OPNsense Forum
International Forums => German - Deutsch => Topic started by: magicas on December 01, 2023, 11:36:00 am
-
Hallo Leute!
ich habe eine laufende und gut funktionierende Opnsense mit der neuesten Software.
meine Hardware für die FW hat leider nur zwei NIC´s und lässt sich nicht erweitern.
Nun wollte ich da ja hardwaremässig keine trennung von verschiedenen Lan´s möglich ist,
das ganze per Vlan umsetzen.
Ich habe nach der Anleitung von Thomas Krenn https://www.thomas-krenn.com/de/wiki/VLAN_einrichten_unter_OPNsense (https://www.thomas-krenn.com/de/wiki/VLAN_einrichten_unter_OPNsense) meine Vlans angelegt.
Lan: 192.168.3.0/24
Vlan1: 192.168.200.0/24
Vlan2: 192.168.178.0/24
habe danach unter Dienste DHCPv4 jeweils ein Dhcp bereich definiert.
Das ist mein Stand.
Nun zu meinem Problem ich habe hinter der OPensense einen aktiven POE H3C S5120-52C-PWR-EI switch daran hängen.
Da für mich Vlan komplett neu ist habe ich keine Ahnung was ich nun an meinem Switch einstellen muss/kann das das ganze funktioniert.
Kann mir da jemand auf die Sprünge helfen?
-
Du musst auf dem VLAN-fähigen Switch mindestens den Port zur OpnSense als sogenannten "Trunk"-Port konfigurieren, also so, dass er untagged Pakete, sowie VLAN1 und VLAN2 (oder gleich alle VLANs) annimmt.
Dann kannst Du einzelne Ports so konfigurieren, dass sie nur noch untagged (LAN), VLAN1 oder VLAN2 nutzen und somit die einzelnen Ports den Netzen zuordnen. Falls Du Access Points einsetzt oder Switches kaskadierst oder einen Server einsetzt, der z.B. virtuell mehrere VLANs ansprechen können soll (z.B. VMware oder Proxmox Host), dann würdest Du dafür jeweils auch Trunk Ports nehmen, damit das Endgerät sich die (V)LANs selbst aussuchen kann.
Man kann sich VLANs einfach wie separate Stränge vorstellen, wo man Ports jeweils draufschaltet. Trunk Ports werden eben auf alle Stränge geschaltet. Standardmäßig sind Ports entweder Trunk oder Untagged, hängt vom Switch ab.
Für Deinen konkreten Switch ist das hier beschrieben (https://downloadcdn.h3c.com/en/201308/28/20130828_1658628_99-book_795244_1285_0.pdf). Ist aber hartes Brot, da der Switch offenbar nur über die Kommandozeile zu konfigurieren ist.
-
Vielen Dank für deinen Denkanstoss!
Ich werde es einmal ausprobieren mit der Konfiguration.
Es gibt bei diesem Switch aber auch eine WEB-Gui ich denke das es dann nicht ganz so schlimm ist.
ich melde mich wie weit ich damit komme.
-
Noch was wichtiges, zur OPNsense sollte der Trunk grundsätzlich nur getagged Traffic schicken.
Für das Native-VLAN (also das Untagged) sollte man irgend ein unbenutztes nehmen (z.B. 1000 oder so)
Danach alle Tagged (1,2,3,4 etc...). Also auch das "normale" LAN taggen.
Auf der OPNsense sind dann nur die getaggten VLANs konfiguriert, das ungetaggte Parent Interface macht nichts.
Ansonsten kann man richtig komische Fehler bekommen. (z.B. plötzlich haben alle Hosts in allen VLANs IPv6 Adressen aus jedem anderen VLAN)
-
hab jetzt die Einstellungen vorgenommen so wie ich dachte das es richtig ist.
bekomme aber jetzt auf dem Port 31 keine IP zugewiesen von der Sense
port 2 ist mein Übergabeport "trunk"
-
Ist es nur die DHCP-Zuweisung, die nicht funktioniert oder IPv4 insgesamt? Also z.B. statisch IP aus dem Range vergeben, Ping auf Interface-IP der OpnSense.
Firewall testweise ausgeschaltet?
-
Neeee.... so wird das nix :)
Erst mal muss uns klar werden, wie das bei Dir aktuell ist und wie es aussehen soll. Was ist WAN? Was ist LAN? Du willst ein weiteres Netzwerk als VLAN einrichten auf der LAN-Seite, richtig? Dann reicht es, dieses Netz als VLAN zu bauen, das andere LAN bleibt wie es ist.
Nochmal grundsätzlich zur Erklärung (leider verwenden die Switch-Hersteller uneinheitliche Begriffe):
VLAN-Erkennung basiert auf einem sogenannten "VLAN-Tag". Derjenige, der ein NEtzwerkpaket empfängt, kann anhand des Tags erkennen, zu welchem VLAN das Paket gehört. Das gilt eingehend.
Ausgehend ist es so, dass der Switch (bzw. OPNSense) wissen muss, zu welchem VLAN das Paket, was er gerade versenden will gehört. Dementsprechend setzt er das Tag.
Es gibt also bei Switchen normalerweise nur drei mögliche Konfigurationen pro VLAN:
"Untagged" - Das Paket wird ohne ein Tag gesendet, eingehende Pakete bekommen das VLAN-Tag
"Tagged" - Das Paket bekommt ein Tag und wird gesendet, eingehende MÜSSEN das richtige VLAN-Tag haben, sonst wird dieses Paket nicht diesem VLAN zugeordnet.
"Forbidden" - Wenn ein Paket mit Tag reinkommt, wird es verworfen.
Und in dieser Konfiguration können Switch- und OPNSense Port sein.
Ich nehme mal die Glaskugel und vermute, dass Du auf Deiner LAN-Seite drei Netzwerke haben möchtest?
Dann konfigurierts Du eine Schnittstelle als "normal", also ohne VLAN-Konfiguration.
Dann gehst Du bei der OPNSense unter Schnittstellen in "Andere Typen" - "VLAN" und erstellst ein VLAN, vergibst also die Nummer und ordnest dem VLAN ein "Parent" zu, also Deine physikalische LAN-Karte.
Dadurch hast Du dann folgendes:
LAN - kein Tag - eingehende Pakete ohne Tag werden diesem VLAN zugeordnet, ausgehende Pakete bekommen keinen Tag (ist meist VLAN 1).
VLAN200 - Tag 200 - Ausgehende Pakete bekommen Tag 200 - eingehende mit Tag 200 werden akzeptiert
VLAN178 - Tag 178 - Ausgehende Pakete bekommen Tag 178 - eingehende mit Tag 178 werden akzeptiert
Nun muss Dein Switch Port noch passend konfiguriert werden. Also der Port, an dem das Kabel Deiner LAN-Schnittstelle in den Switch geht. Ich vermute Port 31.
Den musst Du so genauso konfigurieren:
Untagged - LAN bzw VLAN1
VLAN200 als Tagged
VLAN178 als Tagged
Das sollte dann schon mal passen (BTW: der Switch muss keine Netzwerkadresse zum Management in diesen VLANs bekommen!)
Und jetzt musst du aufpassen, wie Du die anderen (!) Ports konfigurierst, die Teil der VLANs sein sollen:
Die Ports im LAN:Untagged (VLAN1), die beiden anderen VLANs forbidden
VLAN200 - Untagged 200, VLAN1 und VLAN178 forbidden
VLAN178 - Untagged 178, VLAN1 und VLAN200 forbidden
Idee ist, dass Deine Endgeräte garnicht mitbekommen, dass sie in einem anderne VLAN hängen (und deshalb auch keinen Tag setzen). Das Taggen übernimmt der Switch.
Und jetzt Begrifflichkeiten:
"Trunk" ist oft gemeint, dass der Switch VLANs akzeptiert (die man dann noch definieren muss, welche Tagged und welche Untagged oder Forbidden sidn).
"Access" meint, dass der Switch auf diesem Port nur ein VLAN akzeptiert, die Pakete ungetagged raussendet, eingehende Pakete bekommen aber das konfigurierte VLAN-Tag.
Hilft das?
/KNEBB
-
Dadurch hast Du dann folgendes:
LAN - kein Tag - eingehende Pakete ohne Tag werden diesem VLAN zugeordnet, ausgehende Pakete bekommen keinen Tag (ist meist VLAN 1).
VLAN200 - Tag 200 - Ausgehende Pakete bekommen Tag 200 - eingehende mit Tag 200 werden akzeptiert
VLAN178 - Tag 178 - Ausgehende Pakete bekommen Tag 178 - eingehende mit Tag 178 werden akzeptiert
Und genau das sollst du bei einer OPNsense und FreeBSD eben nicht.
Du fährst auf einem Trunk Port am besten keinerlei untagged Frames. Also auch dein LAN sollte ein VLAN mit Tag sein. Isso. Kannst du hier im Forum ohne Ende nachlesen. Glaub bitte Leuten, die seit 30 Jahren FreeBSD machen ...
-
Isso. Kannst du hier im Forum ohne Ende nachlesen. Glaub bitte Leuten, die seit 30 Jahren FreeBSD machen ...
::) Du willst mir also sagen, dass BSD sich nicht an seit 9 Jahren (https://standards.ieee.org/ieee/802.1Q/5801/) NICHT an die Industriestandards 802.1Q hält? :o
Ich kenne solche Erfahrungen grundsätzlich, aber ist das wirklich noch immer so? Kann ich mir nicht vorstellen (und funktioniert hier auch einwandfrei).
/KNEBB
-
BSD hält sich natürlich an die Standards. Es kann das auch alles. Sobald aber weitere Software ins Spiel kommt, die evtl. die Netzwerkkarte in den promiscuous mode schaltet, kann es zu "lustigen" Effekten kommen. Z.B. dazu, dass Clients in einem tagged VLAN mit dem DHCP Server im untagged VLAN sprechen.
Von Zenarmor oder anderen IDS-Lösungen gar nicht zu reden.
Daher die Empfehlung, auf einem Trunk Port grundsätzlich alles tagged zu fahren. Trunks sind Trunks und Access Ports sind Access Ports. Es gibt keinen Grund für die Existenz eines "native VLAN". Meine Meinung. Und ich fahre das auch im RZ auf Cisco-Geräten seit über 20 Jahren so. Untagged gibt es auf Trunks nicht.
Wer immer das in den Standard gebaut hat, gehört erschossen ;)
-
Hallo Leute!
Bitte nicht streiten wegen so einem Problem.
nochmals zu meinem Problem.
an einem angeschlossenem Rechner an Port 31 (der soll eines der 3 Lans sein) bekomme ich keine IP nur eine private.
Wenn ich nun eine IP vorgebe (192.168.200.55) kann ich den switch pingen aber sonst auch nichts.
zu meinen Bezeichnungen WAN = Internet; Lan=normales internes Netz.(192.168.3.0/24 Sense 192.168.3.1)
Ich hatte mir das so vorgestellt das die Sense an den H3C switch (port 02) reingeht, ich dann diverse Ports für das/die Vlans definiere und an jeweils diesen Ports unmanaged 8 Port switche hänge. In dem jetzigen Fall also Werkstatt auf Port 31.
-
Moin,
es steht alles oben. Lies das erneut durch und schalte Deine Sitch Prots entsprechend.
Der Port, an dem die OPNSense hängt, muss das 200er VLAN als "Tagged" akzeptieren. Zusätzlich zu dem normalen untagged LAN. (Ggf. wie empfohlen, auch das LAN taggen.)
Dann wird er es auch auf den "Access" Prot 31 im VLAN200 weiterreichen.
/KNEBB
-
Du willst mir also sagen, dass BSD sich nicht an seit 9 Jahren (https://standards.ieee.org/ieee/802.1Q/5801/) NICHT an die Industriestandards 802.1Q hält? :o
Läuft hier auch so ohne Probleme auf der anderen *Sense, die ja bekanntlich ebenfalls FreeBSD nutzt. Hauptargument, was ich dort dagegen höre, ist, dass es schlechte Switche gab oder gibt, die das nicht sauber getrennt haben.