Hallo Zusammen,
ich habe mich kürzlich dazu entschieden eine OPNSense aufzusetzen, was auch ohne Probleme geklappt hat.
Jetzt wollte ich das Netzwerk mit Hilfe von VLANs etwas aufteilen und bin dabei über eine wie ich finde recht triviale Hürde gestoßen, denn ich bekomme es nicht hin einem VLAN neben dem Trun-Port einen dedizierten Access-Port zuzuweisen.
Soll heißen:
Ich habe zwei VLAN : 10 & 20
Beide sollen auf der (trunk) NIC eno3 tagged laufen.
VLAN 20 soll aber zusätzlich auch auf eno4 untagged (access) laufen, und genau da ist mein Problem.
Beide VLANs sind schon angelegt mit eno3 als parent, mein NAS möchte ich aber ungern über den Switch an eno3 anschließen.
Wäre super wenn mir da jemand einen Tipp geben kann wie ich einen zusätzlichen Access-Port für VLAN 20 konfigurieren kann.
Besten Dank schon mal!
> VLAN 20 soll aber zusätzlich auch auf eno4 untagged (access) laufen, und genau da ist mein Problem.
Warum das denn? Das liest sich ein wenig wie ein Rezept für Desaster?
> Beide VLANs sind schon angelegt mit eno3 als parent, mein NAS möchte ich aber ungern über den Switch an eno3 anschließen.
Warum? Ein Switch ist im Normalfall schneller als ein Gerät was zusätzlich filtert und routet. Was ist dann der effektive Gewinn das NAS statt an den Switch -> alles läuft über die Firewall - dann an einen zusätzlichen FW Port zu hängen? Es läuft wieder alles über die Firewall also nichts wirklich gewonnen?
Zudem hast du dann eben genau das Problem dass du die gleiche VLAN ID bzw. das Subnetz hier seltsam bridgen müsstest. Das klingt irgendwie eben nicht sinnvoll daher die freundliche Nachfrage, was genau das tun soll? :)
Cheers
Ich seh dein Problem nicht, Jens. Eine Bridge in FreeBSD oder Linux ist ein vSwitch und funktioniert normalerweise ganz prächtig. Man müsste also das VLAN-Interface mit dem anderen Port über eine Bridge verbinden und dann unter Assignments das logische Interface der Bridge zuweisen statt dem VLAN. Fertig.
Was mich etwas irritiiert, sind die Device-Bezeichner. Was sind denn das für Ethernet-Karten? enoX sieht mehr nach Linux als nach FreeBSD aus.
> Was mich etwas irritiiert, sind die Device-Bezeichner. Was sind denn das für Ethernet-Karten? enoX sieht mehr nach Linux als nach FreeBSD aus.
Das zum Einen - irritierte mich auch. Ich kenne höchstens em0/emX oder en0/enY Interfaces noch
> Ich seh dein Problem nicht, Jens.
Ich hab nur ein Problem mit der Logik die ich nicht sehe. Nicht mit der Bridge per se auch wenn ichs immer noch komplett widersinnig finde mit Bridging auf der Firewall rumzubasteln und sich ggf. auszusperren ;) wenn man eh nen Switch mit Trunk hintendran stehen hat. Macht für mich für einen sauberen Netzaufbau keinen Sinn. Zumal: wenn du eh zwei Ports am Start hast die theoretisch frei sind auf der Firewall - warum nicht simpel einen ins VLAN10 und einen ins VLAN20 vom Switch reinhauen, zack beide mit Gigabit am Start, keine Performance Engpässe und alles ist in Butter.
So hat man ein Trunk bei dem sich 2 VLANs das Gigabit teilen und einen extra Port an dem per Gigabit ein NAS hängt, was dann irgendwie ins andere Interface:VLAN reingebridged wird wegen - warum? - und bei dem sich trotzdem auf dem Trunk IF die Geräte auf der einen NIC konzentrieren und sich mit allen VLAN10+20 Devices die über den NIC gehen den Traffic teilen. Ich hoffe du kannst mein ? überm Kopf jetzt sehen/verstehen ;)
Mir gehts da weniger um die Bridge. Ja das kann man seit FBSD13 toller machen. Bin ich Fan davon? Nö ich würde es vermeiden wo ichs nicht brauche. Ist aber jetzt hier gar nicht das eigentliche Problem, sondern dass ich den Sinn nicht verstehe, den es bringt das NAS direkt gebridged zu einer anderen NIC mit geteilten VLANs/Trunk drauf rüberzubasteln weil es weder aus Performance noch aus - viel wichtiger - Debugging und Struktursicht für mich grade Sinn macht. :)
Deshalb die Nachfrage um etwas Licht ins Dunkel zu bringen :D
Siehste ... und schon stimme ich dir wieder zu. ;D
Router routen, Server serven, ...
(ein gewisser Detlef Bosau, damals in den Ardennen)
Lässt sich auf Firewalls firewallen, Switche switchen, ... erweitern.
Danke für eure Antworten!
Dann muss ich wohl doch weiter ausholen, meine vorherige Beschreibung war abstrahiert um lediglich mein Vorhaben zu erläutern.
Meine OPNSense läuft in einer Proxmox VM welcher ich sogar vier NICs per PCI zugewiesen habe und eine virtuelle NIC.
Eine zweite VM beherbergt Ubuntu Server mit verschiedenen Diensten welche auch eine virtuelle NIC an der gleichen vmbr hat wie die vNIC der OPNSense.
Diese beiden vNICs sollen im VLAN 99 sein und in eben dieses VLAN soll jetzt auch mein NAS aber eben ohne den Umweg über den Switch wenns geht.
Habt ja im Prinzip recht, an sich sollte man den Switch switchen lassen, aber hier von einem phy. Switch zur (v)OPNSense über einen vmbr zum Ubuntuserver und zurück kommt mir recht unelegant vor.
Spiele jetzt schon mit dem Gedanken der OPNSense eine phy. NIC weg zu nehmen um diese wiederum an die besagte vmbr zu koppeln um auf diese weise mein NAS ins VLAN 99 zu bekommen.
Bin weiterhin offen für andere Vorschläge, das mit der Bridge innerhalb der OPNSense fühlt sich auch nicht so richtig an wenn ich es schon eine Ebene drüber machen kann.
LG
Dann mach VLANs und vSwitch doch in Proxmox und gib OPNsense lediglich virtuelle Interfaces ... würde ich in ESXi so machen, Proxmox habe ich nicht.
genau so werde ich es vermutlich auch machen.
Aber mal aus Interesse,
deinen zuerst genannten Lösungsweg über eine Bridge in OPNS habe ich nicht ganz verstanden bzw ist mir die Umsetzung nicht klar. Magst du das etwas näher beschreiben?
(Da ich neu in der *Sense Welt bin und man ja nicht wissen kann wofür es mal gut sein wird :D)
Layer 2:
FreeBSD Bridge --+--> phys. Schnittstelle
|
+--> VLAN --> andere phys. Schnittstelle
Und die Layer 3 Zuweisung wie z.B. "LAN" oder "OPT1" machst du dann auf die Bridge - Interfaces > Assignments.
Wie gesagt, FreeBSD hat einen vSwitch an Bord. Der kann nur keine VLANs. Aber man kann damit N Ports zusammenbridgen.