pfSense: Nieuwe VLAN werkt niet

Ook je VLAN op de switches aangemaakt?
VLAN op de juiste netwerk kaart gekoppeld?

Als je een ping uitvoert vanaf een machine met een vast IP adres in dat VLAN, zie je dan het verkeer aankomen op de firewall?

Carharttguy schreef op dinsdag 15 mei 2018 @ 11:39:
...Ik zie wel dat er 'verkeer' van mijn pc naar de firewall loopt:
https://i.gyazo.com/9b1c30f2e09b670b29bfa29a89911578.png

En hier in detail:
https://i.gyazo.com/16b10a5bfa35fdde2a9150c790181e05.png
...

Dat "verkeer" betreft dns-queries, waar geen antwoord op komt
Draait er op 172.16.88.70 en 172.16.88.135 een dns server?
En weten ze op 172.16.88.70 en 172.16.88.135 hoe ze op 172.18.0.2. moet komen?

[ Voor 7% gewijzigd door Brahiewahiewa op 15-05-2018 14:29 ]

Dat het VLAN allowed is, wil nog niet zeggen dat je ook weet welke ip-adressen erachter hangen.
Wat doet op 172.16.88.70 (en op 172.16.88.135) een ping 172.18.0.2 ?

Carharttguy schreef op dinsdag 15 mei 2018 @ 16:58:
... Ik dacht dat dit automatisch ging, omdat de firewall sowieso alle adressen 'weet'.

Tuluk niet, iemand moet de firewall vertellen of er gerouteerd moet worden, of geNAT etc.

Carharttguy schreef op woensdag 16 mei 2018 @ 09:11:
[...]


Ja, maar dat gebeurd toch door die rules? Wat kan ik nog doen om het verkeer door te laten van 1 VLAN naar het andere buiten die rules?

VLAN's zijn layer 2; je moet op layer 3 van het OSI-model zijn. Je hebt nu, virtueel, netwerk kabels getrokken en in een switch gestoken. Daarna moet je je router nog vertellen wat-ie er mee moet doen

Vergeet niet te controleren of je tagged of untagged gebruikt.

Als je meerdere VLANs over 1 port wilt moet je tagged gebruiken en bij 1 vlan of uitgaand naar een pc moet je untagged gebruiken :-)

Brahiewahiewa schreef op dinsdag 15 mei 2018 @ 23:59:
[...]

Tuluk niet, iemand moet de firewall vertellen of er gerouteerd moet worden, of geNAT etc.

Nope, niet helemaal. Er zijn zat firewalls waarbij dit automatisch gebeurd, pfSense is daar een van. Dit betreft dan wel alleen de netwerken die je op de firewall hebt staan. Dat is bijv. het geval wanneer je een VLAN aanmaakt, die een ip-adres geeft en hiervoor ook de DHCP server instelt. Zodra je een willekeurige ip-range op machines gaat gebruiken zal dat alleen werken wanneer die machines in hetzelfde netwerk zitten. Zo'n range is geen onderdeel van de firewall appliance.

Onder Diagnostics > Routes kun je zien welke routes de firewall weet. Wanneer je een netwerk aanmaakt (VLAN of fysieke NIC) en daar in de firewall een rule instelt die verkeer van dat netwerk toestaat naar all betekent dat je dus daadwerkelijk vanuit dat netwerk naar alle andere netwerken kunt. Je zult dit echter ook voor de overige netwerken moeten instellen.
Die "all" rule is iets wat je al snel instelt wanneer je alles wat in dat netwerk zit internettoegang wilt geven. Dat betekent dat je dus ook ergens in moet gaan stellen dat ie geen toegang heeft tot een bepaald netwerk wanneer je netwerken gescheiden wilt houden. Dit kan door losse deny regels of middels een alias (alias bevat alle netwerken en de alias gebruik je in de pass rule als invert match).

Je zult hier dan ook goed moeten kijken naar je firewall rules om na te gaan of je vanuit netwerk1 bij netwerk2 mag maar ook andersom. De logs (Status > System Logs > Firewall) kunnen je daar behulpzaam zijn. Kijk liever niet naar die states want die laten je niet de connectie pogingen zien, de firewall logs wel.

Btw, wat als je pingt naar de firewall zelf (= het ip-adres wat je voor de VLAN waar de machine vanwaar je pingt inzit hebt ingesteld)?

ikbenjoeri schreef op zaterdag 19 mei 2018 @ 04:03:
Vergeet niet te controleren of je tagged of untagged gebruikt.

Hoewel goed advies is dat hier niet van toepassing. Er wordt immers al info via dhcp verkregen en dat vereist een correct werkende layer 2 verbinding.

Als je meerdere VLANs over 1 port wilt moet je tagged gebruiken en bij 1 vlan of uitgaand naar een pc moet je untagged gebruiken :-)

Untagged gebruik je vooral omdat je dan het apparaat wat je in zo'n untagged port stopt niets hoeft te doen met VLANs. Als je een device hebt die geen VLAN support heeft is dat dus wel een must. Kan je computer VLANs aan dan kun je prima de boel tagged af laten leveren. Je moet dan nog wel het OS vertellen wat ie er mee moet doen (aka, VLAN in je config aanmaken).

Zo'n device die VLANs niet snapt kun je ook prima in 2 VLANs zetten, je moet het alleen op een andere manier oplossen, bijv. firewall rules (zo ga je sowieso met gescheiden netwerken om).

[ Voor 6% gewijzigd door ppl op 19-05-2018 17:29 . Reden: kleine verduidelijking ]