Routing Frage

[djcroman]

Hallo zusammen,
ich benötige mal einen kleinen Gedankenanstoß. Steh irgendwie auf dem Schlauch und bin auch nicht so der Netzwerkprofi.
Ich habe hier 3 Server, 1 MAC und 1 Switch.
Server 1: OPNsense mit 3 x 1GB LAN (IP: 10.0.1.1)
Server 2: Proxmox mit 10GB LAN (IP:10.0.2.2 - Default Gateway:10.0.2.1 - DNS:10.0.1.1)
Server 3: Proxmox Backup Server mit 10GB LAN (IP:10.0.2.3 - Default Gateway:10.0.2.1 - DNS:10.0.1.1)
MAC Studio mit 10GB LAN (IP:10.0.1.10 - Default Gateway: 10.0.1.1 - DNS:10.0.1.1)
Dazwischen einen 10GB Switch (Layer 3) (IP:10.0.1.2)

Wie bekomme ich es nun hin, dass der Switch das Routing zwischen Server 2 und 3 und dem MAC Studio übernimmt und der Datenverkehr nicht immer über die OPNsense geroutet wird?!?
DHCP übernimmt die OPNsense.

[meyergru]

Du schreibst nichts über die Topologie und hast keine Netzmasken erwähnt - ich gehe mal von /24 aus.

Grundsätzlich routet die OpnSense sowieso nicht zwischen dem Server 2 und 3, da beide im selben Netzwerk 10.0.2.0/24 liegen. Die einzige Art, wie der Traffic überhaupt die OpnSense passieren könnte, wäre, wenn die beiden Server an unterschiedlichen Interfaces der OpnSense hängen - diese müssten dann aber gebridged sein, so dass wieder nichts geroutet wird. Das bedeutet insbesondere, dass dort auch keine Firewall-Regeln greifen können.

[djcroman]

Ja ist /24 Netz

Das Problem ist, dass, sobald ich z.B. eine größere Datei von meinem MAC auf den Proxmox Server schiebe, die OPNsense der Flaschenhals ist und in die Knie geht. Das wirkt sich dann so aus, dass die OPNsense sich komplett aufhängt und nur noch ein Reboot hilft.
Es würde also vermutlich helfen, wenn ich den MAC ins selbe vLAN hänge, wie die Server?

[knebb]

Wenn Dein Switch WIRKLICH ein Layer3 Switch ist, dann macht der doch auch Routing,oder?

Mac-Netz an den "Switch", OPNSense auch direkt da ran und auch den Proxmox Server da ran. Dann den Switch so konfigurieren, dass er dazwischen routet. Fertig die Laube. Dann geht nur das an die OPNSense, was auch wirklich raus soll....

Ansonsten ist das doch klar, dass die OPNSense der Flaschenhals ist - die hat nur 1GBit/s, wohingegen die beiden anderen Server 10gBit/s NICs haben...

[djcroman]

Ich habe den Zyxel XS1930-12HP und da steht L3

Ja, ist auch alles so verkabelt. Meine Frage war eher, wie und wo ich was einstellen muss, dass NUR der Switch das interne Routing übernimmt.

[meyergru]

Frage: Welchen Sinn hat eine Netztrennung und eine Firewall, wenn dann der Traffic über einen Layer3-Switch daran vorbei geleitet wird?

Offenbar sind es ja nicht so viele Geräte, dass die Auftrennung in unterschiedliche ARP-Domains das Ziel ist.

[osmom]

Läuft auf den Promox Server 2 ein Fileserver oder was anders für deinen MAC? Kannst du das virtuelle Gerät evt. in das 10.0.1.x Netz bringen? Evt durch eine zusätzliche Netzwerkkarte?

Laut dem Manual von deinem  Switch kann der nicht viel routen, schau dir mal im SwitchManual die Kapitel IPv4 Routing Tabel und Static Routing an.

[knebb]

DAs ist mal wieder ein typischer Fall von "Marketing-Verarsche" :(

Ja, diese Switches können tatsächlich routen. Und werden deshalb auch als L3 Switches beworben. Dabei sind sie bestenfalls L2+ Switches. Die können nämlich nicht die üblichen Routing-Protokolle, sondern nur statisches Routing.

Wie funktionert das bei denen? Du musst für jedes VLAN ein Interface des Switches einrichten. Und dieses Interface ist das jeweilige Default-Gateway des VLANs. Und dann wohl noch ein paar Sachen konfigurieren lt. Doku: IPv4 Routing, Inter-VLAN Routing (L3 Mode), Static Routes.

DANN routet das Ding (habe ich hier selbst im Einsatz, aber nur als ordentlicher Switch) wohl tatsächlich zwischen den VLANs.

Bleibt die Frage, die auch @meyegru gestellt hat, wo der Sinn von via VLAN getrennten Netzwerken ist, wenn die Routing-Wege dazwischen dann doch wie ein offenes Scheunentor sind...

Meine Empfehlung wäre auch, diese doch etwas krude Infrastruktur zusammenzulegen und nur ein lokales LAN zu betrieben. Ist ja auch besser, wenn man versteht was man macht ;)

/KNEBB

[djcroman]

Vielen Dank Euch allen.
Leider bin ich nun auch nicht weiter. Ich weiß aber nun, dass meine Hardware Schei... ist und alles was ich mache Doof ist, weil ich kein Profi bin.
Es hat Gründe, warum ich das hier in verschiedenen vLANs betreibe und das möchte ich auch so beibehalten.
Meine Frage war, ob ich das irgendwie lösen kann, dass für bestimmte Dinge der Trafik nicht über die Sense geht, sondern direkt geroutet werden kann.
Auf dem Proxmox Server laufen ca 40 CTs/VMs und die sollen auch in differenzierten vLANs bleiben.
Darauf hat leider keiner eine Antwort (osmom mal außen vor, er hat wenigstens eine normale Frage gestellt) und nicht so von oben herab.

Schade...

[Patrick M. Hausen]

knebb hat geschrieben, was du auf diesen Switchen tun musst, damit diese tatsächlich routen. Kann ich nicht beurteilen, ich habe keinen solchen Switch.

Wenn ein L3-Switch das Routing macht, bekommt die OPNsense eine Verbindung zu diesem in genau einem VLAN. Nicht mehr. Eines. Und dann statische Routen für alle anderen mit dem Switch als Gateway.

Ein "Mischbetrieb" bei dem sowohl die OPNsense als auch der Switch mehrere der VLANs bedienen, führt zu asysmmetrischem Routing und funktioniert nicht.

Ob dein Switch so betrieben werden kann ... Hersteller-Doku und/oder Forum. Ich helfe dir gerne mit OPNsense, lese mich aber bestimmt nicht in Produkte ein, die ich selbst nicht habe, sorry.

[djcroman]

Ja, das ist doch mal eine Antwort mit der ich Arbeiten kann.
Ich erwarte nicht, dass jeder jede Hardware kennt, denn das wäre einfach nicht möglich.
Mit ging es eher um die Grundfrage, ist sowas überhaupt möglich oder nicht.
Ich bin kein Profi in Netzwerkfragen und daher wendet man sich eben an ein Forum und bittet um Hilfe.
Manchmal reicht auch ein kleiner Gedankenstoss und hilft schon immens.
Schade ist einfach immer, dass man von vielen von oben herab abgewürgt wird und das sollte in einem Forum eben nicht der Fall sein.

Ich danke Euch trotzdem und werde mich nun daran setzen und mir neue Hardware für die OPNsense zu besorgen mit 10G Interfaces.
Denn dann ist es egal, wer das Routing übernimmt und ich habe einen Flaschenhals weniger.

[Patrick M. Hausen]

Nochmal eine kurze Zusammenfassung:

- der Switch routet zwischen N VLANs
- OPNsense darf dann nur eine Verbindung zu einem davon haben
- für alle anderen bekommt OPNsense eine statische Route mit der IP-Adresse des Switches in dem einen VLAN als Gateway

Alles andere kann man irgendwie hinbiegen aber es wird schmerzhaft und ist eben genau nicht wie Routing gedacht ist.

Warum du das willst, musst du wissen.

Außerdem musst du NAT zum Internet dann manuell oder hybrid konfigurieren, weil OPNsense das automatisch nur für direkt verbundene Netze tut und nicht für die ganzen VLANs hinter dem Switch.

Gruß
Patrick

[meyergru]

Ich verstehe offen gesagt nicht, wieso Du so pikiert reagierst. Du hast anfangs nicht genau gesagt, was Du eigentlich tust. Ich schrieb Dir dann, dass Deine Frage, wie der Switch das Routing zwischen Server 2 und 3 übernehmen kann mit "gar nicht" beantwortet werden muss, weil beide im selben VLAN liegen und somit kein Routing erfolgt.

Danach sagtest Du, dass Du den Switch nutzen willst, um direkt zwischen dem VLAN für den Mac und dem für die Server zu routen und habe lediglich gefragt, wozu Du dann die OpnSense noch benötigst. Das primär deswegen, weil die OpnSense dann eben genau bislang wirksame Netztrennung der VLANs nicht mehr gewährleistet - so langsam das aktuell auch sein mag. Ein solcher Hinweis ist doch wohl legitim, wenn Du selbst sagst, dass Du kein Netzwerkprofi bist.

Finde ich auch schade, aber ich nehme wahr, dass Du offenbar keine weiteren Hinweise mehr möchtest.