gleiches Netz direkt auf NIC und tagged über 2. NIC möglich? [solved]

[white_rabbit]

Hallo.
Ist folgendes unter OPNSense möglich?

Ich habe zwei (zusätzliche) Netzwerke angelegt, und zwar "WiFi" und "DMZ". Beiden habe ich eine Netzwerkkarte zugeordnet, so dass der Zugriff über diese NICs direkt an der Firewall möglich ist. Nun hätte ich es gerne so, dass diese beiden Netze als VLANs zusätzlich über eine Glasfaserleitung tagged an einen Layer3-Router weitergeleitet werden. Wenn ich nun aber ein VLAN einrichte, muss ich als übergeordnete Schnittstelle ja die NIC für das Glasfaser wählen und bin somit in einem anderen Subnetz, oder? Kann ich es so hinbekommen, dass die sich beiden virt. und die realen NICs im gleichen Netzwerk befinden? Reicht es dazu aus, beiden eine Adresse im gleichen Subnetz zu geben oder ist das so nicht gedacht?
Danke für einen guten Tipp.

[Maurice]

Du möchtest L2-Bridging, das macht ein Switch performanter und robuster (in Hardware) als eine Firewall (bei der alles durch die CPU muss).

Falls Du es dennoch in OPNsense versuchen möchtest könnte es so funktionieren (ausprobieren):

- IP-Konfiguration von WiFi- und DMZ-Interface entfernen (IP Configuration Type None).
- Beide VLANs auf der Fiber-NIC anlegen, assignen, aktivieren (aber keine IP-Konfiguration).
- Zwei Bridges anlegen (WiFi-NIC + WiFi-VLAN, DMZ-NIC + DMZ-VLAN), assignen, aktivieren.
- Die vorher entfernte IP-Konfiguration auf den Bridge-Interfaces wieder anlegen.

Grüße

Maurice

[white_rabbit]

Ok, wenn es so ist, verzichte ich lieber darauf und greife die VLANs direkt am Router ab ... dann kann ich auf die beiden "echten" NICs in der OPNSense verzichten ... danke für den Hinweis.

[white_rabbit]

Ich komme nochmal auf meine Frage zurück ...

Demnächst habe ich eine 10 GBit-Leitung zur Firewall, auf der natürlich alle Netze (als VLAN) laufen sollen.
Daher wäre es notwendig, dass ich das LAN dann tagged  mit auf diese Schnittstelle lege und mit dem Router verbinde. Wenn ich das mache, habe ich aber lokal keinen Zugriff mehr auf die OPNSense-Firewall. Wenn es dann ein Problem gibt, wäre es mir eigentlich lieber, wenn ich über eine Schnittstelle DIREKT die WebUI aufrufen könnte. Ein Bild sagt mehr als 1000 Worte:

Skizze:
Bisher ist es so:

Code: [Select]

       .-----+-------.
      |  OPNSense  | 
      '-----+--------'
              |
        1 GBit NICs: jedes Netzwerk auf einer eigenen physikalischen Schnittstelle
             |
      .-----+-------------------------------------.
      | Zugriff über em0 (LAN) direkt möglich|
      '-----+-------------------------------------'
             

Demnächst ist es aber so:

Code: [Select]

       .-----+-------.
      |  OPNSense  | 
      '-----+--------'
              |
        10 GBit: alle Netze via VLAN tagged an Router
             |
      .-----+------------------.
      |  Cisco Layer3 Router |
      '-----+------------------'
              | (1 GBit)
      .-----+---------------------------------------------------------------.
      | Client im LAN  (Zugriff über einen Port mit "LAN untagged"    |
      '-----+---------------------------------------------------------------'
       

Also: Wenn es im unteren Szenario nun irgendein Problem gibt muss ich mich darauf verlassen, dass der Cisco-Router nicht die Ursache ist. Denn sonst komme ich nicht per LAN auf die OPNSense, da das LAN ja nur tagged weitergereicht wird ....

Daher (nochmal) die Frage: Wie löst man das elegant? Ist für diesen Fall vielleicht doch eine Brücke gut geeignet: Also das LAN tagged auf die 10 GBit Leitung und gleichzeitig (und nur für den Notfall) nochmal mit auf eine lokale Schnittstelle untagged? Oder wie macht ihr das?

Schöne Grüße!

[Maurice]

Lass das Management-VLAN untagged, dann kannst Du dich im Notfall ohne Tricks direkt dranstöpseln. Das ist durchaus üblich, bei vielen Netzwerkgeräten (Access Points etc.) ist das Management-VLAN immer untagged.

[white_rabbit]

"das Management-LAN"? Das ist aber nicht per default da, oder?
Meinst du das in dem Sinne: "Einfach noch eins einrichten und untagged auf eine der (alten) 1GBit-NICs"?
Falls ja: Der Zugriff des neuen LANs auf die WebUI muss doch irgendwo explizit erlaubt werden, oder?

[Maurice]

Das LAN, über das Du auf das Webinterface zugreifst ist das Management-LAN. Im Normalfall ist das das "erste" LAN. Das liegt ja bisher auf einem 1GE-Port. Da änderst Du einfach das Assignment auf den 10GE-Port. Dann ist das Webinterface direkt über diesen Port erreichbar. Dann legst Du die VLANs auf dem 10GE-Port an und legst die anderen Netze da drauf.

[white_rabbit]

Ok, das werde ich morgen ausprobieren ... LAN untagged direkt auf die Leitung ist sicher eine gute Idee. Ich bin nur nicht sicher, ob die Verbindung zum Cisco dann noch funktioniert, da dort (meine ich gelesen zu haben?) VLAN.1 zwingend untagged anliegen muss???

[Maurice]

Das native VLAN (also das ungetaggte) kannst Du auf dem Switch für jeden Port individuell konfigurieren. Habe noch keinen gesehen bei dem das nicht geht.

[white_rabbit]

Lass das Management-VLAN untagged, dann kannst Du dich im Notfall ohne Tricks direkt dranstöpseln.

... was mir dazu noch einfiel: Direkt dranstöpseln wird ja auch dann nicht gehen, da die 10 GBit Schnittstelle eine Glasfaserleitung ist, das Endgerät jedoch nur eine ganz normale (1 GBit) Netzwerkkarte besitzt

[Maurice]

Dann ist es sicherlich sinnvoll, im Notfall auch direkt über einen Kupferport Zugang zu haben. Dafür ist aber keine IP-Konfiguration oder Bridge erforderlich. Denn auf das Webinterface kann man auch über die Link-local-Adresse zugreifen. Du musst den Port nur aktivieren und eine Firewall-Regel anlegen, die eingehende Verbindungen erlaubt.

[JeGr]

Was Maurice sagt

Da der 10G Port wohl dazu kommt - vermute ich - einfach einen der RJ45 Ports konfigurieren mit DHCP, DNS und outbound NAT damit Internet läuft und den Port dann auf ein Netz konfigurieren das komplett random und außerhalb eures normalen IP Spaces ist (172.25.195.x z.B. einfach random). Dann hat man für den Notfall einen quasi-Konsolen Port für WebUI und SSH an dem man ordentlich debuggen kann.

Dann alle anderen Netze tagged auf die 10G Fiber packen und tagged/untagged aus Debugging Gründen vermeiden. Und dann ab dafür

[white_rabbit]

Hi.
Den Ansatz mit der Extra-NIC speziell für den Notfall habe ich nun umgesetzt. Das scheint zu funktionieren.
Dieses Mini-Netzwerk (hat eine /30er Maske) soll aber sonst nichts weiter dürfen...

- Zwei Bridges anlegen (WiFi-NIC + WiFi-VLAN, DMZ-NIC + DMZ-VLAN), assignen, aktivieren.

... interessehalber habe ich mir die Möglichkeit mit den Brücken nochmal angesehen: Dort kann ich aber gar keine Devices mit VLAN zuweisen sondern nur physikalische Devices. Dann funktioniert das mit den Bridges so doch nicht?

[Maurice]

Man muss die VLANs wie gesagt nicht nur anlegen, sondern auch assignen und enablen. Erst dann stehen sie auch bei der Bridge-Erstellung zur Auswahl. Das gilt für physikalische Interfaces übrigens genauso.

[white_rabbit]

Ok, hat funktioniert -- ich habe es aber nur kurz ausprobiert und dann doch so gelöst wie oben vorgeschlagen.

Auch auf der offiziellen Seite wird davor "gewarnt", wenn die Interfaces ordentlich in Gebrauch sind:
https://docs.opnsense.org/manual/how-tos/lan_bridge.html
(in meinem Fall wäre es eine "Notfall-NIC" und ein "Management-VLAN", das zu einer Bridge hätte werden können ... auf dieser Bridge wäre sicher nicht der Teufel los gewesen aber ich lasse beides nun trotzdem getrennt)

Danke für den Tipp