OPNsense Forum

International Forums => German - Deutsch => Topic started by: Sphyrna on July 24, 2021, 03:56:36 pm

Title: Anfänger-Fragen: hier speziell zu VLAN-Einrichtung
Post by: Sphyrna on July 24, 2021, 03:56:36 pm
Hallo liebe Leute,

nachdem ich viel über OPNsense und die damit verbundenen Möglichkeiten gelesen habe, versuche ich gerade unser WG-LAN zu pimpen und habe dazu die bisherige FritzBox durch eine OPNsense ersetzt.
Leider ist die Lernkurve für mich sehr flach. Ich bin schon glücklich, die Telefonie zum Laufen gebracht zu haben....

Folgende Ziele möchte ich aus augenblicklicher Sicht noch erreichen:
a) Trennung des LANs in VLANs mit einem managed-Netgear-Switch (Netgear GS324T S350 – 24-Port)
b) Ausfilterung von Werbung mittels Unbound
c) Einrichtung von LetsEncrypt-Zertifikaten, so dass die Management-Oberfläche ohne Warnungen ansprechbar ist
d) Einrichtung eines VPN-Servers für entfernten Zugriff auf unser privates LAN
e) Einrichtung von Parsec, so dass ich in gefühlter Echtzeit per VNC auf meine VMs komme

Leider habe ich Schwierigkeiten für mich nachvollziehbare Tutorials zu finden.



Zunächst möchte ich Ziel a) erreichen. Folgende Ausgangssituation:

Ist:


      WAN / Internet
            :
            : Deutsche Glasfaser
            :
      .-------+-------.
      |  Gateway   |  NT (Network Terminator)
      '-------+-------'
                |
        WAN | geNATtete IPv4 und IPv6 (Präfix 56)
                |
      .-------+----------.   
      |  OPNsense   |  OPNsense 21.1.8_1-amd64 (Mini-PC: 2 NICs, 8GB RAM, 256GB SSD, Intel Core i5-5257U)
      '-------+----------'   
                |
        LAN | 192.168.2.1/24
                |
      .-------+---------.
      | LAN-Switch  |  Netgear GS324T S350 – 24-Port
      '-------+----------'
                |
    ...-------+--------... (Clients/Servers)


Clients/Servers:
2x Windows Laptop
Windows Desktop
Ubuntu Desktop
Aquariencomputer (GHL ProfiLux)
Dosiergerät (GHL Doser 2.0)
Raspi mit LibreElec
Unraid-Server mit vielen VMs (MacOS, Windows, Linuxe)
Drucker über LAN
Synology-NAS (DS 2415+)
Fritzbox 7390 für WLAN und SIP-Telefonie
2x Freifunk Router





Ziel:


      WAN / Internet
            :
            : Deutsche Glasfaser
            :
      .-------+-------.
      |  Gateway   |  NT (Network Terminator)
      '-------+-------'   
                |
        WAN | geNATtete IPv4 und IPv6 (Präfix 56)
                |
      .-------+---------.
      |  OPNsense  |  OPNsense 21.1.8_1-amd64 (Mini-PC: 2 NICs, 8GB RAM, 256GB SSD, Intel Core i5-5257U)
      '-------+---------'   
                |
        LAN | 192.168.2.1/24
                |
      .-------+------.
      | LAN-Switch |  Netgear GS324T S350 – 24-Port
      '-------+------'
                |
    ...-------+------------------+------------------+------------------+------------------+-----...
                |                       |                      |                       |                       |
                |                       |                      |                       |                       |
                |                       |                      |                       |                       |
      .-------+-----.      .-------+-----.      .------+------.      .-----+------.      .------+-----.
      |  VLAN1   |      |VLAN100 |      |VLAN200 |      |VLAN300 |     |VLAN400 | 
      '-------+-----'       '-------+-----'      '------+------'       '-----+-------'     '------+------'

                               privat               Tel./WLAN       Freifunk-Router     Management
                                                       (Fritzbox 7390)                             OPNsense
                         
                         
Ich bin in einigen Punkten noch sehr unsicher. Bevor ich nun anfange zu basteln, habe ich ein paar Fragen, die ich bitte zu beantworten:

Ist mein Ziel so sinnvoll und erreichbar?
Wie würdet ihr die Trennung in VLANs umsetzen?
Ist es ratsam DHCP für die VLANs in dem Switch zu erledigen oder besser in der OPNsense?
Wie bekomme ich die VLANs des Switches an die OPNsense angebunden?
Wie kann ich sicherstellen, dass ich mich bei der Einrichtung des VLAN400 (Management OPNsense) nicht selbst ausschließe und die OPNsense erreichbar bleibt, bzw. wie kann ich VLAN400 sicher an einen ausgewählten PC in VLAN100 exklusiv durchreichen?
Wie bekomme ich es hin, dass ausgewählte Geräte im VLAN200 auch ins VLAN100 kommen?
Kann mir jemand vielleicht noch einmal mit einfachen Worten den Unterschied zwischen "untagged" und "tagged" am Switch erklären?

Vielleicht gibt es ja schon schöne Tutorials zu meinen Fragen und ich finde sie einfach nicht? Hier wäre ich um Hinweise dankbar!


Soweit zunächst...

Besten Dank und viele Grüße

Sphyrna   
     
Title: Re: Anfänger-Fragen: hier speziell zu VLAN-Einrichtung
Post by: JeGr on July 24, 2021, 04:09:03 pm
Hi!

So wie du das zeichnest, willst du den Switch als quasi Core via Transfernetz an die Sense hängen und die Netze dort auflegen? Das würde ich tatsächlich nicht machen, es sei denn du hast da gute Gründe für. Zuhause finde ich sowas eher unnötig und selten notwendig. Einziger Grund wäre deine OPNsense HW ist so schwach, dass du nicht ordentlich Gigabit routen kannst und brauchst aber hohe Performance zwischen den VLANs.

Da ich deine Sense HW nicht kenne und nicht sehe, was du in den VLANs packen möchtest kann ich das nicht einschätzen, aber bislang würde ich eher "nein" sagen zu dem Versuch und empfehlen, die VLANs direkt auf der Sense zu managen. Aber das hängt auch davon ab, was du für HW und wieviele Interfaces du hast und was du an Performance da drauf brauchst.

Cheers
\jens
Title: Re: Anfänger-Fragen: hier speziell zu VLAN-Einrichtung
Post by: Evil_Sense on July 24, 2021, 05:13:26 pm
Hallo :)

Da dein Switch wohl kein L3 bzw. inter-vlan routing kann, musst Du die VLANs sowieso auf der Sense konfigurieren und routen und diese mit einem Trunk mit dem Switch verbinden.

DHCP macht ebenfalls die Sense, das kann (und sollte - ausser L3) ein Switch nicht.

Bezüglich dem Gerät, welches in ein anderes VLAN soll, entweder mit einer Firewall Regel auf der Sense oder falls das Gerät mehrere VLANs unterstützt, dieses zusätzlich am Port (auf dem Switch) freigeben.
Selbiges für andere Geräte (VLAN200 -> VLAN100), hier ist eine Regel wohl am sinnvollsten.

Der Unterschied zwischen tagged und untagged ist recht einfach:

Hier ist das sonst noch genauer erklärt: https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Hoffe das klärt ein paar deiner Fragen.

Gruss