Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense und VLANs mit LAGG

Mitglied: unique24

unique24 (Level 2) - Jetzt verbinden

29.03.2020 um 14:26 Uhr, 458 Aufrufe, 13 Kommentare, 1 Danke

Hallo,

ich habe ein Mikrotik Switch Netzwerk welches über 2 LWL an die pfSense angeschlossen ist

pfSense:
ixl2 = 2 Mikrotik Router
ixl3 = 3 Mikrotik Router

Die Mikrotiks haben auf VLAN10 das Management und sind per Uplink miteinander verbunden.
Ich habe die VLANs:
10
100
300
400

Nun habe ich beide LWL per LAGG zusammengefasst, damit die pfSense als nur ein Interface zu nutzen ist:
bildschirmfoto 2020-03-29 um 15.21.16 - Klicke auf das Bild, um es zu vergrößern

Ich habe die VLAN angelegt:
bildschirmfoto 2020-03-29 um 15.22.12 - Klicke auf das Bild, um es zu vergrößern

Ich habe die Interfaces angelegt:
bildschirmfoto 2020-03-29 um 15.23.02 - Klicke auf das Bild, um es zu vergrößern

Als Firewall Regel habe ich bei allen einmal:
bildschirmfoto 2020-03-29 um 15.23.52 - Klicke auf das Bild, um es zu vergrößern

DHCP habe ich auch bei allen eingerichtet.

Wenn ich nun aber versuche, in der pfSense einen Ping an einen Switch zu senden, erhalte ich ein Timeout.

Den LWL Port am switch meine ich richtig gesetzt zu haben. Gleich wie alle anderen über den uplink, die ja auch funktionieren

Darum denke ich das es an der pfSense liegt ... sieht jemand einen Fehler?

Danke!
Mitglied: radiogugu
29.03.2020, aktualisiert um 15:49 Uhr
Hallo.

Wie sehen denn die IP-Ranges bei den einzelnen VLANs aus?

Hast Du die Gateways in den Netzen korrekt hinterlegt?

Bist Du mal die VLAN Tutorials von @aqui hier durchgegangen?

Gruß
Radiogugu
Bitte warten ..
Mitglied: unique24
29.03.2020, aktualisiert um 16:02 Uhr
um beim Management zuerst zu bleiben:
bildschirmfoto 2020-03-29 um 15.49.58 - Klicke auf das Bild, um es zu vergrößern

Gateways? Nimmt er die nicht automatisch?

Internetzugang muss noch nicht sein. Zuerst möchte ich über den Trunk alle Switch erreichen
Bitte warten ..
Mitglied: radiogugu
29.03.2020 um 16:03 Uhr
Auf dem DHCP Server in der PFSense ja, das ist korrekt.

Hast Du die Switches denn auch entsprechend mit Tags versehen für die einzelnen VLANs?

Das standardmäßige VLAN 1 muss man ja nicht unbedingt taggen, aber alle Benutzerdefinierten schon.

Gruß
Radiogugu
Bitte warten ..
Mitglied: unique24
29.03.2020 um 16:20 Uhr
Hallo,

ja, die Switch sind alle getagged.

Hab nun nur einen Kupferport auf VLAN10 getestet. Selbes Ergebnis.
Hab aus einem uplink Port des Switches angesteckt (der funktioniert zu 100%)

Es gibt wohl ein allg. Problem auf der pfSense. Das Supermicro Board wird ja wohl hoffentlich nicht schuld sein.
Bitte warten ..
Mitglied: radiogugu
29.03.2020 um 16:46 Uhr
Wie sieht denn an einem Client die IP Konfiguration aus? Bekommt er denn überhaupt eine IP vom DHCP Server oder keine (169.x.x.x)?

Gruß
Radiogugu
Bitte warten ..
Mitglied: aqui
29.03.2020 um 16:59 Uhr
Wenn ich nun aber versuche, in der pfSense einen Ping an einen Switch zu senden, erhalte ich ein Timeout.
Da du ja mehrere VLANs überträgst ist jetzt die spannende Frage: WELCHE IP in WELCHEM VLAN ??

Können wir davon ausgehen das der Mikrotik Switch rein nur Layer 2 macht, sprich also keinerlei IP Adressen mit Ausnahme einer einzigen im Management VLAN hat ??
Die große Frage ist dann auch: Welches VLAN ist das Management VLAN aus dem MT Switch ?
Das solltest du erstmal sicher klären bevor wir ins Eingemachte gehen.
Auch noch einmal genau die VLAN Konfig des Mikrotiks überprüfen:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
Wobei du dir das Anlegen der VLAN IP Adressen dann wegsenken kannst. Bis auf die eine im Management VLAN natürlich !
Bitte warten ..
Mitglied: unique24
29.03.2020, aktualisiert um 17:23 Uhr
Hallo Aqui,

das Management VLAN der MT ist 10

Ich habe die LWL Ports in der Trunkenste, genauso wie die Kupferports für den Uplink. Da ich von einem MT alle anderen administrieren kann, muss das LWL Trunk passen.

Die IPs:
VLAN10: 10.10.10.0/24
VLAN100: 10.1.1.0/24
VLAN300: 10.1.4.0/22
VLAN400: 10.1.8.0/24

Ich hänge auf der pfSense am Port1 und versuche über die Weboberfläche die MT zu pingen. Aber immer 100% loss

Noch etwas zum LAGG:
Ich habe 2 LWL an der pfSense, von 2 Switchgruppen.

Da an LWL1 und LWL2 jeweils das VLAN10, VLAN400 erreichbar sein soll, würde ich beide LWL Ports gerne als einen behandeln. Somit habe ich auch nur eine IP Adresse.

LWL1 geht zu Switch A und LWL2 geht zu Switch B(!)

Klappt das überhaupt so? Oder muss LAGG immer auf den selben Switch bezogen werden?
Bitte warten ..
Mitglied: radiogugu
29.03.2020 um 18:15 Uhr
Wie ist denn nun die IP Konfiguration der Switches? Alle nur im Mangement VLAN 10 oder haben die jeweils andere IPs?

Gruß
Radiogugu
Bitte warten ..
Mitglied: unique24
29.03.2020 um 20:05 Uhr
Hallo,

so, bin nun weiter gekommen. Meine Netzwerkplanung war etwas suboptimal und hab es nun ohne LAGG gemacht. Alle LWLs sind Uplinks und einmal in die pfSense.

PC bekommt nun bei VLAN400 eine passende IP zugewiesen und hat Internet Zugang.

Aber:
VLAN 10 wird wohl von den MT Switchen nicht an den Ports zur Verfügung gestellt. VLAN 10 ist das Management VLAN der Switch und werden über den Trunk an den uplink auch weiter gegeben. Alle Switche sind erreichbar.

Aber wenn ich versuche einen Ubuntu Server mit VLAN 10 zu erreichen, scheitert es.
Der Ubuntu Server hat auf der selben Schnittstelle auch alle anderen VLANs ... die klappen, nur die 10 nicht
Bitte warten ..
Mitglied: unique24
29.03.2020 um 20:33 Uhr
Hallo,

ok, hab nun wohl alles zusammen. Das VLAN 10 ist das Management VLAN ... das wird auch über die Trunks weiter gegeben, ohne das ich es explizit hinzufügen muss.

Aber möchte ich das VLAN10 auch auf den Ports haben, muss ich den Port von "admit all" auf "admit only vlan tagged" stellen.
Danach kann ich diesen Port auch in den Trunk geben und dann klappt es.

Sieht dann so aus, für Port 2 und Port 20 als Anfang:
bildschirmfoto 2020-03-29 um 20.24.12 - Klicke auf das Bild, um es zu vergrößern

Stimmt das so? (bevor ich 80 Ports so setze )
Bitte warten ..
Mitglied: aqui
30.03.2020, aktualisiert um 15:43 Uhr
Aber möchte ich das VLAN10 auch auf den Ports haben, muss ich den Port von "admit all" auf "admit only vlan tagged"
Das ist nicht zwingend nötig und zudem noch falsch ! Am Accessport hast du doch immer ein Endgerät was ausschliesslich nur rein untagged Pakete lesen und senden kann. Dort kommen also niemals Tagged Pakete an, deshalb ist es doch völlig sinnfrei auf einem Endgeräte Access Port dann nur tagged Pakete zu verarbeiten zu wollen was, wie bereits gesagt, Endgeräte ja gar nicht können und so dort dann natürlich scheitern mit einer Verbindung.
Wenn dann als NUR untagged !!
Wie gesagt wir reden hier von Access Ports für Endgeräte wie PCs, Drucker usw.
Es reicht wenn du die Port PVID auf 10 setzt oder die VLAN ID in der der (Endgeräte) Port arbeiten soll.
Den Mode dann all oder wenn du es ganz genau machen willst untagged denn der Traffic der dort am Access Port reinkommt ist ja immer untagged (Endgerät).
Das Einzige was relevant ist ist die PVID an diesem Port, denn diese bestimmt in welches VLAN untagged Traffic an diesem Port geforwardet wird.

Der LAG der zur Firewall geht muss ja zwanggsläufig IMMER getagged sein, denn nur anhand der ans Paket angehängten VLAN Tags kann die Firewall ja diesen Traffic wieder den richtigen und dazu korrespondierenden VLAN Subinterface zuordnen ! Wie sollte sie das auch sonst machen...?!
Nochmal die "VLAN Schnellschulung" lesen kann also ggf. nicht schaden !
https://www.administrator.de/frage/heimnetzwerk-aufbauen-longshine-lcs-g ...
Bitte warten ..
Mitglied: unique24
30.03.2020 um 17:27 Uhr
Hallo,

die Accesspoints haben SSID to VLAN ... ich habe dort 4 SSId´s welches jedes in einem eigenen VLAN ist.
Dadurch muss der Port auch getagged sein, richtig?
Bitte warten ..
Mitglied: aqui
30.03.2020, aktualisiert um 20:59 Uhr
die Accesspoints haben SSID to VLAN ...
OK, sorry für die ist dann natülich Admit all zwingend und die PVID muss auf deren VLAN ID stehen über die du das AP Management machst.
Dadurch muss der Port auch getagged sein, richtig?
Ja, das ist richtig !
Guckst du auch hier:
https://administrator.de/content/detail.php?id=396803&token=716#comm ...
Die dynamischen VLANs musst du dir wegdenken...
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Netzwerkmanagement
VLAN - vom Default vLan ins vLAN 10
gelöst Frage von DaPeddaNetzwerkmanagement2 Kommentare

Hallo zusammen, ich stehe vor der Aufgabe, VM's hosted by iSCSI von einem Rack in ein neues umzusiedeln; und ...

Router & Routing

Miktrotik VLAN - trunk shared (Uplink Internet VLAN + Internal VLAN)

gelöst Frage von siouxmeRouter & Routing17 Kommentare

Hallo Ich habe jedes auffindbare Turorial gelesen, komme aber nicht dahinter wie ich meinen Usecase abbilden kann. Darunter natürlich ...

Netzwerkgrundlagen

VLAN Struktur - Switches in welches VLAN

Frage von ITF02Netzwerkgrundlagen4 Kommentare

Hallo zusammen, ich benötige ein paar Tipps und Anregungen bzlg. der VLAN Struktur. Ich habe folgende Struktur, welche auch ...

Neue Wissensbeiträge
iOS
IOS iPadOS 13.5.1 erschienen
Information von sabines vor 3 StundeniOS

Recht kurz nach iOS 13.5.0 ist gestern iOS/iPadOS in der Version 13.5.1 für IPhone und IPad erschienen. Es schließt ...

Windows Update

Nach Windows 10 Update auf 2004 ist kein RDP-Zugriff mehr möglich - möglicher Fix

Anleitung von VincentGdG vor 4 StundenWindows Update2 Kommentare

Moin. Ich habe gestern unsere PC per RDP auf 2004 upgedatet. Danach hatte ich auf einige PC keinen Zugriff ...

Weiterbildung
2. IT Pro Night Thema Sicherheit
Information von 1Werner1 vor 19 StundenWeiterbildung

Moin, nach dem im letzten Jahr die IT ProNight ein voller Erfolg war, haben wir diese dies Jahr ins ...

Informationsdienste

Die Zerstörung der Presse - Youtuber Rezo möchte Missstände in unserer Mediengesellschaft aufzeigen, um sie zu lösen

Information von Frank vor 23 StundenInformationsdienste31 Kommentare

Youtuber Rezo greift in seinem neuen Video den Boulevard an, warnt vor allem vor Verschwörungen und richtet einen Appell ...

Heiß diskutierte Inhalte
Microsoft
100 Prozent CPU Last gleich Volllast, Pustekuchen, nicht bei Microsoft!!! VOL 2
Frage von MysticFoxDEMicrosoft59 Kommentare

Liebe Freunde der Präzision und der Norm, ich möchte in diesem Beitrag konstruktiv an den folgenden Vorgängerbeitrag anschliessen, der ...

Microsoft
Zugriffsprobleme Festplatte
gelöst Frage von MiMa89Microsoft58 Kommentare

Hallo Zusammen, ich hoffe Ihr könnt mir bei folgendem Problem helfen. Ich habe eine externe Festplatte die nicht mehr ...

SAN, NAS, DAS
Entscheidungshilfe Storage für Netzwerkupgrade
Frage von m-jelinskiSAN, NAS, DAS34 Kommentare

Hallo zusammen, unsere Server und Storage-Systeme sind nun 6 Jahre alt und überfällig ausgetauscht zu werden. Daher haben wir ...

Informationsdienste
Die Zerstörung der Presse - Youtuber Rezo möchte Missstände in unserer Mediengesellschaft aufzeigen, um sie zu lösen
Information von FrankInformationsdienste30 Kommentare

Youtuber Rezo greift in seinem neuen Video den Boulevard an, warnt vor allem vor Verschwörungen und richtet einen Appell ...