VLAN auf mehreren Interfaces

[pascal585]

Hallo zusammen,

ich habe bereits recherchiert, aber leider keine wirkliche Anleitung für mein Problem gefunden.

Folgende Ausgangslage:
- OPNsense mit vier Ports (igc0 bis igc3).
- TP-Link Omada AP (igc2)
- Proxmox-Server (igc1)
- LAN bridge mit igc1, igc2 und igc3 als member (192.168.178.0/24).


Ich habe ein VLAN (tag 20, 192.168.20.0/24) erstellt. Dieses VLAN ist igc2 zugeordnet. Dies hat zur Folge, dass alle über das WLAN (Omada AP) eingewählte Geräte eine IP-Adresse aus dem 20er Netz per DHCP erhalten. Die VM in Proxmox erhält keine IP-Adresse. Ordne ich das VLAN igc1 um, ist es genau umgekehrt.

Ich schließe daraus, dass das daran liegt, dass das VLAN immer nur einer Schnittstelle zugewiesen ist.

Frage: Wie kann ich ein VLAN (tag 20, 192.168.20.0/24) mehreren physikalischen Schnittstellen (hier: igc1 und igc2 wünschenswert) zuweisen?

Fun fact: Ich hatte schon probiert die VLANs meiner erstellen bridge zuzuordnen. Das ist gepflegt in die Hose gegangen und dazu geführt, dass ich mich ausgesperrt habe.

Für Unterstützung wäre ich euch sehr dankbar!

LG Pascal

[cytrinox]

Du kannst einfach ein weiteres VLAN anlegen, aber auch mit der ID 20, nur diesmal igc1 als Interface auswählen.

Allerdings bin ich mir mit der bridge nicht so sicher. Intuitiv hätte ich gesagt du musst das VLAN 20 nur einmal anlegen, aber mit der bridge als parent interface. Das würde mich auch interessieren was hier der richtige Weg ist.

EDIT: Hab das mal ausprobiert, du kannst eine Bridge nicht als VLAN device auswählen, da war mein Bauchgefühl falsch, letztendlich ergibt das sogar Sinn.
Ich vermute, du hast deinen DHCP Server an die bridge0 gebunden, dann sollte alles, was du noch tun musst, ein weiteres VLAN für igc2 und igc3 anlegen, jeweils mit ID 20.

[pascal585]

Ja, das war auch mein Gedanke (bridge als parent interface). Ist allerdings leider nicht möglich, das bridge-Interface erscheint nicht im Dropdown-Menü des VLANs.

Jedes VLAN drei Mal anlegen ist bestimmt möglich, wird aber unübersichtlich und macht (je nach Anzahl der VLANs) ganz schön Arbeit.

[Patrick M. Hausen]

Ist so wie der FreeBSD Netzwerk-Stack aufgebaut ist aber die einzige Möglichkeit.

- VLAN für jedes Parent-Interface anlegen, auf dem es benötigt wird
- eine Bridge mit all diesen VLANs als Members
- IP-Konfiguration (und damit "Assignment" in OPNsense - LAN, OPT1, ...) über das Bridge-Interface, nicht über ein Member-Interface

FreeBSD ist kein Switch sondern eher ein Router. Deshalb das Gebastel mit den Bridges.

Besser: 1 Trunk-Port zu einem Switch und alles am Switch anschließen. Da gibts auch günstige von z.B. Ubiquiti oder Mikrotik.

Gruß
Patrick

[pascal585]

@pmhausen: Danke! Das mit der bridge hat schon mal gut funktioniert.

Ich habe auch den DHCP-Service für das VLAN eingerichtet und innerhalb des VLANs können die Geräte interface-übergreifend kommunizieren.

Allerdings komme ich aus dem VLAN nicht "raus". Also ping auf LAN-Adresse der OPNsense nicht möglich. Auch Internet etc. funktioniert nicht. Habe testweise in den Firewall-Regeln alles für die vlan-bridge freigegeben. Trotzdem keine Kommunikation nach draußen möglich. Gibt's irgendeinen "Kniff", den ich übersehen habe?

[Patrick M. Hausen]

Du brauchst noch zwei Tunables, wie hier dokumentiert:
https://docs.opnsense.org/manual/how-tos/lan_bridge.html

[pascal585]

Hab ich gemacht... Will trotzdem nicht.

[Mks]

Hallo.

Ohne jetzt deine Motivation im Detail zu kennen, aber der Vorschlag von pmhausen einen Switch einzusetzen und dort die Zuordnung durchzuführen und Opnsense eine Firewall sein zu lassen würde ich auch empfehlen.

Lg

[Patrick M. Hausen]

Und alle IP Konfiguration und alle Regeln "sitzen" auf dem Bridge-Interface?

[pascal585]

@Mks: Ich habe insg. vier Interfaces an meiner OPNsense. Eins davon ist WAN, also habe ich drei für (V/W)-LAN .
Allerdings werde ich wohl nun wirklich die Finger davon lassen. Über meinen Switch geht es allemal. Der ist im Moment nur gut ausgelastet ...