Hello to all,
bitte entschuldigt, wenn ich es nicht verstanden habe und Euch bitte, es mir zu erklären.
Das Thema VLANs ist neu für mich, habe bislang keine Erfahrung damit und es wohl nicht wirklich verstanden, obwohl ich schon viel darüber gelesen habe.
Ich möchte gern mein WLAN aufteilen in unterschiedliche VLANs. Eines z.B. für die Kameras ums Haus, eines für private Geräte und eines für Gäste.
OPNSense ist bei mir auf Hardware installiert. Also so ein x86 Industrie-PC mit 4 Netzwerkanschlüssen.
Im Moment ist OPNSense eine Neuinstallation für den Test, noch nichts weiter konfiguriert
igc0 = WAN
igc1 = LAN
igc2 = WLAN
Am Wlan (igc2) habe ich einen Fritz Repeater 3000 ax hängen, der für mich das WLAN bereitstellt.
Nun war mein Gedanke, auf igc2 zwei weitere VLANs zu erstellen, was ich auch gemacht habe.
Im KEA DHCP habe ich die Subnetze, bzw. die DHCP Bereiche angelegt.
Nun die eigentliche Frage:
Wie bekomme ich nun hosts, welche über Wlan reinkommen, in die VLANs? Die reine Reservierung im KEA scheint so nicht zu greifen.
Geht das überhaupt so wie ich mir das gedacht habe? Oder habe ich das Thema gar nicht verstanden?
Liebe Grüße und schon mal vielen Dank
Jerry
Nein, ganz so einfach ist das nicht.
Zunächst: VLANs existieren per se nur auf drahtgebundenem Ethernet. Damit kannst Du ein physisches Netz in mehrere logische Netze segmentieren, indem den Pakete VLAN-Tags hinzugefügt werden. Jedes VLAN wird logisch als separates Subnetz (z.B. 192.168.1.0/24, 192.168.2.0/24 usw.) angelegt und die Firewall regelt dann den Verkehr zwischen diesen.
Die Geräte, die an dieses physische Netzwerk angeschlossen werden, sind normalerweise entweder solche, die selbst VLAN-"Tagging" machen, z.B. die OpnSense, ein Virtualisierungshost oder ein WLAN-Accesspoint - für deren Anschluss nutzt man am Switch einen sogenannten "Trunk"-Port, der alle VLANs durchreicht - oder normale Netzwerk-Clients, bei denen der Switch das zugewiesene VLAN ausgangsseitig entfernt und eingangsseitig hinzufügt (sogenannter "Tagged"-Port).
Die normalen Clients am Tagged-Port merken also gar nichts vom "VLAN" - sie sehen jeweils nur ein einziges davon, das durch die Konfiguration des Switchports bestimmt ist.
"Trunk"-Ports dagegen delegieren die Verwaltung mehrerer VLANs auf das angeschlossene Endgerät.
Natürlich muss der Switch dazu managebar sein, um Ports entsprechend zu konfigurieren.
Bei WLANs läuft es meist so: Ein VLAN-fähiger Access Point wird an einen Trunk-Port angeschlossen und ordnet den verschiedenen VLANs entsprechende SSIDs zu. Somit erhalten Clients je nach verwendeter SSID ihr jewiliges VLAN. Dazu müssen natürlich die Access Points diese Fähigkeit auch haben. Ein Beispiel dafür wären Unifi Access Points, bei denen geht das.
AVM macht das anders: Dort gibt es nur ein zusätzliches "VLAN", nämlich das Gastnetz, das aber nur ein einem Ethernet-Port getaggt ausgeliefert wird. Zusätzlich kann man ein Gast-WLAN definieren. Der Fritz-Repeater ist aber nur ein "dummes" Gerät, das WLAN-Pakete wiederholt und somit die Reichweite erhöht - er kennt die SSIDs normalerweise gar nicht.
Um wirklich ein Netzwerk nach beliebigen Kriterien zu segmentieren, benötigst Du also Switches und Access Points, die managebar sind, also die Konfiguration von Ports unterstützen. Man arbeitet meist auch nicht mit WLAN-Repeatern, sondern mit mehreren Access Points, die man strategisch positioniert. Oft werden diese mit PoE gespeist, dann benötigst Du sogar einen managebaren PoE-Switch (Unifi hat solche auch).
Kurz gesagt steigt die Komplexität Deines Netzwerks damit erheblich und Du kommst kaum um technische Investments herum.
Hallo meyergru,
erst mal vielen Dank für Deine Erklärung.
Das hatte ich mir eigentlich so schon gedacht und ein "kleines Investment" ist auch kein Problem.
Das würde also bedeuten, wenn ich die 4 Netzwerkports meines Rechnerleins ausnutze und das ursprüngliche VLAN-Denken mit zwei unterschiedlichen WLANs auflöse.
Nochmal zu meiner Konfiguration:
Kabel Fritzchen -> OPNSense -> igc0 bis igc3
Der FritzRepeater läuft im Bridge Mode und stellt somit das WLan und könnte auch ein Gastnetz stellen.
igc0 - WAN
igc1 - LAN
igc2 - WLAN1 (priv)
igc3 - WLAN2 (Cams, etc.)
Im Moment (seit Jahren) betreibe ich eine iPFire auf ebenso einem Industrie-PC wo ich das WLAN mit Devolos bereitstelle, welche dann das WLAN1 übernehmen. Aber auch eine Neuanschaffung wäre kein Problem.
Letztendlich will ich nur erreichen, dass meine Cams, etc. nicht im selben Netz hängen, wie meine "privaten" Geräte.
Sollte das Deiner Meinung nach so funktionieren können? Oder habe ich noch einen Knoten drin?
Vielen Dank
Jerry
Mehrere.
Also zunächst: Deine aktuelle Situation ist offensichtlich so, dass die Fritzbox der Eingangsrouter und die OpnSense liegt als zweiter Router dahinter. Dann kommt es darauf an, ob die OpnSense NAT für die angeschlossenen LAN und WLANx macht - ich gehe davon aus, dass ja.
Somit nutzt Du (hoffentlich) das WLAN der Fritzbox NICHT. Falls doch, sind die dort angemeldeten WLAN-Clients nämlich gar nicht durch die OpnSense geschützt / kontrolliert - es ist lediglich so, das die "hinter" der OpnSense liegenden Subnetze für WLAN-Clients an der Fritzbox unerreichbar sind (modulo Port-Forwarding oder Regeln für das Fritzbox-Subnetz).
Das ließe sich natürlich dahingehend nutzen (ich würde eher sagen: schmutzen), dass das die "unzuverlässigen" Geräte sind, eben weil sie aus der Sicht von OpnSense "außen" liegen. Keep in mind: OpnSense kontrolliert diese Geräte dann nicht - die können unbegrenzt "nach Hause telefonieren" - direkt über die Fritzbox.
Ich weiß nicht, wie der Fritzrepeater funktioniert, aber ein echtes Gastnetz kann er nicht stellen, außer er spielt irgendwie mit der Fritzbox zusammen (aber dann werden angeschlossende Geräte nicht durch die Fritzbox kontrolliert). Letztlich reicht er als transparente Bridge einfach Pakete durch. Falls er am LAN hängt, sieht er auch nur das und nicht das "Gast"-LAN der Fritzbox - außer, AVM hat da irgendwas gezaubert. Was er eventuell tun kann, ist, ein eigenes Gast-WLAN aufziehen und dafür sorgen, dass sich Geräte links und rechts nicht "sehen" - das kann man in vielen APs auch tun, nennt sich "Client Isolation".
Also: Die genaue Topologie und die Rollen der eingesetzten Hardware sind mir unklar.
Die "saubere" Variante ist wie folgt:
1. Die Fritzbox als Router "loswerden". Stattdessen eine reine DSL-Bridge oder einen ONT verwenden und die OpnSense den Internetzugriff regeln lassen. Das bewirkt gleichzeitig auch, dass man "Router-hinter-Router" loswird. Bei mir z.B. macht die Fritzbox als LAN-Client nur noch Telefonie und Smart Home, kein Internet, kein WLAN. Näheres siehe hier (https://forum.opnsense.org/index.php?topic=39556.msg193824#msg193824).
2. Einen managebaren Switch beschaffen. Dort ein LAN (VLAN 1) und GAST (VLAN x) anlegen (oder eventuell weitere). OpnSense und alle APs (wichtig: VLAN-fähig) werden auf Trunk-Ports geschaltet, die Endgeräte je nach Vertrauensstellung auf VLAN 1 oder x.
3. Auf den APs werden pro VLAN jeweils SSIDs angelegt mit unterschiedlichen Passworten. Somit kann man bei WLAN-Clients durch Auswahl der SSID bestimmen, was sie dürfen.
4. Devolo ist keine so gute Idee, die können m.W. auch keine VLANs. Und ja, Du könntest einen an einen Anschluss packen und den anderen an den anderen, nur will man (=ich) normalerweise durch Einsatz mehrerer APs nicht mehrere SSIDs/VLANs/Subnetze erzeugen, sondern eine höhere Funkabdeckung. Also wenn, sollten alle APs alle SSId aufliegen haben. Und dann kommen sie eben nicht an unterschiedliche Ports der OpnSense, sondern an Trunk-Ports am Switch (idealerweise mit PoE).
5. Randbemerkung: Man sollte niemals Tagged mit Untagged auf dem selben FreeBSD-Netzwerkanschluss mischen. Deshalb bietet es sich an, OpnSense mit einem Trunk-Port (für getaggte VLANs) und einem zweiten LAN-Port (untagged) zu verbinden. Damit ist a. die Bandbreite von LAN <-> VLANs nicht halbiert und b. ist die Regel eingehalten. Ich sage das nur, weil z.B. Unifi das normale LAN normalerweise untagged haben will. Ich empfehle Unifi, weil der Mix verschiedener Hersteller gerade beim Einsatz von VLANs extremst verwirrend sein kann. Bei Unifi werden Switches und APs mit dem selben Tool konfiguriert.
P.S.: Das heißt nicht, dass das einfach ist. Für einen Anfänger sind das dicke Bretter zu bohren - da hast Du wochenlang was von und so richtig durchcoachen wird Dich da keiner... das erhöht die Anzahl Deiner Postings locker auf >100.