HILFE... für FiSi Abschlussarbeit IHK

Started by chrisfnf, May 26, 2026, 11:27:06 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 26, 2026, 11:27:06 PM Last Edit: May 26, 2026, 11:32:39 PM by chrisfnf
Guten Abend zusammen,

ich mache eine Umschulung zum Fachinformatiker für Systemintegration und arbeite gerade an meiner Abschlussarbeit zum Thema "IPv4 Netzwerkerweiterung mit IPv6 und Integration eines Firewall Clusters" und brauche dazu dringend Unterstützung.

Ich möchte folgendes Szenario umsetzen:
- verschiedene VLANs die an einem Transfernetz (via HP-1810 Switch) angeschlossen sind
- davon ein VLAN (#264) mit dem Netzbereich 10.128.64.0/24; soll durch das Firewallcluster vom Rest abgeschirmt sein
- Drucker im VLAN #250 soll dennoch von VLAN #264 erreichbar sein; der Drucker ist im Netz 10.128.50.0/24 und druckt über eine mDNS Konfiguration

Bereits umgesetzt:
- OPNSense V 26.1.4 ist bereits auf zwei Einplatinenrechnern (Pokini F2) eingerichtet, alle LAN Adressen und Internet erreichbar
- KEA DHCP ist manuell (ohne Agent) eingerichtet, Vergabe von IPv4 Adressen funktioniert. Mir ist bewusst, dass KEA ein simpler DHCP Server ist.
  ich musste das Netz online bekommen, daher diese Zwischenlösung

Offen:
- DNS über mDNS konfigurieren, damit die Namen der Geräte aufgelöst werden und der Drucker im VLAN #250 erreichbar ist.
- IPv6 Einstellungen: ich habe verstanden, dass IPv6 spezielle Firewall Einstellungen benötigt, weil die Adressen aus dem Internet direkt erreichbar sind. Wie ich das genau einstellen muss habe ich nicht verstanden.

Es gibt viele Tutorials im Internet, leider werden aber die wichtigen Details nicht gezeigt bzw. habe ich kein Tutorial gefunden in dem VLAN, mDNS und IPv6 zusammen behandelt werden.

Netzplan:

https://my.hidrive.com/lnk/Hx3sjxYeX
(Bild aus Hidrive wird leider nicht eingefügt)

Hat jemand hilfreiche Tipps für mich oder wäre u.U. bereit mir das in einer Online Session zu zeigen?

Vielen Dank für eure Rückmeldung dafür vorab!

Gruß
Chris
May 27, 2026, 07:18:06 AM #1 Last Edit: May 27, 2026, 07:21:44 AM by knebb
Moin,

ganz ehrlich? Aus Deinem Text entnehme ich, dass Du zumindest teilweise von dem Thema überfordert bist und/oder Dich noch nicht damit beschäftigt hast.

Von der Wortwahl her sind viele Sachen sehr laienhaft ausgedrückt ("VLANs die an einem Transfernetz (via HP-1810 Switch) angeschlossen sind" - VLANs brauchen einen Router, nur mit einem Switch können sie nicht miteinander kommunizieren, aber das Bild zeigt ja, dass es richtig ist...).

So ganz ist mir auch nicht klar, wo Dein Problem liegt (Wortwahl...).

Dennoch ein paar Sachen:
mDNS:
Drucker via Netzwerkgrenzen über mDNS anzusprechen ist ...ähmmm.... Mist! mDNS ist per Konzept nur für das lokale Netz (VLAN) konzipiert, wenn Du Dich über diese Grenzen hinwegsetzen willst, brauchst Du auf JEDEM Router so etwas wie einen mDNS Reflector / Repeater. Sonst wirst Du nie von #264 aus einen Drucker in irgendeinem anderen Netz sehen.
Mal abgesehen davon- wofür baut man eine Failover-Firewall, um dann mDNS durchzuschmuggeln???? Ja, als Konzeptarbeit akzeptabel, Sinn dieser Konstruktion sucht man besser woanders...
IPv6:
Hier wirst Du um intensives Einlesen nicht drumherum kommen. Grundsätzlich bewerte ich Deine Aussage "spezielle Firewall Einstellungen" auch eher als grenzwertig. Nein, braucht man nicht. IPv6 KANN so eingerichtet werden, dass die Systeme "von außen" direkt erreichbar sind. Das geht auch mit IPv4 (sofern man öffentliche Adressen besitzt). In beiden Fällen braucht man eine saubere Firewallkonfiguration, um unerwünschten Gästen den Zugriff entsprechend zu verwehren....

Du brauchst kein Tutorial, das mDNS, VLANs und IPv6 behandelt. Du brauchst ein Verständnis, was ist:
-VLAN (Broadcast-Domain, abgeschlossen, Anbindung via Router; egal ob IPv4 oder IPv6)
-mDNS (innerhalb einer Broadcast Domain, nicht ideal darüber hinaus)
-IPv6 ("nur" eine andere Variante von IPv4, Grundzüge bleiben bestehen)

Die VLANs scheinen grundsätzlich brauchbar konfiguriert zu sein (wenn ich auch nicht weiß, wo und wie Du den DHCP-Server eingerichtet hast....). Router trennen diese VLANs ab. mDNS (ich hwiederhole mich...) macht über VLANs hinweg nicht wirklich Sinn, zumal Du ja das Ganze sogar über zwei Router und ein Transfernetz (10.128.0.0/24) hinweg machen willst. Und IPv6 ist einfach ein wenig Fleißarbeit: lesen, lernen, verstehen. Wenn IPv4 wirklich (!) verstanden ist, ist IPv6 auch machbar.

Bei KONKRETEN Problemen gerne noch mal nachfragen.

/KNEBB



May 27, 2026, 02:56:38 PM #2
Quote from: knebb on May 27, 2026, 07:18:06 AMAus Deinem Text entnehme ich, dass Du zumindest teilweise von dem Thema überfordert bist und/oder Dich noch nicht damit beschäftigt hast.

Das weiß ich selbst, dass mich das Thema überfordert - sonst hätte ich keinen Hilfepost ins Forum geschrieben. Hoffentlich bleiben Sie lange genug in Ihrem Job und sind nicht gezwungen umzuschulen!

Viel Erfolg!
May 27, 2026, 03:05:37 PM #3
Es gibt hier immer wieder einen Stammtisch (der ist virtuell mit Video etc...), vielleicht kann dort jemand helfen. Dort sind immer "alte Hasen" unterwegs was Netzwerktechnik und IT angeht.

https://forum.opnsense.org/index.php?topic=18183.0

Einfach mal dort reinschreiben und fragen ob jemand helfen kann.
Hardware:
DEC740
May 27, 2026, 07:28:29 PM #4
Quote from: Monviech (Cedrik) on May 27, 2026, 03:05:37 PMEs gibt hier immer wieder einen Stammtisch (der ist virtuell mit Video etc...), vielleicht kann dort jemand helfen. Dort sind immer "alte Hasen" unterwegs was Netzwerktechnik und IT angeht.

https://forum.opnsense.org/index.php?topic=18183.0

Einfach mal dort reinschreiben und fragen ob jemand helfen kann.

Vielen Dank für den Hinweis!
May 27, 2026, 07:32:07 PM #5
Nicht rein schreiben sondern einfach zum Stammtisch kommen, bitte. Das ist kein Diskussions- und Hilfe-Thread.

Diesen Freitag ab 17:00 z.B. :-)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
May 27, 2026, 09:08:38 PM #6
Wobei der Stammtisch auch nicht der "wir machen deine Hausaufgaben"-Tisch ist. 
Quote from: chrisfnf on May 26, 2026, 11:27:06 PMin dem VLAN, mDNS und IPv6 zusammen behandelt werden
Warum auch, Du musst schon jedes Thema für sich lernen und wenn dann noch was offen ist, ggf. fragen.
Today at 02:21:48 PM #7 Last Edit: Today at 03:58:10 PM by chrisfnf
Hallo zusammen,

erstmal danke für eure Rückmeldungen. Eine Ergänzung zum besseren Verständnis: es handelt sich um eine Bürogemeinschaft mit mehreren Akteuren, daher führe ich statt Subnetting VLANs ein.

Anscheinend ist der Aufbau aus meinem Netzplan und den Angaben nicht so ganz ersichtlich, daher noch einige Erläuterungen dazu:

1) Ich habe den VDSL Router (Fritzbox 7530) mit einem HP 1810-G Switch verbunden und die Switchports 2-10 mit Transfernetz 10.128.0.0/24 = VLAN #200 untagged konfiguriert

2) am Transfernetz hängen weitere Netze:
  • Gast Netz 10.128.20.0/24 = VLAN #220
  • Drucker Netz 10.128.50.0/24 = VLAN #250
  • Freelancer Netz 10.128.30.0/24 = VLAN #230

3) VLAN #220 & #250 sind per OpenWRT im TP Link Router mit TAGGED VLANs konfiguriert; die verbundenen Ports am Switch ebenfalls auf die entsprechenden VLANs per TAGGED konfiguriert. In OpenWRT ist auch der Printer per mDNS konfiguriert und announced sich ins Transfernetz - konkret an den VDSL Router mit 10.128.0.254

4) VLAN #230 ist über nen simplen Router ebenfalls per OpenWRT konfiguriert und hängt mit untagged VLAN am Transfernetz

5) das Office Netz 10.128.64.0/24 hängt ebenfalls am Transfernetz, nur dieses erhält die Absicherung durch das Firewallcluster mit OPNsense. Die Schnittstellen in OPNsense und am Switch sind TAGGED konfiguriert, damit ich im weiteren Verlauf ein weiteres Office Netz (VLAN #270) hinzufügen kann. Das Firewallcluster (2x Pokini F2 Modul mit je 4 Ethernet Anschlüssen) soll nur die Office Netze absichern! Dazu konfiguriert: CARP WAN = 10.128.0.64, CARP LAN = 10.128.64.254

6) ein DNS Server mit BIND Einbindung kommt in diesem Setup nicht in Frage, da die einzelnen Router ihr jeweiliges VLAN Segmente selbst verwalten sollen und nicht ein übergeordneter Server (ist mir bewusst, dass es mehr Verwaltungsaufwand bedeutet, ist so gewollt).
Der Sinn dahinter ist, dass jedes VLAN komplett autark agieren soll, ohne zusätzliche Hardware oder VM für DNS und es keine Netzwerk übergreifende Konfiguration gibt.
Diese würde sich auf die gesamte Infrastruktur auswirken. Wenn dann z.B. die Freelancer im VLAN #230 Experiemnete machen wollte, wäre das kontraproduktiv.

7) das eigentliche Problem: mDNS in OPNsense zu konfigurieren, damit ich vom Office VLAN #264 den Drucker im VLAN #250 erreichen kann und die Namensauflösung lokal im VLAN #264 klappt. Alle relevanten Netzgeräte die zur gewünschten Funktion beitragen, sind im Office Netz 10.128.64.0/24 verortet, außer dem Drucker (dieser soll aus allen Netzsegmenten erreichbar sein, daher ein separates VLAN).
Aktuell funktioniert alles im Office Netz (VLAN #264), per KEA DHCP (habe ich als Zwischenlösung genommen damit die Infrastruktur funktionsfähig bleibt).
Ich möchte als nächsten Schritt IPv6 ausrollen und das macht ja ohne DNS nicht viel Sinn.

Hat jemand Erfahrung zu so einem Szenario, wie man das richtig konfiguriert?

Als Anhnag nochmal ein Update des Netzplans:

Falls noch Punkte unklar sind, gerne rückfragen, vielen Dank vorab.

Grüsse aus Berlin
Christian
Today at 03:55:50 PM #8
Quote from: chrisfnf on May 27, 2026, 02:56:38 PM
Quote from: knebb on May 27, 2026, 07:18:06 AMAus Deinem Text entnehme ich, dass Du zumindest teilweise von dem Thema überfordert bist und/oder Dich noch nicht damit beschäftigt hast.

Das weiß ich selbst, dass mich das Thema überfordert - sonst hätte ich keinen Hilfepost ins Forum geschrieben. Hoffentlich bleiben Sie lange genug in Ihrem Job und sind nicht gezwungen umzuschulen!

Viel Erfolg!

Was er Dir durch die Blume sagen wollte: Specke Dein Projekt massiv ab. Du brauchst nicht unbedingt einen Firewallcluster und auch nicht IPv6.
Auch Deinen Drucker kannst Du über interne DNS-Server (auf der OPNsense) mit A- und C-Records bekannt machen.
Print
Go Up Pages1
User actions