VLANs werkend krijgen op Netgear GS108E icm pfSense

Goedenavond medetweakers,

Na maanden mn haren uit het hoofd getrokken te hebben om het zelf werkend te krijgen, ga ik toch mijn vraag hier neerleggen.

Ik wil graag mijn Experiabox de deur uit doen en hiervoor in de plaats een Dell USFF Optiplex met pfSense gebruiken. Omdat de Optiplex maar 1 netwerkpoort heeft, kom ik dan uit op VLANs. Hiervoor via Tweakers 3 stuks GS108E aangeschaft om mijn hele thuisnetwerk om te kunnen bouwen naar VLAN compatible.

Voordat ik een echtscheiding krijg door 'internet' dat niet werkt ben ik de boel 'droog' op mn bureau aan het testen. Maar zoals gezegd loop ik hopeloos vast.

Wat heb ik gedaan
pfSense 2.7 geinstalleerd op de Optiplex
IPTV als re0.4 gedefinieerd tbv IPTV
WAN als re0.6 gedefinieerd tbv WAN/Internet

LAN als re0 gedefinieerd IP 10.13.1.1
VLAN10 als re0.10 gedefinieerd tbv WIFI IP 10.13.10.1
VLAN20 als re0.20 gedefinieerd tbv PCs IP 10.13.20.1
VLAN50 als re0.50 gedefinieerd tbv IOT IP 10.13.50.1

DHCP servers ingesteld op alle (interne) interfaces (VLAN10, 20, 50). IP range xx.xx.xx.100 - xx.xx.xx.200

In de drie Netgear GS108E een vast, uniek IP gedefinieerd in de LAN range van pfSense: 10.13.1.10, 10.13.1.20, 10.13.1.30.

In de drie switches VLANs geconfigureerd, poorten getagged en untagged gemaakt, gestoeid met PVIDs.

Wat werkt wel:

- door meerdere switches heen worden de VLANs doorgegeven, hiermee mag ik stellen dat de 'trunk' werkt/ goed is ingesteld toch?
- een machine aangesloten op een poort binnen VLAN10 krijgt een 10.13.10.xxx adres van DHCP server
- een machine aangesloten op een poort binnen VLAN20 krijgt een 10.13.20.xxx adres van DHCP server
- een machine aangesloten op een poort binnen VLAN50 krijgt een 10.13.50.xxx adres van DHCP server
- binnen VLAN10 kan de laptop de pfSense benaderen via 10.13.10.1, binnen VLAN20 op 10.13.20.1 enz

wat werkt niet:

- een machine binnen VLAN10 kan niet pingen met een machine binnen VLAN20, of VLAN50 ondanks dat de firewall in pfSense uit staat
- vanuit de commandline van de pfsense doos welke dus op 'LAN' woont, kan geen van de machines op de VLANs worden benaderd ondanks dat de firewall uit staat.

Zie bijgaand plaatje wat het eindplaatje moet zijn:

Dank voor de antwoorden. Ik zal vanavond met traceroute aan de gang en de firewall instellingen posten. Deze post wordt dan aangevuld!

Frogmen schreef op donderdag 5 oktober 2023 @ 08:58:
Als ik naar je plaatje kijk krijg ik sterk het gevoel dat je een heel complex netwerk met Vlan's gaat maken die je vervolgens via je router weer allemaal met elkaar laat praten. Hierbij zal de performance verre van optimaal zijn omdat alles via de Pfsense router moet lopen zowel heel als terug. Verder vraag ik mij af wat je wilt bereiken en of je dat niet anders kan doen.

Wat ik wil bereiken: het verkeer tussen vast aangesloten PCs, (Gasten)WiFi, en IOT devices van elkaar scheiden. Ik begrijp dat als er onderling tussen die VLANs gecommuniceerd moet worden, dit via de router zal moeten en dat accepteer ik. Binnen eenzelfde VLAN zouden de switches dat toch gewoon moeten afhandelen?

Ben(V) schreef op donderdag 5 oktober 2023 @ 09:31:
Je schrijft "Omdat de Optiplex maar 1 netwerkpoort heeft, kom ik dan uit op VLANs. ".
Dat is wel heel heel vreemde reden om Vlan's te willen gebruiken.
Als je geen echte reden hebt om Vlan's te gebruiken zou ik adviseren het ook niet te doen.

Verder ben je de boel uit elkaar aan het halen door een combinatie van verschillende subnetten en verschillende Vlan's.
Het is uiteraard heel normaal dat je vanuit het ene subnet niet een ander subnet kunt pingen, dat heeft niets met je Vlan's te maken.

Router-on-a-stick icm VLAN is toch niet zo heel bijzonder? Heb jij een eenvoudiger oplossing?

Overigens, ik begrijp ook dat het niet de eenvoudigste oplossing is, maar ik wil meer leren en begrijpen van netwerken. Een pc met twee netwerkkaarten maken voor pfSense kan ook, maar ik zoek voor mezelf iets meer uitdaging.

[ Voor 6% gewijzigd door -ErikE- op 05-10-2023 16:46 ]

In DHCP leases zie ik het volgende:



Zowel mijn laptop (op VLAN10 aangesloten) als mijn pc (op VLAN20 aangesloten), hebben een IP adres gekregen. Beide kunnen pfSense benaderen op hun interface. PC zit aangesloten op Switch 3 en laptop op Switch 1 (op de poort van het toekomstige WiFi AP), volgens het diagram uit de startpost. Ik doe hiermee de aanname dat ik de VLANs op de switches in ieder geval goed heb aangesloten. Kan iemand dat bevestigen

Kabouterplop01 schreef op donderdag 5 oktober 2023 @ 07:33:

Als je een traceroute van een machine in het ene Vlan naar een machine in het andere Vlan doet wat voor output krijg je dan?

geen output, ik krijg een error 1231.

Mocht je geen output krijgen dan is de kans heel groot dat er geen routering is. Nog strakker zou je kunnen testen door interface Vlan naar interface Vlan te pingen op de firewall/router zelf.

als ik onder Diagnostics / Ping doe, naar Interface 10.13.10.1 vanaf VLAN20, dan werkt dat. Zie onderstaand:



Vanaf pfSense kan ik alle IP adress vanaf ieder VLAN bereiken. Ik kan ook de switches (10.13.1.10,20 en 30) pingen vanaf iedere interface (LAN, VLAN10, VLAN20 en VLAN50). Er lijkt dus wel routering te zijn.

Nu heb ik ergens op internet gelezen dat de Windows firewall pingen vanaf andere subnets tegen houd. Echter met (beide) windows firewalls uitgeschakeld kan ik nog niet vanaf de laptop de pc pingen of vice versa. Vanaf pfSense kan ik ze allebei pingen. Tracert werkt niet van de laptop naar de pc en vv. Tracert vanaf pfSense naar de pc geeft dit (ik heb eerste vinkje ICMP uit gelaten, dit is de tweede test).



Voor de volledigheid ook nog de firewall rules. Bij iedere interface (LAN, VLAN10, VLAN20 en VLAN50) een regel aangemaakt die 'doorlaat' van 'any' naar 'any'.

[ Voor 17% gewijzigd door -ErikE- op 05-10-2023 22:08 ]

EverLast2002 schreef op zaterdag 7 oktober 2023 @ 20:11:
"gestoeid met PVIDs."

- hoe is dit afgelopen?

Ik heb op alle poorten waar een 'dom' eindapparaat zoals een pc, of acces point zit, het PVID van het VLAN geplaatst. Het VLAN untagged op die poort. Dit zorgt er in mijn begrip voor dat verkeer wat de poort verlaat, zijn VLAN tag kwijt raakt zodat het apparaat het snapt, en de PVID zorgt ervoor dat verkeer inkomend vanaf een dom apparaat een VLAN tag meekrijgt.

Enige vraagteken dat ik heb is bij de poorten waar meerdere VLANs overheen gaan. Deze staan allemaal op PVID1, maar aan beide kanten zitten VLAN aware apparaten zoals switches en pfsense. Deze hebben voldoende aan het getagde verkeer en negeren PVID1 als het goed is toch? Als voorbeeld poort 1 en 8 van Switch2, hier zijn VLAN6, 10,20 en 50 tagged op zowel 1 als 8. Is dat correct?

- heb je IGMP ook aangezet in Switch1 i.v.m. IPTV?

staat standaard aan op alle switches. Echter probeer ik me eerst te focussen op het netwerk werkend krijgen. Daarna volgt configureren van glas instellingen en iptv.

Z-Dragon schreef op zaterdag 7 oktober 2023 @ 20:01:
Gebruik je wel de juiste subnetmaskers? Het moet allemaal /24 (255.255.255.0) zijn; geen /16 (255.255.0.0) zoals Windows bijvoorbeeld voorstelt bij een 10.x.y.z-adres. Anders wordt het namelijk beschouwd als één groot LAN (elk adres direct te bereiken), terwijl het dat niet is. Verkeer tussen segmenten moet via de gateway (pfSense) lopen.

Alle interfaces hebben een /24. Anders kan ik ook geen dhcp in pfSense configureren.

Welk pakket heb je van KPN (snelheid up/down) ?
Kan best zijn dat als je een 1Gbps pakket hebt dat je doorvoersnelheid halveert op die ene nic poort.

100/100 glas. Dus geen bottlenecks daar. Echter ethernet is full duplex dus zelfs een 1000/1000 verbinding zou volledig moeten kunnen werken op 1 1Gbit poort (in theorie, natuurlijk)

[ Voor 62% gewijzigd door -ErikE- op 08-10-2023 09:21 ]

Kabouterplop01 schreef op zaterdag 7 oktober 2023 @ 09:38:
@-ErikE-

[...]


Je routering werkt en je hebt je tagging en trunking ook goed, je ROAST werkt.

Ter test kun je de rules die je hebt gemaakt ook nog even laten loggen zodat je kunt zien of het met default rules te maken heeft , die error 1231.
(uiteraard moet je die logging optie later weer uitzetten, als alles werkt naar behoren.)

-Als je slim bent maak je nu alvast een backup van je configuratie, want dit is een prima uitgangspunt.

edit: die interface vlan's zijn nu de default gateways van dat segment.

dus de PC die in vlan 10 hangt moet je het ip adres van interface vlan 10 meegeven (en in de DHCP option meeconfigureren) en voor vlan 20 hetzelfde, etc.

Ik weet nu zeker dat het in de firewall module zit en niet in de routering.
Door logging aan te zetten kun je nu op L4 gaan kijken in de firewall.
Laag 4 van model OSI is Transport (TCP/UDP en ports)

Dit was het antwoord wat me de goede kant op stuurde!

Tijdens de zoveelste ipconfig sessie zag ik dat 'default gateway' leeg was. Ik heb in pfSense gekeken en inderdaad, bij alle interfaces had ik geen gateway ingevuld. Dit aangepast, en er stond in ieder geval een gateway in Windows bij de netwerkinterface.

Toen heb ik op beide pc`s de windows firewall uitgegooid, en ik kon pingen tussen PC en laptop op verschillende VLANs, tussen de pfSense en alle aangesloten machines.

Als klap op de vuurpijl een share aangemaakt op de laptop VLAN10, toen met de PC (VLAN20) er naartoe genavigeerd en na ingelogd te zijn, kon ik bestanden heen en weer sturen. Video streamen op de PC vanaf de laptop en ook de grafieken in pfSense gaan wat doen.

Of het probleem nu in de gateway gezeten heeft of in de windows firewall, dat weet ik niet. Maar de configuratie werkt! Daar ben ik al super blij mee. Nu uitvogelen hoe ik de windows firewall configureer en dan mag ik mij gaan buigen over IPTV

Dank iedereen voor het meedenken!

Feitelijk heb ik maar 2 VLAN nodig, WAN en LAN. Sterker nog, ik heb eigenlijk niks van dit alles echt nodig. KPN modem en domme switches werken prima. Echter in het kader van leren, homelabben en in de praktijk brengen wat ik jaren geleden heb geleerd over netwerken en heeeeel diep is weggezakt bouw ik het wat uit.

Uiteindelijk wil ik verkeer opsplitsen. Gastenwifi, iot, thuisnetwerk, enz.

Waarom nu bestanden delen? Zodat ik kan testen of alles werkt. Door nu in diverse firewalls instellingen aan te passen kan ik zien wanneer wat wordt geblockt. Maar voordat je dat kan doen moet er een situatie zijn die ik nog begrijp en waar alles met elkaar kan praten.

[ Voor 9% gewijzigd door -ErikE- op 08-10-2023 23:14 ]

Vorkie schreef op maandag 9 oktober 2023 @ 06:06:
@-ErikE- waar heb je deze gateways ingevuld? In de DHCP instellingen?

Niet bij de DHCP server, die waarschuwing had ik gelezen. Nee ik ben hem vergeten bij het definiëren van de interface.

FreakNL schreef op maandag 9 oktober 2023 @ 06:30:

Best wel essentiële info die ook wel in de TS had mogen staan

Als ik het wist voordat ik m'n topic opende, had ik m'n topic niet hoeven openen.

Nogmaals iedereen dank voor het meedenken! Probleem opgelost, maar belangrijker, ik heb wat geleerd!