OPNsense Forum
International Forums => German - Deutsch => Topic started by: aeschma on July 24, 2021, 09:22:00 pm
-
Hallo,
kurz zu meinem aktuellen Setup:
Netzwerk über 2 Gebäude verteilt. Die Gebäude sind mit 2 Glasfaserleitungen verbunden. In dem Gebäude wo mein Internet ankommt ist Null Infrastruktur, dem entsprechend schlecht ist meine OPNsense untergebracht (aktuell glüht Sie und ich befürchte den Hitzetot …). Über ein Glasfaserkabel ist der Switch dieses Gebäuder mit dem Hauptnetzwerk verbunden über das 2 Glasfaser die OPNsense. Früher hatte ich Internet via Medienkonverter in das andere Gebäude geschickt. Dieses Setup ist aber doch sehr „wackelig“ gewesen, weswegen die Sense wieder in das Nebengebäude gezogen ist wo das Internet ankommt.
Nun zu meiner („dummen“) Idee: Ich will auf dem Switch für Internet ein VLAN einrichten und mittels dieses VLAN das Internet in das andere Gebäude „routen“ wo der WAN anschluss der Sense am Hauptswitch ebenfalls an das entsprechende VLAN ankommt. Ich denke das das dumm ist, da internet dann vor der Firewall über die selben Switches wie das „Produktiv-LAN“ läuft.
Wie ist eure Meinung …. Non-Sense? Sicherheitsalbtraum oder kann man so machen?
-
Habe es so ähnlich...
Ne nach erlaubter Ausfallzeit musst halt Bedenken keinen SPOF (Single Point of failure) zu erzeugen.
Redundante Switcher, Redundante Stromversorgung (2 Phasen), redundante Kabel.
Ansonsten läuft das Setup schon ewig stabil bei mir
Gesendet von meinem OnePlus 8t mit Tapatalk
-
Ok,
dann werde ich wohl schnellstmöglich umbauen :) Durch den Umbau schaffe ich sogar SPOF‘ s ab 3:).
Mache mir halt nur Gedanken da das „Internet“ ja quasi nur durch das VLAN vom Produktivnetz abgekapselt ist und ein VLAN glaube ich ein leichtes Hinderniss ist. Bei meinen bisherigen Setups ist immer physikalisch ne Firewall dazwischen, hab da aber wahrscheinlich nur nen Knoten im Kopf und mach mir zu viele Gedanken …
-
Habe jetzt heute morgen versucht schnelle umzubauen.
Leider wollte er partout keine Internetverbindung herstellen. Im Sinne der Ausfallzeit habe ich jetzt wieder die Medienkonverter dazwischen....
Habe auf den Switches ein einfaches VLAN eingestellt und die Switchports entsprechend getagged. Einmal auf Internetseite (Provider Modem/Router) und einmal dort wo die Sense drankommt.
Muss ich sonst noch was beachten?
Könnte es sein das in diesem Setup Layer2 gegen mich arbeitet und der Switch versucht entsprechende Routen selbst zu setzen?
-
Hallo,
ein VLAN auf Layer-2 Ebene routet nicht.
Vermutlich wird Dein Provider Router kein VLAN können. Daher muss der Port, an dem das Gerät hängt, untagged bzw. ein Access-Port sein auf dem Internet VLAN. Die Uplinkports bzw. zur OPNsense sind Tagged bzw. Trunk-Ports.
-
Hi,
^^ Meinte auch Layer3. Der Switch andem ich den Provider Router anschließe ist ein Unifi Layer3.
VLAN Tags habe ich direkt an den Ports eingestellt so das alles was über den Port läuft diesen VLAN Tag bekommt. Wenn ich den Verkehr meines Providers nicht Tagge habe ich dessen Netzwerk-Traffic ja im normalen Lan (ist bei mir untagged bzw. 0). Oder verstehe ich da was falsch? Das Provider Modem gibt der Sense normalerweise ne IP via DHCP, sollte also normaler LAN Traffic sein.
Edit: BTW. Dachte ich bin schlau und verteste das bevor ich am Netzwerkdesign rumbastle. Also habe ich auf dem Switch 2 Ports entsprechend getagged und den Wan Anschluss der Sense in Einen und mein Providermodem in den anderen. Auf dem Dasboard hat OPNSense mir das Gateway als grün angezeigt.... Nach dem Umbau habe ich einfach nur den Port auf dem Switch wo die Sense jetzt steht auf das gleiche VLAN eingestellt. Jetzt konnte die Sense jedoch keine Verbindung zum Provider Modem/Router herstellen und das Gateway bleibt im Dashboard rot. Manuelles enablen des GW und so weiter hat hier auch keine Abhilfe geschaffen.
-
Ich glaube du hast da irgendwo etwas fehlkonfiguriert...
Nur komme ich nicht mehr mit wo genau was die ein Switch etc.
Nach doch Mal einen kleinen Netzwerkplan und schreibe dazu wie die entsprechenden Ports konfiguriert sind.
Gesendet von meinem OnePlus 8t mit Tapatalk
-
Hier mal ein Quick & Dirty Netzwerkplan, ich hoffe man kommt raus …
-
Normalerweise sind die VLAN Ports der Firewalls immer getagged. Die Router/Modem des Providers hat wahrscheinlich keine VLANs konfiguriert und läuft standardmäßig im VLAN-1 (default VLAN).
Zum testen auf dem Switch ein VLAN 101 für das Internet als untagged definieren. Dort das Modem/Router des Providers einstecken.
Die OPNsense muss auf dem Switch getagged und softwareseitig entsprechend konfiguriert sein.
Wenn ich mir Dein Netzwerk aber so ansehe, ist es evtl. doch besser den Medienkonverter weiterhin zu betreiben.
Wir verwenden an manchen Stellen ebenfalls die Konverter für SMF und MMF. Bisher noch nie stabilitätsprobleme oder sonstiges gehabt.
Frage, verwendet Ihr Cisco CBS oder Meraki Switche?
-
Switche sind alle von Ubiquiti Unifi. Die Konverter sind von Netgear. Das Problem ist, das durch die Konverter die Sense nicht immer mitbekommt wenn die Verbindung wackelt und auch wenn die Verbindung vom Provider wieder da ist, muss man manchmal bei einem Konverter den Stecker ziehen und wieder einstecken, damit eine neue saubere Verbindung wieder aufgebaut wird.
Bezüglich untagged und tagged VLAN, diese Begrifflichkeiten kenn ich das noch von früher, bei HP Switches. Hab jetzt mal nachgelesen bei Unifi sind die angeblich von Haus aus untagged wenn ich port Profile benutze.
-
Mag schon sein dass auf der Unifi über die Profile der Port untagged ist. Die Frage ist nunmal ist der Port untagged im neuen Internet VLAN auf dem der Router des Providers hängt?
Vielleicht schaust du dir das Thema VLANs nochmals genau an. Eine fehlerhafte Konfiguration kann hier schlimme Folgen haben. Mit dem Medienwandler, bzw. einem anderem Gerät, fährst du auf der sicheren Schiene.
-
Das Thema VLAN's muss ich mir auf jedenfall nochmal anschauen ^^
Update:
Ich habe mich gerade daran erinnert das ich in der alten Unifi Controller mehr Optionen hatte .... Kurzerhand ausprobiert und in der alten Oberfläche die VLAN Netzwerke aufgesetzt. Jetzt funktioniert es.... ABER Ich habe das Setup hier vereinfacht ... in wirklichkeit habe ich 2x WAN für Failover und Balancing und angeblich haben die jetzt die gleiche IP ....
edit: Nein ich habe nicht 2x das gleiche vlan einem Port zugeordnet ..... (Wäre meine erste Frage bzw. Vermutung :D)
-
Wenn ein Failover oder Load Balancing konfiguriert ist die "doppelte IP" mit hoher Wahrscheinlichkeit eine Virtuelle IP. Schau mal in der Konfiguration nach ob es dort einen Punkt dafür gibt.
Ein Switchport kann genau einen Access/untagged und endlich viele Trunk/Tagged Ports besitzen. Der Switch würde meckern oder das Speichern der Konfiguration verbieten wenn bei einem Port mehrere VLANs als untagged definiert wären.
-
Kleines Update:
Die doppelte IP kam nicht von einer virituellen IP, sondern weil die Sense anscheinend verwirrt war .....
Aktuelle Situation FTTH Modem läuft mit VLAN anscheinend ohne Probleme. Das Kabelmodem (Compal CH7466CE) im Bridged Modus anscheinend nicht. So wie es aussieht erlaubt es nur eine Verbindung zur ersten MAC Adresse (Habe hierzu was im Netgate Forum gefunden; k.a. ob Verlinkung erlaubt ist ^^). Die erste MAC gehört dann natürlich zum Switch und nicht zur Sense.
Ich werde mich jetzt mal nach nem passenden Kabelmodem umschauen und dann berichten ob es läuft. Falls es Hardwareempfehlungen gibt, gerne :)
-
Was ich nicht verstehe, du hast ftth wozu dann ein Modem, ich habe bei meinem Provider Glas bis in die Wohnung und habe von denen nur ein Mediaconverter bekommen. Hänge das Ding einfach an mein wan und verbinde mich über pppoe.
Gesendet von iPhone mit Tapatalk Pro