Nach einer weiteren umfangreichen Debugging-Session konnte ich das Problem sehr klar eingrenzen. Hierzu habe ich auf dem Switch Port Mirroring aktiviert und mit Wireshark beobachtet, was dort so passiert. Anschliessend habe ich pfSense und das Arris-Geraet neu gestartet.
Vorab moechte ich sagen, dass ich es nach dem Reboot beider Komponenten nicht mehr hinbekommen habe, dass die pfSense-Firewall erfolgreich irgendeine Antwort von der Arris-Box bekommt - ohne, dass sich irgendeine Komponente geaendert haette - dass dies ein Timing-Problem ist, wird noch deutlich.
Auffaellig war, dass ich alle drei Sekunden zwei Frames mit dem Ethertype 0x8899 - "Realtek Layer 2 Protocols" gesehen habe, adressiert an die Broadcast-MAC ff:ff:ff:ff:ff:ff. Nach kurzer Recherche stellt sich heraus, dass diese Frames ein uebliches Phaenomen bei verschiedensten Switches mit Realtek-Chipsatz sind und der L2 Loop Detection dienen.
Um die Situation weiter einzugrenzen, habe ich das Szenario Arris <=> Switch <=> Laptop getestet, dabei waren die beiden genutzten Ports isoliert in ihrem eigenen VLAN. Nach Neustart des Modems habe ich lange gewartet, bevor ich den Laptop angeschlossen habe, damit die Chance erhoeht wird, dass der erste Frame, welchen die Arris-Box sieht, vom Switch kommt. Nach Anschluss des Laptops bekam ich auch in diesem Szenario keine Public IP auf dem Laptop.
Dann habe ich den Switch gegen einen anderen getauscht, der keine L2 Loop Detection-Frames sendet. Mit diesem Switch habe ich genau das gleiche Szenario wiederholt - mit dem Ergebnis, dass ich auf dem Laptop eine Public IP-Adresse bekommen habe.
Zuletzt habe ich zur weiteren Validierung einen Test gemacht, bei dem ich wie im 1. Szenario den Switch mit Realtek-Chip an die Arris-Box angeschlossen habe, mit dem Ergebnis, dass ich am Laptop wie gehabt keine IP bekomme. Dann habe ich den Switch entfernt und statt dessen den Laptop direkt an den Port der Arris-Box angeschlossen - wieder keine IP-Adresse.
Und nun der entscheidende Teil: Nachdem ich mittels MAC Cloning die MAC-Adresse des Laptops auf die MAC-Adresse des Switches gesetzt habe, hat der Laptop sofort eine Public IP erhalten. Nach Umkehr der Massnahme nicht mehr.
Damit ist mit sehr hoher Wahrscheinlichkeit davon auszugehen, dass das Arris-Geraet nach dem Booten die Quell-MAC des ersten empfangenen L2-Frames speichert und anschliessend nur noch mit dieser MAC-Adresse redet.
Ich moechte deutlich hervorheben, dass dies kein Problem des Switches ist, sondern ein Interoperabilitaetsproblem auf Seiten der Arris-Box - dieses Verhalten fuehrt zu Funktionsstoerungen in Netzwerken, die gewoehnliche L2-Hardware einsetzen. So koennte ich z.B. auch Broadcom-Switches verwenden, welche fuer Discovery-Zwecke L2-Broadcasts mit Ethertype 0x888A senden und haette das gleiche Problem.
Aus meiner Sicht darf die MAC-Adress-Filterung erst aktiv werden, wenn z.B. eine Adresse mittels DHCP zugeteilt worden ist. Bis dahin kann ja dennoch jeder L2-Traffic gefiltert werden, um das Segment nicht mit unnoetigen Paketen zu "belasten". Mir ist auch klar, dass das nicht mal eben so umgesetzt wird.
Dennoch erwarte ich seitens Vodafone irgendeine Art von Loesung (inzwischen ist auch ein Ticket dazu offen), zumal dieses praxisfremde Verhalten auch nicht in der Leistungsbeschreibung definiert ist.
