raxxis990
Goto Top

VLAN mit Cisco SG220, ESXIund Pfsense

Hallo

Ich probiere schon seit paar Tagen aus das ich an der Pfsense ein erstelltes VLAN das ein endgerät per dhcp eine Adresse bekommt.


VMware ESXI Host mit einer NIC 172.16.10.2/24

Pfsense als VM WAN 172.16.0.2/32
LAN 172.16.10.1/24

Am VMware vSwitch gibt es 3 Portgruppen.

Management VLAN 0
LAN-intern VLAN 3 (LAN Port der Pfsense)
LAN-extern VLAN 0 wan Port Pfsense

Im Switch sind angelegt VLAN 1,3,20,30,40

Der ESXI Host hängt am Switch Port 13

Port 13 ist Tagged in VLAN 3,20,30,40
Ein Client hängt an Port 2 dieser ist Untagged

In der Pfsense sind die VLANs 20,30,40 angelegt auf das lan Interface. Und dann Jeweils ein DHCP Server .
Firewall Regel ist gesetzt .VLAN 20 ist offen für alles.


Problem ist das der Client keine Adresse bekommt . Wireshark sagt unter DHCP . DHCP Discovery 0.0.0.0 .... 255.255.255.255

Ich hoffe ich habe jetzt nix vergessen 😂

Content-ID: 639239

Url: https://administrator.de/contentid/639239

Ausgedruckt am: 21.11.2024 um 14:11 Uhr

Pjordorf
Pjordorf 09.01.2021 um 20:26:43 Uhr
Goto Top
Hallo,

Zitat von @raxxis990:
VMware ESXI Host mit einer NIC 172.16.10.2/24
Pfsense als VM WAN 172.16.0.2/32
Mal eine/24 und mal eine /32 Subnetzmaske?

In der Pfsense sind die VLANs 20,30,40 angelegt auf das lan Interface. Und dann Jeweils ein DHCP Server .
Ein (1) DHCP pro vLAN oder ein (1) DHCP Server für alle vLANs? IP-Helper Konfiguriert?
https://www.freeccnaworkbook.com/workbooks/ccna/configuring-an-ip-dhcp-h ...

Problem ist das der Client keine Adresse bekommt . Wireshark sagt unter DHCP . DHCP Discovery 0.0.0.0 .... 255.255.255.255
Wer ist die Quelle und wer das Ziel?

Gruß,
Peter
raxxis990
raxxis990 09.01.2021 um 20:30:33 Uhr
Goto Top
Mist Vergessen zu erwähnen. Fritzbox 172.16.0.1/32 und WAN Pfsene 172.16.0.2/32

Pro VLAN ein dhcp

Zum wireshark so steht es drin auf dem Client
Pjordorf
Pjordorf 09.01.2021 um 20:40:08 Uhr
Goto Top
Hallo,

Zitat von @raxxis990:
Mist Vergessen zu erwähnen. Fritzbox 172.16.0.1/32 und WAN Pfsene 172.16.0.2/32
Eher unwichtig

Pro VLAN ein dhcp
OK

Zum wireshark so steht es drin auf dem Client
Und dein Wireshark hat keine Quelle und Ziel genannt? Bekommt der entsprechende DHCP denn überhaupt die Anfrage nach einer IP? Notfalls DHCP Logging vorher einschalten.

Gruß,
Peter
raxxis990
raxxis990 09.01.2021 um 20:47:52 Uhr
Goto Top
Naja das kann ich ja noch ändern mit dem Netz.

Nur das wie im Bild.

Die Pfsens sagt nix dazu als wenn irgendwas Blockiert oder so nur was.
fw
dhcp99
Pjordorf
Pjordorf 09.01.2021 aktualisiert um 21:14:21 Uhr
Goto Top
Hallo,

Zitat von @raxxis990:
Nur das wie im Bild.
Schön, wenn du die Spaltenüberschriften wegschneidest. Was sollte auf ein DHCP Discover folgen? Es scheint das dein DHCP gar nicht mitbekommt das jemand anfragt, oder eben falsch konfiguriert oder eben falsche IPs oder eine Firewall oder falsche Regeln für eine Firewall oder oder oder. Wir wissen hier zu wenig von dein Konstrukt, um zu sagen es ist Komponente X.
https://wiki.wireshark.org/DHCP
https://en.wikiversity.org/wiki/Wireshark/DHCP
https://www.wireshark.org/lists/wireshark-users/200803/msg00237.html
https://mrncciew.com/2012/12/27/understanding-dhcp/
https://forum.netgate.com/topic/154744/jeweils-einen-dhcp-server-pro-vla ...
https://networkengineering.stackexchange.com/questions/58084/no-dhcpoffe ...
https://www.reddit.com/r/networking/comments/2ax0z0/dhcp_responding_with ...
https://networkengineering.stackexchange.com/questions/69480/how-to-capt ...

Die Pfsens sagt nix dazu als wenn irgendwas Blockiert oder so nur was.
Wenn du alles was in der PFSense ankommt (auch deine DHCP Discover zählen dazu) logst, solltest du da schon was sehen können, sonst ist die PFSense bei dir eher nur Störenfried und Briefbeschwerer.

Gruß,
Peter
raxxis990
raxxis990 09.01.2021 um 21:17:46 Uhr
Goto Top
Also wenn ich alles auf Standard lasse ohne VLAN. Dann vergibt der DHCP von LAN Adressen raus . Aber sobald dann VLAN im Spiel ist klappt es nicht mehr .

Liegt es an der VLAN Config in der Pfsense oder am Cisco ?
Pjordorf
Pjordorf 09.01.2021 um 21:22:08 Uhr
Goto Top
Hallo,

Zitat von @raxxis990:
Also wenn ich alles auf Standard lasse ohne VLAN. Dann vergibt der DHCP von LAN Adressen raus . Aber sobald dann VLAN im Spiel ist klappt es nicht mehr .
Dann ist deine vLAN Konfiguration falsch. Und wer soll bei dir für die vLANs zuständig sein und zwischen diesen Routen usw. usw. usw.

Liegt es an der VLAN Config in der Pfsense oder am Cisco ?
Da wir hier keine deiner Konfigurationen kennen...

Gruß,
Peter
raxxis990
raxxis990 09.01.2021 um 21:56:34 Uhr
Goto Top
Hier die config der Pfsense

interface
vlan_interface
vlan20


Hier des ESXI

lan_intern
lan_extern

Hier der Cisco

vlan_0
vlan_3
vlan_20


Na das Routen macht doch alles die Pfsense oder nicht die kennt doch jedes Netz? Bzw ist für alle netze Zuständig
aqui
aqui 10.01.2021 aktualisiert um 12:42:40 Uhr
Goto Top
Problem ist das der Client keine Adresse bekommt.
Zeigt ja immer ganz klar das es dann KEINE Layer 2 Verbindung gibt und sehr wahrscheinlich das VLAN Tagging falsch oder fehlerhaft ist !

Hier sieht meine eine grobe Grundkonfig wie man mit ESXi VLANs sauber jongliert auf einem VLAN Switch:
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches

esxi

Allgemeine Grundlagen zur VLAN Einrichtung mit pfSense und Cisco SG Switches wie immer hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
raxxis990
raxxis990 10.01.2021 um 15:35:21 Uhr
Goto Top
@aqui Also jetzt klappt es aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.

Was gerade nicht klappt ist z.b. wenn ich jetzt von dem Test Client aus der vom DHCP VLAN 100 eine IP bekommen hat eine verbindung zum Cisco Switch aufzubauen. Ping zu 172.16.10.250 vom Netz 172.16.20.1/24 geht auch nicht Fehler Zeitüberschreitung.

VLAN 100 ist das Netz 172.16.20.1/24 der Cisco SG 220 hat 172.16.10.250/24.

Zum ESXi 172.16.10.2/24 oder 172.16.0.1 fritzbox komme ich per Browser.

Hier die Firewall Rules für LAN:

lan

Und hier für das VLAN 100 Client:

vlan100
Ad39min
Ad39min 10.01.2021 um 16:27:59 Uhr
Goto Top
Zitat von @raxxis990:

@aqui Also jetzt klappt es aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.

Dann hast Du wahrscheinlich an der PfSense das Interface auf tagged statt untagged konfiguriert.

Gruß
Alex
aqui
aqui 10.01.2021 um 16:43:45 Uhr
Goto Top
aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.
Das ist tödlich und darf man niemals machen, denn die VLAN IDs über 90 sind System reserviert. Die darf man niemals verwenden und sind absolut Tabu im Setup.
Du hast also wieder einen Fehler beim VLAN Tagging gemacht !! face-sad

Bedenke immer das das Native VLAN (PVID) an so einem Port UNtagged ist. Das ist vermutlich der Debnkfehler den du machst.
Ad39min
Ad39min 10.01.2021 um 16:54:52 Uhr
Goto Top
Zitat von @aqui:

aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.
Das ist tödlich und darf man niemals machen, denn die VLAN IDs über 90 sind System reserviert. Die darf man niemals verwenden und sind absolut Tabu im Setup.
Du hast also wieder einen Fehler beim VLAN Tagging gemacht !! face-sad

Da muss ich mal ausnahmsweise widersprechen face-wink Bei vSphere heißt VLAN 4095 nichts anderes als Trunk Port. Also keine Sorge, es werden keine Frames mit der "illegalen" ID 4095 getaggt, sondern es besagt nur, dass der vSwitch das Tagging der VM selber überlassen soll.

Gruß
Alex
aqui
aqui 10.01.2021 um 17:15:37 Uhr
Goto Top
Bei vSphere heißt VLAN 4095 nichts anderes als Trunk Port.
Gut wenn die solche Netzwerk fremde Nomenklatur nutzen ist das deren Sache. Verwirrt aber nur, denn diese VLAN IDs sind im Netzwerkbereich Tabu. In der Regel werden die für MSTP und PVSTP Management intern benutzt und da gibts Chaos wenn man die physisch nutzt.
Wie auch immer man es nennt ,diese IDs sollte man aber auf wirklicher physischer Infrastruktur niemals nutzen.
dass der vSwitch das Tagging der VM selber überlassen soll.
Das ist dann auch absolut OK. face-wink
tech-flare
tech-flare 10.01.2021 aktualisiert um 18:02:00 Uhr
Goto Top
Zitat von @aqui:

aber nur wenn ich dem LAN-intern statt VLAN ID 3 die 4095 gebe.
Das ist tödlich und darf man niemals machen, denn die VLAN IDs über 90 sind System reserviert. Die darf man niemals verwenden und sind absolut Tabu im Setup.

@aqui... Wie oft denn eigentlich noch? Das habe ich dir schon mehrmals gesagt und auch verlinkt... das ist bei Vmware der Standard (egal ob der einfache Standard vSwitch oder der Distributed Switch aus der Enterprise Umgebung), ist weltweit im Vmware Umfeld etabliert und steht auch in deren HowTos!

Und würde es damit Probleme geben, hätte dies der Weltmarktführer im Virtualsierungsumfeld ggf schon geändert.

Oder sollen die es ändern, nur weil du nicht deren Meinung bist ?

4095 ist im im Vmware Umfeld die vlan ID um einen Trunk in eine VM zu leiten. Und ja das ist korrekt...‘und ich denke die wissen schon was sie tun...

Ps.: ich habe da noch nie Probleme in Vmware Umgebungen gehabt... nicht mit Cisco, Netgear, HP oder Juniper.
tech-flare
tech-flare 10.01.2021 um 17:55:15 Uhr
Goto Top
Warum machst du noch ein Thema auf?

Das Gleiche, nur anders geschrieben, hast du bereits am 04.01 gefragt.

Warum zweimal?
Ad39min
Ad39min 10.01.2021 um 18:05:09 Uhr
Goto Top
Zitat von @aqui:

Bei vSphere heißt VLAN 4095 nichts anderes als Trunk Port.
Gut wenn die solche Netzwerk fremde Nomenklatur nutzen ist das deren Sache. Verwirrt aber nur, denn diese VLAN IDs sind im Netzwerkbereich Tabu. In der Regel werden die für MSTP und PVSTP Management intern benutzt und da gibts Chaos wenn man die physisch nutzt.
Wie auch immer man es nennt ,diese IDs sollte man aber auf wirklicher physischer Infrastruktur niemals nutzen.
dass der vSwitch das Tagging der VM selber überlassen soll.
Das ist dann auch absolut OK. face-wink

Das es unglücklich gewählt ist und verwirrend ist, steht außer Frage. Hätte man seitens VMware bestimmt auch besser lösen/benennen können.
raxxis990
raxxis990 10.01.2021 um 22:22:33 Uhr
Goto Top
So nach mehrmaligen Testen klappt es nur mit VLAN ID 4095.

Was mich gerade beschäftig ist das ich egal von jedem VLAN auf den ESXI Host oder die Fritzbox zugreifen kann. Aber ich kann nicht auf den Cisco SG 220 zugreifen .

Aus dem LAN komme ich drauf .

z.b. VLAN 11 = Client Netz:172.16.11.1/24 Laptop 172.16.11.50/24

Switch 172.16.10.250/24


Google Chrom Meldet immer ERR_CONNECTION_TIMED_OUT

Scheunentor Regel wurde erstellt . Ping zum Switch schlägt fehl. Ping vom Switch zum Client auch
aqui
aqui 11.01.2021 aktualisiert um 10:58:17 Uhr
Goto Top
So nach mehrmaligen Testen klappt es nur mit VLAN ID 4095.
Das ist natürlich Blödsinn. Sieh dir das obige Tutorial an da klappt es fehlerlos mit dem VLAN IDs 1 (native VLAN) und 3. Mittlerweile ist es auf 10 und 20 erweitert und klappt immer noch.
Die VLAN ID 4095 ist unsinnig.
Scheunentor Regel wurde erstellt . Ping zum Switch schlägt fehl. Ping vom Switch zum Client auch
Zeigt das dein gesamtes Tagging und die VLAN Zuordnung "totally fu... up" ist und falsch oder zumindest fehlerhaft.
Warum hälst du dich nicht ganz einfach an das o.a. Tutorial da ist es doch einfach und verständlich gepostet ?! In dessen Setup stand da auch nirgendwo ein Wort von 4095 bzw. taucht da auch nirgendwo auf usw.
Irgendwo läuft also irgendwas ganz falsch bei dir und deinen VLANs... face-sad
raxxis990
raxxis990 11.01.2021 aktualisiert um 11:36:41 Uhr
Goto Top
@aqui ich danke dir für deine ausdauer und tipps

ich habe es jetzt genauso Nach gebaut und es klappt nicht! Sobald ich an der Portgruppe LAN-Intern die VLAN ID 3 setze geht nix mehr.

Aber irgendwo muss ja der fehler sitzen. Wenn es bei dir klappt hab ich irgendwo einen fehler.


Fangen wir mal am ESXI Host an.
Der hat die IP 172.16.10.2/24 also nur eine Netzwerkkarte.
So sehen die Portgruppen dazu aus.
topologie


Weiter gehts im Cisco SG 220 habe ich meine VLANs Erstellt.
vlan_create

Dann unter Port to VLAN . VLAN ID 1 ist alles Untagged bis auf GE2 der ist in VLAN ID 11 Untagged. In VLAN ID 3 ist der Port GE13 welcher ja der ESXI Host ist Tagged sowie in den andern VLAN ids 11-14 .
vlan member

In der Pfsense sind die Gleichen VLAN IDs angelegt wie im Switch .

vlanids
vlan11_
vlan11


Der DHCP für VLAN ID 11 sieht so aus

dhcp_vlan11

Und passent hoffentlich die Firewall Regel

fw_vlan11


EDIT. Ist es normal das alle Ports auf Excluded stehen ? oder muss ich am switch was noch umstellen? Und alles auf Trunk

excluded
interfache
raxxis990
raxxis990 12.01.2021 um 14:44:58 Uhr
Goto Top
Sieht denn jemand hier einen Fehler?

Kann es sein das man das Webinterface des Cisco nur von einem Netz zugreifen kann?

In dem Link von @aqui hat einer auch geschrieben das es nur mit 4095 geht .


Macht es vllt mehr sinn eine zweite NIC zu kaufen?
Pjordorf
Pjordorf 12.01.2021 um 15:03:10 Uhr
Goto Top
Hallo,

Zitat von @raxxis990:
Kann es sein das man das Webinterface des Cisco nur von einem Netz zugreifen kann?
Nein

In dem Link von @aqui hat einer auch geschrieben das es nur mit 4095 geht .
Und weiter?

Macht es vllt mehr sinn eine zweite NIC zu kaufen?
Wenn du die brauchst, ja, sonst nein, ausser du bist ein NIC Samlerface-smile

PFSense CLI statt Bilder https://docs.netgate.com/pfsense/en/latest/config/console-menu.html
CISCO SG 220 CLI https://www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbss/sf220_sg220 ...

Gruß,
Peter
aqui
aqui 12.01.2021 aktualisiert um 15:20:12 Uhr
Goto Top
Kann es sein das man das Webinterface des Cisco nur von einem Netz zugreifen kann?
Ja das könnte sein, denn das Webinterface ist im Default bei einem Layer 2 Model (oder einem Layer 3 Modell im Layer 2 Mode) nur aus dem Default VLAN 1 erreichbar.
Das kann man aber im Setup einstellen aus welchem VLAN man die Management IP erreichen möchte !
Es ist also absolut relevant an welches VLAN man das Management des Switches bindet !
mgmz
Macht es vllt mehr sinn eine zweite NIC zu kaufen?
Nein, es geht de facto ja auch mit einer einzigen. Das kannst du am obigen Screenshot und Netzdesign ja selber deutlich sehen.
Ist es normal das alle Ports auf Excluded stehen ?
Nein, dfas ist falsch !
Es ist dann falsch wenn du einen der Ports im VLAN 3 betreiben willst. Oben ist ja das VLAN 3 angewählt und "Excluded" dort bedeutet das kein Port dem VLAN 3 zugewiesen ist weder tagged noch untagged !
Desweiteren falsch ist das alle Ports im Trunk Mode sind ! Es ist kein einziger Port als Endgerät Access Port definiert. Alle Ports sind untagged im VLAN 1 einzige Ausnahme Port 2 der UNtagged im VLAN 11 hängt.

Man kann also an den Screenshots schon sehen das zumindestens der Anschlussport für den VmWare Host vollkommen falsch konfiguriert ist.
Trunk Mode wäre richtig aber er müsste zumindestens tagged in die VLANs gesetzt sein die du auch vom internen vSwitch tagged überträgst.
Ein Screenshot der "VLAN Port Membership" Übersicht des Switches wäre also hilfreich.
Dein Problem ist also nicht die vmWare und das falsche VLAN 4095 sondern schlicht und einfach dein völlig falsches Switch Setup !

Hier ein Beispiel wie es aussehen sollte am VmWare Port 25 und 26 wären dafür entsprechend konfiguriert
Der Rest sind Access Ports (Endgeräte PC, Drucker etc.) im VLAN 1 und 99
cisco
T = Tagged
U = Untagged
P = PVID
Steht ja auch alles unten in der Agenda des GUI !
raxxis990
raxxis990 12.01.2021 um 16:31:13 Uhr
Goto Top
Also ich habe es Jetzt nachgebau!

Am Switch GE26 Hängt die Vmware an der GE 25 die Fritzbox.

Laptop hängt an GE 2 dieser ist 11UP

Im vswitch ist unter LAN-intern also der LAN Port der pfsense die ID 3 eingestellt. Rest ID 0.

Und wie gehabt es klappt nicht. Sobald ich die ID 3 einstelle komme ich nicht mehr zur Pfsense aus den VLAN ID 11-14.. Soweit jetzt richtig?

vlan member_1
vlan1
vlan3
vlan11
vlan12

In der VM sind unterschiedliche per Auto MAC Adressen aber im vSwitch stehen 2 mal die selben drin ? Wie geht denn das? ist das vllt ein fehler?

pfsense
vsw
aqui
aqui 12.01.2021 um 17:50:59 Uhr
Goto Top
Sobald ich die ID 3 einstelle komme ich nicht mehr zur Pfsense aus den VLAN ID 11-14..
WO stellst du die denn ein ?!
Beachte auch das das native Interface der pfSense also das was auf dem physischen Port liegt immer UNtagged ist !

Was auch unklar ist in welchen VLAN bzw. VM-Netzkarte dein lokaler LAN Port der pfSense ist und wo der WAN Port liegt. Da du die Mac Adressen nicht customized hast sind die im Default gleich. Das klappt deshalb weil die in unterschiedlichen VLAN sind, macht aber eine eindeutige Identifizierung des LAN Ports sehr schwer.

Der LAN Port ist der einzige Port der dir den Management Zugang ermöglicht. Auf dem WAN Port geht das logischerweise nicht weil FW Regeln das verhindern.
Es ist also essentiell wichtig das zu wissen.
Liegt der LAN Port auf der VLAN ID 0 (172.16.10.0er Netz) landet er im Default VLAN 1 auf dem Switch denn diese Traffic geht untagged über den vSwitch. Da der Trunk Port aus 1UP steht, also aller UNtagged Traffic landet in der PVID 1, ist der Port dann in VLAN 1.
Das kannst du auch immer ganz einfach selber testen denn ein DHCP Client (z.B. PC, Laptop) in diesem Netz bekommt dann vom Default DHCP Server der pfSense eine 192.168.1.x IP zugewiesen.
Am WAN Port der pfSense ist kein DHCP Server aktiv. Folglich wird dort keine DHCP Adresse vergeben und Clients landen im APIPA Netz.

Der WAN Port ist aber selber im Default DHCP Client. Ist er also in einem IP Netz wo ein DHCP Server rennt bekommt der Port automatisch eine IP im Netz. Über das Interface Status GUI der pfSense kann man das also direkt sehen.
Dein Kardinalsfehler ist also das du keinen Access Port im VLAN 3 gesetzt hast !!! Du kannst also nicht testen ob ggf. der pfSense LAN Port in diesem VLAN liegt. Die beiden pfSense Ports liegen ja im VLAN 1 oder 3 also kann es nur eins dieser beiden VLANs sein.
Ergo ist es doch logisch das man sich 1 oder 2 Access Ports in beiden dieser VLANs setzt um das Port Verhalten da zu checken.
Zumindestens bei VLAN 3 hast du das nicht gemacht. Du kannst also mit einem Endgerät niemals testen was im VLAN 3 so los ist.
Wie man auf so einen Kardinalsfehler nicht auch selber kommt ist vollkommen unklar. Es zeigt eher das du vermutlich überhaupt keinen Schimmer hast was VLANs überhaupt sind. face-sad
Macht das ganze Unterfangen hier also nicht gerade einfach und da liegt es nahe das du das hiesige VLAN_Tutorial noch einmal dringenst genau lesen und vor allem verstehen solltest !! Vor allem was die Grundlagen anbetrifft. Ggf. hilft da auch nochmal die "VLAN Schnellschulung":
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Aaalso fassen wir mal zusammen:
  • Trunk Port zum Anschluss des ESXi ist jetzt soweit OK und richtig.
  • pfSense Ports sind im VLAN 1 und 3 fragt sich nur welcher ist wo. Musst du rausbekommen
  • Ein VLAN (3) des pfSense Ports ist nicht zugänglich da du diesen NICHT zusätzlich als Access Port ins VLAN 3 gelegt hat. Dringenst hier allso 1 oder 2 Access Ports statisch (Klick auch UNtagged) ins VLAN 3 legen damit du darauf überhaupt zugreifen kannst
  • Gilt natürlich auch für deine VLANs 11, 12, 13 und 14 die (vermutlich) noch nicht in Benutzung sind ?!
Sieh doch einfach nur einmal auf das Switchbild oben:
esxi
Da ist doch eigentlich auch für einen Laien einfach und schnell zu sehen wie das Port Tagging und die VLAN Zuordnung auf dem Switch aussieht !!
Gelb = VLAN 1 = WAN Port der pfSense (ESXi Port=Untagged "1UP", Access Ports= "1UP")
Blau = VLAN 3 = LAN Port der pfSense (ESXi Port=Tagged "3T", Access Ports= "3UP")
Was ist an der einfachen Logik bloß so schwer...?? 😟
raxxis990
raxxis990 13.01.2021 aktualisiert um 09:07:47 Uhr
Goto Top
Also so langsam werde ich hier Blöde. Und ärgere mich selber das es nicht Klappt. face-sad

Ich habe mich die nach Auf Arbeit hingesetzt und @aqui seine Links durch gelesen.

Muss sagen ist sehr viel Input ….

Nun zur Ausführung.

Im ESXI WebUI LAN-Intern( der LAN Port der Pfsense) ID auf 3 , VM Networt (der WAN Port der Pfsense) und Management ID auf 0 gestellt Resultat Siehe unten.

GE2 zu 3UP:
Ich habe getan wie du gesagt hast Laptop an Port 2 gesteckt und im Cisco dem Port auf 3UP gestellt. Ergebnis Bekomme IP vom LAN Port ( DHCP ) der Pfsense Netz 172.16.10.0/24.

Zugriff auf Pfsense klappt und auch auf das www klappt. Zugriff auf das Webui des Esxi klappt nicht !

GE2 zu 11UP
Ich habe getan wie du gesagt hast Laptop an Port 2 gesteckt und im Cisco dem Port auf 11UP gestellt. Ergebnis Bekomme KEINE IP vom Vlan 11 DHCP.

Gleiche Spiel:

Im ESXI WebUI LAN-Intern( der LAN Port der Pfsense) ID auf 4095 , VM Networt (der WAN Port der Pfsense) und Management ID auf 0 gestellt Resultat Siehe unten.


GE2 zu 11UP:
Ich habe getan wie du gesagt hast Laptop an Port 2 gesteckt und im Cisco dem Port auf 11UP gestellt. Ergebnis Bekomme IP vom VLAN 11 IP 172.16.11.0/24

Zugriff auf Pfsense , www und auf das Webui des Esxi klappen.

GE2 zu 3UP
Ich habe getan wie du gesagt hast Laptop an Port 2 gesteckt und im Cisco dem Port auf 3UP gestellt. Ergebnis Bekomme KEINE IP vom LAN DHCP. (172.16.10.0/24)


Kannst du damit jetzt mehr Anfangen das wir gemeinsam den Fehler finden?
member 11
topo
member
top4095
aqui
aqui 13.01.2021 aktualisiert um 10:07:25 Uhr
Goto Top
Ich habe mich die nach Auf Arbeit hingesetzt und...
Mit solchen Sätzen machst du uns das Verstehen aber auch nicht gerade leicht... ! face-wink
Muss sagen ist sehr viel Input ….
Wie ??? Bei solch einfachster VLAN Logik ? Nicht dein Ernst, oder ?! face-smile
Völlig verwirrend sind auch die 2 vSwitch Screenshots. Welcher der beiden gilt denn nun ?? Der mit der ID 4095 ist Blödsinn, tun wir also einmal so das es den gar nicht gibt und der letzte Screenshot der gültige ist !
Es bleibt dann dabei das ein Port der pfSense im Default VLAN ist (ID 0, UNtagged) und ein Interface im VLAN 3 (ID 3, Tagged).
Sprich zum Testen dieses Setups benötigt man den ESXi Hostport der aus 1UP, 3T gesetzt sein muss. Das haben wir an Port 26 !
Um das nun sauber mit Endgeräten zu Testen benötigen wir auf dem Switch also noch 1 oder 2 Access Ports im VLAN 1 und VLAN 3
Soweit so gut....

Nun wiederholt sich das Drama am Switchport. WELCHER der 2 Screenshots gilt denn nun ??? Der obere ist wieder Blödsinn, da es dort keinen Access Port im VLAN 3 gibt und man ergo damit nicht testen könnte.
Also ignorieren wir den mal und nehmen auch hier (geraten) an das der 2te der gültige aktuelle ist. face-sad
Steckt man jetzt einen Test PC an Port 1 ist man mit dem Interface der pfSense an VLAN 1 verbunden, steckt man ihn rechts neben den Port 1 dann an Port 2 ist die PC im VLAN 3 und mit dem 2ten Port der pfSense verbunden.
Jetzt gilt es nur rauszubekommen WIE die Portzuordung der pfSense ist, sprich WO ist der WAN Port und WO ist der LAN Port ??
Ohne groß GUI und CLI zu bemühen kann man das ganz einfach sehen, denn nur am LAN Port rennt ein DHCP Server der einem Endgerät eine IP verpasst.
Die Logik ist dann einfach:
  • Bekommt der PC am Port 1 (VLAN 1) eine IP = VLAN 1 ist der LAN Port und VLAN 3 ist der WAN Port
  • Bekommt der PC am Port 2 (VLAN 3) eine IP = VLAN 3 ist der LAN Port und VLAN 1 ist der WAN Port
Man sollte hier nicht vergessen das die Port Nummerierung bei Cisco nicht oben, unten, oben, unten... usw. ist wie bei anderen Switches sondern oberere Reihe, dann untere Reihe ! Wir auch häufig übersehen !!

Aber Bingo... GE2 zu 3UP wie es ja sein soll: !!!....am Port 2 bekommst du ja eine IP, damit ist dann sonnenklar das das VLAN 3 den LAN Port der pfSense beherbergt, also auch das Segment was dann das interne, lokale LAN ist.
VLAN 1 ist dann der WAN Port also der der ins Internet oder auf einen Kaskaden Router geht...siehe Zeichnung oben, denn dort ist es ja völlig identisch !
Deine wirren Ausführungen dananch was dann an GE 2 angeschlossen ist mal VLAN 11, dann wieder 2 usw. kann kein Mensch folgen, weil keiner hier weiss WIE du deine pfSense konfiguriert hast.

Fakt ist folgendes:
  • Wenn du einen Port der pfSense als VLAN Port Tagging konfiguriert hast geht dein Design nicht es sei denn du hast in der VmWare den Offload vSwitch lizensiert. Ohne Lizenz, also mit der freien Version, kannst du keine Tags an eine VM direkt bringen.
  • Hast du also mehrere lokale VLAN Segmente wie bei dir, musst du das zwangsweise mit Portgruppen und einzelnen Interfaces an der pfSense lösen. Sprich jedes lokale LAN Segment an der pfSense hat eine vNIC mit einer Portgruppe die als VLAN ID tagged auf die physische NIC arbeitet (Port 26)
Vermutlich ist das der Denkfehler den du noch machst ?!
raxxis990
raxxis990 13.01.2021 um 16:42:41 Uhr
Goto Top
So @aqui Ich hoffe ich habe hier keinen Denkfehler gemacht.

Mein Vorhaben ist wie folgt.

Ich möchte gern 4 Vlans betreiben.
  • VLAN 11 Name Client dort alle Kabelgebundene Clients rein. Also alle die ich per Kabel an den Cisco Switch Anschließen kann.
Somit die belegten Ports am Cisco auf 11UP. Richtig?
  • VLAN 12 Name Wlan dort das Private Wlan. Also die APs ich per Kabel an den Cisco Switch Anschließen kann.
Somit die belegten Ports am Cisco auf 12UP. Richtig?
  • VLAN 13 Name Gast dort das Gast Wlan.
  • VLAN 14 Test Netz Außenvor erstmal.

Soweit meine Denkweise erstmal richtig?

Pfsense Config VM:

pfsense
unbenannt

Pfsense Config im Webgui:
WAN IP 172.16.0.2/30 GW 172.16.0.1
LAN IP 172.16.10.1/24 DHCP 172.16.10.50-100
VLAN11 IP 172.16.11.1/24 DHCP 172.16.11.50-100

schnittstellen

vlan11


Esxi Host Config:
IP 172.16.10.2/24 GW 172.16.10.1
nic
vswitch

Ciso Config
IP 172.16.10.250/24 GW 172.16.10.1

GE Aktuell wie folgt belegt

GE1 LAN PC ---VLAN 1 1 UP zugriff auf den Cisco und Pfsens
GE2 Laptop --- VLAN 3 3UP Bekommt IP aus LAN Bereich der Pfsense
GE3 Laptop 2 --- VLAN 11 11UP Soll IP aus VLAN 11 DHCP bekommen tut es aber nicht.
GE 25 Fritzbox --- VLAN 1 1 UP
GE 26 Esxi Host --- 1UP 3 T 11 T

interfa
member
vlan1
vlan3
vlan111

Bin ich jetzt auf dem Richtigen weg oder denke ich Falsch im bezug auf die VLAN Thematik?


Zitat von @aqui:

Fakt ist folgendes:
  • Wenn du einen Port der pfSense als VLAN Port Tagging konfiguriert hast geht dein Design nicht es sei denn du hast in der VmWare den Offload vSwitch lizensiert. Ohne Lizenz, also mit der freien Version, kannst du keine Tags an eine VM direkt bringen.
  • Hast du also mehrere lokale VLAN Segmente wie bei dir, musst du das zwangsweise mit Portgruppen und einzelnen Interfaces an der pfSense lösen. Sprich jedes lokale LAN Segment an der pfSense hat eine vNIC mit einer Portgruppe die als VLAN ID tagged auf die physische NIC arbeitet (Port 26)

Lizenz ist zum Testen von einem Bekannten eine vSphere 7 Enterprise Plus mit der Free aber das gleiche Problem .

Ber richtig ist das ich An den Portgruppen nichts weiter einstellen kann außer VLAN ID ? Also ich meine damit jetzt das ich nicht expliziert Trunk oder sowas wählen kann.

Sowas hier
aqui
Lösung aqui 13.01.2021, aktualisiert am 17.11.2023 um 19:29:26 Uhr
Goto Top
Ich hoffe ich habe hier keinen Denkfehler gemacht.
Nee, hast du nicht alles gut.
Du bekommst hier noch etwas Silbertablett mit Honigquast am Beispiel eines 3ten Interfaces für die pfSense. Bei mehr Interfaces muss man diese Schritte einfach nur wiederholen.
  • WAN Port = Default vSwitch = Untagged = Switch VLAN 1
  • LAN Port = PortGroup VLAN-ID 3, vSwitch = Tagged = Switch VLAN 3
  • 2ter LAN Port neu = PortGroup VLAN-ID 7, vSwitch = Tagged = Switch VLAN 3
back-to-topPort Gruppe im vSwitch für VLAN 7 anlegen:
vm2
vm3
back-to-toppfSense VM 3tes Interface anlegen:
vm1
back-to-toppfSense 3tes Interface aktivieren:
Beim Hochfahren der VM sieht man es als "vmx2". Mnn kann es entweder über die Konsole oder im GUI hinzufügen.
vm4
Im GUI wird es dann hinzugefügt:
vm5
back-to-topIP Adressierung und DHCP Server auf 3tem Interface (hier 192.168.7.1 /24):
vm6
back-to-topSwitchport den richtigen VLANs zuweisen:
Client Testport fürs neue Interface = 2
vm7
back-to-topCheck mit Test PC an Switchport 2:
vm8
Works as designed !!!

Das ganze Konstrukt sieht dann so aus:

esxi2

Mehr "Silbertablett" geht nun aber für diese einfache Banalkonfig jetzt nicht mehr. Normal hat man sowas in nicht mehr als 20 Minuten am Fliegen ohne 30 Forenthreads !! 😉
raxxis990
raxxis990 14.01.2021 aktualisiert um 08:33:08 Uhr
Goto Top
SUPER DANKE @aqui es klappt alles mit dem erstellen des 3. interfaces in der vm.

Die Option in der Pfsense unter VLAN Braucht man wohl garnicht?


Gibt es noch eine Möglichkeit bis mein AP da ist das Wlan noch von der Fritzbox zu nutzen? bzw das ich eine IP bekomme? Wlan geräte haben vor dem VLAN bau ihre ip von dem lan der pfsense bekommen. Weil das klappt jetzt nicht
aqui
aqui 14.01.2021 um 08:50:49 Uhr
Goto Top
Glückwunsch 👏 ! War ja ne echt schwere Geburt mit dir !
Die Option in der Pfsense unter VLAN Braucht man wohl garnicht?
Doch, die ist essentiell wichtig in einem Layer 2 Umfeld. Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Sie funktioniert auch auf einem Hypervisor vSwitch, allerdings muss man diese Funktion bei VmWare lizensieren was du vermutlich nicht gemacht hast ?! Ohne eine solche Lizensierung kann der vSwitch keine Tags an die VM selber durchreichen. Du musst also wegen der fehlenden Lizenz bei dir den Weg über die Einzelinterfaces gehen und nicht weil man nach deiner Meinung irgendwas "nicht braucht".
Gibt es noch eine Möglichkeit bis mein AP da ist das Wlan noch von der Fritzbox zu nutzen?
Ja natürlich !
Sieh dir doch bitte die Zeichnung von oben an. Die FritzBox ist ja Member eines VLANs. Im obigen Design ist sie im gleichen VLAN (1) in dem auch der WAN Port der pfSense ist. Logisch, denn das ist dann eine klassische Router_Kaskade mit doppeltem NAT und Firewalling wie sie HIER genau beschrieben ist.
Da der AP auf der FritzBox ja wie üblich als simple Bridge arbeitet also mit dem lokalen LAN der FritzBox verbunden ist funktioniert das WLAN natürlich weiter.
Der Knackpunkt ist aber das das LAN Netz der FritzBox ja das Koppelnetz zum WAN Port der Firewall ist. Der WAN Port ist aber für die Firewall logischerweise der Port wo das "böse" Internet in der Regel ist. Dort schottet sie sich also durch rigide Firewall Regeln und NAT ab.
Willst du also WLAN Traffic der dort landet in die lokalen LANs hinter der Firewall bringen musst du die FW Regeln entsprechend anpassen und auch Port Forwarding Regeln setzen um das NAT dort überwinden zu können. Das Blocken der privaten RFC 1918 IP Netze sollte man am WAN Port in einer Router Kaskade so oder so immer deaktivieren am WAN Port Setup:
wanport
Achtung: Das gilt NUR für eine Kaskade und logischerweise NICHT wenn der Port per NUR Modem direkt am Internet hängt !! (Siehe Kaskaden Tutorial oben !!)

Es ist aber wenig ratsam den WAN Port der FW dann so zu "durchlöchern", denn damit schwächt man die Firewall und macht sie potentiell unsicher.
Zusätzliche Access Points kosten nicht die Welt:
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
Es ist sinnvoller diese dann in den Segmenten zu betreiben als das WLAN der FB umständlich über die Schutzfunktion der Firewall zu frickeln !
raxxis990
raxxis990 14.01.2021 um 09:34:58 Uhr
Goto Top
Hab doch geschrieben gehabt das ich zu testzwecken eine Enterprise Lizenz hab . Hab ich als Leihgabe bekommen von meiner Frau ihrem Cousin der ist Abteilungsleiter und die haben mal Vmware genutzt jetzt ist alles bei denen auf Hyper-v .

Ich bedanke mich Trotz der Vielen Fragen und du Hast mir sehr viel neues wissen mitgeteilt DANKEface-smile


Ja richtig ist eine Router Kaskade. Gibt es sowas zum nachlesen welche Regeln man setzten muss das der WLAN Traffic rein darf^^...

Aber ich denke mal um mehr am Esxi einstellen zu können brauche ich bestimmt den Web Client?

Wie schaut das denn aus wenn man Hyper-V nutzt ist es dann anders als das jetziges Setup?

Nach dem du die Bilder gemacht hast hab ich mich schon derbe geärgert das ich da nicht selber drauf gekommen bin.

Zu den APs bin ich mir unschlüssig ob Microtik oder Unifi. Mikrotik ist die Hardware älter aber günstiger. Unifi ist Teurer aber bessere Hardware und man braucht ja den Controller oder Cloud Key.

Funktionen:
Unbegrenztes virtuelles SMP
H.264 für Remote Console-Verbindungen
vCenter-Agent für VMware-Host
vSphere API
Inhaltsbibliothek
Speicher-APIs
vSphere vMotion
X-Switch vMotion
vSphere HA
vSphere Data Protection
vShield Endpoint
vSphere Replication
vShield Zones
Virtuelle Hardware, die im laufenden Betrieb ausgewechselt werden kann
vSphere Storage vMotion
Gemeinsam genutztes Smartcard-Lesegerät
vSphere FT (bis zu 8 virtuelle CPUs)
Virtual Volumes
APIs for Storage Awareness
Speicherrichtlinienbasierte Verwaltung
vSphere Speicher-APIs für die Array-Integration
vSphere DRS
Virtueller Konzentrator des seriellen Remoteports
MPIO / Multi-Pathing von Drittanbietern
Big Data Extensions
Zuverlässiger Arbeitsspeicher
vSphere Distributed Switch
vSphere-Hostprofile
vSphere Auto Deploy
SR-IOV
vSphere Storage I/O Control
Direct Path vMotion
vSphere Storage DRS
vSphere vMotion Metro
vSphere View Accelerator
vSphere App HA
Virtual Center-übergreifendes vMotion
vGPU
vSphere Proactive HA
vSphere VM Encryption
vSphere Encrypted vMotion
vSphere Predictive DRS
Persistenter Arbeitsspeicher
vSphere Trust Authority
Arbeitslastverwaltung
vSphere Bitfusion
aqui
aqui 14.01.2021 aktualisiert um 10:51:59 Uhr
Goto Top
eine Enterprise Lizenz hab
Sorry, das wusste ich nicht. Ich nehme alles zurück von oben ! face-big-smile Allerdings wenn du den Akt oben dir das alles beizupulen schon siehst, wie soll das denn erst mit vSwitch Offloading und den VLAN Ports an der pfSense enden ?! Das artet dann sicher in ein 3 Tage Training aus und sprengt völlig den Rahmen einen Administrator Forums....
Gibt es sowas zum nachlesen welche Regeln man setzten muss das der WLAN Traffic rein darf
Wie kann es sowas geben, denn wer sollte dir von der Stirn ablesen können WAS und welche Protokolle du durchlassen willst ?!! Das ist doch immer indiviuell. Ohne Kristallkugel wird das dann nix. face-wink

Alles was du zum Regelwerk usw. wissen musst findest du im hiesigen Firewall Tutorial und seinen weiterführenden Links und Beispielen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
tech-flare
tech-flare 14.01.2021 um 11:05:18 Uhr
Goto Top
Zitat von @aqui:

Glückwunsch 👏 ! War ja ne echt schwere Geburt mit dir !
Die Option in der Pfsense unter VLAN Braucht man wohl garnicht?
Doch, die ist essentiell wichtig in einem Layer 2 Umfeld. Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Sie funktioniert auch auf einem Hypervisor vSwitch, allerdings muss man diese Funktion bei VmWare lizensieren was du vermutlich nicht gemacht hast ?! Ohne eine solche Lizensierung kann der vSwitch keine Tags an die VM selber durchreichen. Du musst also wegen der fehlenden Lizenz bei dir den Weg über die Einzelinterfaces gehen und nicht weil man nach deiner Meinung irgendwas "nicht braucht".

Was meinst du denn genau, was in der Enterprise erst funktioniert? VLAN Tags an die VM durchreichen funktioniert mit Jeder Version. "richtiges" LACP funktioniert z.B. erst mit der Enterprise Plus
tech-flare
tech-flare 14.01.2021 um 11:07:52 Uhr
Goto Top
Zu den APs bin ich mir unschlüssig ob Microtik oder Unifi. Mikrotik ist die Hardware älter aber günstiger. Unifi ist Teurer aber bessere Hardware und man braucht ja den Controller oder Cloud Key.

Diese Frage bei aqui ist wie Feuer und Wasser face-smile
Der Controller ist ja nun überhaupt kein Problem, wenn du einen Hypervisor hast.....einfach Debian Maschine, 1 CPU, 2 GB Ram, Unifi Controller als .deb Paket installieren....fertig