Hilfe bei einem komplexeren VLAN Setup mit Gluon

Technik Gluon
1

Hallo,
ich bastele hier gerade an etwas, dass zugegebenermaßen an ziemlich jeder Empfehlung vorbei geht mit eigenem LAN (untagged VLAN), Freifunk Mesh (VLAN 142), und Freifunk Client (VLAN 42) Netz in einem geswitchten Ethernet. Mein Problem ist, dass offenbar BATADV und zumindest die ARP Request aus dem Freifunk Client Netz auch untagged übertragen werden und somit auch nochmal über mein privates WLAN wandern. Vielleicht hat ja jemand eine Idee, basierend auf den Informationen unten.
Ich habe schon versucht mit tcpdump und Zählern versucht herauszufinden wo das Problem liegt, aber kam nicht weiter. Außerdem kann ich in die Switch Chips nicht hinein sehen.
Falls ihr so nicht weiterkommt aber helfen möchtet, kann ich auch gerne mal ins RZL o.ä. kommen und wird sehen Remote drauf.

Danke und Gruß
Torsten

Kurz zum Aufbau:

FritzBox 6490 (Unity Media) (Privat WLAN AP, SIP "Gateway")
   I- FritzBox 7490 (Bridge Mode, war mal T-DSL, jetzt nur noch VOIP -> ISDN und DECT, sowie Privat WLAN AP)
   I- FritzBox 7390 (Freetz, Bridge Mode, ISDN->Analog für Fax, sowie Privat WLAN AP, DECT Repeater)
      I- Drucker
      I- TL-WR1043ND (Freifunk, sowie Privat WLAN AP)
         I- Workstation
         I- Manchmal Notebooks, Pad über Kabel
      I- TL-WR841N (Freifunk, sowie Privat WLAN AP)
         I- Smart TV
         I- Manchmal Notebook, Pad über Kabel

Die Bridge auf TL-WR1043ND sieht folgendermaßen aus:

bridge name  bridge id         STP enabled  interfaces
br-client    7fff.c46e1fa11d8a yes          eth0.42 eth1.42 bat0 client0
br-wan       7fff.c66f1fa11d8a yes          eth0.1 eth1.1 PrivatWLAN

“batctl if” liefert auf TL-WR1043ND:

eth1.142: active
eth0.142: active
mesh-vpn: active
ibss0.142: active

Auf TL-WR841N sieht die Bridge so aus:

bridge name    bridge id         STP enabled interfaces
br-client      7fff.e894f629fabe yes         eth0.42 eth1.42 bat0 client0
br-wan         7fff.ea95f629fabe yes         eth0.1 eth1 ZinnUndKnodt

“batctl if” liefert auf TL-WR841N:
eth1.142: active
mesh-vpn: active
mesh0: active

swconfig auf TL-WR841N:

Global attributes:
        enable_vlan: 1
Port 0:
        pvid: 0
        link: port:0 link:up speed:1000baseT full-duplex txflow rxflow 
Port 1:
        pvid: 1
        link: port:1 link:down
Port 2:
        pvid: 1
        link: port:2 link:down
Port 3:
        pvid: 1
        link: port:3 link:down
Port 4:
        pvid: 1
        link: port:4 link:down
VLAN 0:
        vid: 0
        ports: 0t 
VLAN 1:
        vid: 1
        ports: 0t 1 2 3 4 
VLAN 2:
        vid: 42
        ports: 0t 
VLAN 3:
        vid: 142
        ports: 0t

swconfig auf TL-WR1043ND:

Global attributes:
        enable_vlan: 1
        enable_mirror_rx: 0
        enable_mirror_tx: 0
        mirror_monitor_port: 0
        mirror_source_port: 0
        arl_table: address resolution table
Port 0:
        enable_eee: ???
        pvid: 0
        link: port:0 link:up speed:1000baseT full-duplex txflow rxflow 
Port 1:
        enable_eee: 0
        pvid: 1
        link: port:1 link:down
Port 2:
        enable_eee: 0
        pvid: 1
        link: port:2 link:down
Port 3:
        enable_eee: 0
        pvid: 1
        link: port:3 link:down
Port 4:
        enable_eee: 0
        pvid: 1
        link: port:4 link:up speed:1000baseT full-duplex txflow rxflow eee100 eee1000 auto
Port 5:
        enable_eee: 0
        pvid: 1
        link: port:5 link:up speed:1000baseT full-duplex txflow rxflow auto
Port 6:
        enable_eee: ???
        pvid: 0
        link: port:6 link:up speed:1000baseT full-duplex txflow rxflow 
VLAN 1:
        vid: 1
        ports: 1 2 3 4 5 6t 
VLAN 2:
        vid: 42
        ports: 0t 1t 2t 3t 4t 5t 
VLAN 3:
        vid: 142
        ports: 0t 1t 2t 3t 4t 5t
2

Leider ist es etwas schwer dir da eine genaue Antwort zu geben. Welche Firmware Version hast du bei dir am laufen? Diese Werte dürften sich nämlich mit dem Update auf 0.5.12 all ändern.

Mal noch ne andere Frage zu deinem Setup, wie hängt die Workstation da dran und in welchem Netz? Und was genau soll das Ziel deines Setups sein? Einfach nur jeden Typ in ein eigenes VLAN packen und dann durch die gegen switchen können? Oder etwas anderes?

[Ich hab das Thema in einen eigenen Thread gepackt, da wir dafür kein 8 Monate altes nicht 100% passendes Thema verwenden sollten.]

3

Ich habe das nicht im Detail kontrolliert, aber wenn Du auf beiden Knoten das Client-LAN in dasselbe VLAN packst, baust Du dann nicht eine loop?

4

Doch, da gäbe es eine Loop. Ich glaube eine Grafik wie du @torsknod dir das vorstellst inkl. VLANs, was wo wie dran hängt etc. wäre gut. Am besten wir arbeiten damit klar heraus was genau du erreichen willst und dann gucken wir in einem weiteren Schritt, wie genau du das umsetzen könntest.

5

Ich habe bei mir in etwa folgendes vor:

IMG_20160912_104518.jpg1674×1242 331 KB

6

Die Loop dachte ich mit dem aktivierten Spanning Tree Protocol auf den Brücken zu vermeiden. Das kann ich aber prüfen, indem ich einen einzelnen Ping sende und sehe wie viele an den einzelnen Stellen ankommen, oder? Wenn ja, prüfe ich das heute Abend mal.

@tobox Die Grafik mache ich auch heute Abend. Ich hatte gehofft, dass der Verkabelungsbaum in meinem Post ausreicht.

@leah Noch ist 0.5.11 drauf, wobei Auto Update auf Stable aktiv ist. Die Workstation hängt per LAN an dem TL1043ND mit DHCP auf einem untagged Interface. Testweise habe ich dort aktuell aber auch mit vsetup die tagged VLANs 42 (Client) und 142 (Mesh) drauf. Ziel des Setups soll es sein, dass ich auf dem selben Kupfer außer dem normalen LAN auch das Mesh verteilen kann. Auf Dauer sollen es ein paar Router mehr werden um einige weiße Flecken im Haus bzw. dem Grundstück und bei ein paar Nachbarn abzudecken. Vorher möchte ich aber natürlich erstmal zwei Router halbwegs stabil am laufen haben. Client ist auf dem LAN, damit ich von fest verdrahteten PCs auch mal etwas im Freifunk machen kann. Teilweise gehe ich da einfach mal über eine andere IP auf meinen Server, wenn ich an der Firewall experimentiere. Es ist aber mehr Gimmick wie Anforderung.

7

Ähm, bitte aktiviere da nirgends Spanning Tree auf dem Client Netz. Das würde nämlich auch in unser übriges Netz verteilt und könnte dann dort zu Problemen führen. Also bitte mit Spanning Tree ganz ganz vorsichtig sein und das nur machen wenn du ganz genau weißt was du da tust und es sicher nicht in unser übriges Netz weitergeleitet wird (Aktuell würde das in deinem Setup nämlich passieren). Grundsätzlich sehe ich auch keinen Grund das Client Netz von mehren Stellen in das VLAN einzuspeisen.

Naja, du hast nur gesagt wo was dran hängt und nicht wo welches VLAN dran hängen soll, also an welchen Ports. Daher reicht dieser Baum nicht aus.

Dann wird sich da im laufe der nächsten 2 Tage eh einiges ändern. Du solltest also einfach warten bis die FW Version 0.5.12 durch ist.

Du hast deine Workstation permanent im FF Netz hängen? Oder schaltest du dann das VLAN um? Das sind so Kleinigkeiten die dann meistens doch wichtig sind. :)

Ich empfehle dir daher, unabhängig von dem was du oben schon geschrieben hast, eines der folgenden Setups.

Variante 1:
Du teilst den Switch (Gelbe LAN Ports) in Client Netz und Mesh auf. Dann gehst du von jeder Gruppe auf deinen Switch. Dort konfigurierst du einen Untagged Port der ausgehend alle VLAN Tags entfernt und eingehend entsprechende VLAN Tags auf die Pakete draupackt. Dann hast du die entsprechenden Netz in deinen VLANs und gut ists.

Variante 2:
Das ist auch die von Tobox und vermutlich dein Versuch von oben. Du konfigurierst die LAN Ports so, dass du Client Netz und Mesh Netz an den LAN Ports auf entsprechende Tagged VLANs legst. Das geht ab Version 0.5.12 auch einfacher da wir da kein VLAN mehr für das Mesh vorgeben und es untagged läuft (ist btw. auch ein Vorteil bei Variante 1). Dann das Ganze an einen Tagged Port des Switches auf dem alle VLANs konfiguriert sind.

Grundsätzlich sind beide Änderungen aktuell nicht Firmware Upgrade sicher. Sprich nach einem Update wären sie verloren. Das müsste daher deaktiviert und von dir manuell durchgeführt werden.