[SOLVED] DHCP funktioniert nicht über OPNsense

Die Firewall ist bis auf vlan60 und dhcp auf Werkseinstellungen. Kann ich nicht beantworten. Aber glaube schon das das im default im LAN aktiviert sein müsste...

ping ist ein guter Punkt. Ich kann so weder die 10.0.6.1 über einen proxmox Ping erreichen (was vorher ging) noch erreiche ich das gateway vom client aus. Sehr seltsam...

Edit:
also hab mal gegoogelt ist wohl so das man es explizit erlauben muss. Aber die die das Problem mit dem ping hatten konnten zumindest ohne Probleme auf die webgui, was bei mir aber auch nicht geht... allerdings hat der Ping ja vorher auch ohne Probleme funktioniert....
 
Last edited:
Das wird vermutlich daher kommen, dass die Anti-Lockout-Regeln nur für das LAN-Interface angelegt werden. Für die anderen Interfaces auf den VLANs musst du das selber machen.
 
Jetzt kommen wir der Sache schon näher.
Habe mal alles in den beiden Netzen über die Firewall erlaubt (zum testen natürlich), und bekomme nun mit beiden Varianten IPs auf vlan60 zugewiesen und kann auch mittlerweile auf beiden Wegen das Gateway 10.0.6.1 pingen.

beide Varianten?
Ja, habe nämlich festgestellt das ich entweder die opnsense mit vtnet0_vlan10 konfigurieren kann und dhcp klappt als auch wenn ich sie normal mit vtnet0 konfiguriere.

Allerdings kann ich in beiden Fällen die webgui der Sense nicht mehr erreichen.

ist die Sense mit vtnet0 (ohne Vlan) konfiguriert und ich gebe der vm das Tag 10 - kann ich die Sense erreichen aber dhcp klappt nicht mehr. Nehm ich das Tag raus funktioniert zwar dhcp auf vlan60 mit Ping und allem, aber ich kann eben die Sense nicht mehr erreichen....
 
Last edited:
Könntest du bitte nochmal die aktuelle /etc/network/interfaces und die Konfig der Sense-VM posten? Die Switch-Konfig ist ja geblieben, ne?
 
Also hier die proxmox net config (die ist genauso geblieben wie du auch meintest das sie richtig wäre)

Code:
auto lo
iface lo inet loopback

auto enp1s0
iface enp1s0 inet manual

auto enp2s0
iface enp2s0 inet manual

auto enp3s0
iface enp3s0 inet manual

auto enp4s0
iface enp4s0 inet manual

auto bond0
iface bond0 inet manual
        bond-slaves enp2s0 enp3s0
        bond-miimon 100
        bond-mode 802.3ad
        bond-xmit-hash-policy layer2+3

auto vmbr0
iface vmbr0 inet manual
        bridge-ports bond0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094

auto vmbr0.10
iface vmbr0.10 inet static
        address 10.0.0.3/27
        gateway 10.0.0.1

auto vmbr1
iface vmbr1 inet manual
        bridge-ports enp4s0
        bridge-stp off
        bridge-fd 0



und die VM-Config:


vm config.png



So funktioniert DHCP auf VLAN60 aber ich erreiche die Sense nicht, geb ich dem net0 device in der VM das TAG10 funktioniert die WebGUI aber DHCP nicht mehr.

Und ja, die Switch konfig hat sich nicht geändert.
 
Last edited:
Ich nehme an, dass deine Konfig der OPNSense nicht ganz zu dem VLAN-Layout passt.
In der VM hast du jetzt zwei Netzwerkkarten, aus vmbr1 machst du WAN, hast du gesagt.
Aus vmbr0 machst erstmal LAN, aber nur, bis der Rest eingestellt ist, denn darüber läuft sonst der untagged Traffic.
Dann legst du zwei VLANs an, jeweils als Subinterface von vtnet0. Die weist du dann zwei neuen Interfaces (wahrscheinlich opt1 und opt2) zu, dort stellst du dann nachher auch den DHCP ein.
Wichtig ist dann, dass du die Zugriffsregeln auf das Webinterface und SSH für das VLAN 10 selbst hinzufügst, denn die werden standardmäßig nur für LAN selbst erzeugt.
Und dann solltest du auch das Interface ohne Tag wieder rausnehmen können.
Wenn du das genau so machst, muss das funktionieren. :)
 
Ich bin irgendwie zu unfähig >.<

Was meinst du mit aus vmbr0 mach ich erstmal LAN? ich muss ja vlan tag 10 vergeben um erstmal auf die Sense zu kommen.

Unter vlans sind jetzt 2 vlans (10+60) angelegt und die interfaces opt1 und opt2 erstellt. Wobei ich davon ja nur opt2 aktivieren kann. Weil zum aktivieren muss ich ja eine statische IP vergeben, und die 10.0.0.1 wird ja schon von LAN verwendet. Kann also nur opt2 aktiveren und eine IP geben, klar kann ne andere Ip für opt1 vergeben aber will ja das meine Sense IP die 0.1 ist, und die wird ja vom LAN “blockiert”.

bei den Regeln hab ich sowohl für LAN als auch für Opt2 alles erlaubt was geht.

Wo ist mein Denkfehler....?

Edit:

habe nun einfach dem LAN die 10.0.0.10 gegeben, sodas ich dem OPT1/vlan10 die 10.0.0.1 geben konnte.
Das ist jetzt alles soweit eingerichtet und OPT2/Vlan60 sowie Opt1/vlan10 haben nun jeweils den dhcp service aktiv, wobei ich das für vlan10 eigtl. nicht benötige, daher für LAN auch einfach mal deaktiviert gelassen.

Wie gehts jetzt weiter?

habe schon versucht die Sense über die konsole auf vtnet0_vlan10 zu stellen und bzw. dann nochmal die IP hierfür angepasst, aber das hat auch nichts gebracht...
 
Last edited:
Idealerweise würdest du die Installation über die Konsole machen und gingest danach mit einem Rechner ohne tagged vlan zur Konfiguration drauf. Dann kannst alles so einstellen, wie du das beschreibst und auch die VLANs mit den richtigen Adressbereichen anlegen. So ist das tatsächlich etwas kompliziert und benötigt wahrscheinlich fünfzehn extra Schritte. :)
 
Ich nehme an die opnsense soll dein core router werden. Falls der switch routed, kannst du da auch nen dhcp helper einschalten.

Zuerst mal vorweg:
enp1s0 sieht nach intel irgendwas aus, falls die sr-iov kann, würde ich das nutzen, da virtio-nic mit opnsense paar bugs hat (nicht nur offloading bugs).

Dann zur config:
Steck die opnsense in die bridge wo alle vlans durchgereicht werden.
Kannst der opnsense 1 interface geben, recht vollkommen, da die linux bridge eh nicht linkspeedgebunden ist.
In der opnsense erstellt du auf deinem einem interface, mehrere vlans.
Die vlan interface + phy interface kannst du dann steuern wie ganz normale separate interface und bei jedem interface das du willst auch dhcp server einschalten.

Und zur konfig aufm switch + proxmox...
Wieso nicht vlan 10 untagged/pvid + rest tagget aufm switch und die vmbr0 direkt mit deiner ip + vlan aware?
Weil soweit ich sehe, benutzt du eh vlan 1 nicht. (By the way, das einzige vlan das tagget probleme machen kann)
Und an der vmbr0 halt, ist deine opnsense drin mit einem port. Dann nativ in vlan 10 und der rest in der opnsense selbst wie oben beschrieben.

---
Kann auch sein das ich thema voll verpasst hab, weil ich nur halb gelesen hab :D
 
Last edited:
Also hab es doch tatsächlich hinbekommen.
Lag wie gedacht am vlan handling. Hab nach der initialen Konfiguration das LAN abgeschaltet und somit nur Vlan10/60 und WAN aktiv. Der VM konnte ich dann das Tag wieder entfernen.

funktioniert nun wie erwartet und ich kann alles erreichen. Kurz den AP konfiguriert und da klappt auch alles auf Anhieb.

vielen Dank an alle die mich unterstützt haben. Vor allem @ph0x , danke für deinen Input und deine Geduld.

euch allen ein frohes Osterfest und bleibt gesund!
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!