Toon posts:

Krijg VLANs niet werkend met Edgerouter en Netgear switch

Pagina: 1
Acties:

Vraag

donderdag 11 februari 2021 14:49

Acties:
  • 0Henk 'm!
  • Nickk93
  • Registratie: Januari 2012
  • Laatst online: 20:27

Nickk93

Topicstarter
Ik ben bezig om het netwerk te segmenteren om onder andere de IoT devices in een apart VLAN met firewall policy te zetten, alleen loop ik een beetje vast bij het configureren van de VLANs.

Ik heb een Ubiquiti Edgerouter X, waarop ik op switch0 een aantal VLAN interfaces heb geconfigureerd (1, 10, 11 en 12). Op eth1 zit een Netgear GS308E switch.

Wat ik probeer te bereiken is dat ik op devices op deze switch meerdere VLANs kan gebruiken.

eth1 config op ER-X: PVID: 1, VID: 10,11,12

Op de Netgear GS308E:
- Port 1 (connectie met de ER-X): 1 Untagged, 10, 11 en 12 Tagged (PVID: 1)
- Port 2 (AP): 1 Untagged, 10 en 11 Tagged (PVID: 1)
- Port 3 (Linux server): 11 Untagged, 12 Tagged (PVID: 11)

Nu krijg ik op VLAN 11 geen IP op de Linux server van de DHCP server, maar ik zie wel dat er op de Edgerouter een DHCP verzoek binnenkomt en dat er een broadcast uitgaat. Ook zie ik de DHCP lease wel staan.

Ook als ik een statisch IP configureer werkt zowel een ping naar de Edgerouter als het internet niet.

Alle firewalls staan nog uit, om te voorkomen dat die roet in het eten gooien. Ik had het wel werkend, maar de stroom was uitgevallen en toen was de switch de config kwijtgeraakt en sindsdien krijg ik het niet meer aan de praat.

Zie ik iets over het hoofd misschien?

Beste antwoord (via Nickk93 op 11-02-2021 21:30)

donderdag 11 februari 2021 18:07

  • Minitrooper
  • Registratie: December 2013
  • Laatst online: 20:09

Minitrooper

Geheel onafhankelijk van heel het vlan verhaal (dit hoort namelijk vlot te werken): ik heb ook ooit een stroomstoring gehad, en er zaten wel wat haken los in mijn config. Ik stel voor om *eerst* even een factory reset te doen, om een hoop geneuzel te vermijden, en vanaf dan alles terug op te bouwen zoals @ThinkPad het beschrijft: vlan definities, dhcp per vlan, trunk opbouwen, netgear inhaken, daar trunk aankoppelen, en dan begin je te testen!
Succes!

Alle reacties

donderdag 11 februari 2021 17:12

Acties:
  • 0Henk 'm!
  • Arthion-nl
  • Registratie: April 2018
  • Laatst online: 23-03 13:43

Arthion-nl

Tussen je edgerouter en je switch laat je 4 vlans lopen over port eth1/port1. Dit is dus een een trunk poort(tagged) en je dient dus alle 4 vlans dus te taggen . Je kan niet 4 vlans over 1 poort lopen untagged anders weet de router niet welk verkeer waar vandaan komt.

donderdag 11 februari 2021 17:26

Acties:
  • 0Henk 'm!
  • Nickk93
  • Registratie: Januari 2012
  • Laatst online: 20:27

Nickk93

Topicstarter
Ik was altijd in de veronderstelling dat je 1 VLAN untagged kan laten en dat de default VLAN is zodra er geen VLAN tag wordt meegegeven. Wanneer ik namelijk de PVID van Port 3 op de Netgear switch op VLAN 1 zet en deze als untagged configureer en VLAN 11 als tagged, krijg ik in het VLAN 1 subnet wel netjes een IP via DHCP.

Mijn plan was om op de Linux server 1 VLAN over de default ethernet poort te laten lopen (interface eno1) en een aparte VLAN interface te maken (interface eno1.12). Heb het ook geprobeerd met beide VLANs op poort 3 van de switch tagged, maar dan nog werkt VLAN 11 niet.

Ik zal eens kijken wat er gebeurt op het moment dat ik op de trunk link alleen maar tagged VLANs zet.

donderdag 11 februari 2021 17:31

Acties:
  • 0Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 19:59

ThinkPad

Moderator Wonen & Mobiliteit
Je switch instelling lijkt mij wel te kloppen qua tagged/untagged, zo heb ik het hier ook en werkt prima (ook met een ERX).

Heb je op elke VLAN interface in de ERX wel een IP-adres ingesteld? En voor elke VLAN een aparte DHCP-server?


En bij het tabje Services -> DNS ook even je VLAN interfaces toevoegen, zodat de router DNS-requests beantwoord die via de VLANs binnenkomen.

[Voor 6% gewijzigd door ThinkPad op 11-02-2021 17:34]

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.

donderdag 11 februari 2021 17:59

Acties:
  • 0Henk 'm!
  • Arthion-nl
  • Registratie: April 2018
  • Laatst online: 23-03 13:43

Arthion-nl

Ah ik had het verkeerd gelezen dacht dat je 3 untagged vlans had! Zoals hier boven staat hebben alle vlans een eigen dhcp server?

donderdag 11 februari 2021 18:07

Acties:
  • Beste antwoord
  • 0Henk 'm!
  • Minitrooper
  • Registratie: December 2013
  • Laatst online: 20:09

Minitrooper

Geheel onafhankelijk van heel het vlan verhaal (dit hoort namelijk vlot te werken): ik heb ook ooit een stroomstoring gehad, en er zaten wel wat haken los in mijn config. Ik stel voor om *eerst* even een factory reset te doen, om een hoop geneuzel te vermijden, en vanaf dan alles terug op te bouwen zoals @ThinkPad het beschrijft: vlan definities, dhcp per vlan, trunk opbouwen, netgear inhaken, daar trunk aankoppelen, en dan begin je te testen!
Succes!

donderdag 11 februari 2021 18:19

Acties:
  • 0Henk 'm!
  • Nickk93
  • Registratie: Januari 2012
  • Laatst online: 20:27

Nickk93

Topicstarter
Alle VLANs die gebruik maken van DHCP hebben inderdaad een eigen DHCP server. Ik gebruik in mijn DMZ VLAN met opzet static IPs om de firewall naar de Edgerouter verder dicht te kunnen zetten.

Ook hebben alle VLAN interfaces op de Edgerouter een eigen IP in hun eigen /24 subnet.

Maak in deze VLANs gebruik van een publieke DNS server (Cloudflare en Google), dus dat is verder ook niet zo interessant. Ik zal eens even alle VLANs op VLAN 1 verwijderen en opnieuw configureren. Kijken of dat helpt.

donderdag 11 februari 2021 18:24

Acties:
  • 0Henk 'm!
  • Nnoitra
  • Registratie: December 2000
  • Laatst online: 08:32

Nnoitra

Nickk93 schreef op donderdag 11 februari 2021 @ 18:19:
Alle VLANs die gebruik maken van DHCP hebben inderdaad een eigen DHCP server. Ik gebruik in mijn DMZ VLAN met opzet static IPs om de firewall naar de Edgerouter verder dicht te kunnen zetten.

Ook hebben alle VLAN interfaces op de Edgerouter een eigen IP in hun eigen /24 subnet.

Maak in deze VLANs gebruik van een publieke DNS server (Cloudflare en Google), dus dat is verder ook niet zo interessant. Ik zal eens even alle VLANs op VLAN 1 verwijderen en opnieuw configureren. Kijken of dat helpt.
In het IPTV topic heb ik wat info en ploaties over/van mijn setup staan.
Ook met VLAN aware settings, tagged & untagged verkeer over verschillende poorten, etc.
Daar zit dan nog wel een Unifi controller stuk tussen, maar dat kun je negeren.

Wellicht heb je er iets aan.

[Voor 4% gewijzigd door Nnoitra op 11-02-2021 18:24]

Sarcasm is my superpower! What's yours?

donderdag 11 februari 2021 19:18

Acties:
  • 0Henk 'm!
  • Luxicon
  • Registratie: Oktober 2010
  • Laatst online: 18-07-2021

Luxicon

Nickk93 schreef op donderdag 11 februari 2021 @ 18:19:
Alle VLANs die gebruik maken van DHCP hebben inderdaad een eigen DHCP server. Ik gebruik in mijn DMZ VLAN met opzet static IPs om de firewall naar de Edgerouter verder dicht te kunnen zetten.

Ook hebben alle VLAN interfaces op de Edgerouter een eigen IP in hun eigen /24 subnet.

Maak in deze VLANs gebruik van een publieke DNS server (Cloudflare en Google), dus dat is verder ook niet zo interessant. Ik zal eens even alle VLANs op VLAN 1 verwijderen en opnieuw configureren. Kijken of dat helpt.
Volgens mij zou het moeten werken met een static IP en het goede gateway adres? Het simpelste lijkt mij een wired test met een laptop / desktop, want ik lees enkel AP en de server. Plus, misschien heeft je router een tool ingebouwd om te pingen naar de VLANs gateway, om te checken of deze daadwerkelijk online is.
Ook hebben alle VLAN interfaces op de Edgerouter een eigen IP
Dit adres zou je dus vanaf een apparaat moeten kunnen pingen, als deze zich in hetzelfde subnet bevindt. Gezien de firewall niets doet (volgens jouw opmerking), zal dit vanuit een ander subnet geen blokkade hoeven zijn.

Wat ik zou doen is zoiets:
Voeg VLAN5 toe op de router (met ip / subnet) en zorg dat deze ingeschakeld staat.
Voeg VLAN5 tagged toe aan de uplink / trunk van de switch
Poort 4 op de switch = VLAN5 untagged
Verbindt een PC / laptop met poort 4 en geef het apparaat een static adres in het subnet van VLAN5
Ping de gateway

[Voor 46% gewijzigd door Luxicon op 11-02-2021 19:52]

...

donderdag 11 februari 2021 19:41

Acties:
  • 0Henk 'm!
  • Nickk93
  • Registratie: Januari 2012
  • Laatst online: 20:27

Nickk93

Topicstarter
[b]Luxicon schreef op donderdag 11 februari 2021 @ 19:18:
Volgens mij zou het moeten werken met een static IP en het goede gateway adres? Het simpelste lijkt mij een wired test met een laptop / desktop, want ik lees enkel AP en de server. Plus, misschien heeft je router een tool ingebouwd om te pingen naar de VLANs gateway, om te checken of deze daadwerkelijk online is.
Deze test heb ik gedaan vanaf de Linux pc. Dit uiteindelijk gewoon een desktop waar docker containers op komen te draaien. Deze is bedraad aangesloten op de switch. Als ik het PVID op 11 zet krijg ik niks, geen DHCP en ook met een static IP pingen naar de gateway gaat dan niet. Dat doet mij vermoeden dat er ergens iets tussen de router en de switch misgaat. Wanneer ik het PVID op 1 zet krijg ik wel direct een IP, maar dan zit ik dus in het subnet waar ik niet in wil zitten met deze bak.

donderdag 11 februari 2021 19:44

Acties:
  • 0Henk 'm!
  • Luxicon
  • Registratie: Oktober 2010
  • Laatst online: 18-07-2021

Luxicon

Nickk93 schreef op donderdag 11 februari 2021 @ 19:41:
[...]


Deze test heb ik gedaan vanaf de Linux pc. Dit uiteindelijk gewoon een desktop waar docker containers op komen te draaien. Deze is bedraad aangesloten op de switch. Als ik het PVID op 11 zet krijg ik niks, geen DHCP en ook met een static IP pingen naar de gateway gaat dan niet. Dat doet mij vermoeden dat er ergens iets tussen de router en de switch misgaat. Wanneer ik het PVID op 1 zet krijg ik wel direct een IP, maar dan zit ik dus in het subnet waar ik niet in wil zitten met deze bak.
Als het tussen de router / switch mis gaat, kan het zijn dat de VLAN niet online / ingeschakeld is. Misschien kun je dat controleren. Ook kun je de DHCP uitzetten en het eerst werkend krijgen. Als je niet in het goede subnet komt via DHCP, zal je DHCP range verkeerd ingesteld zijn lijkt mij.

@Nickk93 De handleiding van de switch geeft L3 'Ja' aan. Dat gaat om een DHCP client. Als deze aanstaan, zou ik deze uitzetten. Zolang je deze niet instelt zal er niets aan de hand zijn lijkt mij, maar wie weet..

[Voor 46% gewijzigd door Luxicon op 11-02-2021 20:09]

...

donderdag 11 februari 2021 21:29

Acties:
  • +2Henk 'm!
  • Nickk93
  • Registratie: Januari 2012
  • Laatst online: 20:27

Nickk93

Topicstarter
Uiteindelijk is het opgelost door de VLANs op de Edgerouter vanuit de CLI weg te gooien en opnieuw te configureren. Het enige verschil dat ik heb kunnen ontdekken is dat vanuit de web interface standaard een MTU van 1500 wordt ingesteld op een VIF, terwijl dat op VLAN 1 niet het geval was. Dus die property heb ik weggelaten.

Uiteindelijke config op de Edgerouter:
show interface switch switch0
mtu 1500
 switch-port {
     interface eth1 {
         vlan {
             pvid 1
             vid 10
             vid 11
             vid 12
         }
     }
     interface eth2 {
         vlan {
             pvid 1
             vid 3
             vid 4
         }
     }
     interface eth3 {
         vlan {
             pvid 1
         }
     }
     interface eth4 {
         vlan {
             pvid 1
             vid 10
             vid 11
         }
     }
     vlan-aware enable
 }
 vif 1 {
     address 192.168.0.1/24
     description LAN
 }
 vif 3 {
     address 10.0.0.1/24
     description VM_LAN
 }
 vif 4 {
     address 10.0.1.1/24
     description VM_LINUX_LAN
 }
 vif 10 {
     address 172.16.0.1/24
     description Guest
 }
 vif 11 {
     address 172.16.1.1/24
     description IoT
 }
 vif 12 {
     address 172.16.2.1/24
     description DMZ
 }

show service dhcp-server
 shared-network-name Guest {
     subnet 172.16.0.0/24 {
         default-router 172.16.0.1
         dns-server 1.1.1.1
         dns-server 8.8.8.8
         start 172.16.0.20 {
             stop 172.16.0.240
         }
     }
 }
 shared-network-name IoT {
     subnet 172.16.1.0/24 {
         default-router 172.16.1.1
         dns-server 1.1.1.1
         dns-server 8.8.8.8
         start 172.16.1.100 {
             stop 172.16.1.240
         }
     }
 }


Configuratie op de switch:
VLANPort 1 (PVID = 1)Port 2 (PVID = 1)Port 3 (PVID = 11)
1UntaggedUntagged
10TaggedTagged
11TaggedTaggedUntagged
12TaggedTagged

donderdag 11 februari 2021 21:39

Acties:
  • 0Henk 'm!
  • Nnoitra
  • Registratie: December 2000
  • Laatst online: 08:32

Nnoitra

Nickk93 schreef op donderdag 11 februari 2021 @ 21:29:
Uiteindelijk is het opgelost door de VLANs op de Edgerouter vanuit de CLI weg te gooien en opnieuw te configureren. Het enige verschil dat ik heb kunnen ontdekken is dat vanuit de web interface standaard een MTU van 1500 wordt ingesteld op een VIF, terwijl dat op VLAN 1 niet het geval was. Dus die property heb ik weggelaten.

Uiteindelijke config op de Edgerouter:
show interface switch switch0
mtu 1500
 switch-port {
     interface eth1 {
         vlan {
             pvid 1
             vid 10
             vid 11
             vid 12
         }
     }
     interface eth2 {
         vlan {
             pvid 1
             vid 3
             vid 4
         }
     }
     interface eth3 {
         vlan {
             pvid 1
         }
     }
     interface eth4 {
         vlan {
             pvid 1
             vid 10
             vid 11
         }
     }
     vlan-aware enable
 }
 vif 1 {
     address 192.168.0.1/24
     description LAN
 }
 vif 3 {
     address 10.0.0.1/24
     description VM_LAN
 }
 vif 4 {
     address 10.0.1.1/24
     description VM_LINUX_LAN
 }
 vif 10 {
     address 172.16.0.1/24
     description Guest
 }
 vif 11 {
     address 172.16.1.1/24
     description IoT
 }
 vif 12 {
     address 172.16.2.1/24
     description DMZ
 }

show service dhcp-server
 shared-network-name Guest {
     subnet 172.16.0.0/24 {
         default-router 172.16.0.1
         dns-server 1.1.1.1
         dns-server 8.8.8.8
         start 172.16.0.20 {
             stop 172.16.0.240
         }
     }
 }
 shared-network-name IoT {
     subnet 172.16.1.0/24 {
         default-router 172.16.1.1
         dns-server 1.1.1.1
         dns-server 8.8.8.8
         start 172.16.1.100 {
             stop 172.16.1.240
         }
     }
 }


Configuratie op de switch:
VLANPort 1 (PVID = 1)Port 2 (PVID = 1)Port 3 (PVID = 11)
1UntaggedUntagged
10TaggedTagged
11TaggedTaggedUntagged
12TaggedTagged
Die MTU van 1500 staat default op switch switch0, zoals je nu ook nog hebt.
Krijgen je VIF's dan ook niet die MTU, omdat ze op die switch zitten??

Bij mij staan er op de VIFs geen apart MTU setting, ook niet die via de webinterface aangemaakte.
Ik zou me dan afvragen waarom VLAN 1 juist géén 1500 is :?

Sarcasm is my superpower! What's yours?

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee