Frage zu VLANs und lagg0 (Managementnetz)

[white_rabbit]

Hallo.
Wir haben ein 2x 10 GBit LAGG von einem Proxmox-Server über einen Cisco-SG350X-Switch zur OPNSense, also so:
Internet <==> OPNSense <==> Cisco SG350X <==> Proxmox <> VM

Nun ist es so, dass wir das LAGG grundsätzlich so einrichten, dass VLAN.1 untagged und alles andere tagged über die Leitung gehen. Das funktioniert auch, doch gibt es auf der OPNSense das folgende Problem:

VLAN.1 ist für eigentlich als Management-Netz "reserviert". Unter Schnittstellen -> Zuweisungen sollte es daher nach meinem Verständnis so sein, dass ich der Management-Schnittstelle lediglich lagg0_vlan.1 zuweisen muss. Das funktioniert aber nicht. Wenn ich das mache, kommt an der OPNSense nichts mehr an (nicht mal ein ping). Wenn ich hingegen als Zuweisung das komplette lagg0 (ohne ein spezielles VLAN) wähle, läuft alles. Das kommt mir aber falsch vor, da man dann in Interface Statistik sieht, dass der gesamte Traffic über das lagg0 läuft anstatt zu den Schnittstellen, wo z.B. lagg0_vlan.12 zugeordnet ist.
Daher die Frage: Woran liegt das bzw wie muss es richtig gemacht werden?
Danke!

[Patrick M. Hausen]

Untagged bedeutet in FreeBSD das "ganze" Interface. Es kann dabei zu kleineren Problemchen kommen, wie das mit der Statistik, oder dass ein DHCP-Server auf dem "native" VLAN Anfragen aus den anderen beantwortet.

Je weniger Services du auf VLAN 1 betreibst, desto größer die Chance, dass es keine Probleme gibt. Alternative ist tagged und untagged nicht zu mischen. Dann brauchst du halt ein extra Interface für das Management.

[white_rabbit]

Also sehe ich das richtig, dass einem Interface auf jeden Fall das ganze LAGG zugewiesen werden muss? Dass das bei uns ausgerechnet das Management-Interface ist, ist also eher kontraproduktiv -- oder habe ich Dich falsch verstanden??

[Patrick M. Hausen]

Untagged = ganzes Interface.

Ob das kontraproduktiv ist, musst du entscheiden. Manche Dienste sind etwas "zickig", wenn man tagged und untagged mischt. Kein fundamentales Problem.