raxxis990
Goto Top

Umstellung Pfsense VM auf HW IP WLAN Clients

Hallo ,


Ich habe begonnen meine Pfsense von VM auf Richtige HW umzurüsten. Soweit hat das auch geklappt. Fritte in LAN 1 und LAN 2 zum Cisco SG 220 26p POE. In der Pfsense VLANs erstellt zugewisen und DHCP eingerichtet. Alles klappt soweit.

ABER face-smile

Was nicht klappt ist die Geräte Handys usw die per WLAN an der Fritte hängen haben sonst eine IP aus dem LAN Netz der Fritte bekommen ( 172.16.5.1/24 ). Aber jetzt nach der umstellung klappt das nicht. Vor dem Umbau war meine Konstellation so :

ESXI mit einer Netzwerkkarte .Im ESXI erstellt noch eine Portgruppe LAN ( VLAN ID 4095) in der VM zugewiesene Portgruppe VMNetwork als WAN und LAN als LAN. Das hat auch alle geklappt aber jetzt nicht mehr.

Am Cisco:
- GE 26 zum ESXI Blech Trunk 1UP, 3T, 10T, 11T, 12T, 13T, 14T
- GE 25 von der Fritte Access 1UP


JETZT ist es so :

- GE 26 zur neuen Pfsense HW Trunk 1UP, 3T, 10T, 11T, 12T, 13T, 14T
- Fritte direkt LAN 1 der HW


Warum bekommen jetzt die Clients keine IP mehr obwohl es als VM geklappt hat? Habe ich einen denkfehler?

LG und einen schönen rest Sonntag face-smile

Nico

Content-ID: 1111660885

Url: https://administrator.de/forum/umstellung-pfsense-vm-auf-hw-ip-wlan-clients-1111660885.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

aqui
aqui 02.08.2021 aktualisiert um 12:31:18 Uhr
Goto Top
raxxis990
raxxis990 02.08.2021 um 11:26:22 Uhr
Goto Top
Ja habe ich eigentlich.

Mit ESXI lief es ja ohne Probleme. Und normal ist es doch nix anderes wenn ich statt des ESXI blech eine HW Blech mit pfsense drauf . Also fritte in eine NIC und dann von NIC2 in den Cisco?
bild_2021-08-02_112517
aqui
aqui 02.08.2021 um 12:05:32 Uhr
Goto Top
Fritte direkt LAN 1 der HW
Nur mal nebenbei: Dir ist schon klar das der LAN 1 Port im Default das lokale LAN ist ?!
Wenn die Fritte bei dir den Internet Zugang realisiert ( Thema Portzuordnung aussieht auf deiner Hardware. face-sad
raxxis990
raxxis990 02.08.2021 um 12:21:46 Uhr
Goto Top
Ups.

Aktuell bis der APU 4 Kommt bzw ich ihn bestellen kann. Habe ich einen kleinen Lenovo M93p als PFsense HW stehen der nimmt 10watt. Der hat einen Onboard LAN Anschluss und einen über USB 3.0 auf RJ45 .

Angeschlossen wie folgt :

Fritte LAN1 Port zum Lenovo ( Sense ) USB RJ45 ( Pfsense der WAN Port) und vom Onboard LAN Port zum Cisco Switch GE 26 .
raxxis990
raxxis990 02.08.2021 aktualisiert um 18:29:53 Uhr
Goto Top
Nachtrag:

Es ist eine 6490 von Vodafone/Kabel Deutschland also mit Branding daher leider als Router Kaskade nur nutzbar.

Die Fritzbox kann ja kein VLAN das mir bekannt. Ist ja auch nicht mit dem Cisco verbunden sonder nur mit einer Netzwerkkarte des Bleches der Sense.

Die Fritzbox fungiert noch als WLAN AP aber vergibt keine Ip Adressen das macht die sene

Was mich etwas irritiert ist das wenn Pfsense als VM läuft WLAN Clients eine Ip aus dem LAN Netz der Pfsense bekommen aber jetzt da es richtige Hardware ist auf einmal nicht mehr ?
raxxis990
raxxis990 06.08.2021 um 15:05:31 Uhr
Goto Top
@aqui hast du einen Rat für mich ?
aqui
aqui 06.08.2021 aktualisiert um 16:09:13 Uhr
Goto Top
Vermutlich hat das VM Setup einen fatalen Konfig Fehler gehabt. In einer Kaskade ist das FritzBox WLAN ja im Koppelnetz positioniert zwischen dem WAN Port der pfSense und dem FritzBox LAN Port.
Folglich landen also WLAN Clients an der Fritzbox als Clients in diesem Koppelnetz.
Für die Firewall ist dieses Koppelnetz aber schon „Internet“ mit einem (zu Recht) sehr rigiden Regelwerk, und zusätzlich zum Regelwerk am WAN Port agiert dort auch die NAT Firewall die es solchen Clients zusätzlich unmöglich macht auf interne, lokale Netzwerke an der Firewall zuzugreifen. Im Grunde ja auch genau DAS was man von einer sicheren Firewall an ihrem WAN/Internet Port auch erwartet !
Das auszuhebeln wäre nur mit erheblichen Klimmzügen möglich was teilweise die Security Funktion der FW ausser Betrieb setzt und den Betrieb einer Firewall dann insgesamt konterkariert.
Diese FritzBox WLAN Clients in so einer Kaskade können also nur (von der Firewall unkontrolliert) das Internet erreichen, denn aus Sicht der FritzBox, die ja nichts weiss von der an ihr kaskadierten Firewall, sind sie ganz normale lokale Clients.

Das ist also das erwartbare Verhalten dieser FritzBox basierten WLAN Clients.
Das Schaubild so einer typischen Kaskade verdeutlicht recht anschaulich warum dieses Verhalten genau so ist.

Die Kardinalsfrage ist jetzt WAS genau du erreichen willst ? WER soll von WO auf WELCHE Ziel zugreifen ?!
Vielleicht hilft eine kleine Skizze das nochmal zu verdeutlichen für die Community ?!
raxxis990
raxxis990 08.08.2021 aktualisiert um 16:06:58 Uhr
Goto Top
@aqui Also Ich habe gezeichnet face-smile

Bild 1 ist wie es Aktuell läuft Pfsense als VM auf ESXI
WLAN Clients verbinden sich mit der Fritzbox und die Sense gibt aus dem LAN DHCP eine IP hin.

2



Bild 2 so soll es sein ohne ESXI sondern mit richtiger HW für die Sense.
WLAN Clients verbinden sich mit der Fritzbox und die Sense gibt keine IP aus dem LAN DHCP hin

1
aqui
aqui 09.08.2021 um 12:05:32 Uhr
Goto Top
Was etwas wirr und unverständlich ist, ist das lokale LAN an der FritzBox, das ja identisch ist mit dem WLAN der FB.
Hier steht „DHCP aus und 172.16.0.1 /24“ als IP Adresse.
Die WLAN Clients haben aber „172.16.5.100-200“ was so technisch unmöglich ist denn die FritzBox supportet keine 2 IP Adressen auf ihrem lokalen LAN bzw, WLAN. Mal abgesehen das unterschiedliche IP Netze auf einem Draht gegen den TCP/IP Standard verstossen.
Fragt sich dann auch in welchem VLAN der Switch Port 25 liegt an dem dieses lokale LAN angeschlossen ist ?
Das ist also IP technisch irgendwie falsch und verwirrend.
Die gleiche Problematik wiederholt sich im Soll Design.
Da solltest du also nochmal etwas Aufklärungsarbeite leisten. Sinnvoller wäre eine reine Layer 3 Darstellung nur auch IP Sicht.
raxxis990
raxxis990 09.08.2021 um 13:48:00 Uhr
Goto Top
@aqui wenn du als Profi schon Verwirrt bist dann weist du wie es bei mir ist face-smile


Port Einstellung Cisco :
ge25

Schnittstellen OPnsense aktuell:
schnitt

Netzwerk Fritzbox:
fritte

ESXI vSwitch:
bild_2021-08-09_132606


Fritzbox 172.16.0.1/24 -> Port 25 Access 1 UP -> Cisco SG 220-26p 172.16.10.250/24 GW 172.16.10.1 -> GE 26 Trunk 1U,3T,10-14T -> ESXI Host ( nur 1x Nic ) 172.16.10.2/24 GW 172.16.10.1 -> vSwitch Portgruppe VM Network VLAN ID 0 -> WAN Port der Sense = Portgruppe LAN VLAN ID 4095 -> LAN Port der Sense : Config Sense WAN 172.16.0.2/24 GW Fritte 172.16.0.1 - Sense LAN 172.16.5.1/24 -> VLAN´s VLAN 10 172.16.10.1/24 , VLAN 11 172.16.11.1/24 , VLAN 12 172.16.12.1/24 , VLAN 13 172.16.13.1/24

Alle VLAN´s haben als Übergeordnete Schnittstelle em1 ( LAN Port ).

Client kommt meldet sich am WLAN der Fritte an. Fritte sagt ja ok Anmeldung ok , Ich kann dir aber keine IP geben das macht der DHCP von der Sense LAN 172.16.5.1 . Gerät bekommt IP z.b. beim Iphone 172.16.5.137 255.255.255.0 172.16.5.1 DNS 172.16.5.1

Ich hoffe ich konnte es dir jetzt vllt besser erklären wie es aktuelle läuft.

Gern hätte ich es aber das die Sense nicht mehr als VM läuft sondern als eigenständige HW .

Daher dann der aufbau so oder ist das Falsch?

Fritzbox 172.16.0.1/24 -> HW Sense NIC 1 WAN 172.16.0.2/24 GW Fritte 172.16.0.1 -> HW Sense NIC 2 LAN 172.16.5.1/24 -> GE 26 Trunk 1U,3T,10-14T - Cisco SG 220-26p 172.16.10.250/24 GW 172.16.10.1 : VLAN´s VLAN 10 172.16.10.1/24 , VLAN 11 172.16.11.1/24 , VLAN 12 172.16.12.1/24 , VLAN 13 172.16.13.1/24

Von der Fritte in die Sense dann wieder Raus in den Switch .

Alle VLAN´s haben als Übergeordnete Schnittstelle em1 ( LAN Port ).
aqui
aqui 09.08.2021 aktualisiert um 14:19:45 Uhr
Goto Top
Sorry aber ich bin wohl zu blöd.... bei sowas wie
„Fritzbox 172.16.0.1/24 -> Port 25 Access 1 UP -> Cisco SG 220-26p 172.16.10.250/24 GW 172.16.10.1 -> „
Kann ich schwer folgen... face-sad
  • Fritzbox hat 172.16.0.1 /24
  • ist an Port 25 angeschlossen der UNtagged im VLAN 1 liegt was dann folglich die Netzadresse 172.16.0.0 /24 hat.
Soweit so gut....verständlich.
Wo kommt jetzt aber die IP Adresse .10.250 her mit dem Gateway .10.1 ? Was hat die jetzt mit dem VLAN 1 zu tun ??
Oder ist die Tabelle da aus den Fugen geraten ?? Oder was bedeutet die strukturlose Aneinanderreihung der Netze und Ports ?
Bahnhof ?, Ägypten ?
raxxis990
raxxis990 09.08.2021 aktualisiert um 14:45:51 Uhr
Goto Top
Dann habe ich es blöd geschrieben face-sad ... das ist die Auflistung Geräte mit IP´s wie was verbunden ist.

Der Cisco Switch hat die 10.250 und liegt im Vlan 10 mit weil die Management Console bzw das Web GUI nur aus dem Vlan 10 erreichbar ist.


Ich glaube meine Plan wie ich das netzt hier Aufbau ist zu kompliziert.

Geplant war es so .
Alles was zum Vlan Management gehört also der Switch , Server , ESXI Host , Pihole , Synology , Wlan AP´s später und co alles im VLAN 10 also Netz 172.16.10.1 /24.
Feste Clients per Kabel oder WLAN also interne VLAN 11 Netz 172.16.11.1 /24
Gast WLAN VLAN 12 Netz 172.16.12.1 /24
Smart Home / IP Cam für Einfahrt usw später mal VLAN13 Netz 172.16.13.1 /24
Labor / Testumgebung VLAN 14 Netz 172.16.14.1 /24


Ist das zuviel oder zum Kompliziert gestaltet?

Fritzbox hat nur 2 Adressen einmal sich selbst mit der 172.16.0.1 /24 und die Verbindung zum WAN Port der Sense 172.16.0.2 /24.


Zitat von @aqui:
  • Fritzbox hat 172.16.0.1 /24
  • ist an Port 25 angeschlossen der UNtagged im VLAN 1 liegt was dann folglich die Netzadresse 172.16.0.0 /24 hat.

Ja richtig
aqui
aqui 10.08.2021 aktualisiert um 12:35:17 Uhr
Goto Top
Der Cisco Switch hat die 10.250
WAS soll das sein ? Das ist weder IP Netz noch Hostadresse... face-sad
OK, gehen wir mal davon aus das die Firewall das VLAN Routing macht und die Management IP Adresse des Switches ans VLAN 10 gebunden ist mit der IP Adresse 10.250.10.254 und die dazugehörige VLAN 10 IP Adresse auf der Firewall ist die 10.250.10.1.
Wäre das so richtig ?

Was deine Segmentierung anbetrifft ist das alles absolut korrekt und richtig so und das kann man natürlich auch sinnvoll so machen.
Fassen wir mal geordnet und mit korrekter IP Nomenklatur zusammen:
  • Management IP Netz = VLAN 10 = 172.16.10.0 /24
  • Internes Kupfer und WLAN IP Netz = VLAN 11 = 172.16.11.0 /24
  • Gast WLAN IP Netz = VLAN 12 = 172.16.12.0 /24
  • Haustechnik und Smart Home IP Netz = VLAN 13 = 172.16.13.0 /24
  • Labor und Test IP Netz = VLAN 14 = 172.16.14.0 /24
Wenn das so richtig ist, ist das eine gute und auch sinnvolle Aufteilung.

Die Vorgehensweise ist doch dann kinderleicht:
  • pfSense gem. VLAN_Tutorial aufsetzen,
  • Das physische Firewall LAN Interface (UNtagged) ist dabei das VLAN 10 und muss deshalb als Native VLAN am Switch Koppelport zur Firewall gesetzt sein.
  • VLAN Interfaces dann nach Anleitung auf der Firewall anlegen und mit IP Adressen und DHCP Server versehen und Regelwerk anpassen.
  • VLANs auf dem Switch anlegen, Switch Management und IP ins VLAN 10 legen, Koppelport der Firewall auf Native VLAN 10 setzen.(siehe oben)
  • Default Gateway Switch auf Firewall IP .10.1 setzen
  • Endgeräte Ports (untagged) auf dem Switch den VLANs zuweisen und IP und Ping Check in den VLANs machen.
  • Ggf. Firewall Regeln nochmal nachschärfen (Gastnetz etc.) und ggf.Captive_Portal aktivieren.
  • Fertisch
Eigentlich doch ein sehr simples Standard VLAN Setup was man mit Hilfe des o.a. Tutorials in spätestens 30 Minuten am Fliegen haben sollte.... 😉
raxxis990
raxxis990 10.08.2021 um 13:58:21 Uhr
Goto Top
Zitat von @aqui:

Der Cisco Switch hat die 10.250
WAS soll das sein ? Das ist weder IP Netz noch Hostadresse... face-sad
OK, gehen wir mal davon aus das die Firewall das VLAN Routing macht und die Management IP Adresse des Switches ans VLAN 10 gebunden ist mit der IP Adresse 10.250.10.254 und die dazugehörige VLAN 10 IP Adresse auf der Firewall ist die 10.250.10.1.
Wäre das so richtig ?

Der Switch hat die IP 172.16.10.250 mit GW IP 172.16.10.1

Was deine Segmentierung anbetrifft ist das alles absolut korrekt und richtig so und das kann man natürlich auch sinnvoll so machen.
Fassen wir mal geordnet und mit korrekter IP Nomenklatur zusammen:
  • Management IP Netz = VLAN 10 = 172.16.10.0 /24
  • Internes Kupfer und WLAN IP Netz = VLAN 11 = 172.16.11.0 /24
  • Gast WLAN IP Netz = VLAN 12 = 172.16.12.0 /24
  • Haustechnik und Smart Home IP Netz = VLAN 13 = 172.16.13.0 /24
  • Labor und Test IP Netz = VLAN 14 = 172.16.14.0 /24
Wenn das so richtig ist, ist das eine gute und auch sinnvolle Aufteilung.

Das Freut mich das ich da schonmal Richtig Überlegt habe face-smile

Aber 2 Dinge Verstehe ich gerade nicht.

1. In der Pfsense gibt man den 2 Netzwerkkarten WAN und LAN eine IP . Für WAN habe ich gesetzt 172.16.0.2 Gateway 172.16.0.1 die Fritzbox.
Für die LAN Netzwerkkarte 172.16.5.1 . Ist das Korrekt ?

2. Verbinden Fritzbox LAN Port 1 zur Pfsense WAN Port dann LAN Port zum Switch Port GE 26?

Die Vorgehensweise ist doch dann kinderleicht:

Ja das Erledigt face-smile

* Das physische Firewall LAN Interface (UNtagged) ist dabei das VLAN 10 und muss deshalb als Native VLAN am Switch Koppelport zur Firewall gesetzt sein.

Das heißt Firewall LAN Interface verbinden mit Port GE 26 und dort Einstellen VLAN ID 1 UNtagged sowie VLAN ID 10-14 Tagged?

* VLAN Interfaces dann nach Anleitung auf der Firewall anlegen und mit IP Adressen und DHCP Server versehen und Regelwerk anpassen.

Ja das Erledigt face-smile

* VLANs auf dem Switch anlegen, Switch Management und IP ins VLAN 10 legen, Koppelport der Firewall auf Native VLAN 10 setzen.(siehe oben)
  • Default Gateway Switch auf Firewall IP .10.1 setzen

Ja das Erledigt face-smile Cisco IP 172.16.10.250 mit Gateway 172.16.10.1

* Endgeräte Ports (untagged) auf dem Switch den VLANs zuweisen und IP und Ping Check in den VLANs machen.

Das ist auch erledigt

* Ggf. Firewall Regeln nochmal nachschärfen (Gastnetz etc.) und ggf.Captive_Portal aktivieren.
  • Fertisch
Eigentlich doch ein sehr simples Standard VLAN Setup was man mit Hilfe des o.a. Tutorials in spätestens 30 Minuten am Fliegen haben sollte.... 😉


Ich hoffe das es was wird face-smile Als VM Läuft es ja bereits nur ohne VM nicht mit Richtiger Hardware. Wenn sich jetzt WLAN Clients mit der Fritzbox Verbinden WER gibt ihnen dann die IP? Die Fritzbox ist ja Nur Modem ( zwar Router aber vergibt keine IPS mehr sie Stellz nur noch den Internetzugang und das WLAN bereit )

Ich hoffe es Klappt auch so face-smile Vielen dank für deine Hilfe Bist der Beste face-smile
aqui
aqui 10.08.2021 aktualisiert um 16:02:13 Uhr
Goto Top
Aber 2 Dinge Verstehe ich gerade nicht.
1.
Ja, das ist korrekt !
WAN ist immer abhängig WIE man die Internet Verbindung realisiert. Du nutzt eine Kaskade mit Router davor und doppeltem NAT und doppeltem Firewalling wie sie HIER genau beschrieben ist.
Dort kann man eine statische IP vergeben allerdings muss man dann zwingend beachten auch die Default Route/Gateway zu setzen.
Alternativ könnte man die IP auch per DHCP vergeben lassen wenn man in der FritzBox davor eine Reservierung auf die Mac Adresse des WAN Ports in deren DHCP Server einträgt. So bekommt dann der WAN Port auch immer eine feste IP und das Gateway dynamisch.
Wichtig ist in einer Kaskade am WAN Port unten den Haken zu setzen das RFC 1918 IP Adressen nicht geblockt werden. (Siehe Tutorial).
Beide Alternativen führen zum Erfolg.
2.
Das ist auch richtig. Port 26 ist dann Tagged für alle Vlans ausser 10 denn 10 ist am Firewall Port das native Vlan wenn du diese IP Netz auf den physischen LAN Port der Firewall legst.
Das heißt Firewall LAN Interface verbinden mit Port GE 26 und dort Einstellen VLAN ID 1 UNtagged sowie VLAN ID 10-14 Tagged?
Nein !
Dann liegt das Native VLAN der Firewall (Firewall LAN Port) ja im VLAN 1 !! Nachdenken !
Die Frames des physischen LAN Ports der Firewall werden immer untagged gesendet. VLAN 1 hast du ja gar nicht in Benutzung. Wenn du dem physischen LAN Port also die IP .10.1 gibst musst du auch dafür sorgen das dessen untagged Pakete dann in deinem Switch VLAN 10 landen logischerweise.
Das machst du indem du dem Cisco Switch sagst das an seinem Port die Native VLAN ID nicht 1 sondern 10 ist. So landen dann alles untagged Pakete an dem Port im VLAN 10. Ganz einfach ! face-wink
Und... das klappt ganz sicher so !!! 😉
raxxis990
raxxis990 10.08.2021 um 17:20:25 Uhr
Goto Top
Also @aqui soweit klappt ja alles bis auf....... Das die WLAN Clients die sich mit dem WLAN der Fritzbox Verbinden (die auch das internet Bereitstellt) Keine IP bekommen.

Die Wlan Clients bekommen nur eine 169.254.....Adresse.

An was liegt das ? Geht das Überhaupt oder muss ich warten bis ich die AP´s habe ?
aqui
aqui 11.08.2021 aktualisiert um 11:32:49 Uhr
Goto Top
Das kommt drauf an WIE du den DHCP Server der FB betreibst. Normal bei statischer IP kann man den ja deaktivieren, denn im Koppelnetz sollten ja in der Regel niemals Clients sein, weil diese ja dann völlig ohne Firewall agieren. Damit wäre ein Firewall Konzept ja dann sinnfrei. Das Koppelnetz sollte also ein reines Punkt zu Punkt Koppelnetz OHNE Clients bleiben.
Wenn der FB DHCP Server also aus ist bekommen WLAN Clients keine IP oder nur eine Zeroconf IP ala 169.254.x.y.
Ist er allerdings aktiv sollten die Clients normal eine IP aus dem Koppelnetz bekommen wenn der DHCP Server entsprechend dazu konfiguriert ist vom Adresspool.
Allerdings hebelt das dann die Firewall Sicherheit komplett aus.
Intelligenter ist es also den WLAN Accesspoint immer innerhalb der lokalen Firewall LANs, idealerweise mit einem MSSID Setup zu betreiben.
Mikrotik und andere haben dafür preiswerte und leistungsfähige Accesspoints
https://www.varia-store.com/de/produkt/97657-rbcapl-2nd-cap-lite-mit-ar9 ...
https://www.varia-store.com/de/produkt/97517-rbcap2nd-routerboard-decken ...
Oder Dual Radio
https://www.varia-store.com/de/produkt/97849-rbcapgi-5acd2nd-cap-ac-mit- ...

Beispiel MSSID Setup:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern