judgedredd
Goto Top

PfSense VLAN tagging

Hallo Zusammen,

ich habe auf meiner pfSense auf einer NIC nur getaggte VLANs. Also auch das native VLAN 1
Dahinter würde ich gerne einen ausgemusterten Switch (Cisco Catalyst 2960s) betreiben.

Auf diesem läuft als OS die Version 15.2(2)E9.

Wenn ich das Trunk Interface konfiguriere:
interface GigabitEthernet1/0/1
 description Uplink => pfSense
 switchport mode trunk
 switchport nonegotiate
!
Bekommt dieser keine IP zugewiesen. Im Firewalllog sehe ich nun, dass die DHCP Anfrage untagged auf der pfSense reinkommt.

Der Cisco zeigt mir zwar mit
switch#sh interface  GigabitEthernet1/0/1 switchport
...
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
...
Was ich als eigentlich als korrekt interpretieren würde, habe aber bei meiner Recherche auch Aussagen gefunden, die besagen, das das VLAN 1 dennoch nicht getaggt in den Trunk geschickt wird.

Da die Aussagen mal so und mal so lauten, frage ich mal hier die (Cisco)-Experten.
Liegt es an meiner fehlerhaften Konfiguration oder ist es in der Tat so, das der Switch mit dem obigen OS kein tagging beim nativen VLAN kann ?

Gruß,
JudgeDredd

Content-ID: 1740240706

Url: https://administrator.de/contentid/1740240706

Ausgedruckt am: 08.11.2024 um 17:11 Uhr

aqui
Lösung aqui 19.01.2022, aktualisiert am 20.01.2022 um 10:00:34 Uhr
Goto Top
NIC nur getaggte VLANs. Also auch das native VLAN 1
Das ist technisch unmöglich auf der pfSense. Das Parent Interface wird immer UNtagged übertragen, das kannst du nicht ändern.
Du kannst es nur deaktivieren indem du dem Parent Interface keine IP Adresse gibst oder diese später löschst.
Ansonsten wird das Parent Interface immer UNtagged gesendet an der entsprechenden NIC.
Dahinter würde ich gerne einen ausgemusterten Switch (Cisco Catalyst 2960s) betreiben.
Kein Problem. Das hiesige VLAN Tutorial hat, wie immer, eine passende Konfig zum Abtippen für dich parat ! face-wink
Bekommt dieser keine IP zugewiesen.
Wo denn ?? Auf seinem vlan 1 Interface (Management) ??
Dort musst du dem Switch natürlich sagen das er DHCP Client ist sonst weiss er ja nicht das er sich von der pfSense eine IP ziehen muss !
!
interface Vlan1
description Management Interface
ip dhcp client
!

Gewusst wie ! 😉
Wenn du willst kannst du dem Client mit "ip dhcp client client-id ascii Cat2960" der pfSense noch eine ID mitgeben um den Catalysten zu identifizieren.
Da die Aussagen mal so und mal so lauten
Welche Aussagen denn ??? 🤔
Liegt es an meiner fehlerhaften Konfiguration
Ja.
das der Switch mit dem obigen OS kein tagging beim nativen VLAN kann ?
Der schon als Premium Switch aber die pfSense nicht.
JudgeDredd
JudgeDredd 19.01.2022 um 17:51:21 Uhr
Goto Top
NIC nur getaggte VLANs. Also auch das native VLAN 1
Das ist technisch unmöglich auf der pfSense. Das Parent Interface wird immer UNtagged übertragen, das kannst du nicht ändern.
Du kannst es nur deaktivieren indem du dem Parent Interface keine IP Adresse gibst oder diese später löschst.
Ansonsten wird das Parent Interface immer UNtagged gesendet an der entsprechenden NIC.
Puhh, das pfSense Setup ist schon einige Zeit her. Da weiß ich nicht mehr genau wie ich es gemacht habe.
Fakt ist aber, das das Interface (Bezeichnung RE_0) nur VLAN Assignments hat.

Bekommt dieser keine IP zugewiesen.
Wo denn ?? Auf seinem vlan 1 Interface (Management) ??
Dort musst du dem Switch natürlich sagen das er DHCP Client ist sonst weiss er ja nicht das er sich von der pfSense eine IP ziehen muss !
!
interface Vlan1
description Management Interface
ip dhcp client
!

Gewusst wie ! 😉
Das ist selbstverständlich gemacht. 😉 Ich denke mal, sonst würde der Cisco ja auch keine DHCP Anfrage an die pfSense schicken, wie ich es geschrieben habe, gelle.

Wenn du willst kannst du dem Client mit "ip dhcp client client-id ascii Cat2960" der pfSense noch eine ID mitgeben um den Catalysten zu identifizieren.
Danke, guter Tip. Allerdings sind die Menge an Catalyst-Switchen hier doch eher überschaubar.

Da die Aussagen mal so und mal so lauten
Welche Aussagen denn ??? 🤔
z.B. die in der Cisco-Community (externer Link)
cisco

das der Switch mit dem obigen OS kein tagging beim nativen VLAN kann ?
Der schon als Premium Switch aber die pfSense nicht.
Als workaround habe ich mal einen D-Link (Premium 😅)Switch dazwischengehängt.
+-------------+       +-------------+       +-------------+
|   pfsense   |<----->|  DGS-3120   |<----->| Cisco 2960s |
+-------------+       +-------------+       +-------------+
Die Konfig auf der pfSense ist unverändert und am Port vom D-Link habe ich dem Cisco das VLAN 1 untagged gegeben und schon rennt es.

Liegt es an meiner fehlerhaften Konfiguration
Jepp, wie immer, PEBKAC Fehler !
Nanana mein lieber Aqui. Nicht so schnell, noch rennt die Konfig nicht 😉

Gruß,
JudgeDredd
aqui
Lösung aqui 20.01.2022 aktualisiert um 10:01:52 Uhr
Goto Top
das pfSense Setup ist schon einige Zeit her. Da weiß ich nicht mehr genau wie ich es gemacht habe.
Hier kannst du zumindestens sehen wie du es machen SOLLTEST: face-wink
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. wenn du einen LAG (Aggregation mit mehreren Ports) verwendest HIER.
sonst würde der Cisco ja auch keine DHCP Anfrage an die pfSense schicken, wie ich es geschrieben habe, gelle.
absolut richtig !
Allerdings sind die Menge an Catalyst-Switchen hier doch eher überschaubar.
Schade eigentlich ! face-wink
Der Frickel Workaround mit der D-Link Gurke ist natürlich Unsinn.
Wenn du das VLAN 1 taggen willst auf dem Catalyst machst du das mit einem pfiffigen Trick indem du das native VLAN am Koppelport zur pfSense einfach umbiegst auf ein ungenutztes VLAN z.B. 999
Dann sieht der SwitchPort so aus:
!
interface GigabitEthernet0/1
description Tagged Link zur pfSense Firewall
switchport mode trunk
switchport trunk native vlan 999
switchport trunk encapsulation dot1q
(switchport trunk allow vlan all)
-->> (neuere IOS Versionen)
!

Dann rennt auch das VLAN 1 tagged über den Link.
Wenn du nur dedizierte VLANs auf dem Trunk haben willst dann statt "all" eben switchport trunk allow vlan add 1, 10, 20, 30-35
JudgeDredd
JudgeDredd 21.01.2022 um 08:43:58 Uhr
Goto Top
Zitat von @aqui:
das pfSense Setup ist schon einige Zeit her. Da weiß ich nicht mehr genau wie ich es gemacht habe.
Hier kannst du zumindestens sehen wie du es machen SOLLTEST: face-wink
Ich habe das pfSense Setup nun mal angepasst wie Du es beschrieben hast.
Das parent Interface (re0) ist zugewiesen und der DHCP entsprechend angepasst.

Der Catalyst bekommt nun seine IP (soweit sogut).
Leider ist es aber noch immer nicht so richtig rund.

Da der Catalyst der neue Core-Switch werden soll, gibt es natürlich noch nachgelagerte Etagen- und Raumswitche deren Management Oberfläche nun (für mich unverständlicher Weise) nicht mehr erreichbar ist. Die dort angeschlossenen Clients erhalten aber ihre IP aus dem entsprechenden VLAN.

Hier nochmal die aktuelle Cisco-Config:
interface GigabitEthernet1/0/1
 description Uplink => pfSense
 switchport mode trunk
!
interface GigabitEthernet1/0/49
 description 1G 3-2-2 (SWITCH03)
 switchport trunk allowed vlan 1,10,30,40,41,50,60
 switchport mode trunk
!
Nach meinem Verständnis sollte doch der am Port 49 (SFP Modul) angeschlossene Switch eine IP aus dem gleichen Netz wie der Catalyst erhalten.

Als er noch am D-Link hing, war dort ein untagged VLAN 1 konfiguriert.
Wie muss denn die Cisco Konfig aussehen um ein untagged VLAN 1 zu senden ?


Allerdings sind die Menge an Catalyst-Switchen hier doch eher überschaubar.
Schade eigentlich ! face-wink
Da gebe ich Dir recht. Aber da es sich um mein privates Chateau 🤣 handelt und nicht um ein profitorientiertes Unternehmen, muss ich auch etwas auf den Taler schauen. 😉

!
interface GigabitEthernet0/1
description Tagged Link zur pfSense Firewall
switchport mode trunk
switchport trunk native vlan 999
switchport trunk encapsulation dot1q
(switchport trunk allow vlan all)
-->> (neuere IOS Versionen)
!

Das Kommando switchport trunk encapsulation dot1q kennt der Cisco nicht.
Das Kommando switchport trunk allow vlan all wird akzeptiert, aber taucht danach bei "run conf" nicht auf.

Gruß,
JudgeDredd
aqui
Lösung aqui 21.01.2022 aktualisiert um 09:08:46 Uhr
Goto Top
deren Management Oberfläche nun (für mich unverständlicher Weise) nicht mehr erreichbar ist
Die Management IP Adresse eines Catalysten mapped immer auf das Interface vlan x wobei "x" immer die VLAN ID ist in dem das Management des Switches arbeiten soll.
Netzwerk Admins legen dafür in der Regel ein dediziertes Management VLAN an indem sich alle Management Infrastruktur befindet wie Switches, NAS, ILO usw. Das dient dazu das Infrastruktur Management von Produktiv VLAN zu trennen und abzusichern.
Wenn man kein dediziertes VLAN angelegt hat dann befindet sich das Management der Catalysten im Default in VLAN 1.
Jetzt stellt sich natürlich die Frage WELCHES IP Segment dein Management VLAN hat, sprich:
  • sind alle zu managen Catalysten einheitlich im VLAN 1 oder einem anderen VLAN ?
  • Ist die IP Adressierung der vlan x Interfaces entsprechend zu diesem VLAN ?
  • Sofern du aus fremden IP Netzen aufs VLAN zugreifst, hast du ein Default Gateway auf den Switches definiert ?
sollte doch der am Port 49 (SFP Modul) angeschlossene Switch eine IP aus dem gleichen Netz wie der Catalyst erhalten.
Das tut er nur wenn...
  • Das Management Interface als DHCP Client definiert ist.(Macht ein Netzwerk Admin normal nicht, denn dynmaische IPs sind keine gute Idee fürs Infrastruktur Management. Es sei denn man arbeitet mit IP Reservierung über die Mac Adresse ?!
  • Das Management Interface vlan x in einem der VLANs 1,10,30,40,41,50 oder 60 liegt
  • Ein Default Gateway definiert ist wenn du aus andern VLANs aufs Management zugreifst
Diese 3 Punkte braucht es....
Zu 98% hast du hier eine inkonsistente VLAN Zuweisung !
Beachte das das Parent Interface, also das physische Basis Interface der pfSense immer das Native VLAN ist, also immer UNtagged an einem Trunk zum Cisco anliegt ! Bei dir dann das VLAN 1.
Das Kommando switchport trunk encapsulation dot1q kennt der Cisco nicht.
Ist normal da es nur alte IOS Versionen kennen die noch die Cisco proprietäre Trunk Encapsulation supporten bzw. als Default haben. Bei deiner IOS Version gibt es das nicht mehr sondern nur noch den Standard 802.1q als Default.
Das Kommando switchport trunk allow vlan all wird akzeptiert, aber taucht danach bei "run conf" nicht auf.
Solltest du als Cisco Profi aber wissen: Das allow all ist immer Default an einem Trunk Port. Defaults werden in der Cisco Konfig bekanntlich nicht angezeigt. face-wink
muss ich auch etwas auf den Taler schauen.
eBay ist dein Freund wenn du Cisco auch zuhause möchtest... face-wink
JudgeDredd
JudgeDredd 21.01.2022 aktualisiert um 19:51:32 Uhr
Goto Top
Hallo aqui,

Im groben und ganzen habe ich alle Deine Hinweise umgesetzt bzw. hatte ich das vorher schon.
Ich habe heute den Catalyst echt nochmal erneut hoch und runter konfiguriert.
Aber es wollte einfach nicht.

Zum Schluss habe ich dann ein reboot am D-Link gemacht.
Was soll ich sagen, ich dachte ich falle vom Glauben ab, danach lief alles wie erwartet.

Das habe ich echt noch nie erlebt, das man einen Switch nach dem umstecken von SFP Modulen neu starten muss, damit er sich die IP zieht.
(Jaja ich weiß: D-Link Gurke🥒) 😉

Ist Dir sowas auch schonmal vorgekommen ?

Solltest du als Cisco Profi aber wissen: Das allow all ist immer Default an einem Trunk Port. Defaults werden in der Cisco Konfig bekanntlich nicht angezeigt. face-wink
Genau. Meinst Du das reicht schon um mich jetzt beim CCNA Test anzumelden ? 🤣

muss ich auch etwas auf den Taler schauen.
eBay ist dein Freund wenn du Cisco auch zuhause möchtest... face-wink
Ich glaub echt an der Weisheit mit der Gurke ist was dran.
Abschließend noch eine Frage zu Deiner Meinung....
Ich setze noch einen D-Link mit POE für meine APs und Kameras ein.
Was wäre Deine Empfehlung ?
  • Alles so lassen (weil der D-Link ja jetzt läuft)
  • Versuchen einen POE Catalyst bei eBay zu ergattern (Aktuell z.B. WS-C3750X-48P für 180,00 EUR)
  • Den 2960 (ohne POE) weiter verwenden und so ein Multi POE Injektor (10 Ports) bei den betreffenden Ports dazwischenhängen ?

Gruß,
JudgeDredd
aqui
Lösung aqui 22.01.2022 um 09:10:58 Uhr
Goto Top
Injektor ist bei PoE immer Mist. Dann immer den 3750er nehmen !! Der kann sogar Layer 3 und für 180 Euronen ist das ein echter Schnapper !
Wenn aber jetzt alles rennt kannst du es auch so lassen. Bei den billigen "Smartswitches" kommt sowas schon mal vor. Beim einen mehr beim anderen weniger...
Wichtig ist das du bei den Gurken immer die aktuellste Firmware geflasht hast was du bei deinem D-Link wohl hoffentlich gemacht hast ?!
Meinst Du das reicht schon um mich jetzt beim CCNA Test anzumelden ?
In jedem Falle ! Viel höher als das hier ist das Niveau der Fragen dort nicht. Mit deinen jetzigen Kentnissen kommst du da sofort durch.