selbes VLAN über Switch und AP

[Bob.Dig]

Noob hier: Folgendes habe ich vereinfacht dargestellt bei mir zu Hause probiert und es hat nicht funktioniert. VLANs terminieren jeweils an der Firewall.

Ich habe ein VLAN 123 erstellt und dieses durch einen Switch geleitet (Port jeweils "Tag Egress Member") als auch für einen PC an einem Port terminiert (Port "Untag Egress Member").
Das VLAN 123 wird schließlich an einem AP als ein WLAN mit eigener SSID terminiert.

Tatsächlich hat aber das Wifi so nicht funktioniert. Ich bin mir recht sicher, hätte ich den PC nicht am Switch, sondern direkt am Tomato Router terminiert, hätte das Ganze problemlos funktioniert.

Nun meine Frage: Ist das so irgendwie nachvollziehbar, vielleicht eine Einschränkung von günstigen SmartSwitches oder eher ein Problem irgendwo in meiner Konfig?
Da ich nur Laie bin, ist das jetzt für mich nicht so einfach aufklärbar mit Packet-Capture etc. Bin daher eher an einer Einschätzung interessiert. Lass mich auch gern über falsch benutze Termini aufklären. 😉

 

[Stock86]

Also die 3 Geräte PFsense, Switch und Router können mit VLANs umgehen und dazwischen die Ports sind als getagged konfiguriert?

Und die Ports zu Handy und PC als untagged?

 

[Bob.Dig]

@Stock86 Genau! Bzw. beim WLAN kann ich das nicht explizit einstellen, vermutlich weil das nur so geht.

Ein VLAN läuft auch erfolgreich über WiFi, nur das eine, welches halt auf beiden Geräten terminiert, hat Probleme. Vielleicht liegt das Problem doch irgendwo beim Tomato-Router...

 

[Stock86]

Was für einen IP Bereich hast du für das VLAN definiert? Arbeitest du mit DHCP?

Was genau ist denn dein Zielszenario? Also was möchtest du mit dem VLAN bezwecken?

 

[Bob.Dig]

@Stock86 Jau, arbeite mit DHCP. Ziel soll es sein, dass PC und Handy im selben VLAN sind.
Das ging auch, als noch beide am Tomato Router angeschlossen waren. Nun, wo ein weiterer Switch dazwischen ist, gibt es Probleme, allerdings haben sich auch noch ein paar weitere Sachen geändert.

Anhand der Rückmeldungen bis jetzt scheint es also doch eher ein Problem mit Tomato zu sein und eigentlich ist das trial&error-Testen mit einer entsprechenden DHCP Range und offener Verschlüsselung auch kein Problem. Ich hatte das halt nicht für mich eingerichtet und daher auch nicht selbst getestet und wurde dann "kalt erwischt", als es nicht funktioniert hat. Werde mich wohl noch mal ransetzen.

 

[Zero_Official]

enschuldige bitte, aber laut deiner skizze ergibt sich kein Sinn für Vlan?

Was möchtest du erreichen? was soll Vlan bewirken?

 

[Raijin]

Da bin ich bei @Ichtiander . So ganz verstehe ich den Sinn des VLAN 123 auch nicht. Folgt man der Skizze 1:1 hast du nun im "SmartSwitch" einen Port für VLAN 123 definiert und einen Port am "Tomato Router/Switch", das ist alles. Weder ist erkennbar ob das VLAN 123 auch über den Uplink zwischen "SmartSwitch" und "Tomato Router/Switch" läuft, noch ob das beim Uplink vom "SmartSwitch" zur pfSense der Fall ist.

VLANs müssen stets durchgängig sein. Hast du zwei Switches, auf denen du jeweils unabhängig voneinander - also ohne VLAN via Uplink - dieselbe VLAN ID konfigurierst, sind das dennoch getrennte Bereiche.

So sieht deine Skizze derzeit aus:

Switch#1 (Port 1 @ VID 123 untagged) --- Endgerät#1
(Port 2 ohne VLANs)
|
|
|
(Port 2 ohne VLANs)
Switch#2 (Port 1 @ VID 123 untagged) --- Endgerät#2

Selbst wenn die VIDs auf beiden Switches übereinstimmen, haben die Endgeräte untereinander keine Verbindung, weil die jeweiligen VLANs auf den Switches nicht verbunden sind. Untagged VLANs sind bildlich gesprochen nichts anderes als wenn man einen Switch in zwei Hälften sägt. Im besagten Beispiel mit dem einzelnen untagged VID 123 Port würde man also diesen einen Port mit der Säge aus dem Switch schneiden und man hätte einen Switch mit 1 Port und einen zweiten Switch mit den übrigen Ports. Nix Verbindung.


Switch#1 (Port 1 @ VID 123 untagged) --- Endgerät#1
(Port 2 @ VID 123 untagged oder tagged)
|
|
|
(Port 2 @ VID 123 untagged oder tagged)
Switch#2 (Port 1 @ VID 123 untagged) --- Endgerät#2

In diesem Fall wird das VLAN 123 über den Uplink transportiert und somit haben die Endgeräte auch eine Verbindung untereinander. Natürlich fehlt in diesem Szenario aber noch ein DHCP-Server, weshalb sich die Endgeräte zunächst nur auf Layer 2 (MAC) sehen bzw. für Layer 3 eine manuelle IP-Konfiguration im selben Subnetz benötigen, zB auch via APIPA 169.254.x.y

Wenn nun also die Endgeräte zusätzlich noch Verbindung zur pfSense haben sollen, muss der Uplink vom "SmartSwitch" zur pfSense ebenfalls mit der VLAN ID versehen werden.

 

[Bob.Dig]

@Raijin Ist er. Ich hab das auch schon mit anderen VLANs hier im Einsatz.

Habe jetzt weiter getestet, aber das Problem kann ich nicht mehr eingrenzen. Habe nun auf der dritten und letzten möglichen Bridge im Tomato ein neues VLAN eingerichtet und auch in allen anderen Geräten, funktioniert ohne Probleme. Da das wieder auf den Switch als Problem deutet, habe ich nun dort die Portverbindung rausgenommen. Es geht trotzdem nicht, obwohl quasi die gleichen Vorraussetzungen wie davor.
Habe nun den Eindruck, die VLAN "Nummer" (VID?) ist verflucht/verbrannt.

Werde wohl auch das ursprüngliche VLAN nun endgültig platt machen müssen, da ich das Problem einfach nicht mehr eingrenzen kann, logisch erscheint es mir nicht.

Ergänzung (29. August 2021)

Mit einem komplett neuem VLAN geht es nun. D.h. das Problem war von Anfang an in der pfSense. Zigmal drüber gesehen, kann da nix falsches erkennen.
Sei es drum, jetzt läuft es halt. Hier kann zu.
Danke allen Beteiligten.