17
Umstellung Pfsense VM auf HW IP WLAN Clients
Hallo ,
Ich habe begonnen meine Pfsense von VM auf Richtige HW umzurüsten. Soweit hat das auch geklappt. Fritte in LAN 1 und LAN 2 zum Cisco SG 220 26p POE. In der Pfsense VLANs erstellt zugewisen und DHCP eingerichtet. Alles klappt soweit.
ABER
Was nicht klappt ist die Geräte Handys usw die per WLAN an der Fritte hängen haben sonst eine IP aus dem LAN Netz der Fritte bekommen ( 172.16.5.1/24 ). Aber jetzt nach der umstellung klappt das nicht. Vor dem Umbau war meine Konstellation so :
ESXI mit einer Netzwerkkarte .Im ESXI erstellt noch eine Portgruppe LAN ( VLAN ID 4095) in der VM zugewiesene Portgruppe VMNetwork als WAN und LAN als LAN. Das hat auch alle geklappt aber jetzt nicht mehr.
Am Cisco:
- GE 26 zum ESXI Blech Trunk 1UP, 3T, 10T, 11T, 12T, 13T, 14T
- GE 25 von der Fritte Access 1UP
JETZT ist es so :
- GE 26 zur neuen Pfsense HW Trunk 1UP, 3T, 10T, 11T, 12T, 13T, 14T
- Fritte direkt LAN 1 der HW
Warum bekommen jetzt die Clients keine IP mehr obwohl es als VM geklappt hat? Habe ich einen denkfehler?
LG und einen schönen rest Sonntag
Nico
Ich habe begonnen meine Pfsense von VM auf Richtige HW umzurüsten. Soweit hat das auch geklappt. Fritte in LAN 1 und LAN 2 zum Cisco SG 220 26p POE. In der Pfsense VLANs erstellt zugewisen und DHCP eingerichtet. Alles klappt soweit.
ABER
Was nicht klappt ist die Geräte Handys usw die per WLAN an der Fritte hängen haben sonst eine IP aus dem LAN Netz der Fritte bekommen ( 172.16.5.1/24 ). Aber jetzt nach der umstellung klappt das nicht. Vor dem Umbau war meine Konstellation so :
ESXI mit einer Netzwerkkarte .Im ESXI erstellt noch eine Portgruppe LAN ( VLAN ID 4095) in der VM zugewiesene Portgruppe VMNetwork als WAN und LAN als LAN. Das hat auch alle geklappt aber jetzt nicht mehr.
Am Cisco:
- GE 26 zum ESXI Blech Trunk 1UP, 3T, 10T, 11T, 12T, 13T, 14T
- GE 25 von der Fritte Access 1UP
JETZT ist es so :
- GE 26 zur neuen Pfsense HW Trunk 1UP, 3T, 10T, 11T, 12T, 13T, 14T
- Fritte direkt LAN 1 der HW
Warum bekommen jetzt die Clients keine IP mehr obwohl es als VM geklappt hat? Habe ich einen denkfehler?
LG und einen schönen rest Sonntag
Nico
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1111660885
Url: https://administrator.de/contentid/1111660885
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
17 Kommentare
Neuester Kommentar
Das Tutorial dazu hast du gelesen und umgesetzt ?!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ja habe ich eigentlich.
Mit ESXI lief es ja ohne Probleme. Und normal ist es doch nix anderes wenn ich statt des ESXI blech eine HW Blech mit pfsense drauf . Also fritte in eine NIC und dann von NIC2 in den Cisco?
Mit ESXI lief es ja ohne Probleme. Und normal ist es doch nix anderes wenn ich statt des ESXI blech eine HW Blech mit pfsense drauf . Also fritte in eine NIC und dann von NIC2 in den Cisco?
Fritte direkt LAN 1 der HW
Nur mal nebenbei: Dir ist schon klar das der LAN 1 Port im Default das lokale LAN ist ?!Wenn die Fritte bei dir den Internet Zugang realisiert ( Thema Portzuordnung aussieht auf deiner Hardware.
Ups.
Aktuell bis der APU 4 Kommt bzw ich ihn bestellen kann. Habe ich einen kleinen Lenovo M93p als PFsense HW stehen der nimmt 10watt. Der hat einen Onboard LAN Anschluss und einen über USB 3.0 auf RJ45 .
Angeschlossen wie folgt :
Fritte LAN1 Port zum Lenovo ( Sense ) USB RJ45 ( Pfsense der WAN Port) und vom Onboard LAN Port zum Cisco Switch GE 26 .
Aktuell bis der APU 4 Kommt bzw ich ihn bestellen kann. Habe ich einen kleinen Lenovo M93p als PFsense HW stehen der nimmt 10watt. Der hat einen Onboard LAN Anschluss und einen über USB 3.0 auf RJ45 .
Angeschlossen wie folgt :
Fritte LAN1 Port zum Lenovo ( Sense ) USB RJ45 ( Pfsense der WAN Port) und vom Onboard LAN Port zum Cisco Switch GE 26 .
Nachtrag:
Es ist eine 6490 von Vodafone/Kabel Deutschland also mit Branding daher leider als Router Kaskade nur nutzbar.
Die Fritzbox kann ja kein VLAN das mir bekannt. Ist ja auch nicht mit dem Cisco verbunden sonder nur mit einer Netzwerkkarte des Bleches der Sense.
Die Fritzbox fungiert noch als WLAN AP aber vergibt keine Ip Adressen das macht die sene
Was mich etwas irritiert ist das wenn Pfsense als VM läuft WLAN Clients eine Ip aus dem LAN Netz der Pfsense bekommen aber jetzt da es richtige Hardware ist auf einmal nicht mehr ?
Es ist eine 6490 von Vodafone/Kabel Deutschland also mit Branding daher leider als Router Kaskade nur nutzbar.
Die Fritzbox kann ja kein VLAN das mir bekannt. Ist ja auch nicht mit dem Cisco verbunden sonder nur mit einer Netzwerkkarte des Bleches der Sense.
Die Fritzbox fungiert noch als WLAN AP aber vergibt keine Ip Adressen das macht die sene
Was mich etwas irritiert ist das wenn Pfsense als VM läuft WLAN Clients eine Ip aus dem LAN Netz der Pfsense bekommen aber jetzt da es richtige Hardware ist auf einmal nicht mehr ?
@aqui hast du einen Rat für mich ?
Vermutlich hat das VM Setup einen fatalen Konfig Fehler gehabt. In einer Kaskade ist das FritzBox WLAN ja im Koppelnetz positioniert zwischen dem WAN Port der pfSense und dem FritzBox LAN Port.
Folglich landen also WLAN Clients an der Fritzbox als Clients in diesem Koppelnetz.
Für die Firewall ist dieses Koppelnetz aber schon „Internet“ mit einem (zu Recht) sehr rigiden Regelwerk, und zusätzlich zum Regelwerk am WAN Port agiert dort auch die NAT Firewall die es solchen Clients zusätzlich unmöglich macht auf interne, lokale Netzwerke an der Firewall zuzugreifen. Im Grunde ja auch genau DAS was man von einer sicheren Firewall an ihrem WAN/Internet Port auch erwartet !
Das auszuhebeln wäre nur mit erheblichen Klimmzügen möglich was teilweise die Security Funktion der FW ausser Betrieb setzt und den Betrieb einer Firewall dann insgesamt konterkariert.
Diese FritzBox WLAN Clients in so einer Kaskade können also nur (von der Firewall unkontrolliert) das Internet erreichen, denn aus Sicht der FritzBox, die ja nichts weiss von der an ihr kaskadierten Firewall, sind sie ganz normale lokale Clients.
Das ist also das erwartbare Verhalten dieser FritzBox basierten WLAN Clients.
Das Schaubild so einer typischen Kaskade verdeutlicht recht anschaulich warum dieses Verhalten genau so ist.
Die Kardinalsfrage ist jetzt WAS genau du erreichen willst ? WER soll von WO auf WELCHE Ziel zugreifen ?!
Vielleicht hilft eine kleine Skizze das nochmal zu verdeutlichen für die Community ?!
Folglich landen also WLAN Clients an der Fritzbox als Clients in diesem Koppelnetz.
Für die Firewall ist dieses Koppelnetz aber schon „Internet“ mit einem (zu Recht) sehr rigiden Regelwerk, und zusätzlich zum Regelwerk am WAN Port agiert dort auch die NAT Firewall die es solchen Clients zusätzlich unmöglich macht auf interne, lokale Netzwerke an der Firewall zuzugreifen. Im Grunde ja auch genau DAS was man von einer sicheren Firewall an ihrem WAN/Internet Port auch erwartet !
Das auszuhebeln wäre nur mit erheblichen Klimmzügen möglich was teilweise die Security Funktion der FW ausser Betrieb setzt und den Betrieb einer Firewall dann insgesamt konterkariert.
Diese FritzBox WLAN Clients in so einer Kaskade können also nur (von der Firewall unkontrolliert) das Internet erreichen, denn aus Sicht der FritzBox, die ja nichts weiss von der an ihr kaskadierten Firewall, sind sie ganz normale lokale Clients.
Das ist also das erwartbare Verhalten dieser FritzBox basierten WLAN Clients.
Das Schaubild so einer typischen Kaskade verdeutlicht recht anschaulich warum dieses Verhalten genau so ist.
Die Kardinalsfrage ist jetzt WAS genau du erreichen willst ? WER soll von WO auf WELCHE Ziel zugreifen ?!
Vielleicht hilft eine kleine Skizze das nochmal zu verdeutlichen für die Community ?!
@aqui Also Ich habe gezeichnet
Bild 1 ist wie es Aktuell läuft Pfsense als VM auf ESXI
WLAN Clients verbinden sich mit der Fritzbox und die Sense gibt aus dem LAN DHCP eine IP hin.
Bild 2 so soll es sein ohne ESXI sondern mit richtiger HW für die Sense.
WLAN Clients verbinden sich mit der Fritzbox und die Sense gibt keine IP aus dem LAN DHCP hin
Bild 1 ist wie es Aktuell läuft Pfsense als VM auf ESXI
WLAN Clients verbinden sich mit der Fritzbox und die Sense gibt aus dem LAN DHCP eine IP hin.
Bild 2 so soll es sein ohne ESXI sondern mit richtiger HW für die Sense.
WLAN Clients verbinden sich mit der Fritzbox und die Sense gibt keine IP aus dem LAN DHCP hin
Was etwas wirr und unverständlich ist, ist das lokale LAN an der FritzBox, das ja identisch ist mit dem WLAN der FB.
Hier steht „DHCP aus und 172.16.0.1 /24“ als IP Adresse.
Die WLAN Clients haben aber „172.16.5.100-200“ was so technisch unmöglich ist denn die FritzBox supportet keine 2 IP Adressen auf ihrem lokalen LAN bzw, WLAN. Mal abgesehen das unterschiedliche IP Netze auf einem Draht gegen den TCP/IP Standard verstossen.
Fragt sich dann auch in welchem VLAN der Switch Port 25 liegt an dem dieses lokale LAN angeschlossen ist ?
Das ist also IP technisch irgendwie falsch und verwirrend.
Die gleiche Problematik wiederholt sich im Soll Design.
Da solltest du also nochmal etwas Aufklärungsarbeite leisten. Sinnvoller wäre eine reine Layer 3 Darstellung nur auch IP Sicht.
Hier steht „DHCP aus und 172.16.0.1 /24“ als IP Adresse.
Die WLAN Clients haben aber „172.16.5.100-200“ was so technisch unmöglich ist denn die FritzBox supportet keine 2 IP Adressen auf ihrem lokalen LAN bzw, WLAN. Mal abgesehen das unterschiedliche IP Netze auf einem Draht gegen den TCP/IP Standard verstossen.
Fragt sich dann auch in welchem VLAN der Switch Port 25 liegt an dem dieses lokale LAN angeschlossen ist ?
Das ist also IP technisch irgendwie falsch und verwirrend.
Die gleiche Problematik wiederholt sich im Soll Design.
Da solltest du also nochmal etwas Aufklärungsarbeite leisten. Sinnvoller wäre eine reine Layer 3 Darstellung nur auch IP Sicht.
@aqui wenn du als Profi schon Verwirrt bist dann weist du wie es bei mir ist
Port Einstellung Cisco :
Schnittstellen OPnsense aktuell:
Netzwerk Fritzbox:
ESXI vSwitch:
Fritzbox 172.16.0.1/24 -> Port 25 Access 1 UP -> Cisco SG 220-26p 172.16.10.250/24 GW 172.16.10.1 -> GE 26 Trunk 1U,3T,10-14T -> ESXI Host ( nur 1x Nic ) 172.16.10.2/24 GW 172.16.10.1 -> vSwitch Portgruppe VM Network VLAN ID 0 -> WAN Port der Sense = Portgruppe LAN VLAN ID 4095 -> LAN Port der Sense : Config Sense WAN 172.16.0.2/24 GW Fritte 172.16.0.1 - Sense LAN 172.16.5.1/24 -> VLAN´s VLAN 10 172.16.10.1/24 , VLAN 11 172.16.11.1/24 , VLAN 12 172.16.12.1/24 , VLAN 13 172.16.13.1/24
Alle VLAN´s haben als Übergeordnete Schnittstelle em1 ( LAN Port ).
Client kommt meldet sich am WLAN der Fritte an. Fritte sagt ja ok Anmeldung ok , Ich kann dir aber keine IP geben das macht der DHCP von der Sense LAN 172.16.5.1 . Gerät bekommt IP z.b. beim Iphone 172.16.5.137 255.255.255.0 172.16.5.1 DNS 172.16.5.1
Ich hoffe ich konnte es dir jetzt vllt besser erklären wie es aktuelle läuft.
Gern hätte ich es aber das die Sense nicht mehr als VM läuft sondern als eigenständige HW .
Daher dann der aufbau so oder ist das Falsch?
Fritzbox 172.16.0.1/24 -> HW Sense NIC 1 WAN 172.16.0.2/24 GW Fritte 172.16.0.1 -> HW Sense NIC 2 LAN 172.16.5.1/24 -> GE 26 Trunk 1U,3T,10-14T - Cisco SG 220-26p 172.16.10.250/24 GW 172.16.10.1 : VLAN´s VLAN 10 172.16.10.1/24 , VLAN 11 172.16.11.1/24 , VLAN 12 172.16.12.1/24 , VLAN 13 172.16.13.1/24
Von der Fritte in die Sense dann wieder Raus in den Switch .
Alle VLAN´s haben als Übergeordnete Schnittstelle em1 ( LAN Port ).
Port Einstellung Cisco :
Schnittstellen OPnsense aktuell:
Netzwerk Fritzbox:
ESXI vSwitch:
Fritzbox 172.16.0.1/24 -> Port 25 Access 1 UP -> Cisco SG 220-26p 172.16.10.250/24 GW 172.16.10.1 -> GE 26 Trunk 1U,3T,10-14T -> ESXI Host ( nur 1x Nic ) 172.16.10.2/24 GW 172.16.10.1 -> vSwitch Portgruppe VM Network VLAN ID 0 -> WAN Port der Sense = Portgruppe LAN VLAN ID 4095 -> LAN Port der Sense : Config Sense WAN 172.16.0.2/24 GW Fritte 172.16.0.1 - Sense LAN 172.16.5.1/24 -> VLAN´s VLAN 10 172.16.10.1/24 , VLAN 11 172.16.11.1/24 , VLAN 12 172.16.12.1/24 , VLAN 13 172.16.13.1/24
Alle VLAN´s haben als Übergeordnete Schnittstelle em1 ( LAN Port ).
Client kommt meldet sich am WLAN der Fritte an. Fritte sagt ja ok Anmeldung ok , Ich kann dir aber keine IP geben das macht der DHCP von der Sense LAN 172.16.5.1 . Gerät bekommt IP z.b. beim Iphone 172.16.5.137 255.255.255.0 172.16.5.1 DNS 172.16.5.1
Ich hoffe ich konnte es dir jetzt vllt besser erklären wie es aktuelle läuft.
Gern hätte ich es aber das die Sense nicht mehr als VM läuft sondern als eigenständige HW .
Daher dann der aufbau so oder ist das Falsch?
Fritzbox 172.16.0.1/24 -> HW Sense NIC 1 WAN 172.16.0.2/24 GW Fritte 172.16.0.1 -> HW Sense NIC 2 LAN 172.16.5.1/24 -> GE 26 Trunk 1U,3T,10-14T - Cisco SG 220-26p 172.16.10.250/24 GW 172.16.10.1 : VLAN´s VLAN 10 172.16.10.1/24 , VLAN 11 172.16.11.1/24 , VLAN 12 172.16.12.1/24 , VLAN 13 172.16.13.1/24
Von der Fritte in die Sense dann wieder Raus in den Switch .
Alle VLAN´s haben als Übergeordnete Schnittstelle em1 ( LAN Port ).
Sorry aber ich bin wohl zu blöd.... bei sowas wie
„Fritzbox 172.16.0.1/24 -> Port 25 Access 1 UP -> Cisco SG 220-26p 172.16.10.250/24 GW 172.16.10.1 -> „
Kann ich schwer folgen...
Wo kommt jetzt aber die IP Adresse .10.250 her mit dem Gateway .10.1 ? Was hat die jetzt mit dem VLAN 1 zu tun ??
Oder ist die Tabelle da aus den Fugen geraten ?? Oder was bedeutet die strukturlose Aneinanderreihung der Netze und Ports ?
Bahnhof ?, Ägypten ?
„Fritzbox 172.16.0.1/24 -> Port 25 Access 1 UP -> Cisco SG 220-26p 172.16.10.250/24 GW 172.16.10.1 -> „
Kann ich schwer folgen...
- Fritzbox hat 172.16.0.1 /24
- ist an Port 25 angeschlossen der UNtagged im VLAN 1 liegt was dann folglich die Netzadresse 172.16.0.0 /24 hat.
Wo kommt jetzt aber die IP Adresse .10.250 her mit dem Gateway .10.1 ? Was hat die jetzt mit dem VLAN 1 zu tun ??
Oder ist die Tabelle da aus den Fugen geraten ?? Oder was bedeutet die strukturlose Aneinanderreihung der Netze und Ports ?
Bahnhof ?, Ägypten ?
Dann habe ich es blöd geschrieben ... das ist die Auflistung Geräte mit IP´s wie was verbunden ist.
Der Cisco Switch hat die 10.250 und liegt im Vlan 10 mit weil die Management Console bzw das Web GUI nur aus dem Vlan 10 erreichbar ist.
Ich glaube meine Plan wie ich das netzt hier Aufbau ist zu kompliziert.
Geplant war es so .
Alles was zum Vlan Management gehört also der Switch , Server , ESXI Host , Pihole , Synology , Wlan AP´s später und co alles im VLAN 10 also Netz 172.16.10.1 /24.
Feste Clients per Kabel oder WLAN also interne VLAN 11 Netz 172.16.11.1 /24
Gast WLAN VLAN 12 Netz 172.16.12.1 /24
Smart Home / IP Cam für Einfahrt usw später mal VLAN13 Netz 172.16.13.1 /24
Labor / Testumgebung VLAN 14 Netz 172.16.14.1 /24
Ist das zuviel oder zum Kompliziert gestaltet?
Fritzbox hat nur 2 Adressen einmal sich selbst mit der 172.16.0.1 /24 und die Verbindung zum WAN Port der Sense 172.16.0.2 /24.
Ja richtig
... das ist die Auflistung Geräte mit IP´s wie was verbunden ist.Der Cisco Switch hat die 10.250 und liegt im Vlan 10 mit weil die Management Console bzw das Web GUI nur aus dem Vlan 10 erreichbar ist.
Ich glaube meine Plan wie ich das netzt hier Aufbau ist zu kompliziert.
Geplant war es so .
Alles was zum Vlan Management gehört also der Switch , Server , ESXI Host , Pihole , Synology , Wlan AP´s später und co alles im VLAN 10 also Netz 172.16.10.1 /24.
Feste Clients per Kabel oder WLAN also interne VLAN 11 Netz 172.16.11.1 /24
Gast WLAN VLAN 12 Netz 172.16.12.1 /24
Smart Home / IP Cam für Einfahrt usw später mal VLAN13 Netz 172.16.13.1 /24
Labor / Testumgebung VLAN 14 Netz 172.16.14.1 /24
Ist das zuviel oder zum Kompliziert gestaltet?
Fritzbox hat nur 2 Adressen einmal sich selbst mit der 172.16.0.1 /24 und die Verbindung zum WAN Port der Sense 172.16.0.2 /24.
Zitat von @aqui:
- Fritzbox hat 172.16.0.1 /24
- ist an Port 25 angeschlossen der UNtagged im VLAN 1 liegt was dann folglich die Netzadresse 172.16.0.0 /24 hat.
Ja richtig
Der Cisco Switch hat die 10.250
WAS soll das sein ? Das ist weder IP Netz noch Hostadresse... OK, gehen wir mal davon aus das die Firewall das VLAN Routing macht und die Management IP Adresse des Switches ans VLAN 10 gebunden ist mit der IP Adresse 10.250.10.254 und die dazugehörige VLAN 10 IP Adresse auf der Firewall ist die 10.250.10.1.
Wäre das so richtig ?
Was deine Segmentierung anbetrifft ist das alles absolut korrekt und richtig so und das kann man natürlich auch sinnvoll so machen.
Fassen wir mal geordnet und mit korrekter IP Nomenklatur zusammen:
- Management IP Netz = VLAN 10 = 172.16.10.0 /24
- Internes Kupfer und WLAN IP Netz = VLAN 11 = 172.16.11.0 /24
- Gast WLAN IP Netz = VLAN 12 = 172.16.12.0 /24
- Haustechnik und Smart Home IP Netz = VLAN 13 = 172.16.13.0 /24
- Labor und Test IP Netz = VLAN 14 = 172.16.14.0 /24
Die Vorgehensweise ist doch dann kinderleicht:
- pfSense gem. VLAN_Tutorial aufsetzen,
- Das physische Firewall LAN Interface (UNtagged) ist dabei das VLAN 10 und muss deshalb als Native VLAN am Switch Koppelport zur Firewall gesetzt sein.
- VLAN Interfaces dann nach Anleitung auf der Firewall anlegen und mit IP Adressen und DHCP Server versehen und Regelwerk anpassen.
- VLANs auf dem Switch anlegen, Switch Management und IP ins VLAN 10 legen, Koppelport der Firewall auf Native VLAN 10 setzen.(siehe oben)
- Default Gateway Switch auf Firewall IP .10.1 setzen
- Endgeräte Ports (untagged) auf dem Switch den VLANs zuweisen und IP und Ping Check in den VLANs machen.
- Ggf. Firewall Regeln nochmal nachschärfen (Gastnetz etc.) und ggf.Captive_Portal aktivieren.
- Fertisch
Zitat von @aqui:
OK, gehen wir mal davon aus das die Firewall das VLAN Routing macht und die Management IP Adresse des Switches ans VLAN 10 gebunden ist mit der IP Adresse 10.250.10.254 und die dazugehörige VLAN 10 IP Adresse auf der Firewall ist die 10.250.10.1.
Wäre das so richtig ?
Der Cisco Switch hat die 10.250
WAS soll das sein ? Das ist weder IP Netz noch Hostadresse... OK, gehen wir mal davon aus das die Firewall das VLAN Routing macht und die Management IP Adresse des Switches ans VLAN 10 gebunden ist mit der IP Adresse 10.250.10.254 und die dazugehörige VLAN 10 IP Adresse auf der Firewall ist die 10.250.10.1.
Wäre das so richtig ?
Der Switch hat die IP 172.16.10.250 mit GW IP 172.16.10.1
Was deine Segmentierung anbetrifft ist das alles absolut korrekt und richtig so und das kann man natürlich auch sinnvoll so machen.
Fassen wir mal geordnet und mit korrekter IP Nomenklatur zusammen:
Fassen wir mal geordnet und mit korrekter IP Nomenklatur zusammen:
- Management IP Netz = VLAN 10 = 172.16.10.0 /24
- Internes Kupfer und WLAN IP Netz = VLAN 11 = 172.16.11.0 /24
- Gast WLAN IP Netz = VLAN 12 = 172.16.12.0 /24
- Haustechnik und Smart Home IP Netz = VLAN 13 = 172.16.13.0 /24
- Labor und Test IP Netz = VLAN 14 = 172.16.14.0 /24
Das Freut mich das ich da schonmal Richtig Überlegt habe
Aber 2 Dinge Verstehe ich gerade nicht.
1. In der Pfsense gibt man den 2 Netzwerkkarten WAN und LAN eine IP . Für WAN habe ich gesetzt 172.16.0.2 Gateway 172.16.0.1 die Fritzbox.
Für die LAN Netzwerkkarte 172.16.5.1 . Ist das Korrekt ?
2. Verbinden Fritzbox LAN Port 1 zur Pfsense WAN Port dann LAN Port zum Switch Port GE 26?
Die Vorgehensweise ist doch dann kinderleicht:
- pfSense gem. VLAN_Tutorial aufsetzen,
Ja das Erledigt
* Das physische Firewall LAN Interface (UNtagged) ist dabei das VLAN 10 und muss deshalb als Native VLAN am Switch Koppelport zur Firewall gesetzt sein.
Das heißt Firewall LAN Interface verbinden mit Port GE 26 und dort Einstellen VLAN ID 1 UNtagged sowie VLAN ID 10-14 Tagged?
* VLAN Interfaces dann nach Anleitung auf der Firewall anlegen und mit IP Adressen und DHCP Server versehen und Regelwerk anpassen.
Ja das Erledigt
* VLANs auf dem Switch anlegen, Switch Management und IP ins VLAN 10 legen, Koppelport der Firewall auf Native VLAN 10 setzen.(siehe oben)
- Default Gateway Switch auf Firewall IP .10.1 setzen
Ja das Erledigt
Cisco IP 172.16.10.250 mit Gateway 172.16.10.1* Endgeräte Ports (untagged) auf dem Switch den VLANs zuweisen und IP und Ping Check in den VLANs machen.
Das ist auch erledigt
* Ggf. Firewall Regeln nochmal nachschärfen (Gastnetz etc.) und ggf.Captive_Portal aktivieren.
- Fertisch
Ich hoffe das es was wird
Als VM Läuft es ja bereits nur ohne VM nicht mit Richtiger Hardware. Wenn sich jetzt WLAN Clients mit der Fritzbox Verbinden WER gibt ihnen dann die IP? Die Fritzbox ist ja Nur Modem ( zwar Router aber vergibt keine IPS mehr sie Stellz nur noch den Internetzugang und das WLAN bereit )Ich hoffe es Klappt auch so
Vielen dank für deine Hilfe Bist der Beste Aber 2 Dinge Verstehe ich gerade nicht.
1.Ja, das ist korrekt !
WAN ist immer abhängig WIE man die Internet Verbindung realisiert. Du nutzt eine Kaskade mit Router davor und doppeltem NAT und doppeltem Firewalling wie sie HIER genau beschrieben ist.
Dort kann man eine statische IP vergeben allerdings muss man dann zwingend beachten auch die Default Route/Gateway zu setzen.
Alternativ könnte man die IP auch per DHCP vergeben lassen wenn man in der FritzBox davor eine Reservierung auf die Mac Adresse des WAN Ports in deren DHCP Server einträgt. So bekommt dann der WAN Port auch immer eine feste IP und das Gateway dynamisch.
Wichtig ist in einer Kaskade am WAN Port unten den Haken zu setzen das RFC 1918 IP Adressen nicht geblockt werden. (Siehe Tutorial).
Beide Alternativen führen zum Erfolg.
2.
Das ist auch richtig. Port 26 ist dann Tagged für alle Vlans ausser 10 denn 10 ist am Firewall Port das native Vlan wenn du diese IP Netz auf den physischen LAN Port der Firewall legst.
Das heißt Firewall LAN Interface verbinden mit Port GE 26 und dort Einstellen VLAN ID 1 UNtagged sowie VLAN ID 10-14 Tagged?
Nein !Dann liegt das Native VLAN der Firewall (Firewall LAN Port) ja im VLAN 1 !! Nachdenken !
Die Frames des physischen LAN Ports der Firewall werden immer untagged gesendet. VLAN 1 hast du ja gar nicht in Benutzung. Wenn du dem physischen LAN Port also die IP .10.1 gibst musst du auch dafür sorgen das dessen untagged Pakete dann in deinem Switch VLAN 10 landen logischerweise.
Das machst du indem du dem Cisco Switch sagst das an seinem Port die Native VLAN ID nicht 1 sondern 10 ist. So landen dann alles untagged Pakete an dem Port im VLAN 10. Ganz einfach !
Und... das klappt ganz sicher so !!! 😉
Also @aqui soweit klappt ja alles bis auf....... Das die WLAN Clients die sich mit dem WLAN der Fritzbox Verbinden (die auch das internet Bereitstellt) Keine IP bekommen.
Die Wlan Clients bekommen nur eine 169.254.....Adresse.
An was liegt das ? Geht das Überhaupt oder muss ich warten bis ich die AP´s habe ?
Die Wlan Clients bekommen nur eine 169.254.....Adresse.
An was liegt das ? Geht das Überhaupt oder muss ich warten bis ich die AP´s habe ?
Das kommt drauf an WIE du den DHCP Server der FB betreibst. Normal bei statischer IP kann man den ja deaktivieren, denn im Koppelnetz sollten ja in der Regel niemals Clients sein, weil diese ja dann völlig ohne Firewall agieren. Damit wäre ein Firewall Konzept ja dann sinnfrei. Das Koppelnetz sollte also ein reines Punkt zu Punkt Koppelnetz OHNE Clients bleiben.
Wenn der FB DHCP Server also aus ist bekommen WLAN Clients keine IP oder nur eine Zeroconf IP ala 169.254.x.y.
Ist er allerdings aktiv sollten die Clients normal eine IP aus dem Koppelnetz bekommen wenn der DHCP Server entsprechend dazu konfiguriert ist vom Adresspool.
Allerdings hebelt das dann die Firewall Sicherheit komplett aus.
Intelligenter ist es also den WLAN Accesspoint immer innerhalb der lokalen Firewall LANs, idealerweise mit einem MSSID Setup zu betreiben.
Mikrotik und andere haben dafür preiswerte und leistungsfähige Accesspoints
https://www.varia-store.com/de/produkt/97657-rbcapl-2nd-cap-lite-mit-ar9 ...
https://www.varia-store.com/de/produkt/97517-rbcap2nd-routerboard-decken ...
Oder Dual Radio
https://www.varia-store.com/de/produkt/97849-rbcapgi-5acd2nd-cap-ac-mit- ...
Beispiel MSSID Setup:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Wenn der FB DHCP Server also aus ist bekommen WLAN Clients keine IP oder nur eine Zeroconf IP ala 169.254.x.y.
Ist er allerdings aktiv sollten die Clients normal eine IP aus dem Koppelnetz bekommen wenn der DHCP Server entsprechend dazu konfiguriert ist vom Adresspool.
Allerdings hebelt das dann die Firewall Sicherheit komplett aus.
Intelligenter ist es also den WLAN Accesspoint immer innerhalb der lokalen Firewall LANs, idealerweise mit einem MSSID Setup zu betreiben.
Mikrotik und andere haben dafür preiswerte und leistungsfähige Accesspoints
https://www.varia-store.com/de/produkt/97657-rbcapl-2nd-cap-lite-mit-ar9 ...
https://www.varia-store.com/de/produkt/97517-rbcap2nd-routerboard-decken ...
Oder Dual Radio
https://www.varia-store.com/de/produkt/97849-rbcapgi-5acd2nd-cap-ac-mit- ...
Beispiel MSSID Setup:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
