[solved] VLAN funktioniert nicht

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
fireburner
Beiträge: 140
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Dänenland

[solved] VLAN funktioniert nicht

Beitrag von fireburner » 13.04.2019 19:16:01

Rechner: Debian Buster
Router1 OpenWRT 18.06.2
Router2 OPNsense 19.1.6

Ich bin scheinbar zu doof VLAN mit Network Manager zu nutzen.
‎Ich muss doch nur das Parent Device (in dem Fall kann ich eines meiner LAN "Profile" wählen), die VLAN id (in dem Fall 24), sowie den VLAN Device Name (VLAN24) setzen und ipv4 auf DHCP stellen lassen. Muss das Parent Device verbunden sein? Ich denke ja. Aber es muss keine IP haben, oder?
Das ganze hängt an einem Port meines OpenWRT Routers (untagged ist LAN mit DHCP; der Port ist mit VLAN24 getagged und im Guest Interface ist (DHCP mit nem anderen Adresbereich))
Jetzt müsste mein Parent Device eine IP aus dem LAN Bereich bekommen (tut es) aber das VLAN kann eben nicht verbinden.

Das ganze, mit dem OpenWRT und VLAN, hatte ich mal vor einigen Monaten erfolgreich getestet.
Wenn ich dem VLAN eine fixe IP gebe, kann er trotzdem nicht über das Gastnetz kommunizieren.
Das ganze hatte ich auch schon erfolglos manuell versucht:

Im speziellen geht es jetzt darum am OPNsense (soll das OpenWRT ersetzen) auch VLAN zu nutzen um an einen der 3 Ports (anderer ist WAN und 1 Reserve) am Router den VLAN fähigen Switch dran zu hängen um dort untagged Guest zu haben, DMZ sowie LAN per VLAN an den Switch zu leiten um dann diese 3 Netze dann an bestimmte Ports (untagged) zu legen.
Allerdings geht es sowohl am OpenWRT Port (als Gegentest) als auch an dem OpenWRT Port nur mit dem Netzwerk das untagged auf dem Port ist, aber nicht mit den VLANs (der Switch ist noch gar nicht im Spiel).
Bin ich zu blöd für das VLAN (ich dachte ich hätte das damals verstanden gehabt, als der Test funktioniert hatte) oder bin ich gerade zu blöd das per Network Manager zu machen?
Zuletzt geändert von fireburner am 07.12.2019 00:26:28, insgesamt 1-mal geändert.

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von hec_tech » 21.04.2019 10:36:25

Hast du schon einfach mal über die CLI probiert?

ip link add link [DEV] name [DEV].24 type vlan id 24
ip -d link show [DEV].24
dhclient [DEV].24 -v

Mit Networkmanager habe ich sowas noch nie probiert.

Willst du jetzt Guest tagged oder untagged übergeben?
Du kannst ein VLAN im Trunk native übergeben. Ich mache es gerne so native ein dummy VLAN zu verwenden und alle VLANs tagged an den Switch zu übergeben.
OpenSense habe ich zwar selbst noch nicht verwendet aber da es ja ein Fork von pfSense ist sollte es eigentlich ident funktionieren.

fireburner
Beiträge: 140
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Dänenland

Re: VLAN funktioniert nicht

Beitrag von fireburner » 04.05.2019 21:33:09

Ich habe mich nochmal etwas mit beschäftigt heute:

Nochmal zu den beiden Setups:

Setup 1: OpenWRT mit physikalischem Port x der untagged das LAN VLAN hat und tagged VLAN24.

Setup 2: OPNsense mit physikalischem Port x der untagged (also bei OPNsense direkt das Guest Netzwerk auf dem Interface hat) und VLAN 13 dass mit dem LAN Netzwerk per Bridge verbunden ist (in der ein anderer physikalischer Port direkt ist) und VLAN 14 mit dem DMZ Netzwerk.

die jeweiligen Netzwerke der beiden Appliances sind nicht verbunden.

Ziel ist es per managed Switch die VLANs auf physische Ports zu taggen, so das dann jeweils die Geräte an die entsprechenden Netzwerke angeschlossen werden können.

Als Client hab ich meinen Debian Laptop hergenommen, den ich direkt an den Port der jeweiligen Firewall angeschlossen habe.
Bei OpenWRT funktionierte direkt das untagged LAN Netzwerk.
Das VLAN24 funktionierte aber leider nur, wenn ich manuell die IP gesetzt habe. Dann konnte ich entsprechend auf alles im Guest Netzwerk des OpenWRT zugreifen.

Hier also die Frage, warum DHCP per VLAN Netzwerk hier nicht funktioniert hat (im entsprechenden WLAN (per Bridge mit dem VLAN verknüpft) werden IPs per DHCP zugewiesen).


Bei Setup 2 funktioniert leider nur das direkt untagged Guest Netzwerk (sowohl per DHCP als auch per manueller IP).
Bei manueller IP Vergabe egal bei welchem VLAN laufen alle Pings ins leere (obwohl entsprechende Firewall Regeln gesetzt sind (die auch so für nicht VLAN Setups für die Interfaces funktionieren)).

Es stellt sich also die Frage, wo hier bei OPNsense der Fehler liegt (der Test mit OpenWRT war ja analog (bis auf DHCP) erfolgreich)?

Ich hatte dem Parent Interface am Laptop jeweils immer keine IP zuweisen lassen/zugewiesen, wenn ich die VLANs getestet habe (um das Routing mit 2 gleichzeitigen Netzwerken am Laptop nicht durcheinander zu bringen).

Benutzeravatar
mig
Beiträge: 151
Registriert: 26.02.2003 13:21:58
Wohnort: wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von mig » 06.05.2019 09:19:15

Hi

Bei jeden managed Layer 2/3 Switch den ich kenne muß für DHCP noch etwas extra konfiguriert werden.
Stichwort Broadcast und UDP Port 67, manchmal sogar beides.
Firewalls so sie dazwischen hängen sollten dafür auch durchlässig sein.

Dies hängt vom Switch ab (also Cisco ist a bisserl anders als zb HP) ist aber mit Google leicht zu lösen ;-)
EDIT: in dem Fall halt OPENSense https://forum.opnsense.org/index.php?topic=9227.0

Warums bei Openwrt out of the Box geht liegt eben an Openwrt.

LG
Michael

hec_tech
Beiträge: 1093
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von hec_tech » 06.05.2019 14:49:01

Moment mal wenn es rein um ein DHCP Problem geht musst du spanning-tree portfast auf den Access Ports setzen.

Das sollte das das Problem beheben. Da ist wohl der Port noch nicht richtig online und bekommt somit kein Lease.

Schick mal die running config Konfiguration des Switches. Eventuell ist da einfach ein Port nicht richtig konfiguriert.

Hast du schon mal pfSense probiert? Ich nehme zwar an openSense ist ziemlich ident aber eventuell haben die doch den einen oder anderen Bug.

fireburner
Beiträge: 140
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Dänenland

Re: VLAN funktioniert nicht

Beitrag von fireburner » 07.05.2019 19:43:33

Danke.
Nein, es geht nicht um ein (reines) DHCP Problem.

Bei OpenWRT geht tatsächlich nur DHCP nicht. (werde mir mal das mit UDP 67 ansehen)

Bei OPNsense gehts aber nichtmal mit manueller IP Vergabe.

edit:
manchmal helfen ein paar Tage Abstand tatsächlich:
Folgende Option Unter Interface -> Settings: VLAN Hardware Filtering war aktiv (die kann abr bei manchen NICs Probleme machen. Nachdem ich die auf leave default geändert habe, kann ich endlich pingen mit manueller IP.

Jetzt fehlt also nur noch DHCP, das ich lösen muss. Mir fällt ein Stein vom Herzen. (Ich hab schon gezweifelt, ob ich das Prinzip VLAN vielleicht gar nicht verstanden habe)

fireburner
Beiträge: 140
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Dänenland

Re: VLAN funktioniert nicht

Beitrag von fireburner » 09.05.2019 21:02:16

Kann es daran liegen, dass ich den Laptop direkt an den Port hänge und deshalb DHCP per VLAN nicht geht und ich erst den SWITCH dazuschalten müsste um dann am Laptop ne normale Netzwerkverbindung als DHCP Client zu haben statt dem VLAN Netzwerk?

Benutzeravatar
mig
Beiträge: 151
Registriert: 26.02.2003 13:21:58
Wohnort: wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von mig » 15.05.2019 14:01:31

Hi

Naja wenn du an dem Port tagged VLAN hast, dann solltest das auch deinen Lappi mitteilen. Also testweise mal temporär mittels vconfig, dafür sollten halt am Lappi die entsprechenden Pakete vorhanden sein.
wenns untagged VLAN ist sollte dhcp sofort gehen. (jetzt mal so rein netzwerktechnisch)

LG
Michael

fireburner
Beiträge: 140
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Dänenland

Re: VLAN funktioniert nicht

Beitrag von fireburner » 15.05.2019 18:26:13

Wie gesagt, wenn ich dem vlan am Rechner eine manuelle IP gebe funktioniert alles. Es liegt also nicht daran, dass das entsprechende VLAN nicht am Lappi konfiguriert wäre (Paket vlan ist natürlich drauf).
Das Netzwerk, dass untagged ist, gibt dem Port auch eine IP per DHCP, nur eben nicht den VLAN Netzwerken.

Benutzeravatar
mig
Beiträge: 151
Registriert: 26.02.2003 13:21:58
Wohnort: wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von mig » 16.05.2019 10:48:45

Hi

Nun DHCP funktioniert doch per Broadcast.
D.h. Du brauchst halt so etwas wie DHCP Relay damit dein Broadcast über die Grenze deines VLANs drüber geht.

Wikipedia um mal ganz bei den Grundlagen zu bleiben sagt dazu:
DHCPDISCOVER: Ein Client ohne IP-Adresse sendet eine Broadcast-Anfrage nach Adress-Angeboten an alle DHCP-Server im lokalen Netz.
Dies habe ich in meinen obigen Post mit
Stichwort Broadcast und UDP Port 67, manchmal sogar beides.
gemeint.

Und dein DHCP Server sollte sich für das Netz deines VLANs halt auch zuständig fühlen.

Das sind nunmal die Netzwerkgrundlagen ;-)

LG
Michael

fireburner
Beiträge: 140
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Dänenland

Re: VLAN funktioniert nicht

Beitrag von fireburner » 06.06.2019 21:10:40

Ich habe einen DHCP im entsprechenden Subnetz eingerichtet. Wenn ich das Subnetz auf einen physischen Port lege, geht DHCP auch.
Ein DHCP Relay lässt sich in OPNsense nicht einrichten, wenn ein DHCP Server aktiv ist.
An den FW Regeln kann es auch nicht liegen, da ich testweise eine * to * Regel fürs entsprechende Subnetz erstellt habe.

fireburner
Beiträge: 140
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Dänenland

Re: VLAN funktioniert nicht

Beitrag von fireburner » 02.07.2019 17:41:05

Interessant ist, dass DHCP funktioniert, wenn ich am switch den port aufs entsprechende VLAN "untagged" setze. Dann erhält der Laptop ohne VLAN Config eine IP.
Sobald ich aber auf "tagged" wechsle am Switch, und am Laptop versuche über da entsprechende VLAN eine Verbindung als DHCP Client aufzubauen, scheitere ich. Wenn ich allerdings wie erwähnt eine manuelle IP im korrekten Range setze (mit VLAN) hab eich Zugriff aufs entsprechende Subnetz.

Wo könnte hier der Fehler liegen?

jessie
Beiträge: 112
Registriert: 16.06.2019 09:55:33

Re: VLAN funktioniert nicht

Beitrag von jessie » 02.07.2019 19:30:38

Zum Trunk von pfSense: Ein aktives Parent-IF von VLAN-IFs behandelt ein Managed Switch wie sein Native VLAN (= untagged VLAN neben tagged VLANs ). Das Default Native VLAN von Switches und Accesspoints hat wohl immer VLAN-ID=1 und ist meist (immer?) das Default Management VLAN. (Beides kann man bei besseren Geräten ändern.) Wenn du also das Native VLAN des Switches benutzen willst oder für remote Management gar musst, gibst du dem Parent-IF der pfSense-VLAN-IFs eine IP- und bedarfsweise/testweise eine DHCP-Konfiguration.

Wenn du die IP-Konfig auf dem Parent-IF weglässt, kannst du nur die tagged VLANs des Trunkes aktiv nutzen. (Ich weiß nicht, ob man das (untagged) Parent-IF von VLANs auch deaktivieren kann, würde das jedoch nicht unbedingt tun, z. B. wegen Spanning Tree BPDUs. Bei Anschluss von Billigswitches ohne STP und VTP fallen diese Bedenken weg.)

Warum man bei deinen Hosts/Endgeräten eine VLAN-Konfiguration benötigt, ist mir unklar. VLANs testet man am einfachsten mit DHCP-Server auf allen VLAN-IFs des Routers und mit an einen Switch angeschlossenen Endgeräten ohne jede VLAN-Konfiguration. D. h. an Accessports eines Switches, die untagged und spanning tree portfast konfiguriert und Mitglied im gewünschten VLAN sind. Dir bleibt überlassen, auf welche Accessports du das Native VLAN des Trunks (testweise?) legst. Etliche Firmenadmins mögen das nur auf den Trunks zwischen Switches, da imho darüber VLAN-Distributierungsinfos fließen (z. B. Cisco VTP), an die nicht jeder Depp mit eigenem Switch und Loop-Kabel ran darf.

Wenn bei Tests was nicht funktioniert, kannst du mit Wireshark auf dem PC und mit Packet Capture auf der pfSense schön sehen, wo es im DHCP-Protokollablauf klemmt.
https://de.m.wikipedia.org/wiki/Dynamic ... n_Protocol
https://docs.netgate.com/pfsense/en/lat ... figuration

Benutzeravatar
unitra
Beiträge: 638
Registriert: 15.06.2002 21:09:38
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.128.129.130

Re: VLAN funktioniert nicht

Beitrag von unitra » 11.07.2019 13:32:24

Das was du da beschreibst ist das ganz normale Verhalten.

Wenn ein Client an einem Port hängt z.B. Switchport 3 und im VLAN 20. ist, dann wird der VLAN Tag der in Richtung Clients geschickt wird, entfernt. Der Client ist nicht "VLAN-aware". VLAN's ist eine Funktion die von Switchen und Layer2 Geräten benutzt wird, und generell nicht von Clients. Wenn der Client ein VLAN Tag entfernen soll, dann muss man schon wissen was man tut und warum das so sein soll.

VLAN Tags am Client ist keine gute Idee. Also schmeiss das runter, oder erkläre uns warum du VLAN Tags am Client haben möchtest und welchem Zweck das dienen soll.
fireburner hat geschrieben: ↑ zum Beitrag ↑
02.07.2019 17:41:05
Interessant ist, dass DHCP funktioniert, wenn ich am switch den port aufs entsprechende VLAN "untagged" setze. Dann erhält der Laptop ohne VLAN Config eine IP.
Sobald ich aber auf "tagged" wechsle am Switch, und am Laptop versuche über da entsprechende VLAN eine Verbindung als DHCP Client aufzubauen, scheitere ich. Wenn ich allerdings wie erwähnt eine manuelle IP im korrekten Range setze (mit VLAN) hab eich Zugriff aufs entsprechende Subnetz.

Wo könnte hier der Fehler liegen?

fireburner
Beiträge: 140
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: Dänenland

Re: VLAN funktioniert nicht

Beitrag von fireburner » 07.12.2019 00:25:44

Entschuldigt die späte Rückmeldung:

inzwischen hatte ich den Rat befolgt und die versuche mit der VLAN Nutzung am Client weg gelassen (war ja eh nie für den Betrieb gedacht) und stattdessen einfach die Ports entsprechend am Switch getagged.
Clients erhalten nun an allen Ports entsprechend des getagged-ten VLAN's eine IP Adresse źugewiesen.

Antworten