selbes Lan auf mehrere Physische Ports

[farco]

Moin,

ich hab mir vor ein paar Tagen auf eine APU4.D4 über Proxmox OPNSense Installiert. Das klappt auch alles bis jetzt.
Ich hab an der APU 4 Physische Netzwerkports.

Ich hab zum Testen 3 Vlans angelegt (10,20,30) diese sind auf Port 2 und dieser hängt meinm AP.
Jetzt würde Ich gern Vlan 10 auf Port 3 und Port 20 auf Port 4 der APU legen.

Ist das überhaupt möglich?Denn wenn Ich Vlan 10 auf eine andere Karte "lege" habe Ich dafür ja extra Einstellungen dafür.

Mir ist klar das man eigentlich einen Switch für sowas nutzt. Die 4 Ports an der APU reichen mir und Ich möchte nicht extra wegen 2 zusätzlichen Geräten (Lan) einen Switch kaufen.

[Patrick M. Hausen]

Das Stichwort ist "Bridge":
https://docs.opnsense.org/manual/how-tos/lan_bridge.html

Wichtig in Deinem Fall: erst die getaggten Interfaces auf dem Trunk Port anlegen, dann die Bridge über getaggte ujd ungetaggte Interfaces "ziehen". Nicht erst die Bridge bauen und dann VLANs mit der Bridge als Parent anlegen wollen. Das geht nicht. Der FreeBSD Netzwerk-Stack funktioniert einfach so herum.

[Patrick M. Hausen]

Das Stichwort ist "Bridge":
https://docs.opnsense.org/manual/how-tos/lan_bridge.html

Wichtig in Deinem Fall: erst die getaggten Interfaces auf dem Trunk Port anlegen, dann die Bridge über getaggte und ungetaggte Interfaces "ziehen". Nicht erst die Bridge bauen und dann VLANs mit der Bridge als Parent anlegen wollen. Das geht nicht. Der FreeBSD Netzwerk-Stack funktioniert einfach so herum.

[farco]

Danke für den Tipp, nach langen Basteln und lernen funktioniert auch fast alles.

Konfig wie folgt:

Lan0 = Port 1 WAN
Lan1 = Port 2 LAN (feste ip, dhcp an)
Lan1 = Port 2 Vlan2 (feste ip, dhcp an)
Lan1 = Port 2 Vlan3 (feste ip, dhcp an)
Lan2 = Port 3 (an ohne IP)
Lan3 = Port 4 (an ohne IP)

Dann Bridge erstellt mit Port3, Port4 -> auf Port 2 gelegt -> Port 2 der Bridge hinzugefügt alles geht, Ich bekomme per DHCP eine IP:
auf Port 2 das Lan + Vlan2 und Vlan3
auf Port 3 nur Lan kein Vlan2 und Vlan3
auf Port 4 nur Lan kein Vlan2 und Vlan3

ist für mich auch logisch weil Vlan2 und Vlan3 nicht Mitglied der Bridge sind.


Wenn Ich jetzt aber Vlan2 und Vlan3 der Bridge hinzufüge funktioniert DHCP nicht mehr
Port2 = überhaupt keine IP
Port3 = Ip aus Vlan3
Port4 = Ip aus Vlan3

Was hab Ich hier falsch gemacht? Ich überlege schon seit 2 Stunden hin und her aber es ist Definitiv so reproduzierbar. Also gehe Ich davon aus das Ich hier irgendwo was falsch Konfiguriert habe.

[lfirewall1243]

Nutze solche Bridges eigentlich nur im Notfall wenn es garnicht anders geht.
Wie auch in den Docs Beschrieben kann die Performance drunter leiden.

Bezüglich der VLAN Thematik kann ich dir nicht helfen, würde dir aber generell empfehlen einen Switch statt Bridge zu nutzen. So viel kostet ein kleiner Switch auch nicht und es laufen die Sachen auf den Systemen wofür diese auch ausgelegt sind

[Patrick M. Hausen]

Wenn Du die VLANs der Bridge hinzufügst, darfst Du das Parent-Interface natürlich nicht hinzufügen. Niemals tagged und untagged Traffic auf einem Interface mischen! Geht schief. Wer das in den Standard eingebaut hat, gehört erschossen.

Ein Trunk ist ein Trunk ist ein Trunk. Darauf sollte es nur tagged Frames geben.

[farco]

Das verstehe Ich gerade nicht so ganz.
Was meinst Du mit parent Interface? Meinst du das Ursprüngliche Lan? Was anfangs auf dem Port war?

Wie gesagt im Moment funktioniert es wenn die Vlans nicht in der Bridge sind:
Port 2 = Lan, Vlan1, Vlan2 - das ganze Funktioniert ohne Probleme.
Port 3 und 4 = ist nur Lan

Wenn Ich die Vlans mit in die Bridge mache funktioniert Port 2 überhaupt nicht mehr und Port 2 und Port 3 gibt mir eine Adresse aus Vlan 3.

Vielleicht nochmal was Ich erreichen möchte.

Port 2 - soll zu AP mit Vlan 1,2 und Lan (aus dem Lan kann Ich ggf. auch ein Vlan machen)
Port 3 - soll nur Lan
Port 4 - soll nur Vlan 2

Eventuell Funktioniert das mit OPNSense überhaupt nicht ohne Switch?
In meinem OpenWrt Router kann Ich das einstellen, dort gibt es allerdings auch die Funktion Switch.

[Patrick M. Hausen]

Mach aus dem LAN auch ein VLAN.

Dann hast Du auf Port 2, ich nenne sie jetzt mal

VLANL
VLAN1
VLAN2

alle tagged.

Dann machst Du eine Bridge mit Port 3 und VLANL als Mitgliedern und eine zweite Bridge mit Port 4 und VLAN2.

Dann änderst Du die Assignments so, dass die Bridge Interfaces die Rollen und die IP Adressen übernehmen wie es ja auch in der Doku steht.

[farco]

Ich glaube Ich bin einfach zu behindert im Kopf  ;D und gleich fliegt die APU aus dem Dachgeschoss aus dem Fenster ;D .

Ich muss ja das "normale Lan" von Port 2 wegnehmen, allerdings bekomme Ich über kein Vlan zugriff aufs Webinterface.
Ich hab in den Firewall Regel eine any to any in Regel erlaubt klappt trotzdem nicht. Ich bekomme immer über DCHP ein IP zugewiesen aber Ich komme nicht auf Webinterface.

[Patrick M. Hausen]

Ja, das Umbauen von einem Live-System kann schwierig werden, aber glaub mir, die Topologie stimmt FreeBSD seitig so wie von mir skizziert.

Eine FreeBSD "Bridge" ist sowas wie ein "vSwitch" in VMware. Wobei Du in FreeBSD eben nicht eine Bridge hast und da dann tagged Frames drüber schickst sondern Du brauchst pro VLAN, das auch noch an einem phys. Port anliegen soll, eine eigene Bridge.

Mach doch auf WAN eine feste private Adresse - 192.168.wasweissich, dann auf WAN die Ports 80 und 443 auf und dann steckst Du das WAN direkt in Deinen PC und gibst dem auch eine passende Adresse manuell. Dann kannst Du den ganzen Zirkus in Ruhe umkonfigurieren.

Du brauchst Deine 3 VLANs, mit Parent Interface Port 2.
Dann eine Bridge, die das VLAN für das LAN (1?) mit Deinem Port 3 verknubbelt und eine Bridge, die das VLAN 2 mit dem Port 4 verknubbelt.

Dann in den Interface Assignments das LAN dem ersten Bridge Interface zuweisen. Und das OPT1 oder wie auch immer das bei Dir heißt der zweiten Bridge. Nur das VLAN 3 darf direkt eine Zuweisung bekommen und alleine weiterspielen.

Code Select Expand

Logisch              LAN               OPT1             OPT2

Assignment           bridge0           bridge1          vlan3

Mitglieder           vlan1, port3      vlan2, port4     -

Parent               port2             port2            port2


Hilft das?

[farco]

Erstmal ein großes Danke für deine Geduld  :) :) :). Glaub mir Ich geb mir echt Mühe und mir platz hier seit zwei Tagen fast der Kopf ;).

Die frage ist für mich "warum komme ich per Vlan nicht mehr auf das Webinterface"? -> Die frage Interessiert mich wirklich sehr.
Ich glaub gerade "was Ich möchte geht nur mit einem Switch".

Nochmal was Ich gern möchte (mal als Switch geschrieben)
Port 1 = Wan
Port 2 = Vlan1,2,3 tagged -> hier kommt der AP dran (ist mein OpenWRT Router als AP umgebaut, witziger weiße Funktioniert das hier mit dem 3 Verschieden Offen Wlans die jeweils auf ein Vlan vom OPNsense getagt sind ohne Problem, Internet geht auch nur komme Ich hier auch nicht aufs Webif der OPNSense.
Port 3 = Vlan 1 untagged -> soll der Server dran
Port 4 = Vlan 2 untagged -> kommt ein IoT Gerät dran

Gerade habe Ich den AP aber ab und nutze das ein Lan Kabel direkt in die Sense.

[Patrick M. Hausen]

Ich habe es Dir doch genau so wie Du es willst in meinem vorangegangenen Post aufgeschrieben. Verbinde Dich über das WAN und konfiguriere die Interfaces genau so wie in meiner Tabelle. Dann kommst Du auch wieder an das UI.

Um per VLAN auf das Webinterface zu kommen musst Du in Assignments das "LAN" Deinem VLAN zuweisen. Und dann musst Du noch die Bridge anlegen und das "LAN" der Bridge zuweisen statt direkt dem VLAN. Das geht nicht während Du die Kiste darüber administrierst. Daher der Tip, das über WAN zu machen. Losgelöst vom Internet, natürlich.

Und natürlich geht es ohne Switch. Die FreeBSD "Bridge" ist ein Switch.