Servus, ich habe ein paar Fragen zur Grundsätzlichen Einrichtung der LAN-Schnittstellen in Verbindung mit VLANs. Meine OPNsense hat 5 LAN-Schnittstellen und 3 WAN-Schnittstellen (8 Ports Gesamt)
igb0 - LAN1_Management
vlan0.0.10 - LAN1_VLAN_Management (VLAN-ID 10)
igb1 - LAN2_Server
vlan0.1.11 - LAN2_VLAN_Server (VLAN-ID 11)
igb2 - LAN3_Clients
vlan0.2.12 - LAN3_VLAN_Clients (VLAN-ID 12)
igb3 - LAN4_Sonstiges
vlan0.3.20 - LAN4_VLAN_Telefon (VLAN-ID 20)
vlan0.3.30 - LAN4_VLAN_Kameras (VLAN-ID 30)
igb4 - LAN5_WLAN
vlan0.4.100 - LAN5_VLAN_WLAN_Firma (VLAN-ID 100)
vlan0.4.200 - LAN5_VLAN_WLAN_Gaeste (VLAN-ID 200)
Fragen:
Das VLAN-10 soll mein "LAN_Management" sein.
Auf 5 Netzwerkswitchen verbinde ich jeweils den Port1 physikalisch mit LAN1 und binde das "VLAN 10" auf den Port1. Die LAN1-Schnittstelle hat ja normalerweise eine feste IP-Adresse und die "VLAN10-Schnittstelle" hat auch eine feste IP-Adresse. Bei beiden Schnittstellen ist auch ein DHCP-Server hinterlegt. Benötige ich überhaupt eine IP-Adresse auf der physikalischen LAN1-Schnittstelle wenn ich das Management für alle Geräte über VLAN betreibe? Oder soll ich bei "IPv4 Konfigurationstyp" anstatt "Statisches IPv4" auf "Keines" umstellen und DHCP ausschalten?
Das VLAN-100 und 200 soll mein WLAN für Firma und Gäste sein.
Alle Ubiquiti Geräte (Switche + Access-Points + Controller) sollen über das "LAN_Management" angeschlossen und verwaltet werden, welches sich physikalisch auf LAN1 an der OPNsense befindet.
Die WLANs mit der VLAN-ID 100+200 befinden sich physikalisch auf LAN5.
Wie müssen die Ports an den Ubiquiti Switchen programmiert sein, damit das klappt?
Auch hier hat die LAN5 Schnittstelle ja eine andere IP-Adresse als die zwei unter ihr angelegten VLAN-Schnittstellen 100+200. Über "Switch Port Profiles" im UniFi Controller kann man die VLAN-IDs den einzelnen Ports am Switch zuweisen. Mich verwirren die Einstellungen "Native Network" und "Tagged Networks". Ist das "Native Network" das "VLAN10_Management" Netzwerk, oder die physikalische LAN1 Schnittstelle an der OPNsense? Und bei "Tagged Networks" VLANs 100+200 auswählen oder auch die 10 VLAN_Management)?
Genauso auch die LAN-Ports 2+3+4. Die Profile verlangen immer ein "Native Network" und die dazu gehörigen "Tagged Networks". Wie ist das richtig einzustellen? Ist das "Native Network" ein "untagged" Netzwerk?
Wenn nur VLANs verwendet werden auf den Switchen, sind dann trotzdem Firewall-Regeln auf den physikalschen LAN-Schnittstellen anzulegen oder nur Regeln auf den VLAN-Schnittstellen?
Leider sind alle 5 Switche über 5 Gebäude verteilt und mit Glasfaserkabel untereinander verbunden (je 6 Glasfaserports von Switch zu Switch). Die Unifi Switche haben nur 1GBit SFP Ports sodass ich bei den meisten mit 5 Netzwerkports reinkomme (Trunks) und mit 5 Netzwerkports zum nächsten Switch weiter gehe. Sind also 10 Ports von 48 belegt nur für die VLANs Rein und Raus. 10GBit SFP-Ports wären besser gewesen, dann hätte ich nur 2 Ports belegt an jedem Switch für die VLAN-Trunks. Neue Switche sind aber zu teuer. Wegen der Bandbreite benötige ich die 5x 1GBit Schnittstellen von der OPNsense, denn es gibt noch 3 WAN-Schnittstellen an der OPNsense mit jeweils 1 GBit Glasfaser Internet. Ich benutze ca. 20 Umwandler/Medienwandler von 1GBit Glasfaser auf RJ45-LAN für die Trunks zwischen den Switchen.
Vorab schon Mal vielen Dank für die Hilfe.
Gruß, Thorsten
Hallo,
ich hab jetzt noch nicht so wirklich verstanden, warum du das so aufgebaut hast und nicht einfach den Unifi-Switchen die ganze Verteilung der VLAN überlässt.
Ich habs ähnlich aber kleiner aufgebaut, die OPNSense hat WAN 1 und WAN 2 ( aktuell noch nicht genutzt ) und 6 LAN-Port.
Davon hab ich LAN1 als Management-Netz genutzt und LAN2-4 als LACP mit allen VLAN's drauf und beide gegen zum Unifi-Switch dahinter ( Port-Profil "ALL" ), an dem Switch hängt ein weiterer Unifi-Switch ( Port-Profil "ALL" daziwschen ) und es hängen die WLAN-AccessPoints daran ( Port-Profile "ALL" )
Die SwitchPorts werden dann per Unifi-Controler ( läuft bei mir als Linux-Container auf Proxmox ) den VLAN zugewiesen und auch die WLAN-SSID den entsprechenden VLAN's.
Der Unifi-Controller kümmert sich somit nur um die Konfiguration der Unifi-Geräte und alles andere, DHCP, VLAN-Verwaltung, Firewall-Regeln usw. macht alles die OPNSense und ich kann problemlos Regeln für jedes VLAN erstellen und brauche mich nicht um die Hardware-Ports kümmern, da diese ja den VLAN-zugewiesen sind (bzw. umgekehrt )
OK, Du meinst ich könnte auch per LACP die 5 LAN Ports bündeln/zusammenfassen und alle VLANs auf der LACP-Schnittstelle einrichten. Das hätte den Vorteil der einfacheren Einrichtung und man kann dann wahlweise 2,3 oder auch 5 LAN-Kabel als TRUNK in die Switche stecken und so die gesamte Bandbreite von 5 GBit nutzen oder eben auch weniger z.B. 2 GBit wenn man nur 2 Ports steckt.
Wenn ich 5 GBit auf allen Switchen haben möchte bedeutet das trotzdem das ich an jedem Switch 10 Ports belege (5 Trunk-Ports IN und 5 Trunk-Ports OUT), oder?
Die Frage wäre auch, ob das LACP zuverlässig und stabil läuft oder ob damit Bandbreite oder Rechenleistung verloren geht bei der Bündelung der Ports?
Hallo,
ja ich hab 3 GBit-Ports als LACP gebündelt zum Unifi-Switch und darüber laufen alle meine VLan's.
Die Frage ist ja, brauchst du die Bandbreiten wirklich ?
Sind die Leitungen voll ausgelastet.
LACP läuft auf meiner OPNSense und den Unifi-Switch vollkommen problemlos, Performenceprobeme habe ich keine, die OPNSense langweilt sich eher gewaltig, ich liege beim CPU-Load unter 20%
Das mit dem LACP habe ich genauso vor. Das wird auch nicht die schwierigste Sache werden denke ich.
Eine Frage aber zu den VLANs wie hier geschrieben.
Macht man das so überhaupt, oder packt man nicht einfach die (in meiner Testumgebung vorhandenen) Omada Controller, Switches, APs nicht einfach auf das native VLAN 1 also das Standard 192.168.1.1/24 Netz?
Restliche VLANs dann natürlich nach belieben.
Oder gibt es Gründe, das man das anders machen sollte?
Die IP Adresse auf dem Gateway brauchst Du, wenn Du von dem VLAN / Netz den Traffic in ein anderes Netz routen willst. Das ist ja dann das default Gateway (Übergang Layer2 -> Layer3). Wenn der Traffic also innerhalb des Netzes bleibt (Layer2), dann brauchst Du keine IP Adresse auf den Gateway konfigurieren. DHCP von dem Gateway geht dann natürlich auch nicht. Eigentlich bräuchtest Du dann das VLAN nicht mal auf der OPNSense konfigurieren, es reicht auf den Switchen.
Brauchst Du wirklich 5*1GB? Hast Du mal den Traffic ausgewertet?
Alle VLANs über den LACP Link zu bündeln ist gängige Praxis. Das machen die Switche in Hardware, das ist kein Performance Problem. Dann nutzt die Bandbreite ja auch wesentlich besser aus. In der Konstellation sollte der Verteil Algorithmus auch kein Problem sein.
Ich halte es für eine gute Idee, das Management VLAN von User VLAN zu trennen und mache es auch so. Dann gibt es auch keinen User Zugriff auf das Management ;-)
Was Du mit dem nativen VLAN meinst, ist mir nicht klar. VLAN 1 ist identisch zu jedem anderen VLAN. Ungetagged bzw. VLAN 0 wäre etwas natives. Auch das ist ein Option, das Management VLAN ungetagged zu betreiben. Das macht die Erstkonfiguration einfacher.
Quote from: dumbo on December 27, 2022, 07:21:28 PM
Macht man das so überhaupt, oder packt man nicht einfach die (in meiner Testumgebung vorhandenen) Omada Controller, Switches, APs nicht einfach auf das native VLAN 1 also das Standard 192.168.1.1/24 Netz?
IP-Netz ist dabei egal.
Ich hab bei Bekannten ( beide OMADA ) und bei mir ( Unifi ) das Management-Netz (VLAN 0) auf 10.0.0.0/24 gesetzt und da hängen dann alle Switche, AP's und der Controller drin.
Ich habe dabei aber auch das Management-Netz getrennt auf einem LAN-Interface der OPNSense liegen und alle anderen VLAN's gebündelt bei mir über 3x1GBit als LCAP bzw. 10GBit bei Bekannten.
Quote from: Tuxtom007 on December 28, 2022, 06:26:14 PM
Ich hab bei Bekannten ( beide OMADA ) und bei mir ( Unifi ) das Management-Netz (VLAN 0) auf 10.0.0.0/24 gesetzt und da hängen dann alle Switche, AP's und der Controller drin.
Hi. Danke Dir. Die OPNsense hängt dann auch im Management Netz, oder wie?
Sprich bei der Installation der OPNsense dann die IP 10.0.0.1 zugewiesen (z.B.) und dann danach dann alles was Management Netz ist auf sozusage Native gelassen (ob das jetzt VLAN 0 oder 1 heißt egal, oder).
Danach dann entspr. den Wünschen VLANs erstellt, oder?
Quote from: dumbo on December 29, 2022, 08:18:30 AM
Hi. Danke Dir. Die OPNsense hängt dann auch im Management Netz, oder wie?
Sprich bei der Installation der OPNsense dann die IP 10.0.0.1 zugewiesen (z.B.) und dann danach dann alles was Management Netz ist auf sozusage Native gelassen (ob das jetzt VLAN 0 oder 1 heißt egal, oder).
Danach dann entspr. den Wünschen VLANs erstellt, oder?
Ja, die OPNSense hat bei mir die 10.0.0.1 im Management-LAN ohne VLAN-ID ( das ist VLAN 0 )
Quote from: Tuxtom007 on December 29, 2022, 08:55:06 AM
Ja, die OPNSense hat bei mir die 10.0.0.1 im Management-LAN ohne VLAN-ID ( das ist VLAN 0 )
Danke Dir. Verstanden. Wobei bei Omada das ja dann VLAN1 genannt wird (gibt ja da kein 0).
Es gibt auch kein VLAN 0. Aber natürlich ungetaggte Netze.