VLAN auf Brücke, natives VLAN, untagged/tagged Traffic - Ein paar Fragen

[NickFrost]

Hallo zusammen,

mit Schrecken hab ich festgestellt, dass OPNsense bzw. FreeBSD offenbar Brücken von Trunkports nicht unterstützt. Also die Idee war, die vielen physischen SFP+ und RJ45 Ports auf dem Gerät zu brücken (als Trunkports mit VLAN) und davon dann auf die Trunkports mehrerer externer Switches zu verbinden.

Das geht nach wie vor nicht, oder? Zumindest nachdem, was ich hier so gelesen habe.

Also neues Setting und die alte Konfiguration wieder gelöscht:

Ich hab jetzt nur noch eine physische Schnittstelle, welche auf den Trunkport eines externen Switches geht.
Auf dieser Schnittstelle sind VLANs und natürlich das native (untagged) (V-)LAN konfiguriert.

Alle Verbindungen mit VLANs funktionieren nun so einwandfrei.

Aber wenn ich Geräte am Switch in den Trunkport stecke, bzw. in einen entsprechend ungetaggen Port, passiert folgendes:
- Alle Geräte erhalten eine IP per DHCP aus dem Subnet 192.168.1.0/24
- Alle Geräte können untereinander kommunizieren, was logisch ist, da alles über den Switch läuft.

Aber die Geräte kommen nicht ins Internet oder auf andere VLANs. Die Firewall blockt alles auf dem Interface igc1 mit "default deny". Dabei hab ich auf diesem Interface 2 Regeln: eingehend und ausgehend, alles freigegeben.

Allerdings habe ich hier an verschiedenen Stellen gelesen, dass man bei OPNsense auch nicht ungetaggten und getaggten Traffic auf einer Leitung haben sollte. Ist das so und was hat es damit auf sich? Oder hab ich bei den Firewall Regeln etwas vergessen?

Und was ist dann die empfohlene Variante? Alles in VLANs zu legen, also auch alle Access Points und Switches mit dem Management Interface?

[Patrick M. Hausen]

Du musst für jedes VLAN eine separate Bridge anlegen - so funktioniert es.

Zum tagged/untagged Problem - was das Management-VLAN ist etc. pp. ist völlig schnurz. Die Frage tagged oder untagged spielt nur innerhalb eines Interfaces eine Rolle. Du kannst in einem Switch das VLAN auf dem einen Trunk native und auf dem anderen tagged haben - alles egal.

Wichtig ist, dass auf dem Trunk zwischen OPNsense und Switch nur tagged VLANs anliegen. Du tagst also auf der OPNsense auch das VLAN (z.B.) 1 und hast gar kein untagged mehr.
Auf dem Switch (wenn es nicht gerade Ubiquiti ist, die sind da zickig) sagst du einfach "mein native VLAN ist 999" und das verwendest du dann nirgends.

Das ändert nichts daran, dass auf den Trunks zu Access Points das VLAN 1 weiterhin untagged anliegt. Der ganze Kram (802.1q) hat wie geschrieben einen "scope" per Interface.

Wenn man das nicht macht und auf dem untagged Netzwerk auf der OPNsense ein DHCP-Server läuft, dann siehst du ja, was passiert - deshalb soll man das bei OPNsense nicht machen. 

[NickFrost]

Das mit den VLAN-Brücken hab ich schon anderswo gelesen. Wenn ich das richtig verstehe, müsste es z.B. so gehen: Für 10 VLANs und 6 physische Schnittstellen müsste man 60 VLANs und 10 Brücken erstellen. Das ist natürlich eine Monsterkonfiguration. Da ist mir ein externer Switch dann doch lieber.

Der Rest mit dem VLAN999 habe ich nicht genau verstanden

Aber was nun definitiv zu gehen scheint, sind folgende Varianten:

1. Ein physisches Interface definieren, aber keine IP zuordnen.
2. Alle VLANs mit IP und DHCP drauf setzen.

Dieses Interface ist dann der Trunkport für externe gemanagte Switches. Man kann jedoch daran bei Bedarf auch erstmal einen unmanagten Switch hängen, das ist dann wie eine Vielfachsteckdose für Trunkports.

Falls man noch zusätzlich ein untagged (natives) Netz möchte, erstellt man an der OPNsense ein 2. physisches Interface und macht darauf eine IP und DHCP.

Dieses 2. Interface verbindet man einfach mit einem weiteren externen Trunkport oder eben mit dem unmanagten Switch.

Ich hoffe, ich habe es damit richtig verstanden.

[Patrick M. Hausen]

Das mit den VLAN-Brücken hab ich schon anderswo gelesen. Wenn ich das richtig verstehe, müsste es z.B. so gehen: Für 10 VLANs und 6 physische Schnittstellen müsste man 60 VLANs und 10 Brücken erstellen. Das ist natürlich eine Monsterkonfiguration. Da ist mir ein externer Switch dann doch lieber.

Korrekt. OPNsense ist kein Switch sondern ein Router - das wäre mit einem Cisco IOS-Router genau derselbe Aufriss. Ein "VLAN" ist bei einem Router einfach nur ein tagged Subinterface. Auch bei dem Cisco müsste man dann 10 Bridge Groups erstellen, die jeweils die Subinterfaces enthalten. Wohlgemerkt, bei einem reinen Router - viele aktuelle Geräte sind natürlich "Layer3-Switche" und können daher in dem Bereich mehr.

Der Rest mit dem VLAN999 habe ich nicht genau verstanden

Viele Switche bestehen darauf, dass es ein untagged VLAN auf einem Trunk geben muss. Das ist oft mit "1" vorbelegt. "Native VLAN" heißt das bei Cisco. Das setze ich dann auf 999 oder 1001 oder so etwas (auf dem Switch!), damit auch VLAN 1 ordentlich tagged betrieben wird.

1. Ein physisches Interface definieren, aber keine IP zuordnen.
2. Alle VLANs mit IP und DHCP drauf setzen.

Dieses Interface ist dann der Trunkport für externe gemanagte Switches. Man kann jedoch daran bei Bedarf auch erstmal einen unmanagten Switch hängen, das ist dann wie eine Vielfachsteckdose für Trunkports.

Wenn der Switch die größeren Frames transportiert, ja. 802.1q Frames sind 4 Byte länger.

Falls man noch zusätzlich ein untagged (natives) Netz möchte, erstellt man an der OPNsense ein 2. physisches Interface und macht darauf eine IP und DHCP.

Dieses 2. Interface verbindet man einfach mit einem weiteren externen Trunkport oder eben mit dem unmanagten Switch.

Nicht mit einem Trunk-Port sondern mit einem Access-Port. Tagged == Trunk. Untagged == Access.