02.10.2016, aktualisiert um 17:22:36 Uhr

3553

VLAN Probleme mit Alix APU.1D und Switch

Hallo an alle,
ich kriege das mit den VLANs einfach nicht hin. Ich habe die PFsense (Alix1d.4) nach dem Tutorial von aqui konfiguriert. Meine Konfiguration sieht wie folgt aus:

TP-LINK T2600G-28TS
Port 1-8 :: VLAN10 (Access)
Port 15 :: TRUNK (VLAN10,20,30) Uplink zur Pfsense Port1
Port 17-18 :: VLAN10 (Access) NAS
Port 19-20 :: VLAN10 (Access) Server01
Port 21-22 :: WLAN10 (Access) Server02
Port 23-24 :: TRUNK (VLAN10,20,30) LACP zu TP-LINK

Übersicht

VLAN10

VLAN20

VLAN30

PFsense:

Ich will aktuell erst mal den ersten Teil hinbekommen, bevor ich weiter zu dem zweiten Switch gehe. Sobald ich die Ports 1-8 in das VLAN10 hänge komme ich auf nichts mehr drauf außer auf die Pfsense. Aber auf die Server per Remotedesktop komme ich nicht mehr! Ich komme auch nicht mehr auf den Switch drauf. Dies geht nur, wenn ich den Port an dem ich mit dem PC hänge im VLAN1 (Std. VLAN) lasse. Aktuell habe ich nur mal Testweiße den Port9 in das VLAN10 gehängt und stecke es zum testen um. Was mache ich denn falsch ? Eigentlich dachte ich das Verstanden zu haben…

Freundlicher Gruß
dan0ne

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 316792

Url: https://administrator.de/contentid/316792

Ausgedruckt am: 22.11.2024 um 07:11 Uhr

81 Kommentare

Neuester Kommentar

Hi,

hast du in der pfSense denn auch den Traffic zwischen den VLANs erlaubt? Per default ist bei der Firewall alles geblockt...

Zitat von @BirdyB:

Hi,

hast du in der pfSense denn auch den Traffic zwischen den VLANs erlaubt? Per default ist bei der Firewall alles geblockt...

Hallo BirdyB,

ja ich bin da nach der Anleuitung von aqui vorgegangen.

VLAN20,VLAN30 sind analog dazu.

Gruß

Ich verstehe halt nicht, wieso ich dann auf die PFsense drauf komme, aber auf sonst keine Geräte in diesem Netz. Wenn ich Port1-8 nicht in das VLAN10 hänge komme ich zwar nicht auf die PFsense, aber sonst auf alle Geräte. Die Firewall sollte alles durchlassen....

Sobald ich die Ports 1-8 in das VLAN10 hänge komme ich auf nichts mehr drauf außer auf die Pfsense.

Das ist auch klar, denn damit sägst du dir den Ast ab auf dem du selber sitzt !!
Alle deine Management IP Adressen sind im Default VLAN 1 !
Wenn du nun einen PC am Switchport 1 hast und setzt im Setup dann aber diese Ports ins VLAN 10 ists aus.
Vergiss das nicht. !
Außerdem hast du einen gravierenden Kardinalsfehler begangen bei Regelwerk !! Siehe dein Screenshot oben !!
Dort hast du den Traffic auf das TCP Protokoll eingeschränkt ohne Portangabe. Die Regel ist natürlich Blödsinn, denn so kommen nur TCP basierter Traffic durch. Kein Ping nix anderes !
Wenn du erstmal alle Interfaces zum Testen durchlassen willst darfs du keine Einschränkungen auf Protokolle dort machen sonder nur IP nehmen ohne UDP oder TCP ! Also muss dort IPv4 * stehen ! (* = alle Protokolle).

Bei vielen Switches kann man das Management Interface per Setup in ein anderes VLAN setzen wenn du das willst.
Das VLAN 1 muss also irgendwie erreichbar sein und wenn es nur durch Routing an der pfSense ist. Dort müssen dann die Regeln richtig gesetzt werden !
Gehe zum Troubleshooting strategisch vor !!

Erstmal nur auf einem TP.Link testen !
Die pfSense wird ja vermutlich in allen VLANs DHCP Server spielen, richtig ?? Stecke dich nacheinander mit einem Rechner in alle VLANs und checke mit ipconfig ob du in allen VLANs eine korrekt IP Adressierung bekommst. IP aus dem entsprechenden VLAN Segment, Gateway und DNS IP ist imemr die Firewall !
Ist das der Fall und hast du auf den VLAN Interfaces entsprechende Regeln gesetzt, das das entsprechende VLAN Netzwerk (Source) überall zur Desination ANY darf so das die Firewall alles durchlässt zum Testen ist das richtig. Quercheck immer über das Firewall Logg. ggf. vorher löschen um es übersichtlicher zu halten !
Dann pingst du zuerst mal das FW Interface...sollte klappen
Jetzt pingst du mal einen Client in einem anderen VLAN Segment...sollte auch klappen
Quercheck jetzt mal mit Traceroute (tracert) oder Pathping um zu sehen das die Pkate sauber über die Firewall geroutet werden
Soweit solltest du kommen. Klappt das alles kannst du den 2ten Switch per LACP LAG anflanschen !

Achte auf die schei... PVID Einstellung an den untagged Ports am Switch. Die üblen TP-Links machen das genauso wie die gruseligen NetGear Switches und da lauern ein paar Fussfallen.
Wenn du 2 Rechner hast kannst du denen 2 statische IPs geben und die per ping innerhalb eines VLANs testen.
So kannst du ganz sicher sein das die IP Kommunikation innerhalb eines VLANs sauber klappt.
Dieser Thread hier zeigt einen funktionierende TP-Link Konfig:
VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216
Immer schrittweise strategisch vorgehen ! Das funktioniert ganz sicher auch mit TP Link und du wirst das schon zum Fliegen bekommen mit unserer Hilfe hier !

Hi,

Also ich habe die Konfig nun zurueckgesetzt. Ich habe nur den einen switch und die ports 19-22 + 10 im vlan10 und port 9 im vlan 20.

Der pc im vlan20 bekommt von der pfsense eine ip und das passt alles.

Der pc im vlan10 (port9) bekommt vom server eine ipadresse und als dns und dhcp die ip vom server. Gateway ist die ip der pfsense.

Ich kann aber weder von der einen noch der anderen Richtung pingen.

Vlan10 client ip: 192.168.73.33
Vlan20 client ip: 192.q68.74.10

Ich kapiere das echt nicht, und auf den switch komme ich auch nicht mehr.

Okay, nun kann ich zwischen den vlans pingen und per tracert wird auch alles richtig aufgeloest.

Wie kann ich das machen das ich trotzdembauf den switch komme wenn ich im vlan10 bin?

Ich kann aber immer noch nicht per Remotedesktop auf den Server obwohl beide im VLAN10 sind ?! Und ich die Firewall Regel in der PFsense angepasst habe!

Gruß

Edit: Was ich auch nciht kapiere ist, wieso ich über VLAN20 online komme, aber über VLAN10 nicht !?!

Hallo,

zeige doch mal bitte Screenshots deiner DHCP Server Konfiguration der PfSense für alle Interfaces, ich glaube da liegt der Hund irgendwo begraben.

Zusätzlich wären die FW Rules auch interessant zu sehen.

Gruß

Zitat von @michi1983:

Hallo,

zeige doch mal bitte Screenshots deiner DHCP Server Konfiguration der PfSense für alle Interfaces, ich glaube da liegt der Hund irgendwo begraben.

Zusätzlich wären die FW Rules auch interessant zu sehen.

Gruß

Hallo michi1983,

den DHCP + DNS vom Firmennetz macht der eine Server, die anderen beiden macht die PFsense! Anbei dir gewünschten Bilder..

Gruß dan0ne

Also bezüglich der DHCP Server:
Du musst dann natürlich schon den DNS Server sowie ein Gateway mitgeben, sonst funktioniert die Adressierung nicht.
Diese Einstellung hast du leer gelassen.

Die FW Regeln passen derweil zum testen. Ich denke also, dass es an den DHCP Server Einstellungen liegt.

Hallo,

ich habe nun auf dem Server (nicht pfsense) dhcp und dns ausgemacht, und dafür auf der pfsense aktiviert. DU sprichst von den "VLAN10Firma" Einstellungen oder ? Dort habe ich jetzt als DNS und Gateway die PFsense IP eingeben, und bin am testen..

Ich bekomme allerdings am Port10 welcher VLAN10 ist keine IP oder sonstiges.

Moin

Zitat von @dan0ne:
Ich bekomme allerdings am Port10 welcher VLAN10 ist keine IP oder sonstiges.

Kein Wunder, laut deinen geposteten Einstellungen von oben

Ich zitiere:

TP-LINK T2600G-28TS
Port 1-8 :: VLAN10 (Access)
Port 15 :: TRUNK (VLAN10,20,30) Uplink zur Pfsense Port1
Port 17-18 :: VLAN10 (Access) NAS
Port 19-20 :: VLAN10 (Access) Server01
Port 21-22 :: WLAN10 (Access) Server02
Port 23-24 :: TRUNK (VLAN10,20,30) LACP zu TP-LINK

Die Bilder spiegeln das wieder, dort ist Port 10 nirgendwo Mitglied eines VLAN.

R.

Zitat von @dan0ne:
Ich bekomme allerdings am Port10 welcher VLAN10 ist keine IP oder sonstiges.

Und den Haken bei Enable DHCP server on VLAN10FIRMA interface hast du auch gesetzt?

Dann hast du wo anders einen Fehler in der Config.
Poste bitte auch die Screenshots deiner Interfaces inklusive VLANs. Interfaces -> (assign)
Und dann zusätzlich den VLANs Tab wo alle VLANs gelistet sind.

Zitat von @131026:

Moin

Zitat von @dan0ne:
Ich bekomme allerdings am Port10 welcher VLAN10 ist keine IP oder sonstiges.

Kein Wunder, laut deinen geposteten Einstellungen von oben

Ich zitiere:

Ich hatte zwischenzeitlich die konfig gelöscht und den swtich neu eingestellt. Aktuell habe ich nur einen Trunk auf Port 15 zur PFsense. und Port 9 in VLAN20 und Port10 in VLAN10

Sorry, falls ich das vergessen hatte zu sagen!

Zitat von @131026:
Kein Wunder, laut deinen geposteten Einstellungen von oben

Jou, das kommt noch dazu

Edit:

Ich hatte zwischenzeitlich die konfig gelöscht und den swtich neu eingestellt. Aktuell habe ich nur einen Trunk auf Port 15 zur PFsense. und Port 9 in VLAN20 und Port10 in VLAN10

Wäre gut zu wissen gewesen

Aber tut jetzt nix zur Sache. Wichtig ist, dass du die PfSense mal korrekt konfiguriert bekommst.
Dann gehts weiter an den Switch

Zitat von @michi1983:

Zitat von @dan0ne:
Ich bekomme allerdings am Port10 welcher VLAN10 ist keine IP oder sonstiges.

Ja der haken bei enable ist gesetzt. Was ich nicht verstehe ist, wieso ich beim VLAN20 sauber ne IP bekomme und beim 10er nicht.

anbei die Bilder!

Und welche IP hast du beim VLAN10 eingetragen als Gateway und DNS?

Hast du ev. einen anderen Switch zum Testen? Ich kenne mich mit TP-Link absolut nicht aus und kann dir da auch nicht helfen falls du dort was falsch konfiguriert hast.

Zitat von @michi1983:

Und welche IP hast du beim VLAN10 eingetragen als Gateway und DNS?

Hast du ev. einen anderen Switch zum Testen? Ich kenne mich mit TP-Link absolut nicht aus und kann dir da auch nicht helfen falls du dort was falsch konfiguriert hast.

Gateway ist die IP der PFsense aus dem entsprechenden Netz (192.168.73.1) und DNS ist die Server ip (192.168.73.10). Nach einem Neustart der PFsense funktioniert das nun auch, aktuell kämpfe ich aber damit das auch die Server richtig im VLAN10 hängen damit die Profile gezogen werden können.

Aktuell hänge ich immer noch dadran das die LAGS in das richtige VLAN kommen. Auf dem Switch habe ich folgendes Eingestellt:

Generelle Übersicht:

Wie man sieht kriege ich es zwar hin den einzelnen Port in das VLAN10 zu hängen, aber nicht den LAG und da liegt denke ich das Problem. Die LAGS sind trotzdem immer nur im VLAN1

Hat da jemand noch eine Idee?!

Gruß

Zitat von @dan0ne:
Wie man sieht kriege ich es zwar hin den einzelnen Port in das VLAN10 zu hängen, aber nicht den LAG und da liegt denke ich das Problem. Die LAGS sind trotzdem immer nur im VLAN1

Warum möchtest du denn die LAGs ins VLAN10 bekommen?
Die sollten doch im Management VLAN 1 sein? Dort wird ja eh alles tagged übertragen über die LAG Ports?

Zitat von @michi1983:

Zitat von @dan0ne:
Wie man sieht kriege ich es zwar hin den einzelnen Port in das VLAN10 zu hängen, aber nicht den LAG und da liegt denke ich das Problem. Die LAGS sind trotzdem immer nur im VLAN1

Warum möchtest du denn die LAGs ins VLAN10 bekommen?
Die sollten doch im Management VLAN 1 sein? Dort wird ja eh alles tagged übertragen über die LAG Ports?

Weil die Clients aus dem VLAN10 (Firmennetz) mit den Servern kommunizieren sollen ?

Geplant war es ja so:

TP-LINK T2600G-28TS
Port 1-8 :: VLAN10 (Access)
Port 15 :: TRUNK (VLAN10,20,30) Uplink zur Pfsense Port1
Port 17-18 :: VLAN10 (Access) NAS
Port 19-20 :: VLAN10 (Access) Server01
Port 21-22 :: WLAN10 (Access) Server02
Port 23-24 :: TRUNK (VLAN10,20,30) LACP zu TP-LINK

Und ich habe das nun so verstanden, das die PFsense mit LAN1 in allen 3 VLANS hängt. Und ich in VLAN10 mein Firmenzeug haben will, und in den anderen dann mal getrennt alles andere was so anfällt. Meiner Verständniss nach, müssen die Server doch dafür dann in VLAn10 sein, oder kapiere ich mittlerweile gar nichts mehr ? Ich muss das halt heute alles hinbekommen, da ich das komplette Netzwerk schoon umgebaut habe, und morgen muss alles laufen

Aktuell ist es so, dass die Vergabe der IP funktioniert (PFsense) aber ich halt nicht auf die Server drauf komme.. Der Trunk zum nächsten Switch usw geht auch noch nicht, aber erstmal eins nach dem anderen...

Wo der Server hängt ist völlig schnuppe solang die PfSense weiß in welchem Netz der Server ist und in welchem Netz der Client der darauf zugreifen möchte und wer wie wo Zugriff hat.

Welche IP hat denn jetzt nun dein Client und welche IP hat der Server den der Client erreichen soll?

Zitat von @michi1983:

Wo der Server hängt ist völlig schnuppe solang die PfSense weiß in welchem Netz der Server ist und in welchem Netz der Client der darauf zugreifen möchte und wer wie wo Zugriff hat.

Welche IP hat denn jetzt nun dein Client und welche IP hat der Server den der Client erreichen soll?

Also der Client hat:

IP: 192.168.73.30
DNS: 192.168.73.1 (Pfsense)
Gateway: 192.168.73.10 (server)

Server hat:

IP: 192.168.73.10
DNS: 192.168.73.10
Gateway: 192.168.73.1

Dann ist aber wohl auf der PFsense noch was falsch, weil ich den server aus dem VLAN10 nicht erreichen kann. Allerdings kann ich Surfen, was ja bedeutet das der DNS erreichbar ist und funktioniert oder irre ich da?

Edit: Der Server ist aber "offline" sprich hat keine Internetverbindung..

Edit2: vom Client aus kann ich alle VLAN Adressen anpingen. Vom Server aus, kann ich gar nichts pingen.

warum hast du die 192.168.73.10 als Gateway eingetragen beim Client? Da muss die 192.168.73.1 rein, die PfSense ist ja das einzige Device welches alle Netze kennt.

Zitat von @michi1983:

warum hast du die 192.168.73.10 als Gateway eingetragen beim Client? Da muss die 192.168.73.1 rein, die PfSense ist ja das einzige Device welches alle Netze kennt.

Heißt das, der DNS auf dem Server muss abgeschaltet werden ?

Edit: Ich habe nun den DNS auf dem Server ausgemacht und als IP beim DHCP die IP der PFsense angegeben. Jetzt bin ich mit dem Client online, habe aber trotzdem keinen Zugriff auf den Server..

Kannst du vom Client die IP der PfSense (dein Gateway) pingen?
Kannst du die IP des Servers pingen?
Was ergibt ein traceroute auf die IP des Servers?

Zitat von @michi1983:

Kannst du vom Client die IP der PfSense (dein Gateway) pingen?

Kannst du die IP des Servers pingen?

Nein (Zielhost nicht erreichbar)

Was ergibt ein traceroute auf die IP des Servers?

Zielhost nicht erreichbar.

Edit: Die Server untereinander können sich anpingen, dort geht auch Remotedesktop usw...

Kannst du im Server bitte als DNS ebenso die IP der PfSense eintragen um zu sehen ob das was ändert.
Da die im selben Netz sind müssen die sich pingen können, außer die Server Firewall spielt nicht mit (kann auch noch sein).
Kannst du vom Server aus die IP des Clients anpingen?

Zitat von @michi1983:

Kannst du im Server bitte als DNS ebenso die IP der PfSense eintragen um zu sehen ob das was ändert.

Das habe ich gemacht, der Server ist aber immer noch offline. Auf den anderen Server komme ich aber per Remotedesktop drauf.

Da die im selben Netz sind müssen die sich pingen können, außer die Server Firewall spielt nicht mit (kann auch noch sein).

Ich habe testhalber die Firewall am server mal kurz ausgemacht, dies ändert aber nichts.

Kannst du vom Server aus die IP des Clients anpingen?

Nein, dort ist auch Zielhost nicht erreichbar.

auf der PFsense ist kein VLAN1 angelegt, kann es dadran liegen ? Weil wenn die LAGS im Vlan1 sind, und die PFsense das nicht kennt ? Ich bin mittlerweile so verwirrt, das ich das komplette Konstrukt überhaupt nicht mehr verstehe. Im Grunde ist es doch nur die Ports wo Cleints dran höngen auf Access mit der entsprechenden VLAN ID setzen dann einmal den Trunk zur pfsense und einmal den Trunk zum nächsten Switch. Und die Server halt auch auf Access mit der ID 10 und gut ist. Ich verstehe halt nicht, wieso die einzelnen Ports im VLAN10 sind, aber die LAG im Vlan1.

VLAN1 ist alles was keine dezidierten VLANs zugewiesen hat. Das sogenannte Management VLAN. So einfach ist das.
Am Switch musst du jeden Port der dem VLAN10 angehören soll untagged mit der dazugehörigen PVID 10 konfigurieren.
Den Port, der die Verbindung zur PfSense herstellt muss natürlich auf tagged stehen, damit die PfSense mitbekommt welches Paket mit welcher VLAN ID versehen ist damit die PfSense weiß wohin sie die Pakete leiten darf/kann.
Deinen Trunk würd ich erstmal ganz weg lassen bis alles funktioniert wie es soll.
Das Konstrukt ist wirklich nicht schwer und eigentlich in 10 Minuten am Fliegen wenn du alles beachtest.
Deine Windows Firewall am Client blockt übrigens auch Pings wahrscheinlich.

Edit: Du kannst auch unter Status->System Logs mal die Logs durchforsten ob dir etwas auffällig erscheint.
Entweder die DHCP Logs oder die Firewall Logs

Zitat von @michi1983:

VLAN1 ist alles was keine dezidierten VLANs zugewiesen hat. Das sogenannte Management VLAN. So einfach ist das.
Am Switch musst du jeden Port der dem VLAN10 angehören soll untagged mit der dazugehörigen PVID 10 konfigurieren.
Den Port, der die Verbindung zur PfSense herstellt muss natürlich auf tagged stehen, damit die PfSense mitbekommt welches Paket mit welcher VLAN ID versehen ist damit die PfSense weiß wohin sie die Pakete leiten darf/kann.
Deinen Trunk würd ich erstmal ganz weg lassen bis alles funktioniert wie es soll.
Das Konstrukt ist wirklich nicht schwer und eigentlich in 10 Minuten am Fliegen wenn du alles beachtest.
Deine Windows Firewall am Client blockt übrigens auch Pings wahrscheinlich.

Genau so habe ich es, und ja den Trunk zum nächsten Switch lasse ich erstmal außen vor. Aber ich habe z.b. ein NAS an Port 17-18 auch mit "Access VLAN10" und das geht. Das kann ich pingen, und ich komme auch aus dem VLAN10 drauf! Bei den Servern ist es aber nicht so. Deswegen verstehe ich es nicht..

Die Firewall habe ich wiegesagt ausgehabt auf Client und Server, aber das hat nichts geändert....
Ich bin ja wenigstens froh das ich das Prinzip doch kapiert habe, weil aktuell sitze ich hier und bin absolut ratlos und habe an allem gezweifelt.

Zitat von @dan0ne:
Genau so habe ich es, und ja den Trunk zum nächsten Switch lasse ich erstmal außen vor. Aber ich habe z.b. ein NAS an Port 17-18 auch mit "Access VLAN10" und das geht. Das kann ich pingen, und ich komme auch aus dem VLAN10 drauf! Bei den Servern ist es aber nicht so. Deswegen verstehe ich es nicht..

Dann muss da aber zwingend noch etwas sein, was dazwischen funkt. Überprüfe das mit der Firewall bitte doppelt und 3-fach.
Wenn es vom NAS aus geht, dann passt nämlich schon das Grundprinzip.

Überprüfe die Logs bitte auf der PfSense oder mach gleich einen Packet Capture und setze einen Filter auf die Server IP.
Dann pingst du vom Client aus den Server und dann wirst du im Packet Capture schon sehen wo es hakt.

Zitat von @michi1983:

Wenn ich einen Packet Capture auf der PFsense auf das Interface VLAN10Firma und als Host Adress die IP des Server angebe mache und dann am Client einen Ping auf die Adresse des Servers schicke bekomme ich:

"ARP, Request who-has 192.168.73.10 tell 192.168.73.31, length 46"

Am Client selbst kommt "Die eigene IP - Zielhost nicht erreichbar"

Meinst du ich sollte den Switch nochmal komplett nullen ? Vllt. hängt da ja irgend ein ### drinnen...

Also hat dein Client nicht die .30 sondern die .31???
Somit wäre erklärt, warum der Server die .30 nicht pingen kann, weil es die ev. gar nicht gibt.
Das kannst du übrigens auch unter Status -> DHPC Leases checken.

Meinst du ich sollte den Switch nochmal komplett nullen ? Vllt. hängt da ja irgend ein ### drinnen...

Das würde ich auf jeden Fall auch nochmal versuchen ja.
Wahrscheinlich liegt hier irgendwo der Fehler im Detail.

Zitat von @michi1983:

Also hat dein Client nicht die .30 sondern die .31???
Somit wäre erklärt, warum der Server die .30 nicht pingen kann, weil es die ev. gar nicht gibt.
Das kannst du übrigens auch unter Status -> DHPC Leases checken.

Ja, hatte es geändert und auch immer die richtige gepingt.

Meinst du ich sollte den Switch nochmal komplett nullen ? Vllt. hängt da ja irgend ein ### drinnen...

Das würde ich auf jeden Fall auch nochmal versuchen ja.
Wahrscheinlich liegt hier irgendwo der Fehler im Detail.

Okay, dann setze ich den Switch mal komplett auf null, und fange erstmal mit den basics an.

Zitat von @dan0ne:
Okay, dann setze ich den Switch mal komplett auf null, und fange erstmal mit den basics an.

Nimm einfach mal "nur" 2 Ports her und packe jeweils einen ins VLAN 10 und den anderen ins VLAN 20 zum testen.
Schau ob die jeweiligen Devices eine korrekte IP vom DHCP der PfSense im jeweiligen VLAN beziehen, ob sie die PfSense pingen können, ob sie Internet Zugriff haben und ob sie sich gegenseitig pingen können.

Zitat von @michi1983:

Zitat von @dan0ne:
Okay, dann setze ich den Switch mal komplett auf null, und fange erstmal mit den basics an.

Das habe ich gemacht, und das geht. der Client aus VLAN10 bekommt eine ordentliche IP ist "online" und kann den anderen Client aus VLAN20 pingen. Umgekehrt geht es auch.

Soweit war ich vorhin aber auch, nur das Problem mit den Servern besteht weiterhin..

Client VLAN10 = 192.168.73.31
Client VLAN20 = 192.168.74.10

Ich komme aber von dem Client aus VLAN10 nicht auf das Switch Interface (192.168.73.2)

Zitat von @dan0ne:
Ich komme aber von dem Client aus VLAN10 nicht auf das Switch Interface (192.168.73.2)

Das kann auch nicht klappen.
Der Switch selbst sollte im Management VLAN1 sein und somit auch eine IP aus dem normalen LAN (ohne VLAN haben), re2 in deinem Fall.

Okay, ich habe dem Switch nun die IP 192.168.1.2 gegeben, da die LAN Schnittstellt der PFsense die 1.1 hat. Nur wie komme ich jetzt weiter, also als aller erstes sollte ja mal die Kommunikation mit den Servern funktionieren, damit ich weiter arbeiten kann.

- Ich habe die LAGS wieder erstellt.
- Bei dem VLAN10 habe ich die einzelnen Ports der LAGS als "VLAN10" untagged drinnen.

Wenn ich dann aber unter den LAGS selbst schaue sind diese im VLAN1. Eine Kommunikation mit den Servern ist aktuell nicht moeglich.

Die LAGS brauchst du doch jetzt nicht um die Kommunikation mit den Servern herzustellen!

Schließe einen Server an einen Port des Switches, den du ebenso untagged mit einer PVID 10 konfigurierst.
Dann gibst du dem Server eine IP des VLAN10 die außerhalb der DHCP Range der PfSense für VLAN10 liegt.
Die 192.168.73.254 zum Beispiel. Als Gateway trägst du am Server die 192.168.73.1 ein und als DNS ebenso.
Danach musst du bereits vom Client in VLAN10 die IP des Servers pingen können und auch mittels RDP drauf kommen.
Wenn nicht, ist zu 99% die lokale Firewall des Servers schuld.
Du kannst dann auch von der PfSense selbst versuchen den Server zu pingen um den Client mal außen vor zu lassen.

Zitat von @michi1983:

Die LAGS brauchst du doch jetzt nicht um die Kommunikation mit den Servern herzustellen!

Aktuell noch nicht, aber es muss ja auch mit gehen! Ich habe diese jetzt aber gelöscht, und auf dem Server auch entfernt.

Schließe einen Server an einen Port des Switches, den du ebenso untagged mit einer PVID 10 konfigurierst.
Dann gibst du dem Server eine IP des VLAN10 die außerhalb der DHCP Range der PfSense für VLAN10 liegt.
Die 192.168.73.254 zum Beispiel. Als Gateway trägst du am Server die 192.168.73.1 ein und als DNS ebenso.
Danach musst du bereits vom Client in VLAN10 die IP des Servers pingen können und auch mittels RDP drauf kommen.
Wenn nicht, ist zu 99% die lokale Firewall des Servers schuld.

Alles so gemacht, aber es geht trotzdem nicht. Ich habe den Server auch schon mal rebootet ist aber das gleiche Verhalten. Die Firewall ist komplett aus, und auch die AV Software habe ich zum testen komplett deinstalliert.

Du kannst dann auch von der PfSense selbst versuchen den Server zu pingen um den Client mal außen vor zu lassen.

Und das ist jetzt der Punkt wo ich absolut garnichts mehr kapiere. Die LAGS kann man nun auf jeden fall ausschließen da es sich absolut gleich verhält.

Aktuelle Config ist:

Switchport 9 = VLAN20 (Client)
Switchport 10 = VLAN10 (Client)
Swtchport 15 = tagged (zu Port 1 PFsense)
Switchport 20 = VLAN10 (Server)

Ich kann dir nur so viel sagen, dass du irgendwo etwas übersehen haben musst.
Mit den onboard Logfiles der PfSense und der Monitoring Möglichkeiten inkl. Wireshark sollte es dir auf jeden Fall möglich sein, den Fehler zu finden.
Am Besten liest du dir nochmal haargenau das oben verlinkte Tutorial von @aqui durch. Dort ist wirklich nochmal alles Schritt für Schritt aufgelistet.
Das Konzept funktioniert. Bei mir und bei vielen anderen auch. Also muss es irgendwo an der Konfig bei dir liegen.

Ja, schon mal vielen Dank für deine Hilfe. Ich habe das nun mehrfach nachgelesen und nebenbei Kontrolliert und ich finde keinen Fehler.

Ich habe nun mal folgendes getestet:

- beide Server haben keine LAG mehr.
- Jeweils nur ein Kabel zum Switch
- Die Ports sind beide auf Access und VLAN ID10

Ich habe den zweiten Server mal auf DHCP gestellt, um zu sehen ob diese denn eine richtige IP von der PFsense bekommen und dies funktioniert nun auch! Also habe ich die IPs wieder statisch vergeben und ich kann nun die PFsense und auch den einen Testclient pingen.

Beim anderen Server geht dies aber nicht. Dort bekomme ich keine IP und wenn ich eine Statische Einstelle geht es auch nicht. An dem Switch sind für die beiden Ports alle Einstellungen identisch.

Ich habe jetzt mal den Switchport von 20 auf 18 geändert und nun geht es ?!

Jetzt merkst du warum so China Böller Switche in einem Firmenumfeld nix zu suchen haben

Ja, das ist mir eine Lehre!

So, der eine Switch funktioniert nun, und nun bin ich am anderen der per LAG verbunden ist.

Wenn ich sn den Ports 9-13 hänge kriege ich vom VLAN1 der PFsense (192.168.1.1) eine IP Adresse und ich bin online. Wenn ich auf den anderen Ports bin bekomme ich keine IP, und es geht auch keine Kommunikstion in die netze.

Hat da jemand noch eine Idee?

Zitat von @dan0ne:
Hat da jemand noch eine Idee?

Die Uplink Ports (15,16) müssen doch auch tagged sein? Wie sollen sonst die VLANs übertragen werden?

IM VLAN10 und 20 ist es doch auch so, nur im VLAN1 nicht. Muss das da auch gemacht werden?

Hm, ich bin mir mittlerweile gar nicht mehr sicher ob die TP Link Gurke es überhaupt unterstützt ein LAG nach LACP zu erstellen und diesen dann als Trunk zu einem 2. Switch zu nutzen.

Kannst du mal den LAG auflösen und einen einzelnen Port mit einem einzelnen Kabel als Trunk konfigurieren um die VLANs von einem auf den anderen Switch zu übertragen?

Zitat von @michi1983:

Hm, ich bin mir mittlerweile gar nicht mehr sicher ob die TP Link Gurke es überhaupt unterstützt ein LAG nach LACP zu erstellen und diesen dann als Trunk zu einem 2. Switch zu nutzen.

Kannst du mal den LAG auflösen und einen einzelnen Port mit einem einzelnen Kabel als Trunk konfigurieren um die VLANs von einem auf den anderen Switch zu übertragen?

Ich bezweifel es mittlerweile auch.. Ich teste es morgen, da ich mittlerweile daheim bin. Was fuer Switche kannst du denn empfehlen? Da haette ich naemlich auch direkt teurere kaufen koennen, und haette noch (zeit) gespart..

Wenn du kein Routing benötigst - weil das ja die PfSense übernimmt - kann ich dir die Cisco SG200er Serie empfehlen.

Die hatte ich eben auch schon im Blick :D

Ist bei dem SG200-26P zum Sg200-26 der einzige Unterschied das der eine Poe kann? Ist ja dann ein hoher Aufpreis fuer bischen POE

Ja, das "P" steht immer für PoE !
Vergiss nicht das damit ein komplettes thermisches Redesign des Switches einhergeht. Das ist teuer.
Billiger Chinaschrott macht es nicht, der fackelt dann aber auch regelmässig nach 3 Monaten ab...

LACP LAG:
Natürlich kann der TP-Link das auch. Das ist simplester Standard auch bei Billigswitches:
http://static.tp-link.com/res/down/doc/T2600G-28TS(UN)_V1_UG.pdf
Seite 52 ff. Kapitel: 5.2.3

Du solltest generell immer LACP LAGs verwenden und niemals statische LAGs wie sie im dorvor liegenden Kapitel beschrieben sind.

Zitat von @aqui:

Ja, das "P" steht immer für PoE !
Vergiss nicht das damit ein komplettes thermisches Redesign des Switches einhergeht. Das ist teuer.
Billiger Chinaschrott macht es nicht, der fackelt dann aber auch regelmässig nach 3 Monaten ab...

Dem stimmte ich zu!

LACP LAG:
Natürlich kann der TP-Link das auch. Das ist simplester Standard auch bei Billigswitches:
http://static.tp-link.com/res/down/doc/T2600G-28TS(UN)_V1_UG.pdf
Seite 52 ff. Kapitel: 5.2.3

Das der Switch das kann habe ich überprüft. Ein reiner LACP LAG geht auch zwischen dem T2600G-28TS und dem TL-SG2216! Das VLAN am T2600G-28TS (Standort Serverschrank) geht auch. Aber über das LACP LAG nach vorne geht kein VLAN. Ich habe nun jede erdenkliche Variante durchgespielt, aber kriege es in dieser Konstellation nicht zum laufen.

Du solltest generell immer LACP LAGs verwenden und niemals statische LAGs wie sie im dorvor liegenden Kapitel beschrieben sind.

In das Thema hatte ich mich eingelesen, und dies auch alles so angebunden. Aktuell sind die Server + NAS allerdings wieder ohne LACP LAG angebunden, da ich gestern kurz vorm durch drehen war und jeden Fehler ausschließen wollte.

Ich habe zwei Server, einer ist DC,DNS und der andere ist ein FS und es läuft eine WAWI drauf. Wenn ich nun aber den DNS der PFsense nehme (192.168.73.1) und nicht mehr der DNS vom DC dann meint jeder Client er wäre in einem öffentlichen Netz und es geht nichts mehr. Was mache ich da denn falsch ?

Du musst in diesem Fall zumindest deine lokale Domäne über deinen DC abwickeln lassen. Ich würde den DC als DNS eintragen und auf dem DC ein Forwarding zur pfSense...

Zitat von @BirdyB:

Du musst in diesem Fall zumindest deine lokale Domäne über deinen DC abwickeln lassen. Ich würde den DC als DNS eintragen und auf dem DC ein Forwarding zur pfSense...

Okay, dies hatte ich alles so aber gestern hieß es es wäre falsch, und ich müsse die IP der Pfsense angeben.

Zitat von @dan0ne:
Okay, dies hatte ich alles so aber gestern hieß es es wäre falsch, und ich müsse die IP der Pfsense angeben.

Das stimmt so nicht ganz. Ich hatte es lediglich vorgeschlagen um mal das "Grundkonzept" zum Fliegen zu bringen.

Zitat von @michi1983:

Zitat von @dan0ne:
Okay, dies hatte ich alles so aber gestern hieß es es wäre falsch, und ich müsse die IP der Pfsense angeben.

Das stimmt so nicht ganz. Ich hatte es lediglich vorgeschlagen um mal das "Grundkonzept" zum Fliegen zu bringen.

Sorry! Da hast du Recht! Ich bin hier aktuell am verzweifeln, und nicht mehr klar im Kopf. Ich habe hier erstal alles zusammen gepfuscht damit wir überhaupt arbeiten können, und probiere nebenbei alle Einstellungen durch. Aber kriege das VLAN zum zweiten Switch mit nichts zum laufen. Auf dem ersten Switch läuft alles so wie es soll, nur der zweite will nicht. Ich habe das nun auch über nur einen Port ohne LACP LAG getestet aber auch das geht nicht.

Auf dem ersten Switch ist der Port als Trunk und in beiden VLANS. Dann geht ein Kabel zum zweiten Switch, wessen Port (dort heißt es tagged) ist, und an dem Switch habe ich einen Port im VLAN10 und einen im VLAN20. Aber ich bekomme keinerlei IP oder sonstiges.

Zitat von @dan0ne:
Auf dem ersten Switch ist der Port als Trunk und in beiden VLANS. Dann geht ein Kabel zum zweiten Switch, wessen Port (dort heißt es tagged) ist, und an dem Switch habe ich einen Port im VLAN10 und einen im VLAN20. Aber ich bekomme keinerlei IP oder sonstiges.

Den Trunk Port musst du doch keinen VLANs zuordnen!
Annahme:
Switch 1, Port 24 -> Einfach auf Trunk stellen (oder tagged, wenn das bei TP-Link anders heißt) und Ende.
Switch 2, Port 24 -> Einfach auf Trunk stellen (oder tagged, wenn das bei TP-Link anders heißt) und Ende.
Diese beiden Ports 24 verbindest du miteinander und dann muss das funktionieren.

Hier ist auch nochmal was von TP-Link dazu.

Zitat von @michi1983:

Bei dem T2600G sieht es wie folgt aus:

Sobald ich einen Port als "Trunk" markiere muss ich diesen bei den einzelnen VLANS noch als "tagged port" setzen. Zumindest ist es so bei dem Port15 der der generelle Uplink zur PFsense ist.

Bild:

Bei dem SG2216 ist es anders.

Dort kann ich nur sagen das z.b. Port 16 "untagged" ist und das wars.

Bild1:

Bild2:

Dort soll Port16 der "trunk" sein, und Port 1-8 imVLAN10 und Port 14 im VLAN20. Ich gehe davon aus das ich das so richtig habe! Oder bin ich komplett daneben?

Okay, dies hatte ich alles so aber gestern hieß es es wäre falsch, und ich müsse die IP der Pfsense angeben.

Wer hat den Usinn erzählt ?!
Kollege Birdy hat hier Recht, in so einem Umfeld ist immer der Winblows Server der DNS und der hat dann eine DNS Weiterleitung auf den Internet DNS sprich hier also deinen lokale pgSense IP Adresse.
Das ist schon richtig so !

Was den tagged Uplink Trunk anbetrifft zw. deinen 2 Switches hast du da garantiert irgendwo einen Konfig Fehler. Es ist mit Sicherheit nicht so das ein simpler tagged Uplink Trunk mit LACP zwischen den beiden Switches nicht funktioniert. Schon gar nicht wenn die vom gleichen Hersteller kommen.
Sowas simples klappt ja schon auch zwischen völlig unterschiedlichen Switches aller möglicher Hersteller.
Auch hier solltest du wieder strategisch vorgehen...

LACP Trunk einrichten und aktivieren
LACP Status auf beiden Seiten prüfen. Wenn der auf established oder operational geht ist alles gut.
Pingen im Default VLAN sollte dann fehlerfrei klappen
Jetzte ein VLAN tagged auf beiden Enden des Trunk Interfaces konfigurieren.
Test mit 2 Geräten in dem VLAN per Ping sollte klappen.
Wenn das so ist weitere VLANs tagged dazunehmen.

Sobald ich einen Port als "Trunk" markiere muss ich diesen bei den einzelnen VLANS noch als "tagged port" setzen.

Ahem...ja das ist klar und logisch. Wie sollte denn sonst anders auch die VLAN ID Signalisierung gehen wenn nicht über den VLAN Tag !?!
Die Switches an den jeweiligen Enden müssen doch den Traffic entsprechend dem VLAN Tag wieder der entsprechenden VLAN ID zuordenen können und das geht logischerweise ja nur über den VLAN Tag.
An einem untagged Paket kann man na klar keine VLAN Information ablesen !

Zumindest ist es so bei dem Port15 der der generelle Uplink zur PFsense ist.

Was hat das denn jetzt mit einem Trunk sprich Link Aggregation zu tun ??
Aber so oder so ist es auch klar und logisch das das auf jedem tagged Port so ist der die VLAN Information mitgibt.
Anhand des VLAN Tags "liest" die pfSense für welches Parent Interface das ist und ordnet es entsprechend zu.
Simpler Standard jeglicher VLAN Konfig ! Siehe VLAN Tutorial hier !!!

Die Logik bei Trunks also Link Aggreagation ist immer die gleiche.
Trunk Member als die einzelnen Ports die den Trunk bilden müssen ja logischerweise immer vollkommen identisch konfiguriert sein, klar.
Wenn also die Ports 15 und 16 diese Ports sind dann müssen...

sie Mitglied einer Trunk Gruppe bzw. einens Trunks sein. Alle Mitglieder einer Trunk Gruppe formen dann einen LACP Trunk mit dem Gegenüber
Sie müssen zwingend einen gleiche Konfig haben also gleiche PVID (= Forwarding der untagged Pakete) und auch die gleichen VLAN Tags haben. Sinnigerweise sind sie für alle VLANs getagged wenn man diese zw. den beiden Switches transparent haben will
Bei vielen Switches muss dann auch der Trunk Port selber sofern der dann als virtueller Port auftaucht auch diese identischen Tags und PVID Settings haben wie seine Memberports. Ob es einen virtuellen Trunkport gibt ist Hersteller spezifisch ! Manche machens...andere nicht.

So einfach ist das.
Trunking = Link Aggregation und Tagged Uplinks sind 2 unterschiedliche Baustellen.

Leider sind deine beiden obigen Screenshots wenig hilfreich, denn sie zeigen NICHT...:

welche Ports Trunk Memeber des Trunks sind
ob der Trunk ein virtueles Trunk Interface hat
ob Trunk Port und Member Ports ein identisches Setup haben wie gefordert
ob der Trunk up and running ist also eine erfolgreiche LACP Negotiation erfolgt ist

Dort soll Port16 der "trunk" sein,

Das ist ja Quatsch !!
Sorry, aber... Ein Trunk ist Link Aggregation, folglich besteht der ja auch immer aus mehreren Links (minimal 2)
Wie kann also ein singulärer Port ein "Trunk" sein bei dir ?!
Kann das sein das wir alle wild aneinander vorbeireden hier

Dort soll Port16 der "trunk" sein, und Port 1-8 imVLAN10 und Port 14 im VLAN20. Ich gehe davon aus das ich das so richtig habe!

Ja, was den Port 16 als einfachen "tagged Uplink" anbetrifft ja, das ist richtig !
Ein Trunk Port ist das nicht.
Dazu müsstest du z.B. Port 15 vollkommen identisch konfigurieren und dann aus Port 15 und 16 einen LACP Trunk bilden (Link Aggregation)
Identisch machst du das auf der anderen Seite, dort z.B. mit Port 47 und 48 ! Fertig ist dann dein Tagged Trunk.

Hallo aqui,

in der Tat reden wir bei ein paar Punkten aneinander vorbei. Aktuell habe ich die Server nur mit einem Kabel angebunden da ich es anders nicht hinbekommen habe.

Ich habe nun auf dem Fileserver wieder den LACP LAG erstellt und auf dem Switch auch eingerichtet. Der Server zeigt bei dem Teaming den Status "ok".

Ich kümmere mich nun erst mal um den "hinteren Teil". Deshalb lassen wir den LACP LAG nach vorne erstmal außen vor!

Hier die Bilder des LACP LAGs
Port 21+22 wurde zum LAG zusammengeführt. (FS)

Lag Übersicht:

Lag Details:

Bei der VLAN Config habe ich nun folgendes gemacht:

Port 21+22 im VLAN10 als "untagged" gesetzt.

Hier sieht man das es der LAG ist und das er die PVID 10 (Firma) hat.

Trotzdem ist der Server nicht im Netz erreichbar und auch nicht online. Wo ist da denn der Fehler ?

Wenn ich den Server auf DHCP stelle bekomme ich eine IP aus dem 1.1er Netz. Sprich der Server befindet sich im VLAN1!

Wie kann das denn sein, nach meiner Config ?

Du musst nicht die einzelnen Ports dem VLAN zuordnen, sondern die LAG. Bei unseren Ciscos ist das jedenfalls so. Ich würde mal raten, dass es bei dir genauso ist...

hallo,

das erste Bild meines letzten Posts sind die kompletten Einstellungen die ich da machen kann. Ich sehe NICHTS wo ich da ein VLAN angeben kann ?!
Den Gedanken so hatte ich auch schonmal, vorallem hat mich bei Bild3 die VLAn 1 Einstellung stutzig gemacht, aber wiegesagt es gibt keine Möglichkeit dies einzustellen.

Ich behaupte: es muss eine geben...
Die Frage ist nur: Wo?

Zitat von @BirdyB:

Ich behaupte: es muss eine geben...
Die Frage ist nur: Wo?

:D Du kannst dir gar nicht vorstellen wie D*** ich mir vorkomme. Ich bin absolut deiner Meinung, aber bei LACP Config gibt es nur das was man in Bild 1 sieht. Und wenn man in Bild 2 auf "Edit" klickt, kommt man genau da wieder raus.

Kannst du in der VLAN-Config oben bei LAGS etwas anklicken? (wie in deinem letzten Bild)
Also da wo Unit steht...

Ja, das kann ich in der Tat!!!

Allerdings wenn ich den Port auf Access lasse und bei PVID 10 eingebe und das übernehmen will kommt "Cannot change PVID on Access Port"

Ich werde Verrückt!!! Ich habs... In Bild 4 muss man auf LAG klicken, da kann man das dann machen. An der anderen Stelle zwar auch, aber das juckt den Switch nicht!!!! Ohman, tausend Dank.. jetzt kann ich das alles machen :DDDDDD

P.S. Ihr solltet hier mal ne "donate" Funktion einbauen :DDD

Für alle die mit dem Interface dieses Switches interagieren wollen das geht auch ohne Gerät ...
http://static.tp-link.com/resources/simulator/T2600G-28TS(UN)_1.0/Index ...

Dann weiterhin alles Gute und Toi Toi Toi

Sowas simples klappt ja schon auch zwischen völlig unterschiedlichen Switches aller möglicher Hersteller.
Auch hier solltest du wieder strategisch vorgehen...

LACP Trunk einrichten und aktivieren

klappt

* LACP Status auf beiden Seiten prüfen. Wenn der auf established oder operational geht ist alles gut.

klappt

* Pingen im Default VLAN sollte dann fehlerfrei klappen

klappt

* Jetzte ein VLAN tagged auf beiden Enden des Trunk Interfaces konfigurieren.

Test mit 2 Geräten in dem VLAN per Ping sollte klappen.
Wenn das so ist weitere VLANs tagged dazunehmen.

So, nun läuft "hinten" alles! Allerdings habe ich bei dem LACP LAG Trunk nun noch Probleme. Dieser steht, aber vergibt nur IPs aus dem VLAN1.

Ich habe auf dem Switch hinten den LACP LAG angelegt, und bei VLANS unter Port Konfig Port 23+24 aus Trunk markiert. Nun dachte ich mir ich kann das wie bei den anderen LACP LAGs machen. Diese laufen zwar Untagged (was ja auch richtig ist, hängt jeweils nur ein Server dran der in VLAN10 sein soll)

Allerdings kann ich wenn ich bei VLAN10 bin und unter Tagged Port auf LAGS klicke keinen auswählen. Weshalb ich mal wieder da stehe und nicht weiter weiß.. Evtl. kann mir ja nochmal jemand helfen.

Hier wäre ich jetzt davon ausgegangen das ich bei "Tagged" nun den LAG 12 auswählen kann...

Dieser steht, aber vergibt nur IPs aus dem VLAN1.

Diese Aussage ist natürlich Blödsinn bzw. auch verwirrend.
Erstmal ist klar das ein simpler Trunk keine IP Adressen vergeben kann. Das kann nur ein DHCP Server. Trunks haben mit IP rein gar nicx zu tun. Maximal was mit Mac Adressen und das wars !
Frage also was das Kauderwelsch uns jetzt sagen soll ??

Interpretieren wir es mal so, das DHCP switchübergreifend nur im VLAN 1 funktioniert und du in den anderen VLANs keinerlei Kommunikation zw. den beiden Switches bzw. über den Trunk der sie verbindet, hast, oder ?
Also je ein untagged Endgerät im gleichen VLAN an Switch 1 und eins an Switch 2 die dann über den Tagged Trunk gekoppelt sind "sehen" sich nicht, bzw. bekommen keine DHCP IP oder können sich bei statischer IP Vergabe nicht untereinander pingen ?
Ist das so richtig ? Pingen wenn beide Geräte auf einem Switch aber zusammen sind geht in allen VLANs, oder ?
Das zeigt das der Tagged Trunk, der beide Switches verbindet, die VLAN Taggs dann nicht überträgt und das wiederum heisst das er fehlkonfiguriert ist

Was den Server Trunk im VLAN 10 anbetrifft it es klar das der untagged rennt, denn da ist ja nur der Server als Endgerät drauf und Endgeräte sind immer untagged.
Der Trunk aber der dir deine 2 Switches verbindet, der musst tagged in allen VLANs liegen (VLAN 1 untagged, PVID 1) bzw. auch die Member Ports dieses Trunks, klar !

Zitat von @aqui:

Dieser steht, aber vergibt nur IPs aus dem VLAN1.

Ja, das ist so richtig.

Also je ein untagged Endgerät im gleichen VLAN an Switch 1 und eins an Switch 2 die dann über den Tagged Trunk gekoppelt sind "sehen" sich nicht, bzw. bekommen keine DHCP IP oder können sich bei statischer IP Vergabe nicht untereinander pingen ?
Ist das so richtig ? Pingen wenn beide Geräte auf einem Switch aber zusammen sind geht in allen VLANs, oder ?
Das zeigt das der Tagged Trunk, der beide Switches verbindet, die VLAN Taggs dann nicht überträgt und das wiederum heisst das er fehlkonfiguriert ist

Und genau das ist ja das Problem! Wie man in dem letzen Bild sieht möchte ich den LAG12 (LACP LAG zwischen den Routern) für das VLAN10 auf tagged setzen. Diese Auswahl ist aber nicht möglich. Das es dadran hängt weiß ich, ich habe aber keine Lösung gefunden. Habe auch nochmal die Manuals gelesen aber dort habe ich nichts dazu gefunden wie man den LAG LACP Trunk zwischen den Switchen taggen kann.

Ja, verstanden habe ich es mittlerweile! :D Aber wiegesagt ich habe den LAG LACP Trunk erstellt, nur wie man in dem Bild sieht kann ich dem im VLAN10 nicht als tagged setzen. Die Option ist ausgegraut, genauso verhält es sich auch beim VLAN20. Und ja, deshalb funkioniert es nicht!!!

LACP LAG zwischen den Routern

??? Wieder Verwirrung pur

Zwischen den "Routern" ?? Du meinst sicher zwischen den Switches, oder ?

Wie man in dem letzen Bild sieht möchte ich den LAG12

Ich habe das Bild jetzt 3mal in Ruhe betrachtet...einen "LAG 12" kann man da weit und breit nicht erkennen. Das Bild zeigt lediglich den .1q Status an was getagged ist und was nicht. Von LAGs keine Spur

Diese Auswahl ist aber nicht möglich.

Das kann möglich sein. Das Gros der Billighersteller hat kein dediziertes LAG Interface. Was du da dann lediglich machen musst ist die LAG Member Port vollkommen identisch zu konfigurieren und diese Parts dann dem LAG hinzufügen. Das wird bei dir auch so sein vermutlich.
Nimm also z.B. die Ports 15 und 16, setze diese beiden identisch Tagged auf alle VLANs (außer 1, da PVID 0) und füge sie zum Schluss zu einem LAG zusammen.
Bevor du das machst mit dem LACP LAG kannst du einen einzelnen Port mit seinem Pendant am anderen Ende testen indem du den erstmal einzeln auf den anderen Switch steckst. Dort ggf. auch noch keine LAG Bündelung machen.
Damit sollte es dann schon sauber funktionieren und dir zeigen das dann alle VLANs zw. den Switches sauber übertragen werden.
Klappt das bündelst du diese beiden Ports auf beiden Seiten in einen LACP LAG und steckst sie dann auf.
So sollte es eigentlich fehlerlos klappen.

Zitat von @aqui:

LACP LAG zwischen den Routern

??? Wieder Verwirrung pur

Zwischen den "Routern" ?? Du meinst sicher zwischen den Switches, oder ?

Ja genau das meinte ich! Sorry

Wie man in dem letzen Bild sieht möchte ich den LAG12

Die 1-14 bei untagged und tagged sind die moeglichen LAGS die der 28 Port Switch kann.

Da sieht man auch sehr schoen das der LAG 10+11 untagged sind, was sie ja auch sein sollen. Bei tagged kann ich den LAG aber nicht auswaehlen da er aussgegraut ist.

Diese Auswahl ist aber nicht möglich.

So wie ich es verstehe hat der 2600g aber genau den dezidierten LAG Port, nur kann man es halt nicht auswaehlen, Dein Tipp hatte ich schon versucht, nur vor hatte davor den LAG schon erstellt. Dies teste ich nochmal andersherum, vllt hilft es ja bei der konstellation. Was ich eigentlich wirklich furchtbar finde ist, das bei beiden Switches die Oberflaeche komplett anders zu bedienen ist...

Ich denke ich werde mir wenn das mal laeuft noch 2 cisco switch kaufen damit ich auch mal "ordentliche" Hardware habe.

DIe Ansicht finde ich schon furchtbar, da bei "UNIT 1 LAG" muss man erstmal drauf kommen das man das auch anklicken kann......

Bei tagged kann ich den LAG aber nicht auswaehlen da er aussgegraut ist.

Vermutlich geht das dann nur wenn der LAG schon existiert. Also diese LAG Ports mal erst auf Default setzen, dann zum LAG formen und dann auf Tagged setzen.
Vielleicht klappt das so herum ?!
Es ist klar das man Tagged Uplink ach per Link Aggregation zusammenfassen kann. Jeder Baumarkt Switch kann das, dann sollte es die TP-Link Gurke auch können !

Dies teste ich nochmal andersherum, vllt hilft es ja bei der konstellation

Das war die Intention...

Was ich eigentlich wirklich furchtbar finde ist, das bei beiden Switches die Oberflaeche komplett anders zu bedienen ist...

Selber Schuld wenn man billigsten China Schrott beschafft. Das Problem ist ja hausgemacht... Aber abgesehen davon sollte man es dennoch zum Fliegen bekommen.

Ich denke ich werde mir wenn das mal laeuft noch 2 cisco switch kaufen damit ich auch mal "ordentliche" Hardware habe.

Eine seeehr weise Entscheidung

Hallo aqui,
erst mal vielen Dank für die ganze Hilfe!

Aktuell habe ich den LACP LAG zwischen den zwei Switchen noch nicht am laufen, dies teste ich aber am Wochenende weiter! Ich musste es hier erstmal Irgendwie zum laufen kriegen.. :D Ich hätte es halt sehr gerne auch damit zum laufen bekommen, aber das bezweifel ich mittlerweile da ich meiner Meinung nach JEDE Möglichkeit getestet habe. Ich gebe dem ganzen aber noch mal einen Abend Zeit, ansonsten fliegen die Dinger im hohen bogen raus!

Ich habe die Firewallregeln des VLAN20 nun mal angepasst und würde gerne wissen ob dies so richtig ist:

So wie ich es verstanden habe, muss erstmal alles geblockt werden was man generell nicht will. Und dann einzeln die erlaubten Protokolle freigebene werden. Ist dies so korrekt ?

Ich denke ich werde mir wenn das mal laeuft noch 2 cisco switch kaufen damit ich auch mal "ordentliche" Hardware habe.

Eine seeehr weise Entscheidung

Welche Serie würdest du denn von Cisco empfehlen ?

Wir benötigen:
- LACP LAG
- VLAN
- VOIP Priorisierung (denke das kann jeder)
- Port Anzahl möglichst viele fürs Geld (alles GBit)

Den Fehler mit den TP-Link Switches werde ich nicht noch einmal begehen, denn da hätte ich mir vermutlich wenn man die Zeit einberechnet richtig dicke Cisco Switche für kaufen können.

Gruß

dies teste ich aber am Wochenende weiter!

Ein Glück...wäre ja sonst langweilig für uns geworden..

Ich habe die Firewallregeln des VLAN20 nun mal angepasst und würde gerne wissen ob dies so richtig ist:

Das sieht sehr gut aus. Die VLAN 20 User dürfen nur emailen und surfen

Falls du dort da auch ein Captive Portal betreibst für Gäste musst du auch noch die Captive Portal Seite freigeben:

So wie ich es verstanden habe, muss erstmal alles geblockt werden was man generell nicht will. Und dann einzeln die erlaubten Protokolle freigebene werden. Ist dies so korrekt ?

Das kommt darauf an !
In deinem Falle ja weil du fremde Netze komplett blockst.
Vergiss nicht die Regel First match wins ! .
Wenn du also als Beispiel das Netz VLAN 10 oben komplett blockst, kannst du nicht weiter unten den Port 80 HTTP für das VLAN 10 Netz wieder freigeben.
Wenn der Block positiv ist (also ein Match) dann werden die folgenden Regeln nicht mehr abgearbeitet.
Hier gilt dann also immer erst alles Spezifische freigeben danach dann komplett blocken, sonst geht das schief mit der Regel.

Welche Serie würdest du denn von Cisco empfehlen ?

Killerfrage...nächste Frage ! Das kann man dir nicht beantworten, da man dein Budget nicht kennt.
Ist das groß dann Catalysten. Ist das klein dann SF-200 oder SG-200 je nachdem ob dir 100 Mbit reicht oder du 1Gig willst. (OK ,100Mbit als SF fällt raus)
SG-300 wenn du Layer 3 (Routing) benötigst oder SG-500 wenn du Stacking und oder 10G benötigst.
Du musst schon konkreter werden für eine für dich passende Antwort.
Alle deine Vorgaben supporten sie alle. Gut die sind aber so simpel das das auch jeder China Billigswitch vom Baumarkt kann. Wenn du Voice machst brauchst du dann auch LLDP bzww. LLDP med ?

Den Fehler mit den TP-Link Switches werde ich nicht noch einmal begehen,

Na ja das ist ja unser tägliches Los hier wenn jemand nachfragt... 1 Frage 10 Meinungen. Aber es bestätigt die alte Regel Wer billig kauft, kauft 2mal...
Das mit der Zeit stimmt wohl...dann wären Catalysten oder Brocade Switches oder Extreme usw. locker dringewesen

Nochmal vielen dank an alle, ich habe nun alles so am laufen wie ich es wollte. Ein APP mit 3 SSIDs ist nun auch eingebunden, und die sind auch alle schoen per VLAN getrennt.

Mit den beiden Switchen lies es sisch aber nicht realisieren. Ich hatte danna us Zeitgruenden nochmal den "besseren" TP-LINK gekauft und damit war es direkt nach 10min. eingerichtet!

Ich werde mir in naechster Zeit trotzdem zum weiterbilden Cisco Switche zulegen, oder gibt es da zum Lernen auch Simulatoren?

LG