[SOLVED] VLAN Problem mit OPNsense und OpenWRT

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
fireburner
Beiträge: 112
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

[SOLVED] VLAN Problem mit OPNsense und OpenWRT

Beitrag von fireburner » 19.05.2018 20:11:25

Hallo Zusammen,

ich habe mir einen Fujitsu Futro S550-2 bestellt, der in Zukunft mit installiertem OPNsense meinen OpenWRT Router ablösen soll.
Um mich mit OPNsense vertraut zu machen und da bisher nur 1 NIC vorhanden ist (Intel PCIe Karte kommt noch rein) wollte ich zum Testen 2 VLANs nutzen (WAN+LAN).

Erst einmal habe ich im OpenWRT am Switch VLAN24 hinzugefügt und den entsprechenden Netzwerkport auf tagged gestellt und VLAN auf untagged gelassen.
VLAN24 habe ich zudem zur Guest Bridge hinzugefügt (192.168.3.1 ist das Gateway und DHCP Server)
VLAN1 ist das LAN mit Gateway und DHCP 192.168.1.1.

Am Futro habe ich re0 LAN zugewiesen und re0_vlan24 dem WAN.
LAN re0 erhält normal eine IP zugewiesen. WAN allerdings nicht. (beide sind als dhcp clients konfiguriert)

Wenn ich nun aber am Futro noch ein weiteres VLAN re0_vlan1 erstelle und dieses dem LAN zuweise und im OpenWRT den Netzwerkport auf tagged im VLAN1 stelle, erhält auch LAN keine IP zugewiesen.

Ich muss zugeben, das dies das erste mal ist, dass ich mich mit VLAN beschäftige. Daher die Frage, ob ich hier grundsätzlich einen Denkfehler mache, oder etwas übersehen habe?

Der TP-Link hat laut https://wikidevi.com/wiki/TP-LINK_Archer_C7_v4.x einen Qualcomm Atheros QCA8337N Switch. Bei Qualcom findet sich nichts bezüglich IEEE 802.1q aber laut https://wikidevi.com/wiki/Atheros doch 4K-tag VLAN

Beim Netzwerkchip im Futro handelt es sich um einen Realtek rtl8111/8168/8411(card=0x111c1734 chip=0x816810ec rev=0x02). Sowohl 8111, 8168 als auch 8411 unterstützen laut Realtek VLANs.
Zuletzt geändert von fireburner am 26.05.2018 14:17:58, insgesamt 3-mal geändert.

Benutzeravatar
bluestar
Beiträge: 622
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: VLAN OpenWRT - OPNsense

Beitrag von bluestar » 19.05.2018 21:25:26

Ich glaube dein Problem liegt auf OpenWRT Seite, wenn du dort das VLAN1 aktivierst, dann musst du auf dem OpenWRT das auch komplett durchziehen. Ein getaggtes LAN1 ist ja nicht dein LAN... Du musst sozusagen alle bisherigen LAN-Ports des OpenWRT auf VLAN1 umstelllen, natürlich untagged.

fireburner
Beiträge: 112
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

Re: VLAN OpenWRT - OPNsense

Beitrag von fireburner » 19.05.2018 22:18:18

VLAN1 ist das LAN im OpenWRT. Alle anderen Ports sind untagged auf VLAN1, außer eben der wo das Kabel zum Futro dran hängt (LAN2).
VLAN2 ist das WAN.
VLAN24 ist wie erwähnt in der GUEST Bridge

VLAN-ID..CPU(eth0)...LAN1........LAN2........LAN3........LAN4........WAN
1............tagged.......untagged...tagged......untagged....untagged...off
2............tagged.......off..........off...........off...........off...........untagged
24..........tagged.......off..........tagged.......off...........off...........off

Benutzeravatar
bluestar
Beiträge: 622
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: VLAN OpenWRT - OPNsense

Beitrag von bluestar » 20.05.2018 09:27:39

Kannst du mal die Netzwerk-Config deines OpenWRT posten.

fireburner
Beiträge: 112
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

Re: VLAN OpenWRT - OPNsense

Beitrag von fireburner » 20.05.2018 12:28:07

hier ist die komplette /etc/config/network vom OpenWRT: http://nopaste.debianforum.de/40346

fireburner
Beiträge: 112
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

Re: VLAN OpenWRT - OPNsense

Beitrag von fireburner » 24.05.2018 19:20:00

Ich hab mir mal am PC nen VLAN Interface mit ID 24 erstellt und den entsprechenden Port im OpenWRT auf tagged gesetzt bei VLAN24.
Das VLAN interface wurde als DHCP Client konfiguriert und anschließend wurde dem Interface problemlos eine IP aus dem 192.168.3.x Gästenetzwerk zugewiesen.
Am OpenWRT liegts also schon mal nicht.

Bleibt OPNsense als Fehlerquelle übrig.

Benutzeravatar
DynaBlaster
Beiträge: 947
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Re: VLAN OPNsense - Problem

Beitrag von DynaBlaster » 24.05.2018 20:01:37

Was passiert denn, wenn du re0_vlan24 auf der OPNSense statisch ne Adresse aus dem Netz 192.168.3.x gibts. Kannst du dann von deinem Client den OpenWRT und die OPNSense im 192.168.3.x-Netz erreichen. Und schau dir mal bei der OPNSense auch die Firewall-Regeln an. Für das VLAN24 müsstest es einen eigenen Firewall-Regel-Block geben (vermutlich heisst der Block OPNSense-seitig auch WAN, wenn du das VLAN24-Interface dem WAN zugeordnet hast) und ggf. ist dieser Block zu retsriktiv. Standardmässig ist beim Anlegen eines neuen Interfaces auf der OPNSense glaube ich alles geblockt

fireburner
Beiträge: 112
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

Re: VLAN OPNsense - Problem

Beitrag von fireburner » 26.05.2018 14:16:30

Wenn man den richtigen Port am OpenWRT tagged, dann funktioniert das auch, dass der OPNsense Router eine IP erhält.

Ich hatte die LAN Ports von der falschen Seite gezählt.
Ironischerweise hatte ich, als ich den Test mit dem PC gemacht habe, schnell alle LAN Ports auf VLAN 24 getagged, weshalb dieser Test auf Anhieb funktioniert hatte.

Danke DynaBlaster und bluestar für eure Unterstützung!

Antworten