Firewall und Vlans

[Zapad]

Hallo,

hoffentlich kann mir hier einer klären bzw helfen.... im Englischen Forum war das nicht der Fall.

Ich betreibe 10gbe netzwerk mit 4 Vlans, einer davon ist mit 30 maske nur als default Gateway zwischen dem Switch und Opnsense da.
Das heißt das Routing zwischen Vlans übernimmt der Switch und Default Route geht über  den einen Vlan (untag +3x tag) zu der
Opnsense.

Auf der Opnsense ist lan5 als untag(eine ip von der 30 maske) und 3 tagged Vlans konfiguriert.

Die logik:

Alle Clients haben vlan interface vom switch als defaut gateway per dhcp.
Das heisst der Switch fungiert als intervlan Router.

Der Rest traffik geht über extra Vlan 30 maske und statik Route zur Opsense

Das Problem:

die Opnsense sieht an den Vlan interfaces kein Traffik, es sind an den Lan5(parent) und 3 Vlans kein Filtering möglich.

Das Einzige was möglich ist ist total block an dem Default gateway was lan5 ist, da ist ein Alias mit allen vlans drin und allow>any
wenn ich ein vlan vom Alias entferne wird der traffik geblockt, aber es ist kein traffik an dem Vlan10 oder Vlan20 oder Vlan30 sichtbar.

So ein verhalten kenne ich nicht, es war immer möglich an den Einzelnen Vlan interfaces zu filtern, bei Ubiquiti bei Draytek bei Tplink usw.

Das ding nennt sich Asynchronious Routing.

Der Trraffik sollte über 1 DGW raus gehen aber über einzelne Vlan zurückkommen.

Sonst könnte ich auch 1 DGW port nehmen und statische Routen zurück einrichten wie auf der Fritzbox üblich ist die kein Vlan kann.

Vielleicht kann mir einer Helfen, eventuell habe nicht das Richtige Verständnis zu der OPNsense?

[Patrick M. Hausen]

Wenn der Switch das Routing übernimmt gehen die Pakete nicht durch die OPNsense wie dir auch im englischen Forum schon 5 mal erklärt wurde.

Wenn du filtern willst, muss die OPNsense das Routing machen, also Layer 3 auf Switch aus, alle Gateway-Adressen der jeweiligen VLANs auf die Interfaces der OPNsense konfigurieren, und dann geht das.

[Zapad]

ich habe das schon im Englichen verstanden...

ich brauche kein Routing zwischen den Vlans auf der Sense, weil das ein flaschenhals wäre, habe ich schon probiert.

also 10gbe intervlan Routing mach der Switch zum quasi 0 tarif, und die OPNsense ka*kt ab trotz Core i7 und 16gb ram.


Ich brauche routing vom wan zum jeweiligen Vlan.

und wie gesagt es funktioniert bei Ubiquiti und anderen Routern problemlos, raus über ein interface rein zu jeweiligen vlan/interface

[Patrick M. Hausen]

Wenn, dann heißt es asymmetrisches Routing und nicht asynchron.

Wenn du den Switch routen lassen willst, was völlig ok ist, dann kannst du auf der OPNsense keine VLAN-Interfaces haben.

- alle VLANs auf der OPNsense löschen
- IP-Adresse des Layer3-Switches im LAN als Gateway anlegen (System > Gateways)
- statische Routen für alle VLANs mit diesem Gateway anlegen

Fertig. Filtern dann wenn gewünscht auf Basis von IP-Adressen und nicht auf Basis von Interfaces. Die OPNsense ist ein Router, kein Switch. VLANs sind einfach nur tagged Subinterfaces.

[Zapad]

also wie auf der Fritzbox, statische routen zurück.....

ich weiss nicht was besser ist...

bei mir laufen DHCPv6 und ipv6 connections über Vlans... klar ich kann ipv4 auf dem Interface ausschalten, betrachte es aber als "krücke"

auf der Ubiquiti zb. ER-4 waren vlans in der Routing Tabelle als "connected metrik 0" bezeichnet und statische als "Static metrik 1"
was default setting ist, auch inbound acl's waren auf jeweiligen vlan möglich...

Vielleicht gibt es ein setting das es möglich macht?

[Patrick M. Hausen]

Nein, gibt es nicht.

[Zapad]

funktioniert nicht!

ich habe nun ein vlan vom Switchport entfernt, und das interface dazu auf der Sense deaktiviert.

Habe dann eine Route erstellt die natürlich so aussieht:

192.168.100.0/24 (vlan/ziel) > 192.168.0.1 (switch ip/default gateway) die sense hat 192.168.0.2 (als Static Route auf dem Switch.)

Es wird automatisch ein gateway 192.168.0.1 erstellt unter dem interface5 192.168.0.2 und kein routing/internet möglich.

[Patrick M. Hausen]

Du musst die NAT-Regel erweitern um die Netze, die vom Switch geroutet werden. Die OPNsense NATet automatisch nur das direkt an LAN angeschlossene Netz.

[Zapad]

ich habe das Problem identifizieren können....
es liegt einfach daran das die Vlans die ich an der OPNSense erstellt habe, modus automatisch haben und
als 802.1ad QnQ laufen... daher die Probleme!

Nachträgliche Änderung auf 802.1q bring nichts!!!

Warum? Warum? es steht doch das defaultmässig 802.1q benutzt wird!!!

Das habe ich herausgekriegt in dem ich bei ACL auf dem Switch Ethertype 8100 geblockt habe.

gibt es ein Fix dafür?

[Patrick M. Hausen]

Lerne, wie Netzwerke funktionieren. Ich bin raus. Wenn der Switch routet, sieht die Sense die Pakete nicht. Das ist so.