Hallo Forum,
ich hoffe hier etwas neues zu lernen.
Ich habe aktuell noch einen Speedport Smart 4 mit 5G Empfänger der hoffentlich ab mitte des Jahres einem Glasfaseranschluss weichen muss.
Ich baue aktuell ein Netzwerk auf mit OPNSense (was auch sonst hier im Forum..) und Omada.
Das Omada Netzwerk funktioniert bereits einwandfrei und bedient aktuell ca. 20 Clients. Die Anzahl wird sich zum Glasfaservertrag ändern da meine Familie aktuell jeder einen seperaten Festnetz Vertrag hat und wir einen gemeinsamen Glasfaseranschluss nutzen wollen (Kosten Sparen lieber 1x 50€ wie 3 x 40€ )
Hier das entsprechende Netzdiagramm:
AN / Internet
:
: Telekom Hybrid
:
.-----+-----.
| Gateway | Speedport Smart 4 Hybrid
'-----+-----'
|
WAN | DHCP IP vom Speedport
|
.-----+------.
| OPNsense +--
'-----+------'
|
LAN | 192.168.1.1
Aufgeteilt in 5 VLANS
192.168.10.1 Mein VLAN
192.168.20.1 VLAN Bruder
192.168.30.1 VLAN Eltern
192.168.40.1 VLAN IPCam
192.168.50.1 VLAN IoT
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (Clients/Servers) Irgendwo meine Synology? Aktuell noch unter 192.168.1.111 mit offenem https Port(5001) für Photos Sicherungen
Ich habe aktuell noch keine Regeln erstellt außer die entsprechenden VLAN Regeln damit diese nach draußen kommunizieren können. Leider habe ich noch nicht so ganz verstanden wie die Regel aussehen muss damit dieser DHCP Bereich für sich bleibt und keine Verbindung zu einem anderen VLAN schafft. bzw nur auf das NAS zugreifen kann.
Hier ein Foto der Regel Übersicht vom VLAN meines Bruders
(https://i.postimg.cc/htpV6871/Vlan-Regeln-Daniel.jpg)
Für den zusätzlichen Schutz meiner Augen habe ich Adguard installiert und nutze die entsprechenden Filter und den DNS
Auf dem Lan Port ist Zenarmor eingerichtet nach der Anleitung von Zenarmor selbst.
Auf dem WAN Port ist IDS und IPS eingerichtet nach der Anleitung von Thomas Krenn.
Meine Abschließende Frage ist.. Macht dieser gesamte Aufbau überhaupt Sinn? oder öffne ich das Tor zur Unterwelt?
Ich bin für verbesserungsvorschläge und Tipps offen bin absoluter Neuling in dieser Welt.
Vielen Dank
Mit freundlichen Grüßen
Luca
Wenn du die VLANs alle hinter den Switch packst und der Switch dazwischen routet, kannst du auf der OPNsense nicht mehr filtern.
Du musst alle VLANs auf der OPNSense anlegen und den Switch zu einem dummen Layer-2-Gerät degradieren.
HTH,
Patrick
Quote from: Patrick M. Hausen on March 04, 2025, 06:12:39 PMund den Switch zu einem dummen Layer-2-Gerät degradieren
Das nicht. Den Switch braucht er ja, um den Trunk zu verteilen.
Hallo Patrick, leider war meine Grafik falsch
Selbstverständlich habe ich die Vlans in der OPNSense angelegt.
Quote from: viragomann on March 04, 2025, 06:18:12 PMDas nicht. Den Switch braucht er ja, um den Trunk zu verteilen.
Trunk und VLANs = Layer 2
Routing = Layer 3
Quote from: Patrick M. Hausen on March 04, 2025, 06:28:28 PMQuote from: viragomann on March 04, 2025, 06:18:12 PMDas nicht. Den Switch braucht er ja, um den Trunk zu verteilen.
Trunk und VLANs = Layer 2
Routing = Layer 3
Ich habe die Zeichnung oben geändert, selbstverständlich habe ich diese auf der OPNSense angelegt.
Aber auch Zeitgleich in Omada mit gleichen Einstellungen um über die entsprechenden SSID zu gehen.
Guck mal hier, wie man den Verkehr zwischen den VLANs unterbinden kann:
https://forum.opnsense.org/index.php?topic=46094.msg230851#msg230851
Quote from: Patrick M. Hausen on March 04, 2025, 08:25:23 PMGuck mal hier, wie man den Verkehr zwischen den VLANs unterbinden kann:
https://forum.opnsense.org/index.php?topic=46094.msg230851#msg230851
Hallo Patrick,
habe ich probiert.. ein Pingen aus dem VLAN 192.168.30.3 auf 192.168.1.116 ist immer noch möglich.
Sollte dies nicht verhindert werden?
(https://i.postimg.cc/qBmXvhX7/Firewall-regeln.png)
EDIT:
Oke habe meinen Denkfehler gefunden..
Ich kann unter den VLANs nicht Pingen aber ins Lan(192168.1.) geht.
Wenn ich dies unterbinden möchte muss ich unter dem Interface Restricted das Lan Netzwerk mit hinzufügen.
Hat dies irgendwelche Auswirkungen ?
Du musst die das LAN mit in den "Net_Local" Alias aufnehmen, damit die VLANs nur in "!Net_Local" kommen. Oder wie auch immer du das Zeug nennst - bei mir heißt es "Net_Local".
Und du solltest nicht auf demselben physischen Interface deine getaggten VLANs und das untagged LAN betreiben. Tagged und untagged nicht auf demselben Interface. Mach einfach das LAN auch zu einem VLAN - das ist ja in der OPNsense nur eine Zuordnung ...
Vielen Dank für dein Tipp, ich habe die Regeln bzw Aliase gleich angelegt wie du damit es einfacher ist zu vergleichen.
Ich werde das LAN(Benutze Aktuell ja nur ich..) zu einem VLAN ändern.
Welche Auswirkungen haben den tagged und untagged auf dem selben Interface?
Meine Hardware hat ja noch 2 Ports frei sollte ich eventuell die VLANS bzw LAN auf die Ports aufteilen?
Ich muss das Thema noch einmal aus der versenkung holen..
Ich habe nun einen extra Port genutzt (igc3) um die VLANS vom LAN zu trennen, aber irgendwie habe ich es geschafft das igc3 nicht vergeben ist aber die VLANS über diesen Port laufen. Siehe Screenshot.
ist dies ein Problem oder sogar so richtig? vorstellen kann ich mir das nicht.
Vielen Dank
Das ist so richtig. Das phys. Parent Interface der VLANs ist selbst kein logisches Interface in OPNsense. Es laufen ja keine ungetaggeden Pakete darüber.
Vielen Dank für die schnelle Antwort!
Gruß Luca
Quote from: Patrick M. Hausen on March 04, 2025, 08:25:23 PMGuck mal hier, wie man den Verkehr zwischen den VLANs unterbinden kann:
https://forum.opnsense.org/index.php?topic=46094.msg230851#msg230851
Hallo Forum
ich habe die VLAN Rule von Patrick angewendet um den Datenverkehr zwischen den VLANS zu unterbinden.
Ich möchte aber gerne die Geschwindigkeit meines Heimnetzwerkes nutzen um auf die NAS Backups etc. durchzuführen.
Über einen Proxy habe ich aufgrund meines schlechten Internets nur ca 3 MB/s an Upload.
lässt sich eine Regel erstellen das nur diese eine IP des NAS zugänglich ist für bestimme VLANs?
Oder sollte ich die NAS in ein extra VLAN nehmen und den Zugang auf dieses VLAN einfach erlauben?
Ich frage mich welche die "Sicherste" Methode ist.
Vielen Dank für die Hilfe.
ich betreibe Vlans auf dem Switch und Vlans auf der OPNSense für IP6.
Frage: Möchtest du geschwindigkeit zwischen Vlans haben?
Antwort: Switch muss routen, und über Default GW zum OPNSense verbunden werden mit static Routen auf der Sense zum Switch GW.
(Ev. ACL auf dem Switch erstellen um Vlans zu trennen)
Frage: willst du alles über Sense laufen lassen und Vlans trennen?
Antwort: Vlans ohne Interface IP auf dem Switch erstellen und IP GW je Vlan auf der Sense erstellen.... (Client hat GW von der Sense)
leider wird jeder Intervlan auch zb 10gbe NAS über die Sense geroutet was der Geschwindigkein gewiss abtgäglich ist.
auch wenn der Traffik zb über Static Routen ankommt/geht kannst du alles auf der Sense filtern auch mit Switch GW.
Ich habe 4 Vlan und 1 Vlan rein als GW mit 252 maske also 2 IP 1x Switch 1x Sense,
auf dem Switch ist die Ip von der Sense als Default GW konfiguriert auf der Sendse Static Routen zu der IP auf dem Switch mit ziel je Vlan ip Range.
Warum Extra Vlan für default GW? es erleichtert ACL config auf dem Switch.
Aktuell wird alles über die OPNsense geroutet, da die WLAN Clients eh nicht die volle Bandbreite von 2,5 Gb/s ausnutzen können würde ich dabei auch bleiben.
In diesem Fall ging es mir um die Sicherheit, da ich 8 VLANS besitze (Gäste IOT Familie etc..) aber nur 2 VLANS auf das NAS zugreifen sollen werde ich denke ich die NAS an einen freien Port der OPNsense einrichten und die Firewall Regel von Patrick umschreiben dass nur 2 VLANS Zugriff auf die NAS haben.
Ich denke dies ist die sicherste und für mich als "laie" beste Methode.
Gerne kannst du mich berichtigen.
Danke!
1. Vlans haben mit "Sicherheit" wenig zutun es ist eher Verwaltung / Broadcast aufteilung.
Die Sicherheit wird per ACL oder Rules erreicht... die natürlich an Vlan gebunden sind.
Man kann auch Mix betreiben, zb. per DHCP einem Vlan netwerk die GW IP von der Sense mitgeben
und einem Anderen Vlan die GW ip vom Switch mitgeben um zb geschwindigkeit zu haben.
Aber es kommt auf das Wissens/wollens Grad an, manchmal ist einfacher besser, aber nicht unbedingt sicherer.
@Zapad weshalb sollte die OPNsense nicht mit wire speed zwischen den VLANs routen? 2,5 G/s ist nun wirklich keine Kunst. 1 G/s schafft sogar ein APU4D4. Es ist nur PPPoE, was problematisch ist.
nun ja, klar nacktes Routing bestimmt, es kommt im ganzen aber an die menge der Rules/Clients.
ich bin schon auf das Ergebnis gespannt wenn man zb Backup mit Wirespeed macht und nebenbei Internet TV Streamt etc.
Ich habe für mein Teil die Regeln aufgeteilt manches macht Switch das andere Sense.
Vielen Dank für die Antworten!
@Patrick wieso wird es Problematisch wegen PPPoE?
Mir ist eingefallen das ich auch einfach den 2 Port meiner NAS dem jeweiligen VLAN zuweisen kann mit eigener IP etc.
Ich glaube das wird das ganze vereinfachen.
Jeder VLAN der Zugriff auf das NAS benötigt hat seine eigenen Port an der NAS sowie an der OpnSense.
Diese sind zwar nur 1 Gbit/s Ports aber für Backups und Fotogaliere reicht es vollkommen.
@Zapad
Werde mich aber trotzdem dem Thema ACL widmen und probieren, nur so lernt man.
Danke!
PPPoE läuft teilweise nur auf einem Core und mit der aktuellen Implementierung (mpd5) ist es schwierig, mehr als 1 G/s zu erreichen. Ist aber eigentlich ein Provider-Problem. PPPoE gehört weg. Braucht kein Mensch.