VLAN mit Cisco SG220, ESXIund Pfsense

Mitglied: raxxis990

raxxis990 (Level 1) - Jetzt verbinden

09.01.2021 um 20:10 Uhr, 792 Aufrufe, 35 Kommentare

Hallo

Ich probiere schon seit paar Tagen aus das ich an der Pfsense ein erstelltes VLAN das ein endgerät per dhcp eine Adresse bekommt.


VMware ESXI Host mit einer NIC 172.16.10.2/24

Pfsense als VM WAN 172.16.0.2/32
LAN 172.16.10.1/24

Am VMware vSwitch gibt es 3 Portgruppen.

Management VLAN 0
LAN-intern VLAN 3 (LAN Port der Pfsense)
LAN-extern VLAN 0 wan Port Pfsense

Im Switch sind angelegt VLAN 1,3,20,30,40

Der ESXI Host hängt am Switch Port 13

Port 13 ist Tagged in VLAN 3,20,30,40
Ein Client hängt an Port 2 dieser ist Untagged

In der Pfsense sind die VLANs 20,30,40 angelegt auf das lan Interface. Und dann Jeweils ein DHCP Server .
Firewall Regel ist gesetzt .VLAN 20 ist offen für alles.



Problem ist das der Client keine Adresse bekommt . Wireshark sagt unter DHCP . DHCP Discovery 0.0.0.0 .... 255.255.255.255

Ich hoffe ich habe jetzt nix vergessen 😂
35 Antworten
Mitglied: Pjordorf
09.01.2021 um 20:26 Uhr
Hallo,

Zitat von raxxis990:
VMware ESXI Host mit einer NIC 172.16.10.2/24
Pfsense als VM WAN 172.16.0.2/32
Mal eine/24 und mal eine /32 Subnetzmaske?

In der Pfsense sind die VLANs 20,30,40 angelegt auf das lan Interface. Und dann Jeweils ein DHCP Server .
Ein (1) DHCP pro vLAN oder ein (1) DHCP Server für alle vLANs? IP-Helper Konfiguriert?
https://www.freeccnaworkbook.com/workbooks/ccna/configuring-an-ip-dhcp-h ...

Problem ist das der Client keine Adresse bekommt . Wireshark sagt unter DHCP . DHCP Discovery 0.0.0.0 .... 255.255.255.255
Wer ist die Quelle und wer das Ziel?

Gruß,
Peter
Bitte warten ..
Mitglied: raxxis990
09.01.2021 um 20:30 Uhr
Mist Vergessen zu erwähnen. Fritzbox 172.16.0.1/32 und WAN Pfsene 172.16.0.2/32

Pro VLAN ein dhcp

Zum wireshark so steht es drin auf dem Client
Bitte warten ..
Mitglied: Pjordorf
09.01.2021 um 20:40 Uhr
Hallo,

Zitat von raxxis990:
Mist Vergessen zu erwähnen. Fritzbox 172.16.0.1/32 und WAN Pfsene 172.16.0.2/32
Eher unwichtig

Pro VLAN ein dhcp
OK

Zum wireshark so steht es drin auf dem Client
Und dein Wireshark hat keine Quelle und Ziel genannt? Bekommt der entsprechende DHCP denn überhaupt die Anfrage nach einer IP? Notfalls DHCP Logging vorher einschalten.

Gruß,
Peter
Bitte warten ..
Mitglied: raxxis990
09.01.2021 um 20:47 Uhr
Naja das kann ich ja noch ändern mit dem Netz.

Nur das wie im Bild.

Die Pfsens sagt nix dazu als wenn irgendwas Blockiert oder so nur was.
dhcp99 - Klicke auf das Bild, um es zu vergrößernfw - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Pjordorf
09.01.2021, aktualisiert um 21:14 Uhr
Hallo,

Zitat von raxxis990:
Nur das wie im Bild.
Schön, wenn du die Spaltenüberschriften wegschneidest. Was sollte auf ein DHCP Discover folgen? Es scheint das dein DHCP gar nicht mitbekommt das jemand anfragt, oder eben falsch konfiguriert oder eben falsche IPs oder eine Firewall oder falsche Regeln für eine Firewall oder oder oder. Wir wissen hier zu wenig von dein Konstrukt, um zu sagen es ist Komponente X.
https://wiki.wireshark.org/DHCP
https://en.wikiversity.org/wiki/Wireshark/DHCP
https://www.wireshark.org/lists/wireshark-users/200803/msg00237.html
https://mrncciew.com/2012/12/27/understanding-dhcp/
https://forum.netgate.com/topic/154744/jeweils-einen-dhcp-server-pro-vla ...
https://networkengineering.stackexchange.com/questions/58084/no-dhcpoffe ...
https://www.reddit.com/r/networking/comments/2ax0z0/dhcp_responding_with ...
https://networkengineering.stackexchange.com/questions/69480/how-to-capt ...

Die Pfsens sagt nix dazu als wenn irgendwas Blockiert oder so nur was.
Wenn du alles was in der PFSense ankommt (auch deine DHCP Discover zählen dazu) logst, solltest du da schon was sehen können, sonst ist die PFSense bei dir eher nur Störenfried und Briefbeschwerer.

Gruß,
Peter
Bitte warten ..
Mitglied: raxxis990
09.01.2021 um 21:17 Uhr
Also wenn ich alles auf Standard lasse ohne VLAN. Dann vergibt der DHCP von LAN Adressen raus . Aber sobald dann VLAN im Spiel ist klappt es nicht mehr .

Liegt es an der VLAN Config in der Pfsense oder am Cisco ?
Bitte warten ..
Mitglied: Pjordorf
09.01.2021 um 21:22 Uhr
Hallo,

Zitat von raxxis990:
Also wenn ich alles auf Standard lasse ohne VLAN. Dann vergibt der DHCP von LAN Adressen raus . Aber sobald dann VLAN im Spiel ist klappt es nicht mehr .
Dann ist deine vLAN Konfiguration falsch. Und wer soll bei dir für die vLANs zuständig sein und zwischen diesen Routen usw. usw. usw.

Liegt es an der VLAN Config in der Pfsense oder am Cisco ?
Da wir hier keine deiner Konfigurationen kennen...

Gruß,
Peter
Bitte warten ..
Mitglied: raxxis990
09.01.2021 um 21:56 Uhr
Hier die config der Pfsense

interface - Klicke auf das Bild, um es zu vergrößern
vlan_interface - Klicke auf das Bild, um es zu vergrößern
vlan20 - Klicke auf das Bild, um es zu vergrößern


Hier des ESXI

lan_intern - Klicke auf das Bild, um es zu vergrößern
lan_extern - Klicke auf das Bild, um es zu vergrößern

Hier der Cisco

vlan_0 - Klicke auf das Bild, um es zu vergrößern
vlan_3 - Klicke auf das Bild, um es zu vergrößern
vlan_20 - Klicke auf das Bild, um es zu vergrößern


Na das Routen macht doch alles die Pfsense oder nicht die kennt doch jedes Netz? Bzw ist für alle netze Zuständig
Bitte warten ..
Mitglied: aqui
10.01.2021, aktualisiert um 12:42 Uhr
Problem ist das der Client keine Adresse bekommt.
Zeigt ja immer ganz klar das es dann KEINE Layer 2 Verbindung gibt und sehr wahrscheinlich das VLAN Tagging falsch oder fehlerhaft ist !

Hier sieht meine eine grobe Grundkonfig wie man mit ESXi VLANs sauber jongliert auf einem VLAN Switch:
https://administrator.de/forum/sophos-software-appliance-utm-vlan-cisco- ...

esxi - Klicke auf das Bild, um es zu vergrößern

Allgemeine Grundlagen zur VLAN Einrichtung mit pfSense und Cisco SG Switches wie immer hier:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Bitte warten ..
Mitglied: raxxis990
10.01.2021 um 15:35 Uhr
@aqui Also jetzt klappt es aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.

Was gerade nicht klappt ist z.b. wenn ich jetzt von dem Test Client aus der vom DHCP VLAN 100 eine IP bekommen hat eine verbindung zum Cisco Switch aufzubauen. Ping zu 172.16.10.250 vom Netz 172.16.20.1/24 geht auch nicht Fehler Zeitüberschreitung.

VLAN 100 ist das Netz 172.16.20.1/24 der Cisco SG 220 hat 172.16.10.250/24.

Zum ESXi 172.16.10.2/24 oder 172.16.0.1 fritzbox komme ich per Browser.

Hier die Firewall Rules für LAN:

lan - Klicke auf das Bild, um es zu vergrößern

Und hier für das VLAN 100 Client:

vlan100 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Ad39min
10.01.2021 um 16:27 Uhr
Zitat von raxxis990:

@aqui Also jetzt klappt es aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.

Dann hast Du wahrscheinlich an der PfSense das Interface auf tagged statt untagged konfiguriert.

Gruß
Alex
Bitte warten ..
Mitglied: aqui
10.01.2021 um 16:43 Uhr
aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.
Das ist tödlich und darf man niemals machen, denn die VLAN IDs über 90 sind System reserviert. Die darf man niemals verwenden und sind absolut Tabu im Setup.
Du hast also wieder einen Fehler beim VLAN Tagging gemacht !! :-( face-sad

Bedenke immer das das Native VLAN (PVID) an so einem Port UNtagged ist. Das ist vermutlich der Debnkfehler den du machst.
Bitte warten ..
Mitglied: Ad39min
10.01.2021 um 16:54 Uhr
Zitat von aqui:

aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.
Das ist tödlich und darf man niemals machen, denn die VLAN IDs über 90 sind System reserviert. Die darf man niemals verwenden und sind absolut Tabu im Setup.
Du hast also wieder einen Fehler beim VLAN Tagging gemacht !! :-( face-sad

Da muss ich mal ausnahmsweise widersprechen ;-) face-wink Bei vSphere heißt VLAN 4095 nichts anderes als Trunk Port. Also keine Sorge, es werden keine Frames mit der "illegalen" ID 4095 getaggt, sondern es besagt nur, dass der vSwitch das Tagging der VM selber überlassen soll.

Gruß
Alex
Bitte warten ..
Mitglied: aqui
10.01.2021 um 17:15 Uhr
Bei vSphere heißt VLAN 4095 nichts anderes als Trunk Port.
Gut wenn die solche Netzwerk fremde Nomenklatur nutzen ist das deren Sache. Verwirrt aber nur, denn diese VLAN IDs sind im Netzwerkbereich Tabu. In der Regel werden die für MSTP und PVSTP Management intern benutzt und da gibts Chaos wenn man die physisch nutzt.
Wie auch immer man es nennt ,diese IDs sollte man aber auf wirklicher physischer Infrastruktur niemals nutzen.
dass der vSwitch das Tagging der VM selber überlassen soll.
Das ist dann auch absolut OK. ;-) face-wink
Bitte warten ..
Mitglied: tech-flare
10.01.2021, aktualisiert um 18:02 Uhr
Zitat von aqui:

aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.
Das ist tödlich und darf man niemals machen, denn die VLAN IDs über 90 sind System reserviert. Die darf man niemals verwenden und sind absolut Tabu im Setup.

@aqui... Wie oft denn eigentlich noch? Das habe ich dir schon mehrmals gesagt und auch verlinkt... das ist bei Vmware der Standard (egal ob der einfache Standard vSwitch oder der Distributed Switch aus der Enterprise Umgebung), ist weltweit im Vmware Umfeld etabliert und steht auch in deren HowTos!

Und würde es damit Probleme geben, hätte dies der Weltmarktführer im Virtualsierungsumfeld ggf schon geändert.

Oder sollen die es ändern, nur weil du nicht deren Meinung bist ?

4095 ist im im Vmware Umfeld die vlan ID um einen Trunk in eine VM zu leiten. Und ja das ist korrekt...‘und ich denke die wissen schon was sie tun...

Ps.: ich habe da noch nie Probleme in Vmware Umgebungen gehabt... nicht mit Cisco, Netgear, HP oder Juniper.
Bitte warten ..
Mitglied: tech-flare
10.01.2021 um 17:55 Uhr
Warum machst du noch ein Thema auf?

Das Gleiche, nur anders geschrieben, hast du bereits am 04.01 gefragt.

Warum zweimal?
Bitte warten ..
Mitglied: Ad39min
10.01.2021 um 18:05 Uhr
Zitat von aqui:

Bei vSphere heißt VLAN 4095 nichts anderes als Trunk Port.
Gut wenn die solche Netzwerk fremde Nomenklatur nutzen ist das deren Sache. Verwirrt aber nur, denn diese VLAN IDs sind im Netzwerkbereich Tabu. In der Regel werden die für MSTP und PVSTP Management intern benutzt und da gibts Chaos wenn man die physisch nutzt.
Wie auch immer man es nennt ,diese IDs sollte man aber auf wirklicher physischer Infrastruktur niemals nutzen.
dass der vSwitch das Tagging der VM selber überlassen soll.
Das ist dann auch absolut OK. ;-) face-wink

Das es unglücklich gewählt ist und verwirrend ist, steht außer Frage. Hätte man seitens VMware bestimmt auch besser lösen/benennen können.
Bitte warten ..
Mitglied: raxxis990
10.01.2021 um 22:22 Uhr
So nach mehrmaligen Testen klappt es nur mit VLAN ID 4095.

Was mich gerade beschäftig ist das ich egal von jedem VLAN auf den ESXI Host oder die Fritzbox zugreifen kann. Aber ich kann nicht auf den Cisco SG 220 zugreifen .

Aus dem LAN komme ich drauf .

z.b. VLAN 11 = Client Netz:172.16.11.1/24 Laptop 172.16.11.50/24

Switch 172.16.10.250/24


Google Chrom Meldet immer ERR_CONNECTION_TIMED_OUT

Scheunentor Regel wurde erstellt . Ping zum Switch schlägt fehl. Ping vom Switch zum Client auch
Bitte warten ..
Mitglied: aqui
11.01.2021, aktualisiert um 10:58 Uhr
So nach mehrmaligen Testen klappt es nur mit VLAN ID 4095.
Das ist natürlich Blödsinn. Sieh dir das obige Tutorial an da klappt es fehlerlos mit dem VLAN IDs 1 (native VLAN) und 3. Mittlerweile ist es auf 10 und 20 erweitert und klappt immer noch.
Die VLAN ID 4095 ist unsinnig.
Scheunentor Regel wurde erstellt . Ping zum Switch schlägt fehl. Ping vom Switch zum Client auch
Zeigt das dein gesamtes Tagging und die VLAN Zuordnung "totally fu... up" ist und falsch oder zumindest fehlerhaft.
Warum hälst du dich nicht ganz einfach an das o.a. Tutorial da ist es doch einfach und verständlich gepostet ?! In dessen Setup stand da auch nirgendwo ein Wort von 4095 bzw. taucht da auch nirgendwo auf usw.
Irgendwo läuft also irgendwas ganz falsch bei dir und deinen VLANs... :-( face-sad
Bitte warten ..
Mitglied: raxxis990
11.01.2021, aktualisiert um 11:36 Uhr
@aqui ich danke dir für deine ausdauer und tipps

ich habe es jetzt genauso Nach gebaut und es klappt nicht! Sobald ich an der Portgruppe LAN-Intern die VLAN ID 3 setze geht nix mehr.

Aber irgendwo muss ja der fehler sitzen. Wenn es bei dir klappt hab ich irgendwo einen fehler.


Fangen wir mal am ESXI Host an.
Der hat die IP 172.16.10.2/24 also nur eine Netzwerkkarte.
So sehen die Portgruppen dazu aus.
topologie - Klicke auf das Bild, um es zu vergrößern


Weiter gehts im Cisco SG 220 habe ich meine VLANs Erstellt.
vlan_create - Klicke auf das Bild, um es zu vergrößern

Dann unter Port to VLAN . VLAN ID 1 ist alles Untagged bis auf GE2 der ist in VLAN ID 11 Untagged. In VLAN ID 3 ist der Port GE13 welcher ja der ESXI Host ist Tagged sowie in den andern VLAN ids 11-14 .
vlan member - Klicke auf das Bild, um es zu vergrößern

In der Pfsense sind die Gleichen VLAN IDs angelegt wie im Switch .

vlanids - Klicke auf das Bild, um es zu vergrößern
vlan11_ - Klicke auf das Bild, um es zu vergrößern
vlan11 - Klicke auf das Bild, um es zu vergrößern


Der DHCP für VLAN ID 11 sieht so aus

dhcp_vlan11 - Klicke auf das Bild, um es zu vergrößern

Und passent hoffentlich die Firewall Regel

fw_vlan11 - Klicke auf das Bild, um es zu vergrößern


EDIT. Ist es normal das alle Ports auf Excluded stehen ? oder muss ich am switch was noch umstellen? Und alles auf Trunk

excluded - Klicke auf das Bild, um es zu vergrößern
interfache - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: raxxis990
12.01.2021 um 14:44 Uhr
Sieht denn jemand hier einen Fehler?

Kann es sein das man das Webinterface des Cisco nur von einem Netz zugreifen kann?

In dem Link von @aqui hat einer auch geschrieben das es nur mit 4095 geht .


Macht es vllt mehr sinn eine zweite NIC zu kaufen?
Bitte warten ..
Mitglied: Pjordorf
12.01.2021 um 15:03 Uhr
Hallo,

Zitat von raxxis990:
Kann es sein das man das Webinterface des Cisco nur von einem Netz zugreifen kann?
Nein

In dem Link von @aqui hat einer auch geschrieben das es nur mit 4095 geht .
Und weiter?

Macht es vllt mehr sinn eine zweite NIC zu kaufen?
Wenn du die brauchst, ja, sonst nein, ausser du bist ein NIC Samler:-) face-smile

PFSense CLI statt Bilder https://docs.netgate.com/pfsense/en/latest/config/console-menu.html
CISCO SG 220 CLI https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbss/sf220_sg220 ...

Gruß,
Peter
Bitte warten ..
Mitglied: aqui
12.01.2021, aktualisiert um 15:20 Uhr
Kann es sein das man das Webinterface des Cisco nur von einem Netz zugreifen kann?
Ja das könnte sein, denn das Webinterface ist im Default bei einem Layer 2 Model (oder einem Layer 3 Modell im Layer 2 Mode) nur aus dem Default VLAN 1 erreichbar.
Das kann man aber im Setup einstellen aus welchem VLAN man die Management IP erreichen möchte !
Es ist also absolut relevant an welches VLAN man das Management des Switches bindet !
mgmz - Klicke auf das Bild, um es zu vergrößern
Macht es vllt mehr sinn eine zweite NIC zu kaufen?
Nein, es geht de facto ja auch mit einer einzigen. Das kannst du am obigen Screenshot und Netzdesign ja selber deutlich sehen.
Ist es normal das alle Ports auf Excluded stehen ?
Nein, dfas ist falsch !
Es ist dann falsch wenn du einen der Ports im VLAN 3 betreiben willst. Oben ist ja das VLAN 3 angewählt und "Excluded" dort bedeutet das kein Port dem VLAN 3 zugewiesen ist weder tagged noch untagged !
Desweiteren falsch ist das alle Ports im Trunk Mode sind ! Es ist kein einziger Port als Endgerät Access Port definiert. Alle Ports sind untagged im VLAN 1 einzige Ausnahme Port 2 der UNtagged im VLAN 11 hängt.

Man kann also an den Screenshots schon sehen das zumindestens der Anschlussport für den VmWare Host vollkommen falsch konfiguriert ist.
Trunk Mode wäre richtig aber er müsste zumindestens tagged in die VLANs gesetzt sein die du auch vom internen vSwitch tagged überträgst.
Ein Screenshot der "VLAN Port Membership" Übersicht des Switches wäre also hilfreich.
Dein Problem ist also nicht die vmWare und das falsche VLAN 4095 sondern schlicht und einfach dein völlig falsches Switch Setup !

Hier ein Beispiel wie es aussehen sollte am VmWare Port 25 und 26 wären dafür entsprechend konfiguriert
Der Rest sind Access Ports (Endgeräte PC, Drucker etc.) im VLAN 1 und 99
cisco - Klicke auf das Bild, um es zu vergrößern
T = Tagged
U = Untagged
P = PVID
Steht ja auch alles unten in der Agenda des GUI !
Bitte warten ..
Mitglied: raxxis990
12.01.2021 um 16:31 Uhr
Also ich habe es Jetzt nachgebau!

Am Switch GE26 Hängt die Vmware an der GE 25 die Fritzbox.

Laptop hängt an GE 2 dieser ist 11UP

Im vswitch ist unter LAN-intern also der LAN Port der pfsense die ID 3 eingestellt. Rest ID 0.

Und wie gehabt es klappt nicht. Sobald ich die ID 3 einstelle komme ich nicht mehr zur Pfsense aus den VLAN ID 11-14.. Soweit jetzt richtig?

vlan member_1 - Klicke auf das Bild, um es zu vergrößern
vlan1 - Klicke auf das Bild, um es zu vergrößern
vlan3 - Klicke auf das Bild, um es zu vergrößern
vlan11 - Klicke auf das Bild, um es zu vergrößern
vlan12 - Klicke auf das Bild, um es zu vergrößern

In der VM sind unterschiedliche per Auto MAC Adressen aber im vSwitch stehen 2 mal die selben drin ? Wie geht denn das? ist das vllt ein fehler?

pfsense - Klicke auf das Bild, um es zu vergrößern
vsw - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
12.01.2021 um 17:50 Uhr
Sobald ich die ID 3 einstelle komme ich nicht mehr zur Pfsense aus den VLAN ID 11-14..
WO stellst du die denn ein ?!
Beachte auch das das native Interface der pfSense also das was auf dem physischen Port liegt immer UNtagged ist !

Was auch unklar ist in welchen VLAN bzw. VM-Netzkarte dein lokaler LAN Port der pfSense ist und wo der WAN Port liegt. Da du die Mac Adressen nicht customized hast sind die im Default gleich. Das klappt deshalb weil die in unterschiedlichen VLAN sind, macht aber eine eindeutige Identifizierung des LAN Ports sehr schwer.

Der LAN Port ist der einzige Port der dir den Management Zugang ermöglicht. Auf dem WAN Port geht das logischerweise nicht weil FW Regeln das verhindern.
Es ist also essentiell wichtig das zu wissen.
Liegt der LAN Port auf der VLAN ID 0 (172.16.10.0er Netz) landet er im Default VLAN 1 auf dem Switch denn diese Traffic geht untagged über den vSwitch. Da der Trunk Port aus 1UP steht, also aller UNtagged Traffic landet in der PVID 1, ist der Port dann in VLAN 1.
Das kannst du auch immer ganz einfach selber testen denn ein DHCP Client (z.B. PC, Laptop) in diesem Netz bekommt dann vom Default DHCP Server der pfSense eine 192.168.1.x IP zugewiesen.
Am WAN Port der pfSense ist kein DHCP Server aktiv. Folglich wird dort keine DHCP Adresse vergeben und Clients landen im APIPA Netz.

Der WAN Port ist aber selber im Default DHCP Client. Ist er also in einem IP Netz wo ein DHCP Server rennt bekommt der Port automatisch eine IP im Netz. Über das Interface Status GUI der pfSense kann man das also direkt sehen.
Dein Kardinalsfehler ist also das du keinen Access Port im VLAN 3 gesetzt hast !!! Du kannst also nicht testen ob ggf. der pfSense LAN Port in diesem VLAN liegt. Die beiden pfSense Ports liegen ja im VLAN 1 oder 3 also kann es nur eins dieser beiden VLANs sein.
Ergo ist es doch logisch das man sich 1 oder 2 Access Ports in beiden dieser VLANs setzt um das Port Verhalten da zu checken.
Zumindestens bei VLAN 3 hast du das nicht gemacht. Du kannst also mit einem Endgerät niemals testen was im VLAN 3 so los ist.
Wie man auf so einen Kardinalsfehler nicht auch selber kommt ist vollkommen unklar. Es zeigt eher das du vermutlich überhaupt keinen Schimmer hast was VLANs überhaupt sind. :-( face-sad
Macht das ganze Unterfangen hier also nicht gerade einfach und da liegt es nahe das du das hiesige VLAN_Tutorial noch einmal dringenst genau lesen und vor allem verstehen solltest !! Vor allem was die Grundlagen anbetrifft. Ggf. hilft da auch nochmal die "VLAN Schnellschulung":
https://www.administrator.de/frage/heimnetzwerk-aufbauen-longshine-lcs-g ...
Aaalso fassen wir mal zusammen:
  • Trunk Port zum Anschluss des ESXi ist jetzt soweit OK und richtig.
  • pfSense Ports sind im VLAN 1 und 3 fragt sich nur welcher ist wo. Musst du rausbekommen
  • Ein VLAN (3) des pfSense Ports ist nicht zugänglich da du diesen NICHT zusätzlich als Access Port ins VLAN 3 gelegt hat. Dringenst hier allso 1 oder 2 Access Ports statisch (Klick auch UNtagged) ins VLAN 3 legen damit du darauf überhaupt zugreifen kannst
  • Gilt natürlich auch für deine VLANs 11, 12, 13 und 14 die (vermutlich) noch nicht in Benutzung sind ?!
Sieh doch einfach nur einmal auf das Switchbild oben:
esxi - Klicke auf das Bild, um es zu vergrößern
Da ist doch eigentlich auch für einen Laien einfach und schnell zu sehen wie das Port Tagging und die VLAN Zuordnung auf dem Switch aussieht !!
Gelb = VLAN 1 = WAN Port der pfSense (ESXi Port=Untagged "1UP", Access Ports= "1UP")
Blau = VLAN 3 = LAN Port der pfSense (ESXi Port=Tagged "3T", Access Ports= "3UP")
Was ist an der einfachen Logik bloß so schwer...?? 😟
Bitte warten ..
Mitglied: raxxis990
13.01.2021, aktualisiert um 09:07 Uhr
Also so langsam werde ich hier Blöde. Und ärgere mich selber das es nicht Klappt. :( face-sad

Ich habe mich die nach Auf Arbeit hingesetzt und @aqui seine Links durch gelesen.

Muss sagen ist sehr viel Input ….

Nun zur Ausführung.

Im ESXI WebUI LAN-Intern( der LAN Port der Pfsense) ID auf 3 , VM Networt (der WAN Port der Pfsense) und Management ID auf 0 gestellt Resultat Siehe unten.

GE2 zu 3UP:
Ich habe getan wie du gesagt hast Laptop an Port 2 gesteckt und im Cisco dem Port auf 3UP gestellt. Ergebnis Bekomme IP vom LAN Port ( DHCP ) der Pfsense Netz 172.16.10.0/24.

Zugriff auf Pfsense klappt und auch auf das www klappt. Zugriff auf das Webui des Esxi klappt nicht !

GE2 zu 11UP
Ich habe getan wie du gesagt hast Laptop an Port 2 gesteckt und im Cisco dem Port auf 11UP gestellt. Ergebnis Bekomme KEINE IP vom Vlan 11 DHCP.

Gleiche Spiel:

Im ESXI WebUI LAN-Intern( der LAN Port der Pfsense) ID auf 4095 , VM Networt (der WAN Port der Pfsense) und Management ID auf 0 gestellt Resultat Siehe unten.


GE2 zu 11UP:
Ich habe getan wie du gesagt hast Laptop an Port 2 gesteckt und im Cisco dem Port auf 11UP gestellt. Ergebnis Bekomme IP vom VLAN 11 IP 172.16.11.0/24

Zugriff auf Pfsense , www und auf das Webui des Esxi klappen.

GE2 zu 3UP
Ich habe getan wie du gesagt hast Laptop an Port 2 gesteckt und im Cisco dem Port auf 3UP gestellt. Ergebnis Bekomme KEINE IP vom LAN DHCP. (172.16.10.0/24)



Kannst du damit jetzt mehr Anfangen das wir gemeinsam den Fehler finden?
member 11 - Klicke auf das Bild, um es zu vergrößernmember - Klicke auf das Bild, um es zu vergrößerntop4095 - Klicke auf das Bild, um es zu vergrößerntopo - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
13.01.2021, aktualisiert um 10:07 Uhr
Ich habe mich die nach Auf Arbeit hingesetzt und...
Mit solchen Sätzen machst du uns das Verstehen aber auch nicht gerade leicht... ! ;-) face-wink
Muss sagen ist sehr viel Input ….
Wie ??? Bei solch einfachster VLAN Logik ? Nicht dein Ernst, oder ?! :-) face-smile
Völlig verwirrend sind auch die 2 vSwitch Screenshots. Welcher der beiden gilt denn nun ?? Der mit der ID 4095 ist Blödsinn, tun wir also einmal so das es den gar nicht gibt und der letzte Screenshot der gültige ist !
Es bleibt dann dabei das ein Port der pfSense im Default VLAN ist (ID 0, UNtagged) und ein Interface im VLAN 3 (ID 3, Tagged).
Sprich zum Testen dieses Setups benötigt man den ESXi Hostport der aus 1UP, 3T gesetzt sein muss. Das haben wir an Port 26 !
Um das nun sauber mit Endgeräten zu Testen benötigen wir auf dem Switch also noch 1 oder 2 Access Ports im VLAN 1 und VLAN 3
Soweit so gut....

Nun wiederholt sich das Drama am Switchport. WELCHER der 2 Screenshots gilt denn nun ??? Der obere ist wieder Blödsinn, da es dort keinen Access Port im VLAN 3 gibt und man ergo damit nicht testen könnte.
Also ignorieren wir den mal und nehmen auch hier (geraten) an das der 2te der gültige aktuelle ist. :-( face-sad
Steckt man jetzt einen Test PC an Port 1 ist man mit dem Interface der pfSense an VLAN 1 verbunden, steckt man ihn rechts neben den Port 1 dann an Port 2 ist die PC im VLAN 3 und mit dem 2ten Port der pfSense verbunden.
Jetzt gilt es nur rauszubekommen WIE die Portzuordung der pfSense ist, sprich WO ist der WAN Port und WO ist der LAN Port ??
Ohne groß GUI und CLI zu bemühen kann man das ganz einfach sehen, denn nur am LAN Port rennt ein DHCP Server der einem Endgerät eine IP verpasst.
Die Logik ist dann einfach:
  • Bekommt der PC am Port 1 (VLAN 1) eine IP = VLAN 1 ist der LAN Port und VLAN 3 ist der WAN Port
  • Bekommt der PC am Port 2 (VLAN 3) eine IP = VLAN 3 ist der LAN Port und VLAN 1 ist der WAN Port
Man sollte hier nicht vergessen das die Port Nummerierung bei Cisco nicht oben, unten, oben, unten... usw. ist wie bei anderen Switches sondern oberere Reihe, dann untere Reihe ! Wir auch häufig übersehen !!

Aber Bingo... GE2 zu 3UP wie es ja sein soll: !!!....am Port 2 bekommst du ja eine IP, damit ist dann sonnenklar das das VLAN 3 den LAN Port der pfSense beherbergt, also auch das Segment was dann das interne, lokale LAN ist.
VLAN 1 ist dann der WAN Port also der der ins Internet oder auf einen Kaskaden Router geht...siehe Zeichnung oben, denn dort ist es ja völlig identisch !
Deine wirren Ausführungen dananch was dann an GE 2 angeschlossen ist mal VLAN 11, dann wieder 2 usw. kann kein Mensch folgen, weil keiner hier weiss WIE du deine pfSense konfiguriert hast.

Fakt ist folgendes:
  • Wenn du einen Port der pfSense als VLAN Port Tagging konfiguriert hast geht dein Design nicht es sei denn du hast in der VmWare den Offload vSwitch lizensiert. Ohne Lizenz, also mit der freien Version, kannst du keine Tags an eine VM direkt bringen.
  • Hast du also mehrere lokale VLAN Segmente wie bei dir, musst du das zwangsweise mit Portgruppen und einzelnen Interfaces an der pfSense lösen. Sprich jedes lokale LAN Segment an der pfSense hat eine vNIC mit einer Portgruppe die als VLAN ID tagged auf die physische NIC arbeitet (Port 26)
Vermutlich ist das der Denkfehler den du noch machst ?!
Bitte warten ..
Mitglied: raxxis990
13.01.2021 um 16:42 Uhr
So @aqui Ich hoffe ich habe hier keinen Denkfehler gemacht.

Mein Vorhaben ist wie folgt.

Ich möchte gern 4 Vlans betreiben.
  • VLAN 11 Name Client dort alle Kabelgebundene Clients rein. Also alle die ich per Kabel an den Cisco Switch Anschließen kann.
Somit die belegten Ports am Cisco auf 11UP. Richtig?
  • VLAN 12 Name Wlan dort das Private Wlan. Also die APs ich per Kabel an den Cisco Switch Anschließen kann.
Somit die belegten Ports am Cisco auf 12UP. Richtig?
  • VLAN 13 Name Gast dort das Gast Wlan.
  • VLAN 14 Test Netz Außenvor erstmal.

Soweit meine Denkweise erstmal richtig?

Pfsense Config VM:

pfsense - Klicke auf das Bild, um es zu vergrößern
unbenannt - Klicke auf das Bild, um es zu vergrößern

Pfsense Config im Webgui:
WAN IP 172.16.0.2/30 GW 172.16.0.1
LAN IP 172.16.10.1/24 DHCP 172.16.10.50-100
VLAN11 IP 172.16.11.1/24 DHCP 172.16.11.50-100

schnittstellen - Klicke auf das Bild, um es zu vergrößern

vlan11 - Klicke auf das Bild, um es zu vergrößern


Esxi Host Config:
IP 172.16.10.2/24 GW 172.16.10.1
nic - Klicke auf das Bild, um es zu vergrößern
vswitch - Klicke auf das Bild, um es zu vergrößern

Ciso Config
IP 172.16.10.250/24 GW 172.16.10.1

GE Aktuell wie folgt belegt

GE1 LAN PC ---VLAN 1 1 UP zugriff auf den Cisco und Pfsens
GE2 Laptop --- VLAN 3 3UP Bekommt IP aus LAN Bereich der Pfsense
GE3 Laptop 2 --- VLAN 11 11UP Soll IP aus VLAN 11 DHCP bekommen tut es aber nicht.
GE 25 Fritzbox --- VLAN 1 1 UP
GE 26 Esxi Host --- 1UP 3 T 11 T

interfa - Klicke auf das Bild, um es zu vergrößern
member - Klicke auf das Bild, um es zu vergrößern
vlan1 - Klicke auf das Bild, um es zu vergrößern
vlan3 - Klicke auf das Bild, um es zu vergrößern
vlan111 - Klicke auf das Bild, um es zu vergrößern

Bin ich jetzt auf dem Richtigen weg oder denke ich Falsch im bezug auf die VLAN Thematik?






Zitat von aqui:

Fakt ist folgendes:
  • Wenn du einen Port der pfSense als VLAN Port Tagging konfiguriert hast geht dein Design nicht es sei denn du hast in der VmWare den Offload vSwitch lizensiert. Ohne Lizenz, also mit der freien Version, kannst du keine Tags an eine VM direkt bringen.
  • Hast du also mehrere lokale VLAN Segmente wie bei dir, musst du das zwangsweise mit Portgruppen und einzelnen Interfaces an der pfSense lösen. Sprich jedes lokale LAN Segment an der pfSense hat eine vNIC mit einer Portgruppe die als VLAN ID tagged auf die physische NIC arbeitet (Port 26)

Lizenz ist zum Testen von einem Bekannten eine vSphere 7 Enterprise Plus mit der Free aber das gleiche Problem .

Ber richtig ist das ich An den Portgruppen nichts weiter einstellen kann außer VLAN ID ? Also ich meine damit jetzt das ich nicht expliziert Trunk oder sowas wählen kann.

Sowas hier
Bitte warten ..
Mitglied: aqui
LÖSUNG 13.01.2021, aktualisiert um 19:11 Uhr
Ich hoffe ich habe hier keinen Denkfehler gemacht.
Nee, hast du nicht alles gut.
Du bekommst hier noch etwas Silbertablett mit Honigquast am Beispiel eines 3ten Interfaces für die pfSense. Bei mehr Interfaces muss man diese Schritte einfach nur wiederholen.
  • WAN Port = Default vSwitch = Untagged = Switch VLAN 1
  • LAN Port = PortGroup VLAN-ID 3, vSwitch = Tagged = Switch VLAN 3
  • 2ter LAN Port neu = PortGroup VLAN-ID 7, vSwitch = Tagged = Switch VLAN 3

Port Gruppe im vSwitch für VLAN 7 anlegen:

vm2 - Klicke auf das Bild, um es zu vergrößern
vm3 - Klicke auf das Bild, um es zu vergrößern

pfSense VM 3tes Interface anlegen:

vm1 - Klicke auf das Bild, um es zu vergrößern

pfSense 3tes Interface aktivieren:

Beim Hochfahren der VM sieht man es als "vmx2". Mnn kann es entweder über die Konsole oder im GUI hinzufügen.
vm4 - Klicke auf das Bild, um es zu vergrößern
Im GUI wird es dann hinzugefügt:
vm5 - Klicke auf das Bild, um es zu vergrößern

IP Adressierung und DHCP Server auf 3tem Interface (hier 192.168.7.1 /24):

vm6 - Klicke auf das Bild, um es zu vergrößern

Switchport den richtigen VLANs zuweisen:

Client Testport fürs neue Interface = 2
vm7 - Klicke auf das Bild, um es zu vergrößern

Check mit Test PC an Switchport 2:

vm8 - Klicke auf das Bild, um es zu vergrößern
Works as designed !!!

Das ganze Konstrukt sieht dann so aus:

esxi2 - Klicke auf das Bild, um es zu vergrößern

Mehr "Silbertablett" geht nun aber für diese einfache Banalkonfig jetzt nicht mehr. Normal hat man sowas in nicht mehr als 20 Minuten am Fliegen ohne 30 Forenthreads !!
Bitte warten ..
Mitglied: raxxis990
14.01.2021, aktualisiert um 08:33 Uhr
SUPER DANKE @aqui es klappt alles mit dem erstellen des 3. interfaces in der vm.

Die Option in der Pfsense unter VLAN Braucht man wohl garnicht?


Gibt es noch eine Möglichkeit bis mein AP da ist das Wlan noch von der Fritzbox zu nutzen? bzw das ich eine IP bekomme? Wlan geräte haben vor dem VLAN bau ihre ip von dem lan der pfsense bekommen. Weil das klappt jetzt nicht
Bitte warten ..
Mitglied: aqui
14.01.2021 um 08:50 Uhr
Glückwunsch 👏 ! War ja ne echt schwere Geburt mit dir !
Die Option in der Pfsense unter VLAN Braucht man wohl garnicht?
Doch, die ist essentiell wichtig in einem Layer 2 Umfeld. Guckst du hier:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Sie funktioniert auch auf einem Hypervisor vSwitch, allerdings muss man diese Funktion bei VmWare lizensieren was du vermutlich nicht gemacht hast ?! Ohne eine solche Lizensierung kann der vSwitch keine Tags an die VM selber durchreichen. Du musst also wegen der fehlenden Lizenz bei dir den Weg über die Einzelinterfaces gehen und nicht weil man nach deiner Meinung irgendwas "nicht braucht".
Gibt es noch eine Möglichkeit bis mein AP da ist das Wlan noch von der Fritzbox zu nutzen?
Ja natürlich !
Sieh dir doch bitte die Zeichnung von oben an. Die FritzBox ist ja Member eines VLANs. Im obigen Design ist sie im gleichen VLAN (1) in dem auch der WAN Port der pfSense ist. Logisch, denn das ist dann eine klassische Router_Kaskade mit doppeltem NAT und Firewalling wie sie HIER genau beschrieben ist.
Da der AP auf der FritzBox ja wie üblich als simple Bridge arbeitet also mit dem lokalen LAN der FritzBox verbunden ist funktioniert das WLAN natürlich weiter.
Der Knackpunkt ist aber das das LAN Netz der FritzBox ja das Koppelnetz zum WAN Port der Firewall ist. Der WAN Port ist aber für die Firewall logischerweise der Port wo das "böse" Internet in der Regel ist. Dort schottet sie sich also durch rigide Firewall Regeln und NAT ab.
Willst du also WLAN Traffic der dort landet in die lokalen LANs hinter der Firewall bringen musst du die FW Regeln entsprechend anpassen und auch Port Forwarding Regeln setzen um das NAT dort überwinden zu können. Das Blocken der privaten RFC 1918 IP Netze sollte man am WAN Port in einer Router Kaskade so oder so immer deaktivieren am WAN Port Setup:
wanport - Klicke auf das Bild, um es zu vergrößern
Achtung: Das gilt NUR für eine Kaskade und logischerweise NICHT wenn der Port per NUR Modem direkt am Internet hängt !! (Siehe Kaskaden Tutorial oben !!)

Es ist aber wenig ratsam den WAN Port der FW dann so zu "durchlöchern", denn damit schwächt man die Firewall und macht sie potentiell unsicher.
Zusätzliche Access Points kosten nicht die Welt:
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
Es ist sinnvoller diese dann in den Segmenten zu betreiben als das WLAN der FB umständlich über die Schutzfunktion der Firewall zu frickeln !
Bitte warten ..
Mitglied: raxxis990
14.01.2021 um 09:34 Uhr
Hab doch geschrieben gehabt das ich zu testzwecken eine Enterprise Lizenz hab . Hab ich als Leihgabe bekommen von meiner Frau ihrem Cousin der ist Abteilungsleiter und die haben mal Vmware genutzt jetzt ist alles bei denen auf Hyper-v .

Ich bedanke mich Trotz der Vielen Fragen und du Hast mir sehr viel neues wissen mitgeteilt DANKE:) face-smile


Ja richtig ist eine Router Kaskade. Gibt es sowas zum nachlesen welche Regeln man setzten muss das der WLAN Traffic rein darf^^...

Aber ich denke mal um mehr am Esxi einstellen zu können brauche ich bestimmt den Web Client?

Wie schaut das denn aus wenn man Hyper-V nutzt ist es dann anders als das jetziges Setup?

Nach dem du die Bilder gemacht hast hab ich mich schon derbe geärgert das ich da nicht selber drauf gekommen bin.

Zu den APs bin ich mir unschlüssig ob Microtik oder Unifi. Mikrotik ist die Hardware älter aber günstiger. Unifi ist Teurer aber bessere Hardware und man braucht ja den Controller oder Cloud Key.

Bitte warten ..
Mitglied: aqui
14.01.2021, aktualisiert um 10:51 Uhr
eine Enterprise Lizenz hab
Sorry, das wusste ich nicht. Ich nehme alles zurück von oben ! :-D face-big-smile Allerdings wenn du den Akt oben dir das alles beizupulen schon siehst, wie soll das denn erst mit vSwitch Offloading und den VLAN Ports an der pfSense enden ?! Das artet dann sicher in ein 3 Tage Training aus und sprengt völlig den Rahmen einen Administrator Forums....
Gibt es sowas zum nachlesen welche Regeln man setzten muss das der WLAN Traffic rein darf
Wie kann es sowas geben, denn wer sollte dir von der Stirn ablesen können WAS und welche Protokolle du durchlassen willst ?!! Das ist doch immer indiviuell. Ohne Kristallkugel wird das dann nix. ;-) face-wink

Alles was du zum Regelwerk usw. wissen musst findest du im hiesigen Firewall Tutorial und seinen weiterführenden Links und Beispielen:
https://administrator.de/tutorial/preiswerte-vpn-fähige-firewall-ei ...
Bitte warten ..
Mitglied: tech-flare
14.01.2021 um 11:05 Uhr
Zitat von aqui:

Glückwunsch 👏 ! War ja ne echt schwere Geburt mit dir !
Die Option in der Pfsense unter VLAN Braucht man wohl garnicht?
Doch, die ist essentiell wichtig in einem Layer 2 Umfeld. Guckst du hier:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
Sie funktioniert auch auf einem Hypervisor vSwitch, allerdings muss man diese Funktion bei VmWare lizensieren was du vermutlich nicht gemacht hast ?! Ohne eine solche Lizensierung kann der vSwitch keine Tags an die VM selber durchreichen. Du musst also wegen der fehlenden Lizenz bei dir den Weg über die Einzelinterfaces gehen und nicht weil man nach deiner Meinung irgendwas "nicht braucht".

Was meinst du denn genau, was in der Enterprise erst funktioniert? VLAN Tags an die VM durchreichen funktioniert mit Jeder Version. "richtiges" LACP funktioniert z.B. erst mit der Enterprise Plus
Bitte warten ..
Mitglied: tech-flare
14.01.2021 um 11:07 Uhr
Zu den APs bin ich mir unschlüssig ob Microtik oder Unifi. Mikrotik ist die Hardware älter aber günstiger. Unifi ist Teurer aber bessere Hardware und man braucht ja den Controller oder Cloud Key.

Diese Frage bei aqui ist wie Feuer und Wasser :) face-smile
Der Controller ist ja nun überhaupt kein Problem, wenn du einen Hypervisor hast.....einfach Debian Maschine, 1 CPU, 2 GB Ram, Unifi Controller als .deb Paket installieren....fertig
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzrecht Microsoft Hilfe
gelöst tAmtAm44Vor 1 TagFrageWindows Server29 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Datenschutz
Ist Microsoft Office 365 grds. nicht DSGVO-konform?
imebroVor 1 TagFrageDatenschutz43 Kommentare

Hallo, in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe. Da ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 1 TagFrageSAN, NAS, DAS15 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...

Server-Hardware
RPI4 nicht zugreifbar
gelöst winlinVor 19 StundenFrageServer-Hardware27 Kommentare

Hallo Zusammen, hoffe jemand kann mir helfen. Ich habe eine RPI4 gekauft. Habe mir zwei SD Karten genommen und auf einer LibreELEC und auf ...

Windows Server
Wann wird Computer-Richtlinie übernommen via VPN?
CubeHDVor 1 TagFrageWindows Server11 Kommentare

Hallo, ich habe eine Gruppenrichtlinie geändert die Einstellungen am Computer ändert. Genaugenommen habe ich den Punkt "Windows-Updates" etwas geändert, dass die Computer nicht mehr ...

Microsoft
Domänencontroller, Jugendschutz, Active-Directory und Benutzerkonten
TronBetaVersionVor 1 TagFrageMicrosoft8 Kommentare

Grüße an die Community, zur Zeit setze ich mich mit dem Thema "Einrichten von Benutzerkonten" auseinander. Ich habe einen Ein-Benutzer-PC viele Jahre verwendet, aber ...

Soziale Netzwerke
Kein Zugriff auf Facebook-Seite
micsonVor 1 TagFrageSoziale Netzwerke8 Kommentare

Hallo, wir betreiben schon recht lange eine Facebook-Seite. So lange, dass damals für die Erstellung der Seite noch kein Facebook-Profil erforderlich war. Die Seite ...

Windows 10
PDF unterschreiben
ahussainVor 17 StundenFrageWindows 1010 Kommentare

Hallo allerseits, ich suche (für einen Kunden) nach einem Weg, PDFs zu unterschreiben und dann per Mail zu verschicken. Ich sehe zwei Möglichkeiten: PDF ...