Messages

Das geht leider nicht mit einer Gruppe, die 2 WAN Anschlüsse sind eigenständig und haben Ihre eigenen Firewall Regeln und Dienste.
WAN 1 ist ein Firmenanschluss mit fester IP-Adresse 100/100 MBit
WAN 2 = Privatanschluss mit dynamische IP-Adresse 1.000/300 MBit

Die WANs müssen einzeln ohne Gruppe funktionieren, weil auf jedem Anschluss unterschiedliche Dinge laufen.

Weil beide Anschlüsse die selbe Gateway-IP vom Core-Router des Providers Greenfiber zugewiesen bekommen, kommt das Routing durcheinander.

Ist so wie wenn es 2 Mal die selbe Hausnummer in der selben Straße gibt. Da liefert der Postbote durch Zufall mal an das eine und mal an das andere Haus.

I have two fiber optic connections.
No problem so far, but both PPP dial-ins end up on the same core router.
This has the address 45.155.140.1 as a gateway for PPPoE dial-ins.

This means that both WAN connections get the same "gateway IP-address".
So I cannot use two WAN interfaces on one firewall with the same gateway IP.

This is currently causing problems on the OPNsense firewall because my firewall rules don't work if the gateway IPs are identical. (e.g. when assigning DNS servers via floating rules)
I'm also now having problems with because the routing isn't working correctly.

OPNsense 19" appliance with 4 network ports
WAN1_fiber_private / PPPoE / Gateway IP 45.155.140.1 (on LAN port 3)
WAN2_fiber_business / PPPoE / Gateway IP 45.155.140.1 (on LAN port 4)


The provider (Greenfiber) wrote to me about this:
You terminate both PPP dial-ins on the same core router. This has the address 45.155.140.1 as a gateway for PPPoE dial-ins. The ONT (fiber optic modem) only serves as a Layer2 modem, it does not perform dial-in or anything similar.
I'm not exactly sure if the OPNsense can handle two same WAN gateways - you might have to ask the OPNsense community here.

[beide WAN-Anschlüsse die selbe Gateway-IP Adresse.]

Ich habe von Greenfiber zwei Glasfaseranschlüsse.
Soweit auch kein Problem, aber bei Greenfiber landen beide PPP-Einwahlen auf demselben Core-Router.
Dieser hat als Gateway die Adresse 45.155.140.1 für PPPoE-Einwahlen.

Somit bekommen beide WAN-Anschlüsse die selbe Gateway-IP Adresse.
Ergo, ich kann nicht auf einer Firewall zwei WAN-Interfaces nutzen mit dem gleichen Gateway-IP.

Das führt momentan zu Problemen auf der OPNsense Firewall, weil meine Firewall Regeln nicht funktionieren, wenn die Gateway-IPs identisch sind. (z.B. bei der Zuweisung von DNS-Servern über Floating Rules)
Auch kommt es jetzt beim NAT meiner Telefonanlage zu Problemen, das Ports umgebogen werden, weil das Routing nicht korrekt funktioniert.

OPNsense 19" Appliance mit 4 Netzwerkports
WAN1_Greenfiber_Privat / PPPoE / Gateway-IP 45.155.140.1 (am LAN-Port 3)
WAN2_Greenfiber_Geschaeft / PPPoE / Gateway-IP 45.155.140.1 (am LAN-Port 4)


Hierzu schrieb mir Greenfiber:
Sie terminieren mit beiden PPP-Einwahlen auf demselben Core-Router. Dieser hat als Gateway die Adresse 45.155.140.1 für PPPoE-Einwahlen. Der ONT dient nur als Layer2 Modem, dieser führt keine Einwahl oder ähnliches durch.
Ich bin mir nicht genau sicher, ob die OPNsense zwei gleiche WAN Gateways verarbeiten kann - vielleicht müssen Sie hier die OPNsense-Community fragen.

Also frage ich mal in die Runde, ob mir jemand helfen kann ;)

OK, Du meinst ich könnte auch per LACP die 5 LAN Ports bündeln/zusammenfassen und alle VLANs auf der LACP-Schnittstelle einrichten. Das hätte den Vorteil der einfacheren Einrichtung und man kann dann wahlweise 2,3 oder auch 5 LAN-Kabel als TRUNK in die Switche stecken und so die gesamte Bandbreite von 5 GBit nutzen oder eben auch weniger z.B. 2 GBit wenn man nur 2 Ports steckt.

Wenn ich 5 GBit auf allen Switchen haben möchte bedeutet das trotzdem das ich an jedem Switch 10 Ports belege (5 Trunk-Ports IN und 5 Trunk-Ports OUT), oder?

Die Frage wäre auch, ob das LACP zuverlässig und stabil läuft oder ob damit Bandbreite oder Rechenleistung verloren geht bei der Bündelung der Ports?

Servus, ich habe ein paar Fragen zur Grundsätzlichen Einrichtung der LAN-Schnittstellen in Verbindung mit VLANs. Meine OPNsense hat 5 LAN-Schnittstellen und 3 WAN-Schnittstellen (8 Ports Gesamt)

igb0 - LAN1_Management
vlan0.0.10 - LAN1_VLAN_Management (VLAN-ID 10)

igb1 - LAN2_Server
vlan0.1.11 - LAN2_VLAN_Server (VLAN-ID 11)

igb2 - LAN3_Clients
vlan0.2.12 - LAN3_VLAN_Clients (VLAN-ID 12)

igb3 - LAN4_Sonstiges
vlan0.3.20 - LAN4_VLAN_Telefon (VLAN-ID 20)
vlan0.3.30 - LAN4_VLAN_Kameras (VLAN-ID 30)

igb4 - LAN5_WLAN
vlan0.4.100 - LAN5_VLAN_WLAN_Firma (VLAN-ID 100)
vlan0.4.200 - LAN5_VLAN_WLAN_Gaeste (VLAN-ID 200)

Fragen:

Das VLAN-10 soll mein "LAN_Management" sein.
Auf 5 Netzwerkswitchen verbinde ich jeweils den Port1 physikalisch mit LAN1 und binde das "VLAN 10" auf den Port1. Die LAN1-Schnittstelle hat ja normalerweise eine feste IP-Adresse und die "VLAN10-Schnittstelle" hat auch eine feste IP-Adresse. Bei beiden Schnittstellen ist auch ein DHCP-Server hinterlegt. Benötige ich überhaupt eine IP-Adresse auf der physikalischen LAN1-Schnittstelle wenn ich das Management für alle Geräte über VLAN betreibe? Oder soll ich bei "IPv4 Konfigurationstyp" anstatt "Statisches IPv4" auf "Keines" umstellen und DHCP ausschalten?

Das VLAN-100 und 200 soll mein WLAN für Firma und Gäste sein.
Alle Ubiquiti Geräte (Switche + Access-Points + Controller) sollen über das "LAN_Management" angeschlossen und verwaltet werden, welches sich physikalisch auf LAN1 an der OPNsense befindet.
Die WLANs mit der VLAN-ID 100+200 befinden sich physikalisch auf LAN5.
Wie müssen die Ports an den Ubiquiti Switchen programmiert sein, damit das klappt?
Auch hier hat die LAN5 Schnittstelle ja eine andere IP-Adresse als die zwei unter ihr angelegten VLAN-Schnittstellen 100+200. Über "Switch Port Profiles" im UniFi Controller kann man die VLAN-IDs den einzelnen Ports am Switch zuweisen. Mich verwirren die Einstellungen "Native Network" und "Tagged Networks". Ist das "Native Network" das "VLAN10_Management" Netzwerk, oder die physikalische LAN1 Schnittstelle an der OPNsense? Und bei "Tagged Networks" VLANs 100+200 auswählen oder auch die 10 VLAN_Management)?

Genauso auch die LAN-Ports 2+3+4. Die Profile verlangen immer ein "Native Network" und die dazu gehörigen "Tagged Networks". Wie ist das richtig einzustellen? Ist das "Native Network" ein "untagged" Netzwerk?

Wenn nur VLANs verwendet werden auf den Switchen, sind dann trotzdem Firewall-Regeln auf den physikalschen LAN-Schnittstellen anzulegen oder nur Regeln auf den VLAN-Schnittstellen?

Leider sind alle 5 Switche über 5 Gebäude verteilt und mit Glasfaserkabel untereinander verbunden (je 6 Glasfaserports von Switch zu Switch). Die Unifi Switche haben nur 1GBit SFP Ports sodass ich bei den meisten mit 5 Netzwerkports reinkomme (Trunks) und mit 5 Netzwerkports zum nächsten Switch weiter gehe. Sind also 10 Ports von 48 belegt nur für die VLANs Rein und Raus. 10GBit SFP-Ports wären besser gewesen, dann hätte ich nur 2 Ports belegt an jedem Switch für die VLAN-Trunks. Neue Switche sind aber zu teuer. Wegen der Bandbreite benötige ich die 5x 1GBit Schnittstellen von der OPNsense, denn es gibt noch 3 WAN-Schnittstellen an der OPNsense mit jeweils 1 GBit Glasfaser Internet. Ich benutze ca. 20 Umwandler/Medienwandler von 1GBit Glasfaser auf RJ45-LAN für die Trunks zwischen den Switchen.

Vorab schon Mal vielen Dank für die Hilfe.

Gruß, Thorsten