VLAN erstellen (PFSense / TP-Link)

[heXes]

Hallo zusammen

Ich möchte gerne mein erstes VLAN erstellen und scheitere leider am Switch-Setup (vermutliches Problem). Nach dem Studium von vielen Youtube Videos und Forenbeiträgen scheitere ich an meinem eher simplen Setup:

Ausgangslage

• Router: PFSense
• Switch: TP-Link SG3428XMP (L3 Switch)

Die PFSense und der Switch kommunizieren gemeinsam über den Switch Port 28.

Zielsituation
VLAN ID: 40
IP: 10.1.40.1

Die Kameras (Port 21 - 24 am Switch) befinden sich ausschliesslich in diesem VLAN.
Das Synology NAS (Port 3) befindet sich in diesem VLAN sowie im "normalen" Netz.
Mein HauptPC (Port 16) befindet sich ebenfalls in diesem VLAN sowie im "normalen" Netz.

PFSense (mein Versuch)

1. Interfaces -> Assignments -> VLANs -> ADD
   Parentinterface: (Verbindung zum Switch)
   VLAN-TAG 40
   VLAN-Priority 0
   Description: CAMs
2. Interfaces -> Assignments -> ADD -> VLAN 40
   Enable Interface
   IPv4 Config: Static IPv4
   IPv6 Config: None
   IPv4 Adress: 10.1.40.1 / 24
3. Services -> DHCP Server -> CAMs
   Enable
   Range: 10.1.40.50 - 10.1.40-240
4. Firewall -> Rules -> CAMs
   Rule: Pass
   Protocoll: IPv4
   Source: *
   Port: *
   Destination: *
   Gateway: *
   Queue: none
   Description: Pass everything
   Kommentar: Verzeiflungsregel, welche mein VLAN sabotiert. Diese müsste ich dringend ersetzen.

TP-Link (mein Versuch)

1. L2 Features -> VLAN -> 802.1Q VLAN -> VLAN Config -> ADD
   VLAN ID: 40
   Untagged Ports: 21-24 (Kameras)
   Tagged Ports: Port 16 (PC), Port 28 (PFSense), Port 3 (NAS)
2. L2 Features -> VLAN -> 802.1Q VLAN -> VLAN ID 1 -> VLAN Config ->EDIT
   Untagged Ports: Alle Ports ausser 21-24 (Kameras)
3. L2 Features -> VLAN -> 802.1Q VLAN -> VLAN ID 1 -> Port Config ->EDIT
   Port 21-24: PVID 40

Problem

• Angry-IP findet vom PC (Port 16) aus nur 10.1.40.1 -> die restlichen Geräte sind nicht da
• Der DHCP-Server zeigt keine Leases für 10.1.40.x an

Könnt ihr mir kurz helfen?

Vielen herzlichen Dank!

 

[JackRipper]

Tagged Ports: Port 16 (PC), Port 28 (PFSense), Port 3 (NAS)

so kann das nicht funktionieren, die Ports an dem der PC und die NAS hängen sollten in deiner Konfiguration mit Untagged VLAN 1 konfiguriert werden und PVID auf 1 gesetzt sein.
Nur der Port an dem die Firewall hängt, sollten alle VLAN's als Tagged konfiguriert sein.

 

[Raijin]

Ich empfehle zunächst einmal die Lektüre dieser VLAN-Grundlagen. Tagged und Untagged sind nicht beliebig austauschbar, sondern dienen einem speziellen Zweck. VLAN-Tags werden nur von Geräten verstanden, deren Betriebssystem und Treiber VLANs unterstützen (802.1Q) und die eine entsprechende VLAN-Konfiguration haben. Bis auf wenige Ausnahmen wie PCs oder PC-ähnliche Geräte wie zB NAS haben Endgeräte keinen blassen Schimmer von VLANs und können mit VLAN-Tags in keinster Weise umgehen. Diese können demnach ausschließlich an untagged Ports betrieben werden. Tagged Ports sind nur für Geräte der Infrastruktur (zB Switches oder APs mit VLAN-Unterstützung) und in Ausnahmefällen Server, o.ä. gedacht, weil über die Tags eben mehrere VLANs über einen Port weiterverteilt werden können.

 

[heXes]

Da habe ich wohl vor lauter Bäumen den Wald nicht mehr gesehen -> Vielen Dank für die raschen Antworten!

Folgende Fragen hätte ich noch:

1. Könnte ich mit Firewall-Regeln den Main PC auf Netzwerke zugreifen lassen?
2. Kennt ihr ein gutes Tutorial für die PFSense Firewall Regeln? Habe bisher nicht viel brauchbares gefunden...
3. Wie blockiere ich den Internetzugriff auf PFSense auf/von einem spezifischen Client?

Vielen Dank für eure Unterstützung! Ich weiss dies sehr zu schätzen!