OPNsense Forum
International Forums => German - Deutsch => Topic started by: kruemelmonster on February 17, 2021, 08:32:44 pm
-
Guten Abend allerseits,
ich bin heute bei dem Versuch gescheitert, VLAN's auf meiner APU2C4 einzurichten.
Lag wohl einerseits daran, dass ich bislang nur LAN, DMZ und WAN eingerichtet hatte aber eben nicht als VLAN. Irgendwann wollte der Router dann nicht mehr. Und da ich am Montag die aktuelle Version 21.1 über die WEB-Oberfläche installiert habe, kam ich nicht mal mehr auf die serielle Konsole. Was soll‘s. Lehrgeld ;-)
Habe dann noch mal wieder im Forum nach Hinweisen gesucht, die mir weiterhelfen. Irgend jemand hat empfohlen, die Schnittstellen von Anfang an als VLAN einzurichten. Das geht ja zumindest bei der Ersteinrichtung über die Konsole. Dazu meinen Fragen:
Welche VLAN-ID‘s sind sinnvoll? Ich kann ja meines Wissens nach an der Konsole nur alle oder keinen Port als VLAN einrichten
- igb0 soll WAN werden. Da wäre die Vlan-ID 7 hinter einem Vigor 130 passend. Weiß jemand, welche ID ich nehmen müsste, damit ich die opnsense hinter einer Fritzbox (wegen ISDN-Telefonanlage) nutzen kann?
- igb1 soll als DMZ fungieren. Da soll künftig eine Fritzbox rein mit der Telefonie (und die opnsense direkt ans Vigor-Modem).
- igb2 soll das LAN werden. Da hängt dann ein NetgearSwitch GS116v2 dran. Habe schon gelesen, dass die Netgear-Geräte wohl auch die Vlan-ID‘s 3+4 fest „eingebaut“ haben sollen.
Danke für Eure Hilfe und noch einen schönen Abend
-
Hi,
wie groß ist denn dein Netzwerk und mit wie vielen Clients?
Hast du ein Router oder ein Modem vor der opnsense?
VLAN7 für den Provider nach WAN kommt auf den Provider an (gefährliches Halbwissen)
Grüße
Heinz
-
Guten Morgen Heinz,
danke für deine Rückmeldung und gut das du nachfragst. Die Angaben habe ich gestern Abend in der Eile unterschlagen.
...
wie groß ist denn dein Netzwerk und mit wie vielen Clients?
...
Es geht um 2 PC und ein NAS sowie um Handys, Nindento-Konsolen, LInux-SAT-Empfänger, Multimedia-Player sowie um Laptops, die wahlweise mit LAN oder WLAN nutzbar sein sollen. Außerdem zeichnet sich ab, dass ich in (geringem Umfang) Lösungen für Hausautomatisierung finden muss. Ob das mittels Fritzbox oder iOT oder sonst was passiert, weiß ich noch nicht.
Ich möchte da aber zumindest die PC/NAS-Strecke inkl, der Laptos vom Rest und ggf. auch den Rest untereinander trennen. Ach ja, ein Netzwerkdrucker und künftig ein DNS-Server auf Raspi-Basis, weil die Unbound-Version auf der opnsense nicht ganz das ist, was ich suche. Nach jedem Update musste ich bisher immer das python-Script für den DNS-Filter anpacken. Das kann ich unter Linux für mich bequemer lösen.
...
Hast du ein Router oder ein Modem vor der opnsense?
VLAN7 für den Provider nach WAN kommt auf den Provider an (gefährliches Halbwissen)
...
Das Vigor läuft als reines Modem an einem Telekom-basierten DSL mit der opnsense dahinter (über pppoe). Insofern ist die Vlan-ID 7 absolut passend. Soweit bin ich an dem ganzen Netzwerk schon durchgestiegen.
Aber es ist dann schon eine andere Hausnummer für mich, das alles auf VLAN umzustellen. Habe versucht, dazu etwas im Netz zu finden. Aber bisher habe ich nur Erläuterungen der Art "wie machen das die Switche" gefunden. Aber wie ich das konkret einrichten muss, ist mir noch unklar. Und dazu kommt, dass ich mit Routing bislang nur in seeeehr geringen Umfang zu tun hatte. Da fehlt mir neben entsprechend tieferem Wissen auch die Erfahrung.
-
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Gib Dir hier mal den Teil "tagged VLAN".
<Zitat>
Wenn im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die gegenseitige Verbindung mit einem einzelnen Kabel erfolgen
</Zitat>
Ich nehm an, dass es das ist was Du willst, mehrere separierte Netze über dasselbe Kabel laufen zu lassen.
Würde bedeuten, da Du nicht 2 Switches hast, die VLAN können, sondern das VLAN auf der APU einrichtest, eigentlich Du am Endgerät (im Zitat der Switch, bei dir wohl ein PC) das Tag (kann eine beliebige Nummer sein) auf der Netzwerkschnittstelle einpflegen musst.
Windows Clients und Server: https://www.thomas-krenn.com/de/wiki/Tagged_VLAN_Ethernet_Interfaces_in_Windows_konfigurieren
Ich mach das auch nur bastelmässig zuhause für ein paar Handies, Tablets und PC's. Der Aufwand dazu ist...nicht gerade ohne.
-
Und btw. Du kannst jeden Port einzeln als VLAN einrichten auf der Sense. Geh dazu nach "Schnittstellen - Andere Typen - VLAN" - dort kannst du pro Interface eines oder mehrere VLAN einrichten. Einfach Schnittstelle auswählen, Tag einpflegen, Beschreibung dazu, done.
-
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Gib Dir hier mal den Teil "tagged VLAN".
Ich meine, diese Artikel auch schon mal gelesen zu haben.
Was mir aber bei der portbasierten Einteilung jetzt nach eigener Erfahrung bewusst auffällt, ist der Hinweis zur PVID.
Ich hatte das LAN als Vlan mit ID=8 eingerichtet. Auf dem Switch Port 1 mit ID 8 als tagget, den Rest als untagget. Erst nachdem ich die PVID aller Ports (bis auf Port 1, der ging nicht) auch auf 8 gesetzt hatte konnte ich die opnsense erreichen.
Ich war der Annahme, das bei gemischtem Betrieb die untagget Ports automatisch die Vlan-ID dazu geben, wenn das Paket zu Router soll. Ist offenbar nicht der Fall.
Wenn ich dich jetzt richtig verstanden habe, müsste ich auf den Switch-Port mit der opnsense alle erforderlichen Vlan-ID's als tagget setzen und bei den untagget Ports jeweils die PVID entsprechend setzen, damit die Daten im richtigen Vlan am tagget Port der opnsense ankommen?
Und btw. Du kannst jeden Port einzeln als VLAN einrichten auf der Sense.
Das habe ich bereits erfolgreich durchexerziert.
-
Ein untagged Port ist fest einem VLAN zugeordnet. Die Pakete fallen an allen anderen untagged Ports im selben VLAN raus und zusätzlich an allen tagged Ports (sog. Trunks) mit dem entsprechenden Tag. Ein tagged Port ist dazu da, mehrere VLANs zu transportieren. Ein VLAN ist im Endeffekt ein virtueller Switch.