OPNsense Forum

International Forums => German - Deutsch => Topic started by: white_rabbit on February 27, 2019, 05:46:22 pm

Title: Frage zu VLAN (tagged / untagged)
Post by: white_rabbit on February 27, 2019, 05:46:22 pm
Hi.
Ich bin dabei, unsere Firewall zu ersetzen. Zuvor lief hier IPFire -- jetzt soll OPNSense her. Im Moment ist es so, dass von einem Layer3 Switch eine 10 GBit Leitung zur Firewall gehen soll. Auf der Leitung sind alle VLANs tagged drauf (und natürlich ein VLAN untagged). Nun habe ich unter OPNSense zwar gefunden, wie ich VLANs einrichte aber nicht, wie ich die tagged/untagged VLANs auf dem Interface festlegen kann?!?
Wer kann mir den richtigen Wink geben? Mit einer "Brücke"/"Bridge" hat das nichts zu tun, vermute ich?
Danke für einen guten Tipp.
Title: Re: Frage zu VLAN (tagged / untagged)
Post by: MBG on February 27, 2019, 05:49:27 pm
Salute

Für den Switch ist der Traffic zur FW komplett tagged.
Die FW braucht immer die VLAN-Tags, da ja mehrere VLANs auf den selben Interface laufen.

Hint: Untagged brauchst du nur für Geräte, die selbst keinen VLAN-Tag setzen können (zb: Fernseher, Drucker usw.).

Gruss
MBG


Gesendet von iPhone mit Tapatalk
Title: Re: Frage zu VLAN (tagged / untagged)
Post by: white_rabbit on February 27, 2019, 06:55:09 pm
Hi. Ich hatte bisher immer ein VLAN untagged mit auf der Leitung, damit bei uns folgendes klappt:
an allen Switches auf Port X --> VLAN.2 untagged, Rest.tagged --> direkter Zugriff auf das VLAN.2 möglich
Natürlich könnte ich auch alles tagged lassen; bin aber noch unentschlossen, welche Weg der beste ist ...
Title: Re: Frage zu VLAN (tagged / untagged)
Post by: MBG on February 27, 2019, 06:56:49 pm
Also:
Vom Switch zur Firewall: tagged
Damit die Firewall die VLAN Tags bekommt

Vom Switch zum Endgerät kann untagged bleiben. Dann setz der Switch den Tag und schickt in am tagged Port zur Firewall mit.

Gruss
MBg


Gesendet von iPhone mit Tapatalk
Title: Re: Frage zu VLAN (tagged / untagged)
Post by: schwaima on February 27, 2019, 10:09:22 pm
Hallo white_rabbit,

wenn ich Dich richt verstehe hast Du 1 untagged VLAN und X tagged.

Dann brauchst Du doch nur die Tagged anlegen da dein Untagged ja die Schnittstelle LAN ist.

Lg
Title: Re: Frage zu VLAN (tagged / untagged)
Post by: MBG on February 28, 2019, 06:39:34 am
Hallo white_rabbit,

wenn ich Dich richt verstehe hast Du 1 untagged VLAN und X tagged.

Dann brauchst Du doch nur die Tagged anlegen da dein Untagged ja die Schnittstelle LAN ist.

Lg


Kommt drauf an wenn das untagged VLAN1 ist und somit das Default VLAN.
Alle anderen bräuchten ein VLAN-Tag. Ansonsten bringt dieses untagged VLAN nichts beziehungsweise der VLAN-Tag, da er dann eh automatisch VLAN1 wird auf der Firewall.


Gesendet von iPhone mit Tapatalk
Title: Re: Frage zu VLAN (tagged / untagged)
Post by: schwaima on February 28, 2019, 08:32:27 am
Hallo MBG,

ein untagged VLAN was auf der LAN Schnittstelle an der Firewall ankommt ist immer unmarkiert.Es  ist völlig egal welche VLAN-ID es auf dem Switch hat.


Für den Fall du siehst das anders, erklär es doch Bitte. :)




Title: Re: Frage zu VLAN (tagged / untagged)
Post by: MBG on February 28, 2019, 08:35:42 am
Vielleicht versteh ich das Falsch aber untagged/tagged in doch nur bei Switches wirklich wichtig.

Diese Option setzt man pro Port und der Unterschied ist:
- Untagged: IP-Pakete die an dem Switch ankommen besitzen keine VLAN-Tag. Dadurch setzt der Switch den definierten untagged VLAN-Tag an den Paketen und schickt sie weiter.
- Tagged: IP-Pakete die an dem Switch ankommen besitzen einen VLAN-Tag. Der Switch macht nichts mit dem Tag und schickt das Paket einfach weiter

Die Firewall macht selbst nur tagged VLANs oder versteh ich das falsch?

Hint: Nutze selber VLANs und Smart-managed Switches von Netgear und musste mich selbst mit untagged/tagged auseinander setzen.

Hier ist noch eine gute Erklärung dazu: https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen (https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen)

PS: Eine Firewall kann nicht mehrere untagged-VLANs auf einem Interface haben, da sie virtuelle Interfaces anlegt, die über den VLAN-Tag identifiziert werden.

Ich kann heute Abend mal meine Konfigurationen (FW, Switch) schicken, um alles klar darzustellen.


Gesendet von iPhone mit Tapatalk
Title: Re: Frage zu VLAN (tagged / untagged)
Post by: JeGr on February 28, 2019, 11:59:17 am
@MBG: Also deine Erklärung zu tagged und untagged am Switch finde ich sehr verwirrend (und kommt vielleicht ein klein wenig falsch rüber). Und nein, es ist IMHO nicht nur bei Switches wichtig, denn jedes Gerät kann tagged/untagged Pakete empfangen und versenden.

Ich denke in Kürze würde ich es so beschreiben:

1) Untagged: Bei untagged Paketen wird keine VLAN ID gesetzt/übermittelt. Trifft ein untagged Paket bei einem Switch ein, dann nimmt dieser das Paket an, wenn er ebenfalls untagged konfiguriert ist und packt es dann bei sich intern in ein VLAN/Netz mit der ID (und setzt die VLAN ID, die aber beim Verlassen des Switches an einem untagged Port wieder entfernt wird!), die bei ihm für diesen Port untagged konfiguriert ist. Default wird das bei den meisten VLAN ID 1 sein (was der Grund ist, warum man VLAN 0 + 1 bei Tagging nicht verwenden sollte, weil das oft zu Chaos führt). Hat der Switch ein anderes untagged VLAN konfiguriert packt er das Paket intern in seiner Backplane entsprechend in dieses Netz. Daher kann man VLAN-fähige Switche als "mehrere Switche/Hubs getrennt durch entsprechenden VLAN ID" sehen. Jedes VLAN ist quasi ein eigener kleiner Switch der alle Geräte mit dieser ID verbindet und nur diese.
Kommt ein Paket untagged an einem Port an, der aber nur tagged Pakete erwartet, dann wird es m.W. verworfen.

2) tagged mit ID X: sendet ein Client ein Paket mit gesetzter VLAN ID, dann wird wieder geprüft. Nimmt der Switch an diesem Port nur untagged Pakete an oder hat der Port das entsprechende VLAN Tag nicht gesetzt, wird das Paket verworfen. Wenn nicht nimmt der Switch es auf und packt es wieder in seine Backplane in das entsprechende Netz mit ID X.


> Die Firewall macht selbst nur tagged VLANs oder versteh ich das falsch?

Nein! Die Firewall macht das, was im Interface Assignment und der Konfiguration eingestellt ist :)

Beispiel: LAN1, 2 und 3 existieren intern am Switch als "untagged" (VLAN1), VLAN 20 und VLAN 30. Sowas wächst meistens dann wenn man keine VLANs hatte (alles untagged) und dann welche einführt. Will man das alles an einem Interface der Sense betreiben, wäre die Konfiguration:

- LAN1 -> igb0
- LAN2 -> igb0:vlan20
- LAN3 -> igb0:vlan30

Natürlich muss der Switch entsprechend konfiguriert sein, dass er zusätzlich zu untagged noch VLAN Tags 20 und 30 annimmt auf dem Port. Das ist eine valide Konfiguration, auch wenn man aus offensichtlichem Grund versuchen würde die zu vermeiden um nur untagged oder nur tagged an einem Port zu sprechen damit die Pakete sauber separiert sind. Trotzdem ist das valide und die Firewall würde hier einen Mix aus untagged und tagged Paketen sprechen.

Richtig ist aber auch, dass man nicht mehrere untagged Netze haben kann - das ist schon allein deshalb klar, weil man bei untagged dem Switch mitteilen muss, in welche "Spur" in seiner Backplane er ggf. untagged Pakete einspeisen soll (meist eben VLAN 1 Default). Da man hier schlecht mehrere definieren kann gibt es lediglich eine untagged<->VLAN ID Zuordnung.

Grüße
Title: Re: Frage zu VLAN (tagged / untagged)
Post by: rainerle on March 01, 2019, 12:55:18 am
Hi,

ich verstehe den Wunsch, ein untagged und den Rest tagged zu haben, sehr gut:
Beim Installieren muss man keine VLANs auf der CLI einrichten, das untagged wird zu LAN und man kann im GUI loslegen

Bei mir sieht das so aus:
Code: [Select]
interface Eth-Trunk36
 description opnsense01
 port link-type hybrid
 port hybrid pvid vlan 2038
 port hybrid tagged vlan 2 to 2037 2039 to 4094
 port hybrid untagged vlan 2038
 mode lacp-dynamic

Im OPNsense ist LAN dann zu Beginn auf ixl0, dann auf lagg0 und dann kommt WAN und die restlichen VLANs per OPTXX dazu...
Title: Re: Frage zu VLAN (tagged / untagged)
Post by: JeGr on March 04, 2019, 10:13:50 am
Genau deshalb hat man normalerweise für VLAN Setups ein Management VLAN, das man dann bei der Installation untagged als "LAN" nutzen kann - worin auch dann die any-any und Lockout Regel absolut Sinn machen, denn das Mgmt VLAN sollte normalerweise ja trusted sein. Und die eigentlichen internen Netze (LAN per se gibts ja nicht, sondern mehrere) packt man dann auf einen/mehrere anderen physische(n) Port(s) mit entsprechendem Tagging und hat eine saubere Trennung. :)