Ich bin ein Anfänger mit OPNSENSE und hoffe auf Hilfe, nach welchen Stichpunkten ich weiter suchen muss.
Ausgangslage:
Router ist (noch) eine Fritzbox
OPNSENSE 24.7 mit 4 Netzwerkbuchsen hängt dahinter
Buchse 0: WAN zur FB
Buchse 1: Lan mit 192.168.1.1/24
Buchse 2: Citrix Switch mit VLAN 10 und VLAN 20
Dazu noch ein Interface zu einem externe VPN-Anbieter.
VLAN 10 und VLAN 20 mit Static IP und DHCP. Komme damit mit ein paar Rules ins Internet. Ein am Switch hängender Rechner erhält auch über DHCP die richtige IP und kommt ins Internet.
Nun will ich aber eigentlich zwei abgegrenzte Netzwerke aufbauen.
VLAN 10 und LAN sollen im gleichen subnet sich untereinander verständigen können und die Kommunikation über VPN nach außen gehen.
VLAN 20 soll unabhängig davon laufen. Eigentlich wie früher direkt über die FB.
Ich bin schon einige Tage am Lesen, komme aber anhand der vielen Möglichkeiten nicht weiter, weil ich immer mehr das Gefühl habe, dass ich eventuell an ganz falschen Stellschrauben drehe. Vielleicht kann mit jemand Tipps, woran ich drehen sollte oder was ich ganz falsch angehe
Quote from: Haribo 1999 on October 14, 2024, 08:44:30 PM
VLAN 10 und LAN sollen im gleichen subnet sich untereinander verständigen können und die Kommunikation über VPN nach außen gehen.
Du meinst damit, die beiden Interface sollen in ein gemeinsames Layer 2 Netz?
Das wäre Bridging.
Gibt es einen guten Grund dafür? Nur dann würde ich das empfehlen.
Die Fritzbox steht im Erdgeschoss und ist mit einem Netzwerk-Kabel mit dem ersten Stockwerk verbunden.
Nun habe ich hier eine OPNSENSE mit 4 Netzwerkbuchsen dazwischen geschaltet. WLAN und LAN sowie ein Netzwerkkabel zum Obergeschoss.
Im ersten Stockwerk habe ich einen Cisco-Switch angeschlossen, der zwei VLAN 10 und 20 unterstützt.
VLAN 20 ist mein Arbeitsnetzwerk. Das soll einfach wie bisher ins Internet zugreifen können.
VLAN 10 und LAN im Erdgeschoss soll davon abgetrennt sein und (über VPN) aufs Internet zugreifen und untereinander für Kodi, Roon, NAS, TV, etc. zu erreichen sein.
Lass mal die technischen Bezeichnungen weg und mach Dir klar, was Du eigentlich erreichen willst und wie die Topologie aussieht.
Vielleicht verstehe ich das ja auch nur falsch, aber wozu die Trennung zwischen VLAN 10 und LAN, wenn die doch sowieso untereinander kommunizieren dürfen? Ist das eine technische Beschränkung, weil der Switch zwei VLANs bedienen soll? In dem Fall könntest Du VLAN 10 vom Switch mit Deinem LAN bridgen. Dann stellt sich allerdings die Frage, wozu es überhaupt ein LAN an einem separaten Port gibt (hängt da direkt ein Device dran und / oder ist der Switch zu weit von diesem Gerät weg?).
Eine Trennung in der Firewall macht ja nur Sinn, wenn entweder Knappheit an Ports herrscht oder eine logische Trennung gewünscht ist, z.B. weil man den IoT-Geräten nicht vertraut (was Du zu verneinen scheinst).
Ergo: Erst die Anforderungen klären, dann die technischen Lösungen suchen. Sonst kommt dabei unweigerlich: "Unsere Lösung - Ihr Problem!" heraus.
Wenn ich dich richtig verstehe sollen LAN (L2) und VLAN10 (L2) das selbe Subnetz (L3) sein. Dann solltest du ganz einfach nur LAN oder VLAN nutzen, nicht beides.
@Haribo 1999
Okay, du hast nun dein Netzwerk detaillierter beschrieben, aber das erklärt ja auch nicht die Notwendigkeit, warum die beiden Netzwerkstränge vereinigt werden sollen.
Gründe für eine gemeinsames Layer 2 Netz wären bspw. dein Kodi liegt im LAN, der TV im VLAN10 möchte auf dessen DLNA Server zugreifen.
Also wenn Broadcasts oder Multicasts Geräte im anderen Strang erreichen sollen.
Ich würde dein Netz aber auch noch weiter segmentieren und den TV und ggf. andere IoT Geräte in ein separates Subnetz stecken, um sie von anderen Geräten wie NAS zu trennen und ihnen den Zugriff zu verwehren.
Das erfordert möglicherweise aber mehrere WLAN SSIDs. Das müsste er AP unterstützen, oder anderenfalls ein zusätzlicher angeschafft werden.