Hallo,
aktuell habe ich physische 3 Interfaces (ohne VLAN). Jedes Interface ist mit einem "untagged" Switch-Port (UniFi) im entsprechenden VLAN verbunden. Es funktioniert alles wie gewünscht.
Ist dies der richtige Weg, oder sollte ich die VLANs bereits auf der OPNsense erstellen und entsprechend beim Switch auf einen "tagged" Port (UniFi z.B. "All") gehen?
Was wären Vor- oder Nachteile der jeweilige Variante?
Hallo,
du richtest in der OPNSense deine VLANs ein mit allen Infos, IP-Bereich, DHCP usw.
Im Unifi-Controller legst du dann ebenfalls VLAN-Netze an und zwar mit "VLAN only", mehr Daten brauche da nicht eingetragen werden.
Diese VLAN's werden dann auch direkt zu den Switch-Profilen und das Profile weisst du dann den Switchports zu, die in das entsprechede VLAN sollen. Der Rechner bekommt dann aus dem VLAN per DHCP seine IP usw. zugewiesen.
Bei Switchports zwischen den Switchen oder zwischen Switch und OPNSense oder WLan-AccessPoint bleibt das Profile auf "All"
Ich habe zwischen dem Unifi-Switch und der OPNSense eine LAN-Verbindung ohne VLAN ( VLAN 0 oder Management-LAN wo alle Unifi-Teile drin hängen ) und eine mit 3x1 GBit als LACP mit allen VLANs drauf.
Irgentwo hatte ich mal gelesen, das die OPNSense bzw. das FreeBSD darunter, Probleme mit "tagged" und"untagged" auf einem Interface hat, wobei ich das anfangs alles über eine Interface hatte und das keine Problem gemacht hat. Vermuttlich ist das Problem auch schon gefixed
Danke für die Umfangreiche Antwort.
Die Konfiguration ist und war kein Problem und es läuft ja auch alles wie gewünscht.
Die Frage war nur, ob es irgendwelche Vorteile mit sich bringt, das Tagging bereits auf der OPNsense zu machen oder erst ab dem Switch.
Die Probleme mit FreeBSD und Tagging habe ich auch mitbekommen, deshalb die Frage.
Ich habe aber auch, wie Du bereits schreibst, Interfaces mit mehreren VLANs und die funktionieren auch problemlos.
Dann werde ich wohl dabei bleiben, untagged auf den Switch zu gehen und dort erst mit VLANs zu starten.
Danke.
Auf der OPNnsense taggen skaliert besser. Wenn man statt 3 vielleicht 10 VLANs hat.
Man kann dann auch ein Linkaggregation Interface unter die VLANs legen und hat so Redundanz.
Wenn du nur die 3 hast und das so bleibt, sehe ich keinen Vorteil außer dem Lerneffekt.
Quote from: Adm1n-1337 on September 22, 2022, 12:43:40 PM
Die Probleme mit FreeBSD und Tagging habe ich auch mitbekommen, deshalb die Frage.
Ich habe aber auch, wie Du bereits schreibst, Interfaces mit mehreren VLANs und die funktionieren auch problemlos.
Dann werde ich wohl dabei bleiben, untagged auf den Switch zu gehen und dort erst mit VLANs zu starten.
Das Problem sind nicht mehrere VLAN's auf einem Interface sondern VLAN und eine "Nicht-VLAN" Schnittstelle auf einem Interface zu legen.
Bei Unifi währe das eben das Management-LAN mit VLAN-ID 0
Aber wie gesagt, ich hatte das auch einige Zeit und keine Probleme.
Was besser ist ? Gute Frage. Ich finde es übersichtlicher, die VLAN-Konfig komplett auf der OPNSense zu machen mit allem was dazu gehört ( IP-Netz, DHCP, DNS-Zuweisung, usw. ) und die Unifi-Seite nur das reine Zuweisen der Switch-Pofile zu überlassen, weil groß konfigurieren mit IP-Pools usw. kannst du dort dann eh nicht. Dann braucht es ja einen Router von denen ( UDMPro etc. ) - kurz gesagt, besser nicht auf Unifi sondern nur auf der OPNSense, die kann das eh besser. :-)
Danke für die Antworten.