VLAN und das Vigor 130 mit pfSense

[herrhannes]

Moin allerseits,

ich habe als VDSL-Modem das Vigor 130 an einem pfSenseim Einsatz. Mangels NICs löse ich das Ganze über VLANs, das Vigor 130 ist auf VLAN ID 7 gestellt, das Telekom.
Nun habe ich einen Netgear Switch, den ich passend konfiguriert habe.

Zumindest dachte ich das.

Sobald ich den Switch-Port des Vigors auf "tagged" setze, habe ich keine Verbindung mehr, bei "untagged" schon. Der pfSense-Port ist "tagged", außerdem habe ich entsprechend die VLAN-ID in pfSense gesetzt.

Habe ich da jetzt einen Denkfehler oder ist das irgendwie merkwürdig?

Gruß

Hannes

 

[p4n0]

Hi,

du musst an der PFSense nix taggen. Das stellst du bei den PPP-Bridge Einstellungen im Vigor WebGUI ein.

Was ist denn genau dein Ziel / Vorhaben?
Habe die gleiche Config am laufen...

Grueße

 

[herrhannes]

Ja genau das meine ich ja: Die Switchports sind alle (= pfSense + Vigor) als Teilnehmer des VLANs 7 eingestellt und dann als "tagged" gesetzt, sprich der Switch entfernt die Tags nicht.
Aber wieso kommt dann keine Verbindung zustande?
Sobald der Vigor-Port auf untagged gestellt ist, geht es. Aber das heißt ja, dass der Vigor nur Pakete ohne VLAN bekommt?

Edit: Ich würde ja einen Screenshot schicken, aber irgendwie habe ich übers VPN keinen Zugriff auf den Switch

 

[p4n0]

Wir koennen das heut abend gern gemeinsam debuggen wenn du magst. Dann sitz ich auch davor

 

[Gelöschtes Mitglied 191350]

@herhannes,

wenn du am Switch den Port auf tagged stellst, musst du im Endgerät auch die VLAN ID auf 7 stellen ... also z.B. im Netzwerkkarten Treiber vom Windows PC... oder sonst wo... sofern das Endgerät/Client keine VLANs supported könntest du "untagged" verwenden. Dann erwartet der Switch keine gesetzt VLAN ID auf dem Endgerät Paket.

also wenn dein Vigor 130 keine VLAN ID einstellung unter "Netzwerk" oder so hat... dann musste den port auf Untagged setzen.

du kannst für gewöhnlich nur ein VLAN je port untagged setzen... also nicht mehrere

Edit: okay habe mich wohl verlesen, lasse das oben aber trotzdem stehen.
Theoretisch musst du ja auf dem Netgear switch dann auch nur das VLAN 7 anlegen und auf tagged setzen... oder war es das was du bereits versucht hast ?

lg
Joker

 

[herrhannes]

Ja genau, das hatte ich versucht

 

[p4n0]

Also nochmal kurz zum Mitschreiben:

Du hast ne PFSense mit einer NIC. Diese haengt an deinem Netgearswitch.

Auf der NIC hast du 2 Interfaces (VLANS) eingerichtet, eins davon uebernimmt PPPoE (oder geschieht das auf dem Vigor?) und das andere Interface ist dein LAN.

An den Switch geht sowohl dein Vigor als auch deine Clients.

Nur damit wir nich aneinander vorbeiquatschen

 

[herrhannes]

Nope, das stimmt schon im Prinzip so, außer dass es noch ein weiterer WAN-Port ist. Die PPoE-Verbindung baut die pfSense auf.

 

[webmi]

grundsaetzlich muessen beide seiten einer verindung gleich eingestellt sein. wenn eine seite nicht mit tagged umgehen kann (du also in diesem fall keine vlan id angeben kannst) stellst du die andere seite ebenfalls auf untagged. ueber den sinn von tagged koennte man in so einer architektur eh streiten. verstehe den einsatz von vlans bei dir da nicht ganz.

 

[p4n0]

Ah okay, dann isses doch komplett easy und du brauchst zwischen Vigor und PFSense nix taggen.

Einfach deinen WAN der PFSense mit dem LAN des Vigor connecten.
Keine IP Adresse auf das WAN Interface der PFSense setzen. Direkt den PPPoE drauflegen.
Auch keine VLAN Config vornehmen. Das machst du Direkt im Vigor bei der PPPoE Bridge.

Oder habich was falsch verstanden?

Grueße

 

[herrhannes]

grundsaetzlich muessen beide seiten einer verindung gleich eingestellt sein. wenn eine seite nicht mit tagged umgehen kann (du also in diesem fall keine vlan id angeben kannst) stellst du die andere seite ebenfalls auf untagged. ueber den sinn von tagged koennte man in so einer architektur eh streiten. verstehe den einsatz von vlans bei dir da nicht ganz.

Beide Seiten können mit VLAN-Tags umgehen. Das Vigor ist darauf eingestellt, alles mit der ID 7 zu taggen und auch pfSense kann das.
Was ihr etwas unter den Teppich kehrt ist, dass die pfSense nur einen physikalischen LAN-Port hat. Wie soll ich denn da VLANs vermeiden?

 

[p4n0]

Achtung.. Tagged das Vigor VLAN7 auf WAN und LAN Seite ?

Ich versteh nicht ganz wieso du ueberhaupt VLANS zwischen deinem Router und dem Modem verwendest. Du hast doch einen exklusiven Port fuer die Verbindung beider Geräte.. ?

 

[herrhannes]

Nö, habe ich eben nicht. Ich hatte das eigentlich so verstanden, dass es das tut, ja.

 

[p4n0]

Nö, habe ich eben nicht. Ich hatte das eigentlich so verstanden, dass es das tut, ja.

Nope, das stimmt schon im Prinzip so, außer dass es noch ein weiterer WAN-Port ist. Die PPoE-Verbindung baut die pfSense auf.

Was stimmt denn nun? So kann man relativ schlecht helfen ^^

 

[webmi]

ich verstehe deine physik noch nicht ganz.

modem (vigor) am switch
fw (pfs) am switch
clients am switch

jetzt brauchst du

vlan a fuer modem zu fw
vlan b fuer client zu fw

da die fw nicht direkt zu modem kann weil nur 1 nic?

verstehe ich das richtig?

 

[herrhannes]

@p4no: Es gibt ein weiteres VLAN am Switch für eine zweite Internetverbindung. Der Switch hat natürlich genug Ports.

- - - Updated - - -

ich verstehe deine physik noch nicht ganz.

modem (vigor) am switch
fw (pfs) am switch
clients am switch

jetzt brauchst du

vlan fuer modem zu fw
vlan fuer client zu fw

da die fw nicht direkt zu modem kann weil nur 1 nic?

verstehe ich das richtig?

Ja genau. Das Ganze funktioniert auch so. Ich wundere mich nur, dass ja das Vigor automatisch auf VLAN ID 7 taggt und ich den Port, an dem es angeschlossen ist, trotzdem auf untagged stellen muss

 

[webmi]

das tag an der verbindung vom switch zu modem ist ja auch unnoetig.

tag brauchst du nur auf der verbindung der fw zu switch weil nur da 2 vlans genutzt werden.

sowohl die verb. der clients als auch die des modems nutzt ja nur jeweils eines der beiden vlans also sind tags ueberfluessig.

 

[herrhannes]

Klar, das stimmt natürlich. Aber wieso bekomme ich dann keine Verbindung hin, wenn ich FW und Modem in ein anderes VLAN als 7 stecke, wenn doch der Modem-Port ungetaggt ist?
Vermutlich doch deswegen, weil das Modem alles als VLAN ID 7 taggt und der Switch es sonst nicht weiterleitet?
Aber wieso akzeptiert das Modem dann keine Pakete mit VLAN Tag?

 

[webmi]

es geht nur wenn der switchport an dem das modem ist auf untagged vlan 7 steht?

sobald du sagst auf diesem switchport kommen alle moeglichen pakete mit einem tag gehts nicht mehr?

das nehliegenste ist doch dass das modem nicht wirklich den tag interpretiert bzw interpretieren kann wenn mit tag gesendet wird vom switch.

bei untagged sagst du ja auch welches vlan tag da entfernt werden soll bzw welcher vlan traffic untagged zu modem weitergeleitet wird.
wenn du die fw in vlan 99 packst fuer das entsprecheden virtuelle interface auf der fw und den port der fw am switch auf tagged stellst solltest du wenn du dann den port des modems am switch auf vlan 99 (untagged) stellst ebenfalls eine verindung bekommen. dem modem ist ja wurst bzw unbekannt das ueberhaupt mit vlan gearbeitet wird wenn dessen switchport untagged ist.

evtl verstehe ich aber auch dein problem immer noch nicht.

 

[magicteddy]

...Aber wieso akzeptiert das Modem dann keine Pakete mit VLAN Tag?

Weil es das auf der LAN Seite nicht muss?
Erst mal trenne bitte beide Seiten, das VLan auf der PPPoE Seite hat mit der anderen Seite nichts zu tun.
Du könntest natürlich ein WAN-Interface auf der pfSense mit VLan 7 realisieren und das Port VLan des Switchportes auf VLan 7 untagged setzen.
pfSense -->7 tagged Switch --> untagged zum Vigor --> tagged VLan 7 DSL, die beiden VLan 7 haben halt Namensgleichheit, was aber ohne Bedeutung ist da in beide in unterschiedlichen Segmenten arbeiten.

-teddy

 

[herrhannes]

es geht nur wenn der switchport an dem das modem ist auf untagged vlan 7 steht?

sobald du sagst auf diesem switchport kommen alle moeglichen pakete mit einem tag gehts nicht mehr?

das nehliegenste ist doch dass das modem nicht wirklich den tag interpretiert bzw interpretieren kann wenn mit tag gesendet wird vom switch.

bei untagged sagst du ja auch welches vlan tag da entfernt werden soll bzw welcher vlan traffic untagged zu modem weitergeleitet wird.
wenn du die fw in vlan 99 packst fuer das entsprecheden virtuelle interface auf der fw und den port der fw am switch auf tagged stellst solltest du wenn du dann den port des modems am switch auf vlan 99 (untagged) stellst ebenfalls eine verindung bekommen. dem modem ist ja wurst bzw unbekannt das ueberhaupt mit vlan gearbeitet wird wenn dessen switchport untagged ist.

evtl verstehe ich aber auch dein problem immer noch nicht.

Genau. Das dachte ich mir ja auch. Aber mit einer anderen VLAN-ID als 7 funktioniert es ja eben _nicht_. Von daher scheint das Modem da schon etwas rumzumurksen.

Weil es das auf der LAN Seite nicht muss?
Erst mal trenne bitte beide Seiten, das VLan auf der PPPoE Seite hat mit der anderen Seite nichts zu tun.
Du könntest natürlich ein WAN-Interface auf der pfSense mit VLan 7 realisieren und das Port VLan des Switchportes auf VLan 7 untagged setzen.
pfSense -->7 tagged Switch --> untagged zum Vigor --> tagged VLan 7 DSL, die beiden VLan 7 haben halt Namensgleichheit, was aber ohne Bedeutung ist da in beide in unterschiedlichen Segmenten arbeiten.
-teddy

Wie schon gesagt: Dann sollte es ja auch funktionieren, wenn ich ein anderes VLAN benutze. Tut es aber nicht.
Sprich, als würde das Modem (werkelt im Bridge-Mode) getaggte Pakete in den Switch "stopfen" aber selbst keine akzeptieren. Das erscheint mir irgendwie unlogisch, vor allem da ich einen Heise-Artikel über mein Modem gelesen habe, in dem Stand, dass man das entsprechende VLAN auch dann auswählen muss, wenn _kein_ Switch dazwischen steckt, man ergo das Modem direkt am Port hat.

 

[p4n0]

Wieso verkomplizierst Du die Sache so extrem?

Das einzigste was die Telekom fordert ist VLAN 7 auf PPPoE Seite. Und das Tag setzt du einfach am Modem in den Bridge-Einstellungen.

Alles was du LAN Seitig machst erfordert kein VLAN7, was sowieso n gesondertes Segment ist. Iwie bringst du glaub paar Sachen durcheinander.

Deine PFSense hat einen Port - Gut. Darum legst Du dort einfach 2 Interfaces mit unterschiedlichen VLANs auf, damit du die Trennung am Switch hast.
Beispielsweise VLAN10 (WAN) und VLAN20 (LAN).

Auf das VLAN10 Interface legst du dein PPPoE und machst die Einwahl, ohne iwelches Tagging oder sonstwas. Das 'richtige' Vlan7 Tagging erledigt der Vigor für dich.

 

[webmi]

Das einzigste was die Telekom fordert ist VLAN 7 auf PPPoE Seite.

ach da schau her. das wusste ich nich.

 

[herrhannes]

Wieso verkomplizierst Du die Sache so extrem?

Das einzigste was die Telekom fordert ist VLAN 7 auf PPPoE Seite. Und das Tag setzt du einfach am Modem in den Bridge-Einstellungen.

Alles was du LAN Seitig machst erfordert kein VLAN7, was sowieso n gesondertes Segment ist. Iwie bringst du glaub paar Sachen durcheinander.

Deine PFSense hat einen Port - Gut. Darum legst Du dort einfach 2 Interfaces mit unterschiedlichen VLANs auf, damit du die Trennung am Switch hast.
Beispielsweise VLAN10 (WAN) und VLAN20 (LAN).

Auf das VLAN10 Interface legst du dein PPPoE und machst die Einwahl, ohne iwelches Tagging oder sonstwas. Das 'richtige' Vlan7 Tagging erledigt der Vigor für dich.

Wie oft soll ich das denn noch sagen? Das funktioniert nur mit ID 7. Da bringe ich nichts durcheinander. Und genau _das_ ist es ja, was mich verwirrt. Da es meiner Meinung nach keinen Sinn ergibt.

- - - Updated - - -

WTF. Ich nehme alles zurück. Nach einem erneuten Neustart verbindet er sich jetzt auch über VLAN 80