmt er die nicht automatisch?
Internetzugang muss noch nicht sein. Zuerst möchte ich über den Trunk alle Switch erreichen
Gateways? Nimmt er die nicht automatisch?
Internetzugang muss noch nicht sein. Zuerst möchte ich über den Trunk alle Switch erreichen
Auf dem DHCP Server in der PFSense ja, das ist korrekt.
Hast Du die Switches denn auch entsprechend mit Tags versehen für die einzelnen VLANs?
Das standardmäßige VLAN 1 muss man ja nicht unbedingt taggen, aber alle Benutzerdefinierten schon.
Gruß
Radiogugu
Hast Du die Switches denn auch entsprechend mit Tags versehen für die einzelnen VLANs?
Das standardmäßige VLAN 1 muss man ja nicht unbedingt taggen, aber alle Benutzerdefinierten schon.
Gruß
Radiogugu
Hallo,
ja, die Switch sind alle getagged.
Hab nun nur einen Kupferport auf VLAN10 getestet. Selbes Ergebnis.
Hab aus einem uplink Port des Switches angesteckt (der funktioniert zu 100%)
Es gibt wohl ein allg. Problem auf der pfSense. Das Supermicro Board wird ja wohl hoffentlich nicht schuld sein.
ja, die Switch sind alle getagged.
Hab nun nur einen Kupferport auf VLAN10 getestet. Selbes Ergebnis.
Hab aus einem uplink Port des Switches angesteckt (der funktioniert zu 100%)
Es gibt wohl ein allg. Problem auf der pfSense. Das Supermicro Board wird ja wohl hoffentlich nicht schuld sein.
Wie sieht denn an einem Client die IP Konfiguration aus? Bekommt er denn überhaupt eine IP vom DHCP Server oder keine (169.x.x.x)?
Gruß
Radiogugu
Gruß
Radiogugu
Wenn ich nun aber versuche, in der pfSense einen Ping an einen Switch zu senden, erhalte ich ein Timeout.
Da du ja mehrere VLANs überträgst ist jetzt die spannende Frage: WELCHE IP in WELCHEM VLAN ??Können wir davon ausgehen das der Mikrotik Switch rein nur Layer 2 macht, sprich also keinerlei IP Adressen mit Ausnahme einer einzigen im Management VLAN hat ??
Die große Frage ist dann auch: Welches VLAN ist das Management VLAN aus dem MT Switch ?
Das solltest du erstmal sicher klären bevor wir ins Eingemachte gehen.
Auch noch einmal genau die VLAN Konfig des Mikrotiks überprüfen:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Wobei du dir das Anlegen der VLAN IP Adressen dann wegsenken kannst. Bis auf die eine im Management VLAN natürlich !
Hallo Aqui,
das Management VLAN der MT ist 10
Ich habe die LWL Ports in der Trunkenste, genauso wie die Kupferports für den Uplink. Da ich von einem MT alle anderen administrieren kann, muss das LWL Trunk passen.
Die IPs:
VLAN10: 10.10.10.0/24
VLAN100: 10.1.1.0/24
VLAN300: 10.1.4.0/22
VLAN400: 10.1.8.0/24
Ich hänge auf der pfSense am Port1 und versuche über die Weboberfläche die MT zu pingen. Aber immer 100% loss
Noch etwas zum LAGG:
Ich habe 2 LWL an der pfSense, von 2 Switchgruppen.
Da an LWL1 und LWL2 jeweils das VLAN10, VLAN400 erreichbar sein soll, würde ich beide LWL Ports gerne als einen behandeln. Somit habe ich auch nur eine IP Adresse.
LWL1 geht zu Switch A und LWL2 geht zu Switch B(!)
Klappt das überhaupt so? Oder muss LAGG immer auf den selben Switch bezogen werden?
das Management VLAN der MT ist 10
Ich habe die LWL Ports in der Trunkenste, genauso wie die Kupferports für den Uplink. Da ich von einem MT alle anderen administrieren kann, muss das LWL Trunk passen.
Die IPs:
VLAN10: 10.10.10.0/24
VLAN100: 10.1.1.0/24
VLAN300: 10.1.4.0/22
VLAN400: 10.1.8.0/24
Ich hänge auf der pfSense am Port1 und versuche über die Weboberfläche die MT zu pingen. Aber immer 100% loss
Noch etwas zum LAGG:
Ich habe 2 LWL an der pfSense, von 2 Switchgruppen.
Da an LWL1 und LWL2 jeweils das VLAN10, VLAN400 erreichbar sein soll, würde ich beide LWL Ports gerne als einen behandeln. Somit habe ich auch nur eine IP Adresse.
LWL1 geht zu Switch A und LWL2 geht zu Switch B(!)
Klappt das überhaupt so? Oder muss LAGG immer auf den selben Switch bezogen werden?
Wie ist denn nun die IP Konfiguration der Switches? Alle nur im Mangement VLAN 10 oder haben die jeweils andere IPs?
Gruß
Radiogugu
Gruß
Radiogugu
Hallo,
so, bin nun weiter gekommen. Meine Netzwerkplanung war etwas suboptimal und hab es nun ohne LAGG gemacht. Alle LWLs sind Uplinks und einmal in die pfSense.
PC bekommt nun bei VLAN400 eine passende IP zugewiesen und hat Internet Zugang.
Aber:
VLAN 10 wird wohl von den MT Switchen nicht an den Ports zur Verfügung gestellt. VLAN 10 ist das Management VLAN der Switch und werden über den Trunk an den uplink auch weiter gegeben. Alle Switche sind erreichbar.
Aber wenn ich versuche einen Ubuntu Server mit VLAN 10 zu erreichen, scheitert es.
Der Ubuntu Server hat auf der selben Schnittstelle auch alle anderen VLANs ... die klappen, nur die 10 nicht
so, bin nun weiter gekommen. Meine Netzwerkplanung war etwas suboptimal und hab es nun ohne LAGG gemacht. Alle LWLs sind Uplinks und einmal in die pfSense.
PC bekommt nun bei VLAN400 eine passende IP zugewiesen und hat Internet Zugang.
Aber:
VLAN 10 wird wohl von den MT Switchen nicht an den Ports zur Verfügung gestellt. VLAN 10 ist das Management VLAN der Switch und werden über den Trunk an den uplink auch weiter gegeben. Alle Switche sind erreichbar.
Aber wenn ich versuche einen Ubuntu Server mit VLAN 10 zu erreichen, scheitert es.
Der Ubuntu Server hat auf der selben Schnittstelle auch alle anderen VLANs ... die klappen, nur die 10 nicht
Hallo,
ok, hab nun wohl alles zusammen. Das VLAN 10 ist das Management VLAN ... das wird auch über die Trunks weiter gegeben, ohne das ich es explizit hinzufügen muss.
Aber möchte ich das VLAN10 auch auf den Ports haben, muss ich den Port von "admit all" auf "admit only vlan tagged" stellen.
Danach kann ich diesen Port auch in den Trunk geben und dann klappt es.
Sieht dann so aus, für Port 2 und Port 20 als Anfang:
Stimmt das so? (bevor ich 80 Ports so setze
)
ok, hab nun wohl alles zusammen. Das VLAN 10 ist das Management VLAN ... das wird auch über die Trunks weiter gegeben, ohne das ich es explizit hinzufügen muss.
Aber möchte ich das VLAN10 auch auf den Ports haben, muss ich den Port von "admit all" auf "admit only vlan tagged" stellen.
Danach kann ich diesen Port auch in den Trunk geben und dann klappt es.
Sieht dann so aus, für Port 2 und Port 20 als Anfang:
Stimmt das so? (bevor ich 80 Ports so setze
)Aber möchte ich das VLAN10 auch auf den Ports haben, muss ich den Port von "admit all" auf "admit only vlan tagged"
Das ist nicht zwingend nötig und zudem noch falsch ! Am Accessport hast du doch immer ein Endgerät was ausschliesslich nur rein untagged Pakete lesen und senden kann. Dort kommen also niemals Tagged Pakete an, deshalb ist es doch völlig sinnfrei auf einem Endgeräte Access Port dann nur tagged Pakete zu verarbeiten zu wollen was, wie bereits gesagt, Endgeräte ja gar nicht können und so dort dann natürlich scheitern mit einer Verbindung.Wenn dann als NUR untagged !!
Wie gesagt wir reden hier von Access Ports für Endgeräte wie PCs, Drucker usw.
Es reicht wenn du die Port PVID auf 10 setzt oder die VLAN ID in der der (Endgeräte) Port arbeiten soll.
Den Mode dann all oder wenn du es ganz genau machen willst untagged denn der Traffic der dort am Access Port reinkommt ist ja immer untagged (Endgerät).
Das Einzige was relevant ist ist die PVID an diesem Port, denn diese bestimmt in welches VLAN untagged Traffic an diesem Port geforwardet wird.
Der LAG der zur Firewall geht muss ja zwanggsläufig IMMER getagged sein, denn nur anhand der ans Paket angehängten VLAN Tags kann die Firewall ja diesen Traffic wieder den richtigen und dazu korrespondierenden VLAN Subinterface zuordnen ! Wie sollte sie das auch sonst machen...?!
Nochmal die "VLAN Schnellschulung" lesen kann also ggf. nicht schaden !
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Hallo,
die Accesspoints haben SSID to VLAN ... ich habe dort 4 SSId´s welches jedes in einem eigenen VLAN ist.
Dadurch muss der Port auch getagged sein, richtig?
die Accesspoints haben SSID to VLAN ... ich habe dort 4 SSId´s welches jedes in einem eigenen VLAN ist.
Dadurch muss der Port auch getagged sein, richtig?
die Accesspoints haben SSID to VLAN ...
OK, sorry für die ist dann natülich Admit all zwingend und die PVID muss auf deren VLAN ID stehen über die du das AP Management machst.Dadurch muss der Port auch getagged sein, richtig?
Ja, das ist richtig !Guckst du auch hier:
WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN
Die dynamischen VLANs musst du dir wegdenken...
1
