Ich versuche, mein Netzwerk mit dem VDSL-Router meines neuen Anbieters zum Laufen zu bringen, der weder im „Modem-Modus“ noch im „Bridge-Modus“ betrieben werden kann.
Mein bisheriges Setup ist wie folgt:
Ich habe zwei verwaltete Switches, beide mit mehreren 192.168.x.0/24 VLANs (vlanX ist dem Netzwerk 192.168.X.0/24 zugeordnet). Alle diese VLANs sind über einen Trunk-Port mit meiner OpenBSD-Firewall verbunden (IP-Weiterleitung aktiviert). Jeder Computer im Netzwerk hat die Adresse der virtuellen Netzwerkkarte auf der Firewall als Standard-Gateway eingestellt. Beispielsweise ist das Netzwerk für VLAN20 192.168.20.0/24, die Firewall hat die Adresse 192.168.20.1 und diese Adresse ist als Standard-Gateway für jeden Client auf diesem VLAN eingestellt. Mit diesem Setup kann ich zwischen allen Clients auf demselben oder auf verschiedenen VLANs/Switches pingen.
Hier kommt das Problem: Der VDSL-Router ist über ein anderes dediziertes 192.168.x.0/24-VLAN, sagen wir 192.168.100.0/24, mit der Firewall-IP 192.168.100.2 und der VDSL-Router-IP 192.168.100.1 mit der Firewall verbunden. Ich habe 192.168.100.2 als Standard-Gateway auf der Firewall eingerichtet und kann nun erfolgreich von der Firewall aus auf das Internet zugreifen, aber nicht von meinen anderen Maschinen aus. Traceroute zeigt, dass die Pakete am Gateway des Client-VLANs hängen bleiben. Wenn ich beispielsweise versuche, vom Client 192.168.20.100 aus etwas außerhalb zu erreichen, bleiben die Pakete am Client-Gateway 192.168.20.1 hängen.
Ich habe alle Firewall-Regeln deaktiviert (zu Testzwecken) und auch versucht, NAT auf der Firewall für das VDSL-VLAN zu aktivieren (der VDSL-Router führt natürlich auch sein eigenes NAT auf dem Internet-Port aus). Übersehe ich etwas Offensichtliches?
Der VDSL-Router ist mit einem „Access“-Port des Switches verbunden und kennt daher das VLAN nicht. Außerdem kann ich aufgrund physikalischer Einschränkungen keinen der dazwischenliegenden Switches entfernen.
Vielen Dank für Ihre Hilfe!
Antwort1
Vielleicht übersehe ich etwas in Ihrem Setup, aber ich glaube, das Problem liegt hier.
Wenn das Modem wie in Ihrem Entwurf abgebildet über einen Zugriffsport mit einem der Switches verbunden ist, muss dieses Modem über Routen für Ihr gesamtes VLAN verfügen, die auf Ihre OpenBSD-Firewall zurückverweisen.
Das würde erklären, warum das Modem die Firewall scheinbar nur „sieht“, da sie durchgehend Layer 2 ist. Es würde jedoch einen der PCs nicht erreichen, da das Modem keine anderen IP-Routen kennt (außer den direkt verbundenen).