VLAN funktioniert nicht

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
fireburner
Beiträge: 124
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

VLAN funktioniert nicht

Beitrag von fireburner » 13.04.2019 19:16:01

Rechner: Debian Buster
Router1 OpenWRT 18.06.2
Router2 OPNsense 19.1.6

Ich bin scheinbar zu doof VLAN mit Network Manager zu nutzen.
‎Ich muss doch nur das Parent Device (in dem Fall kann ich eines meiner LAN "Profile" wählen), die VLAN id (in dem Fall 24), sowie den VLAN Device Name (VLAN24) setzen und ipv4 auf DHCP stellen lassen. Muss das Parent Device verbunden sein? Ich denke ja. Aber es muss keine IP haben, oder?
Das ganze hängt an einem Port meines OpenWRT Routers (untagged ist LAN mit DHCP; der Port ist mit VLAN24 getagged und im Guest Interface ist (DHCP mit nem anderen Adresbereich))
Jetzt müsste mein Parent Device eine IP aus dem LAN Bereich bekommen (tut es) aber das VLAN kann eben nicht verbinden.

Das ganze, mit dem OpenWRT und VLAN, hatte ich mal vor einigen Monaten erfolgreich getestet.
Wenn ich dem VLAN eine fixe IP gebe, kann er trotzdem nicht über das Gastnetz kommunizieren.
Das ganze hatte ich auch schon erfolglos manuell versucht:

Im speziellen geht es jetzt darum am OPNsense (soll das OpenWRT ersetzen) auch VLAN zu nutzen um an einen der 3 Ports (anderer ist WAN und 1 Reserve) am Router den VLAN fähigen Switch dran zu hängen um dort untagged Guest zu haben, DMZ sowie LAN per VLAN an den Switch zu leiten um dann diese 3 Netze dann an bestimmte Ports (untagged) zu legen.
Allerdings geht es sowohl am OpenWRT Port (als Gegentest) als auch an dem OpenWRT Port nur mit dem Netzwerk das untagged auf dem Port ist, aber nicht mit den VLANs (der Switch ist noch gar nicht im Spiel).
Bin ich zu blöd für das VLAN (ich dachte ich hätte das damals verstanden gehabt, als der Test funktioniert hatte) oder bin ich gerade zu blöd das per Network Manager zu machen?

hec_tech
Beiträge: 924
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von hec_tech » 21.04.2019 10:36:25

Hast du schon einfach mal über die CLI probiert?

ip link add link [DEV] name [DEV].24 type vlan id 24
ip -d link show [DEV].24
dhclient [DEV].24 -v

Mit Networkmanager habe ich sowas noch nie probiert.

Willst du jetzt Guest tagged oder untagged übergeben?
Du kannst ein VLAN im Trunk native übergeben. Ich mache es gerne so native ein dummy VLAN zu verwenden und alle VLANs tagged an den Switch zu übergeben.
OpenSense habe ich zwar selbst noch nicht verwendet aber da es ja ein Fork von pfSense ist sollte es eigentlich ident funktionieren.

fireburner
Beiträge: 124
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

Re: VLAN funktioniert nicht

Beitrag von fireburner » 04.05.2019 21:33:09

Ich habe mich nochmal etwas mit beschäftigt heute:

Nochmal zu den beiden Setups:

Setup 1: OpenWRT mit physikalischem Port x der untagged das LAN VLAN hat und tagged VLAN24.

Setup 2: OPNsense mit physikalischem Port x der untagged (also bei OPNsense direkt das Guest Netzwerk auf dem Interface hat) und VLAN 13 dass mit dem LAN Netzwerk per Bridge verbunden ist (in der ein anderer physikalischer Port direkt ist) und VLAN 14 mit dem DMZ Netzwerk.

die jeweiligen Netzwerke der beiden Appliances sind nicht verbunden.

Ziel ist es per managed Switch die VLANs auf physische Ports zu taggen, so das dann jeweils die Geräte an die entsprechenden Netzwerke angeschlossen werden können.

Als Client hab ich meinen Debian Laptop hergenommen, den ich direkt an den Port der jeweiligen Firewall angeschlossen habe.
Bei OpenWRT funktionierte direkt das untagged LAN Netzwerk.
Das VLAN24 funktionierte aber leider nur, wenn ich manuell die IP gesetzt habe. Dann konnte ich entsprechend auf alles im Guest Netzwerk des OpenWRT zugreifen.

Hier also die Frage, warum DHCP per VLAN Netzwerk hier nicht funktioniert hat (im entsprechenden WLAN (per Bridge mit dem VLAN verknüpft) werden IPs per DHCP zugewiesen).


Bei Setup 2 funktioniert leider nur das direkt untagged Guest Netzwerk (sowohl per DHCP als auch per manueller IP).
Bei manueller IP Vergabe egal bei welchem VLAN laufen alle Pings ins leere (obwohl entsprechende Firewall Regeln gesetzt sind (die auch so für nicht VLAN Setups für die Interfaces funktionieren)).

Es stellt sich also die Frage, wo hier bei OPNsense der Fehler liegt (der Test mit OpenWRT war ja analog (bis auf DHCP) erfolgreich)?

Ich hatte dem Parent Interface am Laptop jeweils immer keine IP zuweisen lassen/zugewiesen, wenn ich die VLANs getestet habe (um das Routing mit 2 gleichzeitigen Netzwerken am Laptop nicht durcheinander zu bringen).

Benutzeravatar
mig
Beiträge: 78
Registriert: 26.02.2003 13:21:58
Wohnort: wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von mig » 06.05.2019 09:19:15

Hi

Bei jeden managed Layer 2/3 Switch den ich kenne muß für DHCP noch etwas extra konfiguriert werden.
Stichwort Broadcast und UDP Port 67, manchmal sogar beides.
Firewalls so sie dazwischen hängen sollten dafür auch durchlässig sein.

Dies hängt vom Switch ab (also Cisco ist a bisserl anders als zb HP) ist aber mit Google leicht zu lösen ;-)
EDIT: in dem Fall halt OPENSense https://forum.opnsense.org/index.php?topic=9227.0

Warums bei Openwrt out of the Box geht liegt eben an Openwrt.

LG
Michael

hec_tech
Beiträge: 924
Registriert: 28.06.2007 21:49:36
Wohnort: Wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von hec_tech » 06.05.2019 14:49:01

Moment mal wenn es rein um ein DHCP Problem geht musst du spanning-tree portfast auf den Access Ports setzen.

Das sollte das das Problem beheben. Da ist wohl der Port noch nicht richtig online und bekommt somit kein Lease.

Schick mal die running config Konfiguration des Switches. Eventuell ist da einfach ein Port nicht richtig konfiguriert.

Hast du schon mal pfSense probiert? Ich nehme zwar an openSense ist ziemlich ident aber eventuell haben die doch den einen oder anderen Bug.

fireburner
Beiträge: 124
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

Re: VLAN funktioniert nicht

Beitrag von fireburner » 07.05.2019 19:43:33

Danke.
Nein, es geht nicht um ein (reines) DHCP Problem.

Bei OpenWRT geht tatsächlich nur DHCP nicht. (werde mir mal das mit UDP 67 ansehen)

Bei OPNsense gehts aber nichtmal mit manueller IP Vergabe.

edit:
manchmal helfen ein paar Tage Abstand tatsächlich:
Folgende Option Unter Interface -> Settings: VLAN Hardware Filtering war aktiv (die kann abr bei manchen NICs Probleme machen. Nachdem ich die auf leave default geändert habe, kann ich endlich pingen mit manueller IP.

Jetzt fehlt also nur noch DHCP, das ich lösen muss. Mir fällt ein Stein vom Herzen. (Ich hab schon gezweifelt, ob ich das Prinzip VLAN vielleicht gar nicht verstanden habe)

fireburner
Beiträge: 124
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

Re: VLAN funktioniert nicht

Beitrag von fireburner » 09.05.2019 21:02:16

Kann es daran liegen, dass ich den Laptop direkt an den Port hänge und deshalb DHCP per VLAN nicht geht und ich erst den SWITCH dazuschalten müsste um dann am Laptop ne normale Netzwerkverbindung als DHCP Client zu haben statt dem VLAN Netzwerk?

Benutzeravatar
mig
Beiträge: 78
Registriert: 26.02.2003 13:21:58
Wohnort: wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von mig » 15.05.2019 14:01:31

Hi

Naja wenn du an dem Port tagged VLAN hast, dann solltest das auch deinen Lappi mitteilen. Also testweise mal temporär mittels vconfig, dafür sollten halt am Lappi die entsprechenden Pakete vorhanden sein.
wenns untagged VLAN ist sollte dhcp sofort gehen. (jetzt mal so rein netzwerktechnisch)

LG
Michael

fireburner
Beiträge: 124
Registriert: 01.12.2017 20:51:31
Lizenz eigener Beiträge: neue BSD Lizenz
Wohnort: der wilde Süden

Re: VLAN funktioniert nicht

Beitrag von fireburner » 15.05.2019 18:26:13

Wie gesagt, wenn ich dem vlan am Rechner eine manuelle IP gebe funktioniert alles. Es liegt also nicht daran, dass das entsprechende VLAN nicht am Lappi konfiguriert wäre (Paket vlan ist natürlich drauf).
Das Netzwerk, dass untagged ist, gibt dem Port auch eine IP per DHCP, nur eben nicht den VLAN Netzwerken.

Benutzeravatar
mig
Beiträge: 78
Registriert: 26.02.2003 13:21:58
Wohnort: wien
Kontaktdaten:

Re: VLAN funktioniert nicht

Beitrag von mig » 16.05.2019 10:48:45

Hi

Nun DHCP funktioniert doch per Broadcast.
D.h. Du brauchst halt so etwas wie DHCP Relay damit dein Broadcast über die Grenze deines VLANs drüber geht.

Wikipedia um mal ganz bei den Grundlagen zu bleiben sagt dazu:
DHCPDISCOVER: Ein Client ohne IP-Adresse sendet eine Broadcast-Anfrage nach Adress-Angeboten an alle DHCP-Server im lokalen Netz.
Dies habe ich in meinen obigen Post mit
Stichwort Broadcast und UDP Port 67, manchmal sogar beides.
gemeint.

Und dein DHCP Server sollte sich für das Netz deines VLANs halt auch zuständig fühlen.

Das sind nunmal die Netzwerkgrundlagen ;-)

LG
Michael

Antworten