Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Pfsense VLAN HP Switch Problem

Frage Netzwerke Router & Routing

Mitglied: chewbacca

chewbacca (Level 1) - Jetzt verbinden

02.05.2011, aktualisiert 18.10.2012, 7431 Aufrufe, 6 Kommentare, 1 Danke

Hallo,

ich habe einen HP 2910al als Router zwischen 3 Vlan laufen. Wo bei im Servernetz ein Server als DHCP, PDC, DNS usw. steht.

Netze 192.168.0.0/24, 192.168.6.0/24, 192.168.1.0/24

Server
ip 192.168.6.2
dns 192.168.6.2
dns forward 192.168.6.1 (Pfsense)
gateway 192.168.6.12

Der Switch routet dann in die jeweiligen Vlans und mit ip-helper-address funktioniert auch DHCP.

Switch HP 2910al
Vlan 1 default name "System"
ip 192.168.0.12

Vlan 10 name "Server "
ip 192.168.6.12

Vlan 20 name "Clients "
ip 192.168.1.12

Das Ganze funktioniert auch alles soweit, ab jetzt wird es kompliziert. Ich habe ein Iface 1 eingericht wo die Firewall(Pfsense) dran ist. Vlan 10 und Vlan 20 haben iface 1 als tagged und Vlan 1 natürlich untagged.

Pfsense ist auch soweit eingerichtet, wenn ich den Clients oder den Server den jeweiligen Gateway von Pfsense gebe, dann komme ich auch ins Internet. Nur funktionieren dann natürlich die Switch internen Routen nicht mehr. Also habe ich beim Servernetz den Gateway auf den Switch gesetzt -> 192.168.6.12 und der Switch hat die Default Route zum Pfsense ->192.168.0.1 .

Auf den Pfsense habe ich dann Vlan 10 den Gateway 192.168.6.12 (192.168.0.12 habe ich auch probiert) gegeben und eine statische Route auf das Netz 192.168..6.0/24. Aber das funktioniert nicht, leider... Was mache ich verkehrt? Die Roules auf den Pfsense sind noch nicht gehärtet, also zum Testen erstmal Scheunentor Regel.

Danke
Mitglied: aqui
03.05.2011 um 10:16 Uhr
Bevor wir hier ins Eingemachte gehen stellt sich die generelle Frage: Was willst du erreichen ?? Soll...
a.) Die pfSense FW lediglich ein Gateway ins Internet sein, dann macht es mehr Sinn diese nicht tagged anzuschliessen sondern noch ein weiteres VLAN "Internet" einzurichten und sie dareinzuhängen. Oder...
b.) Willst du zwischen den einzelnen VLANs auf dem Switch mit entsprechenden Firewall Regeln arbeiten und den Zugang reglementieren ?
Dann wäre deine Konfig unsinnig denn so hast du ja 2 dann parallele Router (FW und Switch) zwischen den VLANs !
Je nachdem wie ein Client dann seine Gateway IP einstellt umgeht er problemlos deine Firewallregeln was deine Konfig dann unsinnig macht und man dann besser das Routing auf dem Switch unterbindet und außschlioesslich über die FW macht...
Was also genau hast du vor bzw. was ist dein Ziel ?
Bitte warten ..
Mitglied: chewbacca
03.05.2011 um 13:55 Uhr
Hallo Aqui,

danke erstmal für die Antwort. Ich verstehe was du meinst und sehe es genauso. Das Routing auf den Switch soll erhalten bleiben und Pfsense nur als Gateway dienen. Eine Ausnahme ist ein Gastzugang der soll DHCP und Internet direkt über Pfsense erhalten. Das Routing zwischen den Vlans auf den Switch habe ich über Accesslisten geregelt.

Also enstscheide ich mich für a... Also ich erkläre mal was ich erreichen will.

Netze
192.168.0.0/24 System Vlan
192.168.1.0/24 Verwaltung Lan
192.168.2.0/24 Schüler Lan
192.168.3.0/24 Media Lan
192.168.4.0/24 Verwaltung Wlan
192.168.5.0/24 Schüler Wlan
192.168.6.0/24 Server LAn
192.168.7.0/24 Gäste Wlan

Gäste Wlan soll direkt von Pfsense verwaltet werden über Captive portal und soll auch seine DHCP Lease von dort bekommen. Der Rest darf ins Server Lan wobei über ACL´s geregelt ist welcher Server. Ansonsten sind die Netze alle deny any. Das mache ich alles mit den Switch.

Wie würdest du denn in solch einen Fall jetzt vorgehen?

Danke
Bitte warten ..
Mitglied: aqui
03.05.2011, aktualisiert 18.10.2012
Die Lösung ist ganz einfach:
  • Du richtest zusätzlich ein "Internet" VLAN ein z.B. mit der ID 99. Das macht man deshalb damit das Internet nicht durch eins der obigen Produktiv VLANs geschleift wird und der Switch das dann direkt auf die Monowall Richtung Internet Routen kann.
  • Der HP Switch bekommt eine statische default Route auf die Monowall IP im VLAN 99 (Internet) ala ip route 0.0.0.0 0.0.0.0 192.168.99.254.
  • Wenn du das Gäste VLAN einrichtest darf dies KEIN IP Interface auf dem HP Switch haben, denn damit ist dann ein "Backdoor" Routing auf dem Switch komplett unmöglich. Das Gäste VLAN auf dem Switch ist hier nur Transportvehikel und IP setig komplett isoliert. IP, DHCP usw. kommt von der Firewall wo du das entsprechend einrichtest.
  • Als nächstes richtest du einen tagged Link auf dem HP Switch ein auf dem NUR VLAN 99 (Internet) und das Gäste VLAN (Beispiel hier VLAN 7 passend zum 3ten Byte in der IP ) tagged übertragen werden. (Hier Port 1 im Beispiel)
Die Switch Konfig dann entsprechend:
interface 1
name "Tagged Link zur pfSense"
exit
vlan 7
name "Gaeste"
untagged x-y
tagged 1
exit
vlan 20
name "Internet"
ip address 192.168.99.254 255.255.255.0
tagged 1
exit


Auf der pfSense richtest du nun am LAN Port oder deinem Port der Wahl das Interface bzw. die entsprechenden Parent Interfaces ein wie hier im Tutorial beschrieben:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Fertig ist der Lack ! Wenn du alles richtig gemacht hast sieht das so aus:
415a4e2d421c6559dd7c7582a102b480 - Klicke auf das Bild, um es zu vergrößern
Damit wird jetzt nur der "normale" Internet Zugang für alle VLANs am Switch über das Internet VLAN 99 abgewickelt.
Das Gäste VLAN ist isoliert von der Switch IP Konfig und wird ausschliesslich über das VLAN Interface 7 an der pfSense mit DHCP, CP usw. bedient.
Ist eigentlich ganz einfach und im Handumdrehen aufgesetzt.
Die Details beschreibt dir ja Schritt für Schritt das o.a. Tutorial

Wenn du mehrere Interfaces in der pfSense hast kannst du den Gast VLAN Link auch getrennt rausführen. Das ist zwar nicht ganz so elegant wie die Möglichkeit mit dem tagged Link und erfordert mehr Kabelage aber für ängstliche Gemüter die Gast VLANs besser physisch getrennt haben möchten auf einem separaten Interface dann die Alternative.
Hier ziehst du dann keinen tagged Link an Port 1 (Beispiel) sondern 2 ganz normale untagged Ports, eins im VLAN 99, das du dann auf den pfSense LAN Port steckst und eins untagged im VLAN 7, das dann auf den separaten OPT Port kommt.
So ein Szenario sähe dann so aus:
21a2cf8693db79989a322850e332decb - Klicke auf das Bild, um es zu vergrößern

Beide Möglichkeiten führen problemlos erfolgreich zum Ziel je nachdem was für ein Umfeld bzw. Anforderungen du hast !
So ein bischen zusätzliche Hilfe (aber nicht viel, denn hier oben ist ja alles geklärt !) bietet auch dieser_Thread
Bitte warten ..
Mitglied: chewbacca
03.05.2011 um 16:38 Uhr
Ich danke dir erstmal, lasse aber den Thread bis zur Erfolgsmeldung offen... So ähnlich hatte ich mir das auch gedacht, nur hatte ich ebend den Denkfehler das ich ein zweites Routing baue anstatt einen Internetgateway. Das Gäste Vlan hat auch keine IP am Switch sowie ein weiteres, in der Hinsicht hatte ich schon aufgepasst. Ich hatte einfach zu kompliziert gedacht wahrscheinlich.

Eine Frage habe ich noch, welchen Programm nutzt du für diese schönen Pläne?

Danke ich mache mich jetzt an die Umsetzung
Bitte warten ..
Mitglied: aqui
04.05.2011 um 11:02 Uhr
Vergiss die statischen Routen für die VLANs in der pfSense nicht die ins Internet dürfen wie in der PM bereits bemerkt !
Damit sollte das dann sauber klappen !
Bitte warten ..
Mitglied: chewbacca
04.05.2011 um 12:43 Uhr
Genau das war es... großen Dank an aqui für die Hilfe.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
LAN, WAN, Wireless
LANCOM VLAN mit HP Switch? (1)

Frage von TBTuR0k zum Thema LAN, WAN, Wireless ...

Hyper-V
QNAP + HYPER-V + HP Switch Trunk (16)

Frage von meister00 zum Thema Hyper-V ...

Router & Routing
gelöst Routing VLAN HP 1920 - Fritzbox 7490 (11)

Frage von cyberdott zum Thema Router & Routing ...

Router & Routing
gelöst VOIP und HP Switch (3)

Frage von homermg zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...