Servus,
ich muss euch leider schon wieder belästigen, aber ich habe niemanden, den ich fragen kann.
Smalltalk ON
Ich kenne noch Modems und BTX auf 286 Rechnern mit Turbo Knopf, hatte sauteures ISDN mit Kanalbündelung und war stolz auf das erste DSL Modem. Da hing dann ein ausrangierter 486 dran mit 3 NICs für DSL/LAN/DMZ, alles mit Hubs und natürlich DynDNS. Mit IPtables war das für mich alles sehr übersichtlich. Irgendwann haben FritzBoxen übernommen und ich habs einfach laufen lassen. Jetzt gehts mal wieder weiter, nach all den der Jahren Abstinenz. Hat sich viel geändert, IPv6 ist schon komplex, wenn man damit anfängt und es verstehen will.
Smalltalk OFF
Da ich keine Ahnung habe wie ich den Aufbau des Netztes "richtig" mache, hoffe ich daß ich hier ein paar hilfreiche Hinweise von Profis bekomme.
So hätte ich es früher mit IPv4 und ohne VLAN gemacht:
WAN
PPPoE
en0
OPNsense 10.10.10.1/24 automatix.lan
v6
Port1 Port2 Port3 Port4
config/VLAN1 WiFi PRINT DMZ
igb0 igb1 igb2 igb3
10.10.10.1/24 10.10.11.1/24 10.10.12.1/24 10.10.13.1/24
|| || || ||
|| || || ||
10.10.10.2/24 10.10.11.2/24 10.10.12.2/24 10.10.13.2/24
Port1 Port2 Port3 Port4
Switch 10.10.10.2
v6
Port5 Port6 Port7 Port8
10.10.10.5/24 10.10.11.6/24 10.10.12.7/24 10.10.13.8/24
||
||
10.10.11.11/24
AP
Jetzt sieht die Planung so aus:
Modem
||
||
WAN
PPPoE
en0
OPNsense 10.10.10.1/24 automatix.lan
v6
Port1 Port2 Port3 Port4
LAN1 frei LAGG LAGG
igb0 igb1 igb2 igb3
10.10.10.1/24 -- -- --
|| ||
|| ||
-- -- -- --
Port1 Port2 Port3 Port4
Switch welche IP?
v6
Port5 Port6 Port7 Port8
frei VLAN oder IP? VLAN20 VLAN30
||
||
welche IP
WiFI AP
VLAN01 WiFI
VLAN02 PRINT
VLAN03 DMZ
VLAN04 Gast
Fragen:
Ein LAN für die Konfiguration soll man untagged lassen?
Eigentlich reicht mir der Zugang auf der OPNsense mit Laptop direkt.
Oder nimmt man in dieses Netz dann auch den Switch und den WiFi AC zur Konfiguration?
Ich frage wie es die Profis machen würden, hin murksen kann ich das schon irgendwie, aber darum geht es nicht.
Vielleicht gibt es eine elegantere Methode, Switch und AP zu versorgen.
Mille Grazie
(einer der auch beim audofriemeln nicht murkst)
PS:
Eigenlich gefällt mir das mit LAGG und VLANs ganz gut. Ich habe noch einen ausrangschierten CISCO SG350 rum liegen. Der ist aber Spielzeug, wenn mit dem einfachen D-Link mal funktioniert. Ich denke mit VLANs ist so ein Routertausch einfacher zu bewerkselligen.
Bei vernünftiger Hardware (Switch, AP) kann man immer ein Management VLAN konfigurieren.
Ich habe es bei mir so gelöst, dass der ganze Management Kram in einem Subnetz hängt, von dort ist aber das Webinterface der Opnsense nicht erreichbar, das geht nur aus dem Subnetz meiner Geräte. Eine Zeitlang hatte ich das Webinterface nur am VPN Interface erreichbar zu machen, aber da ging der Komfort flöten und ich bezweifle, dass sich jemand wochenlang die Mühe macht mein komplettes Heimnetz zu infiltrieren.
Der Übersichtlichkeit halber habe ich bei mir VLAN Tag = IPv4 Subnetz = IPv6 Präfix
Beispiel VLAN 32 = 192.168.32.0/24 = 0x20