Topologia de Redes com OPNsense atuando como Router L3

Started by Coelho, October 14, 2021, 01:07:29 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 14, 2021, 01:07:29 PM
Bom dia pessoal, estou estudando uma otimização para rede local e me deparei com algumas pedras no caminho. Vou habilitar 3 VLANS no meu switch L2 e usar o opnsense como router L3 via trunk (entre os dois). Até aí tudo bem, quando uma VLAN quiser conversar com outra VLAN será roteada pelo opnsense. Minha duvida seria com relação a conexão entre o opnsense e a pilha de switch, seria uma porta em modo trunk com todas as VLANs passando? Como seria a comunicação entre a pilha e o opnsense? com tag de VLAN? o NAT para dentro, se esta porta for trunk, posso criar regras de entrada para qualquer VLAN que o opnsense entregará ao switch que fará a entrega no host?
Obrigado!
October 26, 2021, 02:33:05 AM #1
Olá Coelho, boa noite!
Você pode sim utilizar as VLANs tageadas para a comunicação entre seu SW e o OPNsense, criar regras e até limitar o acesso entre as VLANs, o que é altamente recomendado, por questões de segurança, só liberar as comunicações essenciais entre as redes/vlans.
Cloudfence Open Source Team
December 14, 2021, 02:41:39 PM #2
Olá, sua lógica está correta.

A limitação entre VLAN de fato pode ocorrer via regras de firewall em cada interface.

Sim você terá uma porta trunk, como se fosse um switch L3, mas em teorias, vlan só irão se comunicar com vlans na mesma tag, mas restrigir somente os serviços necessários é importanter para correta aplicação das vlans.

Por exemplo, uma vlan de voip, só poderá trafegar dados voip, sip, iax e assim por diante
January 18, 2022, 12:58:54 PM #3
Quote from: walkerdgp on December 14, 2021, 02:41:39 PM
Olá, sua lógica está correta.

A limitação entre VLAN de fato pode ocorrer via regras de firewall em cada interface.

Sim você terá uma porta trunk, como se fosse um switch L3, mas em teorias, vlan só irão se comunicar com vlans na mesma tag, mas restrigir somente os serviços necessários é importanter para correta aplicação das vlans.

Por exemplo, uma vlan de voip, só poderá trafegar dados voip, sip, iax e assim por diante

Obrigado pelos apontamentos! Estou resolvendo outros problemas mas estou desenhando uma melhoria neste sentido para a rede. Nada muito complicado, acredito que vou fazer uma vlan de servers e uma de desktops apenas (talvez uma Wireless). A questão é arrumar equipamentos para não testar em Prod! Obrigado novamente, qualquer resultado vou postando por aqui!
Print
Go Up Pages1
User actions