Hallo,
ich bin jetzt von einer Virtualisierten pfSense auf eine OPNsense Hardware Firewall umgestiegen.
Aktuell habe ich mein Netzwerk so geplant, dass es 8 VLANs gibt (kleine Büro artiges Netz mit verschiedenen Test VLANs).
In meiner Virtualisierten Firewall habe ich einfach für jedes VLAN ein virtuelles NIC eingebunden, der Virtuelle Switch vom Hypervisor hat einfach ein Trunk Port mit dem Switch realisiert.
Nun hat die Firewall 2x SFP+ Ports welche jeweils an einen Switch gehen, ich hätte gerne hier auch wieder einen Trunk Port um jeden VLAN an jedem Switch die 10G zu ermöglichen.
2x RJ45 Ports sind jeweils an ein WAN angebunden.
Jetzt zu meiner Frage: Wie realisiere ich das ganze?
Mein aktueller Ansatz war erstmal für die beiden SFP NICs jeweils jedes VLAN anzulegen (also sind das jetzt 16 Stück). Jetzt könnte ich nochmal 16 Interfaces in Form der VLANs hinzufügen, was aber ja glaube nicht ganz im Sinne des Erfinders ist oder?
Zusätzlich hätte ich gerne in jedem VLAN einen DHCP Bereich.
Hoffe, das Bild hilft auch nochmal zusätzlich, Endziel wäre es einfach an jedem SFP+ Port jedes VLAN zu realisieren.
Im Internet habe dazu auch nicht wirklich etwas gefunden was mir geholfen hat, gehe davon aus das ich mich grade also sehr dumm anstelle :D.
Danke für die Hilfe und sorry für die Wall of Text.
Der Switch ist gemanaged und kann LACP? Dann baust du aus den beiden Ports ein LAGG Interface und packst da deine VLANs drauf. So ist es gedacht.
Wenn der Switch kein LACP kann, kannst du die VLANs auf die beiden Ports verteilen, um ein wenig statisches Loadbalancing zu haben. Beide Ports parallel zu nutzen ist ohne LACP nicht ohne weiteres möglich.
Der gesamte LACP/LAGG-Port ist auf deinem Switch dann ein Trunk. Bei Cisco sieht das so aus:
interface Port-channel1
description OPNsense
switchport trunk native vlan 1001
switchport mode trunk
spanning-tree portfast edge trunk
!
interface GigabitEthernet0/15
description OPNsense
switchport trunk native vlan 1001
switchport mode trunk
spanning-tree portfast edge trunk
channel-group 1 mode active
!
interface GigabitEthernet0/16
description OPNsense
switchport trunk native vlan 1001
switchport mode trunk
spanning-tree portfast edge trunk
channel-group 1 mode active
Gruß
Patrick
Beide Switche sind gemanaged und können LCAP.
Gedanke wäre trotzdem, beide Switche jeweils mit einem Port an die Firewall anzuschließen und über die beiden Ports jeweils jedes VLAN zu realisieren.
Stand jetzt habe ich 16 VLANs (8 Stück, jeweils auf beiden Adapter), wie würde ich denn jetzt weiter machen oder ist der schritt schonmal generell falsch?
Eventuell muss ich mir das morgen einfach nochmal anschauen und weiter machen.
Ich habe im Internet zu ähnlichen Themen das gefunden: https://homenetworkguy.com/how-to/configure-vlans-opnsense/
Nach der Anleitung hätte ich aber 16 Interfaces, was jetzt auch nicht ganz das ist, was ich will.
Konkret würde ich gerne ein VLAN auf 2 NICs ,,mappen".
Das geht so nicht. Die Switche müssen dann Multi-Chassis-LACP können.
Du kannst es mit Brute Force hinbasteln, aber weder Performance noch Zuverlässigkeit werden dadurch besser. Die OPNsense ist ein Router, kein Switch. Die VLANs sind keine "Switch VLANs", in die man mehrere Ports packen kann sondern getaggte Sub-Interfaces.
Du müsstest also
- alle 16 VLANs auf beiden Ports je einmal anlegen
- jeweils das identische VLAN von beiden Ports in ein Bridge-Interface packen
- für alle 16 Bridge-Interfaces STP aktivieren, sonst fliegt dir dein Netz um die Ohren
- für alle IP-Adressen, Firewall-Regeln etc. dann die Bridge-Interfaces verwenden
10G über die Konstruktion kannst du vergessen, das ist dann alles Bridging in Software. Wie gesagt: das Teil ist kein Switch.
Router on a stick mit LACP und N VLANs funktioniert hervorragend.
Danke für die Erklärung.
Ja gut klappt dann wohl doch nicht so wie gehofft, MLAG können die Switches leider nicht.
Mir kommts jetzt nicht auf die vollen 10G an, aber eine gewisse Redundanz wäre schon optimal.
Ist das ,,Standard" unter Firewalls?
Wie realisiert man dann ein Redundanz? Nur durch MLAG?
Nur Switche kann man auch mehrfach mit Trunk-Ports zusammenschalten und das STP sorgt dafür, dass Schleifen automatisch eliminiert werden (Links werden desktiviert), und wieder aktiviert, wenn ein anderer Link ausfällt.
Interessant wird es immer dann, wenn man Server, Firewalls, Zeugs, das kein Switch ist, damit redundant verbinden will. Da geht dann nur LACP wirklich sinnvoll, wenn man auf Layer 2 bleiben will/muss.
Was man in einem Business-Umfeld macht, wenn man Redundanz braucht, aber kein Multi-Chassis LACP hat, ist, zwei Firewalls zu verwenden. Eine an je einen Switch. Und dann einen HA-Cluster. Wenn eine Firewall oder ein Switch ausfällt, übernimmt automatisch die andere Firewall.
Und dann kann man natürlich auch Layer 3 benutzen und redundant routen.
Wenn wir jetzt mal von Redundanz in Rahmen von meinem Plan / Setup reden.
Wie bekomme ich auf L3 ohne Bridge's eine Redundanz hin, wenn ich meinen 2. Switch nicht mit den VLANs an den FW bekomme?
Außer jetzt ein VLAN pro Port kann ich mir nichts herleiten.
Du hast doch nur eine Firewall. Weshalb müssen die Switche dann redundant sein? Auch einen Server kannst du ohne LACP nur an einen Switch anschließen ...
Klar geht hier nicht darum bis ins letzte Detail ein redundantes Netzwerk aufbauen, hängt ja auch nichts wirklich Kritisches dran.
Über die Unwahrscheinlichkeit das die Verbindung von Switch zu FW fehlerhaft ist brauchen wir auch nicht reden.
Bei der Geschichte mit dem Server wäre ich mir nicht zu sicher, wenn ich mich richtig entsinne, dürfte mit virtualisieren und einem virtuellen Switch an dem Host auch sowas möglich sein.
Ging mir jetzt mehr um die Theorie dahinter bzw. wie man das richtig machen würde, klar offensichtliche Antwort 2x FW.
Hätte es trotzdem irgendwie erwartet, dass es Produkte gibt, die sowas realisieren können, ohne direkt 2x FW zu benötigen.
Quote from: TaktischerSpeck on June 20, 2022, 10:43:17 PM
Bei der Geschichte mit dem Server wäre ich mir nicht zu sicher, wenn ich mich richtig entsinne, dürfte mit virtualisieren und einem virtuellen Switch an dem Host auch sowas möglich sein.
Richtig. VMware hat virtuelle Switche. Die kann man auch ohne LACP zusammenstöpseln. Normale Windows-Server oder OPNsense haben das nicht.
Die Sense hat einen "Switch" in Form des Bridge-Interfaces. Man braucht da aber pro VLAN eine, also 2 Ports x 16 VLANs + 16 Bridges mit je zwei VLANs und die Performance nach dem ganzen Aufwand wird eher mäßig wie schon geschrieben.
Der VMware vSwitch kann dagegen VLAN pro Portgruppe ...
Und wenn man vSphere richtig lizensiert hat, kann das Zeug sogar wieder LACP ;)