Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[Vorerst gelöst] Durchleitung des WAN über mehrer Switches zu OPNsense
« previous
next »
Print
Pages: [
1
]
Author
Topic: [Vorerst gelöst] Durchleitung des WAN über mehrer Switches zu OPNsense (Read 844 times)
benjaminbih
Newbie
Posts: 7
Karma: 0
[Vorerst gelöst] Durchleitung des WAN über mehrer Switches zu OPNsense
«
on:
August 22, 2024, 11:47:14 pm »
Hallo zusammen,
ich bin neu hier und versuche mich etwas mit der OPNsense und auch mit VLAN.
Ich habe das Problem das mein Netzwerk der Räumlichtkeiten wegen mit mehreren Switchen aufgeteilt werden musste. Mann könnte sagen, pro Raum 1 Switch, es ist nicht ganz so wild aber es sind schon einige Switches.
Hinzu kommt noch das mein Speedport in einem ganz anderen Raum sitzt als der Netzwerkschrank. Der Netzwerkschrank soll aber dort bleiben wo er ist, im Keller, den da wird später auch Glasfaser von aussein einziehen.
Zwei der Switche, Switch A und Switch B sind durch durchleitung des Signals über eine Access Point miteinander verbunden. Das Signal geht dann weiter von B nach C und F, so wie von C zum D/E Verbund.
Funktioniert soweit alles, aber die OPNSense macht so wenig Sinn und daher unsicher.
Daher würde ich gerne das Signal des Spedport von Switch A zum Switch Verbund D/E durchleiten und hoffe so ein WAN Interface an der OPNsense nutzen zu können.
Den aktuell ist alles über das LAN interface geleitet und daher nicht optimal. Den das Internet geht zu Switch A rein/raus und verteilt sich auf alles was hinter Switch A noch kommt.
So ist wenig bis keine Kontrolle möglich.
Später wird das Internet Signal direkt vom ONT oder gar ohne ONT in die OPNsense eingeleitet, aber bis dahin wollte ich dies anders gelöst haben.
Falls Ihr andere Vorschläge zur Durchleitung des Internets von Switch A zum Switch D/E habt, um so einen Port von Switch D/E für das WAN Interface nutzen zu können, bin ich sehr dankbar.
Ansonsten müßte ich mir doch überlegen die OPNsense direkt hinter der Fritbox anzuschliessen, im Raum wo diese sich befindet . Das wollte ich eigentlich nicht, da ich im Keller ein ordentliches Rack hingestellt habe.
Hier mein Netzwerkplan:
«
Last Edit: September 02, 2024, 04:14:55 pm by benjaminbih
»
Logged
meyergru
Hero Member
Posts: 1684
Karma: 165
IT Aficionado
Re: Durchleitung des WAN über mehrer Switches zu OPNsense
«
Reply #1 on:
August 23, 2024, 12:47:58 am »
Ich verstehe Dein Problem noch nicht so ganz:
Wieso ist da "keine Kontrolle möglich"? Das würde schon gehen, gesetzt den Fall, dass Du die Netzwerkverbindung zum Speedport über ein VLAN machst. Ich meine dabei aber nicht, dass Du einfach den Speedport anschließt und das VLAN 7 nur "irgendwie" durch alle (unmanaged) Switche durchleitest - dann könnte natürlich jeder LAN-Client selbst die Kontrolle des Speedport übernehmen.
Grundvoraussetzung für Sicherheit wären also managebare Switche, wo Du pro Port bestimmen kannst, was (nämlich: welche(s) VLAN(s)) dort jeweils anliegt.
Ansonsten gibt es nur noch das Thema, dass die Bandbreite des LAN mit dem WAN geteilt wird, wenn Du nur einen physischen Port für beides nutzt - aber das musst Du ja nicht.
Nur: Das hängt natürlich auch von den Interconnects zwischen den Switches ab, es gibt ja kritische Pfade. Wahrscheinlich hast Du ja auch deshalb an einer Stelle schon ein LAGG definiert, was allerdings nur "statistisch" verteilt, d.h. nicht garantiert die Bandbreite verdoppelt. Aus eigener Erfahrung würde ich - wegen Stromverbrauch - übrigens kein 10 GbE, sondern 2.5 GBit/s verwenden. Funktioniert auch besser über längere / ältere Verkabelung.
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005
1100 down / 440 up
,
Bufferbloat A+
benjaminbih
Newbie
Posts: 7
Karma: 0
Re: Durchleitung des WAN über mehrer Switches zu OPNsense
«
Reply #2 on:
August 23, 2024, 02:19:31 am »
@meyergru
danke für deine Antwort.
Die Switche sind managebar, nicht voll aber ich kann neben den default VLAN's von Netgear auch noch andere VLAN's und diese auf nur bestimmte Ports pro Switch legen zzgl. IP Filterung und MAC Filterung.
Aber da Frage ich mich ob das VLAN durch den AccessPoint zwischen Switch A und B geleitet wird, den dieser WAX630 AP kann kein VLAN, hat 2 Ports welche man entweder für LAG oder zur Durchleitung des Signals zum anderen Gerät nutzen kann. Ich nutze Porta A des AP als Signal inkl POE++ für den AP und über Port B wird weitergereicht an Switch B.
Die Modelle der Switche sind 2x GS728TPv2, GS110TPv3, GC510P, GC510PP und GS110TUP.
Und danke Dir für den Tipp mit dem 10Gbe, habe ich auch schon gelesen und gehört. Ich habe mich aber auch nicht deutlich diesbezüglich ausgedrückt. Es sind zwar 10Gbe Ports am SuperMicro Board, aber laufen nur auf 1Gbe, da die Switche alle nur 1Gbe haben. Da sollte der Stromverbrauch ja auch geringer ausfallen, ob diese 10Gbe Ports den 2,5Gbe mode überhaupt unterstützen muss ich auch mal bei Supermicro nachlesen, ich denke mich noch zu erinnern das dies nicht der Fall war. Wenn es so ist, dann sind schnellere Switche mit 2,5Gbe erstmal auch kein Thema. Dann bleibt alterntiv doch LAGG oder dynamisches LAGG was auch mit den Switchen machbar ist.
Die Kabel selbst sind alle CAT7, CAT8, die wurden vor 2 Jahren gezogen. Damals stand aber noch nicht fest was da alles an Netzwerkgeräten kommt.
Ich werde mal heute Abend testen, mit einem VLAN7 an allen relevanten Ports von Switch A bis D/E und melde mich dann wieder.
Gute Nacht
Logged
meyergru
Hero Member
Posts: 1684
Karma: 165
IT Aficionado
Re: Durchleitung des WAN über mehrer Switches zu OPNsense
«
Reply #3 on:
August 23, 2024, 09:19:14 am »
Wenn die WLAN-Strecke kein VLAN kann, kann es sein, dass sie VLANs einfach verwirft oder sich wie ein Trunk verhält, das macht jeder Hersteller wie er will, musst Du probieren. In jedem Fall hättest Du Probleme (Sicherheit), falls Du dort auch Clients mit betreibst.
Wobei, ehrlich gesagt weiß ich gar nicht, wie/ob man bei WLAN-Clients ein VLAN einstellen könnte. Normalerweise werden VLANs an APs ja nur dazu genutzt, die WLANs auf VLANs (auf der Ethernet-Schnittstelle) zu mappen, die werden nie durchgereicht...
Wenn man "Trunk über WLAN" googlet, findet man dies:
https://administrator.de/forum/vlan-trunk-ueber-wlan-213493.html
Tatsächlich scheint es die Beschränkung zu geben, dass darüber natürlich auch die ganzen Broadcasts der VLANs von rechts nach links und umgekehrt transportiert werden müssen, was das WLAN ziemlich belastet. Hast Du das schon so am Laufen oder ist das nur ein Plan? Selbst, wenn am Switch A nur der Speedport hängt, tritt das Broadcast-Problem auf, weil die ungeachtet der Nutzung übertragen werden.
Wenn der Switch A nicht für andere Geräte genutzt wird, würde ich ihn einsparen und die ganze Strecke A-B mit nur einem VLAN (7 oder untagged) und dediziert für den WAN-Traffic laufen lassen.
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005
1100 down / 440 up
,
Bufferbloat A+
benjaminbih
Newbie
Posts: 7
Karma: 0
Re: Durchleitung des WAN über mehrer Switches zu OPNsense
«
Reply #4 on:
August 23, 2024, 02:30:33 pm »
Hallo meyergru,
das hört sich alles schon mal, mit etwas Glück, in meinen Fall ausführbar an.
Denn ja, es gibt auch AccessPoints welche Trunk / VLAN auf den Ports unterstützen. Der WAC540 als Beispiel, ich habe auch einen dieser AP, komme aber leider derzeit nich physisch an diesen ran. Wenn ich aber über die Netgear Cloud ein VLAN einrichten will, wird neben den Switches der WAC540 als einziger AP als Möglichkeit mit seinen beiden Ports zur VLAN Konfiguration aufgeführt.
Der erste Switch A hat leider Clients. Aber, diese sind alle in der ActiveDirectory hinterlegt und den Zugriff kann ich mit Radius steuern, was bereits such aktiv ist.
Der erste AP welcher zum Switch B durchleiten soll, hat zwar das WLAN aktiviert, bekommt dann aber künftig auch nur Clients auf einer SSID welche die in der AD bekannten Geräte zulässt.
Somit lässt sich nach meinem Verständnis bereits etwas Sicherheit erreichen.
Ich muss nur noch testen ob das VLAN vom ersten AP durchgeleitet wird oder nicht.
Das Netzwerk wie im Plan dargestellt ist bereits genau so aufgebaut und funktioniert eigentlich auch problemlos in alle Richtungen m, nur das eben alle Geräte aktuell voll auf den Sperdport zugreifen können und nicht durch die OPNsense gehen.
Ich teste sobald ich dazu komme und gebe info.
Gruß
Benjamin
Logged
benjaminbih
Newbie
Posts: 7
Karma: 0
Re: Durchleitung des WAN über mehrer Switches zu OPNsense
«
Reply #5 on:
August 23, 2024, 05:51:46 pm »
Kleines Update zum den WAX630 Access Points.
Es gibt folgende Layer2 Option: Block VLAN tagged packets on wireless interface ? Yes / No
Die Option ist von Haus aus auf "No", ich denke eine Weiterleitung der VLANs ist machbar da diese ja auch auf das WLAN weitergegeben werden können.
Ich tüftle noch mit der VLAN Config herum, die will noch nicht.
Auf jeden Fall habe ich mal jetzt bei dem Port an welchem der Speedport im Switch hängt einen Access gesetzt, und bei allen anderen beteiligten Ports einen TRUNK, jetzt gehen die VLAN1 und VLAN7 zusammen durch die meisten Ports und für den Port am Switch an welchem das WAN Interface der OPNSense angeschlossen ist habe ich VLAN1 herausgenommen, so das nur ein Trunk für VLAN7 dort ankommt.
Weiter habe ich auf der OPNSense folgendes getan:
Schnittstellen -> Andere Typen: Ein VLAN07 mit dem Tagg 7 auf dem Interface ix5 für WAN erstellt.
Schnittstellen -> Zuordnungen: Dem WAN interface das VLAN07 zugeordnet.
Wie gesagt noch funktioniert es nicht.
Keine Ahnung ob ich noch etwas beachten muss oder übersehen habe.
Logged
benjaminbih
Newbie
Posts: 7
Karma: 0
Re: Durchleitung des WAN über mehrer Switches zu OPNsense
«
Reply #6 on:
September 02, 2024, 04:14:15 pm »
Hallo zusammen,
ich möchte den Thread nicht unnötig offen lassen und schließe mit folgendem ab.
Durchleitung vom Switch A in den Keller hatte bedingt funktioniert und dann nach ein Paar Stunden brach das Gerüst zusammen. Der Durchfluss ging erst beidseitig normal dann vom Kelker zum Speedport sehr langsam und schlussendlich haben die Netgear Switche und AccessPoints gestreikt.
Da ich bereit Monate zuvor immer wieder Fehlermeldungen der Netgear Cloud für manch Gerät erhielt, wenn es um Neukonfiguration der Geräte oder des Netzwerkes ging, habe ich beschlossen das Netzwerk und den Standort komplett neu aufzusetzen. Vor Ort und in der Cloud.
So habe ich nun direk hinter der Fritzbox einen Supermicro e300 mit Xeon-D für die OPNsense und hinter der OPNsense läuft der Rest neu konfiguriert.
Das local LAN ist stabil, die Internetverbindung auch. VLAN Konfiguration bleibt noch aus.
Bis zum Einzug der Glasfaserleitung bleibt die OPNsense auch wo sie ist.
Ein Problem gibt es noch und zwar der Durchsatz der VPN Verbindung mit nur 1Mbits, dazu gibt es jetzt bald einen neuen Thread.
Grüße
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[Vorerst gelöst] Durchleitung des WAN über mehrer Switches zu OPNsense