VLAN Konfiguration

[gerflo09]

Ich möchte gerne ein zweites internes Netz (LAN2) aufbauen, was von LAN1 komplett getrennt ist. Trotzdem soll es von LAN2 aus möglich sein einzelne ausgewählte Server/Dienste in LAN1 und der DMZ zu erreichen.

Unser Switch ist VLAN fähig. Ich nehme an, ich könnte das über (tagged) VLANs realisieren?

VLANS sind totales Neuland für mich. Ich habe mir zwar einige

Wie muss ich die Firewall und den Switch und die Hosts in LAN2 konfigurieren?
 

[JeGr]

Da das "wie" sehr von den Hosts und dem Switch abhängt, kann man das pauschal nicht sagen. Im Prinzip kannst du aber einfach ein (zweites) VLAN auf dem Switch anlegen und entsprechende Netzwerkports bspw. als Default VLAN in dein neues VLAN konfigurieren, so dass das dort angesteckte Gerät dann automatisch im richtigen VLAN ist. die pfSense muss dann entweder ein weiteres physikalisches Interface auf dem Switch bekommen, das ebenso konfiguriert ist oder man konfiguriert den VLAN Tag zusätzlich auf das Interface, auf dem sie am Switch eh schon hängt.

Wenn du das einführst würde ich aber dazu raten auch das LAN gleich sauber in ein extra VLAN =! 0/1 (Default) zu verfrachten. Dann hat man nicht das Problem dass untagged und tagged Traffic ggf. auf dem gleichen Interface laufen und hat auch keine seltsamen Phänomene mit VLAN1.

[gerflo09]

So etwa habe ich mir das gedacht und auch schon angefangen - es klingt erst mal nicht nach Hexenwerk ...

Vielen Dank für die Info - und ich werde deinen Rat befolgen und auch das normale LAN noch taggen...

[JeGr]

Du tust dir auf jeden Fall einen Gefallen, wenn du auch das LAN dann von Anfang an komplett wie ein "VLAN" behandelst und alle VLANs somit gleich. Dann hast du später keine Probleme mit "verhält sich anders" oder Überraschungen warum ein Port plötzlich einfach geht (weil er untagged ist) etc.
Und das Default VLAN 1 (und ggf. 0 soweit irgendwo als untagged VLAN genutzt) vermeiden. Spart ebenfalls Probleme

[Wayne Train]

Hi,
am einfachsten ist es, wenn du den Uplink vom Switch zum LAN als Trunk bzw. LACP Port konfigurierst, dann ein LAGG auf der Firewall anlegst und die VLANs vom LAGG provisionierst. Dann kannst du zukünftig einfach weitere Interfaces erzeugen und bis zu 4096 getrennte VLANs parallel betreiben. Darüber hinaus kannst du, sofern dein Switch das kann, mehrere Interfaces in dem LAGG "bündeln", sodass du nicht nur einen 1GBit/s sonder u.U. auch sehr fix einen 4GBit/s Uplink relaisiert bekommst. Über die Assignements kannst du dann die VLANs vom LAGG provisionieren und wie reale Interfaces konfigurieren.
Klingt kompliziert, ist aber sehr einfach. Bei OPNsense ist das im Gegensatz zu anderen Systemen so logisch umgesetzt, dass man sich erstmal wie ein Idiot vorkommt, wenn man das Chaos anderer Firewalls gewöhnt ist.
Solange dein Switch managebar ist und er VLAN-tagging supported ist das Ganze kein Ding.
Viele Grüße
Wayne

[DokuKäfer]

Hallo zusammen,

ich hol den Thread mal aus der Versenkung.

Ich steh nun auch vor der VLAN Konfiguration.
Anbei findet ihr ein Screenshot der angelegten Interface.

Die Frage ist nun was mach ich mit dem obersten Inferface?
Diese Frage kommt auf da JeGr folgendes schrieb:

Wenn du das einführst würde ich aber dazu raten auch das LAN gleich sauber in ein extra VLAN =! 0/1 (Default) zu verfrachten. Dann hat man nicht das Problem dass untagged und tagged Traffic ggf. auf dem gleichen Interface laufen und hat auch keine seltsamen Phänomene mit VLAN1.

Eingerichtet ist diese em0 Interface mit einer Static IP. Kein DHCP Server.

Hoffe hier kann mir jemand Licht ins dunkle bringen.

Grüße
DokuKäfer

[Oxygen61]

Hey DokuKäfer,

*gräbt sich ebenfalls den Weg frei aus der Versenkung*

Der Sinn von VLANs ist es private Subnetze thematisch voneinander zu trennen.
Dadurch das VLAN-unfähige Endgeräte durch die untagged Access Ports der Switches trotzdem im jeweiligen VLAN miteinander reden und der UPLINK zur Firewall oder zu einem zweiten Switch getagged verläuft gibt es keinen Grund mehr tatsächlich das physische Interface am Leben zu lassen.
Ich weiß nicht mehr wo, aber JeGr hatte irgendwann mal früher die absolut perfekte Beschreibung dafür geliefert... Die war so gut, dass sich das bei mir eingebrannt hatte.

Und zwar: "Bei der Verwendung von VLANs dient das physische Interface nur noch als Träger"
So oder so ähnlich.... bitte steinige mich nicht JeGr.

Bevor du jetzt aber das Interface weglöschst überleg dir diese paar Dinge noch kurz, damit du dich nicht selbst aussperrst:
1. Ist dein Client/Admin-PC im richtigen Subnetz? Also im VLAN_Privat LAN Subnetz?
2. Stimmt das Gateway auf deinem Rechner in diesem VLAN?
3. Hast du Firewall Regeln für dieses VLAN Interface geschrieben, damit du auch tatsächlich per HTTPS/HTTP auf das Firewall Interface kommst?
4. Gibt es einen Plan B für dich, falls plötzlich die Verbindung weg fällt und du das OPNsense Interface nicht mehr erreichst? Z.B.: Übergangsweise mal probieren ob du im Notfall auch über das WAN Interface auf die OPNsense kommst, wenn du dich an das WAN Interface ansteckst

Ein paar weitere Gedanken die du dir wirklich wirklich überlegen solltest:
- Bist du dir ganz ganz sicher, dass du nicht vorher ein LACP Trunk Bündel zwischen Firewall und Switch bauen willst und darauf dann die VLANs?
--> Loadbalancing / Ausfallsicherheit / erhöhter Durchsatz trotz Inter-VLAN Routing / Meldungen im Log, wenn Kabel defekt sind usw....
- Es ist ratsam und "good practice", administrative Interface Schnittstellen und GUIs nicht im selben Netz wie die User zu verfrachten. Ergo, überleg dir ob du nicht lieber nochmals zwischen MANAGEMENT VLAN und ADMIN VLAN trennen willst, wobei im Management VLAN dann die OPNsense GUI angesprochen werden soll und das NUR und ausschließlich aus dem ADMIN VLAN Subnetz, in welchem du dich dann befindest. Der Zugriff von Admin auf Management VLAN erfolgt dann über Firewall Regeln.

Ich hatte letztes Wochenende das Vergnügen alle meine Interfaces zu löschen und neu anzulegen, damit ich LACP in Verbindung mit VLANs nutzen kann.... Ich hatte eigentlich vor die Erstkonfiguration so ein bisschen als Anleitung mal nieder zu schreiben für das Forum. Also wenn du etwas warten willst, bringt dir die Anleitung dann vielleicht etwas.

Schöne Grüße
Oxy

[DokuKäfer]

Hallo Oxy,

vielen Dank für deine Antwort!
Aber ich glaub ich muss doch erstmal von vorne Anfangen. 

Anbei findest du einen Screenshot wie das ganze aussehen soll (SOLL-Zustand)

Büro ist im 2. OG
Restaurant ist im EG

Da die vorhandene Kabelinfrasturktur übernommen werden soll.
Und diese leider nicht von Büro direkt in Keller geht, muss hier leider über den Switch im Restaurant die Verkabelung erfolgen.
Weitere Leitungen können nicht gezogen werden.

Als Access Points würde ich Ubiquiti AC-AP Pro vewenden.
Switche kommen jeweils Netgear GS108E zum Einsatz.

Ich denke mit dieser Konstelation werde ich am kostengünstigen fahren und hab eine gute Versorgung.
Das Hotel selbst hat 8 Zimmer, also nicht gerade groß und dementsprechend auch nicht immer volles Haus.

Jetzt ist die Frage ob hier nicht einfach zwei VLANs reichen würden?

Vorweg die OPNsense mit den im ersten Post von mir geteilten Screenshot
ist zurzeit nur ein Testgerät zum Üben und steht bei mir daheim rum.
Angeschlossen ist daran am LAN zurzeit nur ein Netgear GS108E und an diesem ein Laptop. AP kommt noch.
Der Go-Live erfolgt dann wohl am 26.11.2017.

Heute Abend bzw. am Wochenende werde ich mich mal an die Netgear VLAN Konfig machen.
Hier gibt es ja im Netz genügend HOWTOs. Denke mal das werde ich hinbekommen.

Wo es aber bei mir noch ein Verständnisproblem gibt.
In welches IP Netz hänge ich zum Beispiel die ganzen Switche, Drucker und APs?
Kommen die nun in das Netz 192.168.10.1 oder besser in das VLAN_PRIVAT?

Wie müsste die Firewallregel denn bei beiden VLANs aussehen?
Es sollte vorerst alles offen sein, aber VLAN_GAST soll natürlich nicht auf VLAN_PRIVAT zugreifen können.

----
Nochwas, keine Ahnung ob dies ein normales Verhalten ist.
Gestern beim Üben ist mir folgendes aufgefallen.
OPNsense -> LAN -> SWITCH Port 1 (Standard Einstellungen) - Laptop (192.168.10.20, Static)
Habe dann für beide VLANs einen DHCP Server eingerichtet.
Nachdem ich dies mache kann ich auf dem Laptop keine Internetseiten mehr öffnen.
Entferne ich wieder die DHCP Server funktioniert auch wieder die Internetverbindung.
---


Grüße
Andreas

[JeGr]

> So oder so ähnlich.... bitte steinige mich nicht JeGr.
Würde ich nie, Oxy. Wenns jemand so gefallen/was gebracht hat, freut mich das eher

> Switche kommen jeweils Netgear GS108E zum Einsatz.
Kann man das ändern oder sind die schon da? Da bin ich persönlich kein wahnsinniger Freund, die Dinger sind mir zu oft abgeraucht, aber mehr als ein bisschen VLAN müssen die ja nicht können

[DokuKäfer]

Hi Jegr,

ich denke mal die ganze WLAN Einrichtung muss vielleicht ca. 5-6 Jahre halten. Dann gehn die Herrschaften sowieso in Rente.  Deswegen muss nicht soviel reingebuttert werden und wenn dann mal ein Switch hops geht sind die 37€ was dieser zurzeit kostet auch nicht so schlimm.

Ich hab mal anbei noch einen Screenshot meiner VLAN Konfig angehängt, so wie ich die Ports bestücken würde. Würde dies soweit passen? Jetzt muss ich mich noch einlesen wie das mit der PVID gemacht wird.

Ebenso häng ich jetzt mit meiner Planung wie geschrieben daran fest in welches Netz ich die Geräte packen soll. Ob diese ins Standard .10.1 Netz oder im VLAN_30 gehören.

Grüße
Andreas

[Oxygen61]

Hey DokuKäfer,

Bei deiner Konstellation ist es komplett davon abhängig wie weit du das VLAN Gebilde ausweiten willst.
Es gibt nicht wirklich ein richtig oder falsch, gerade weil die VLAN Einrichtung stark abhängig ist von der Umgebung. Dein Netzwerk ist so winzig, da lohnt es sich fast gar nicht überhaupt VLANs zu betreiben. Aus struktureller Sicht, erhöht sich der Verwaltungsaufwand immens bei fast gar keiner Netzauslastung.

Aus Security Sicht könnte man jetzt natürlich ins tausendste philosophieren.
Weil ich nicht weiß inwieweit du bereit bist noch viel mehr in das Netzwerk zu investieren, würde ich auf jeden Fall an deiner Stelle versuchen das OPNsense Web Interface in ein eigenes Management VLAN zu stecken. Dann noch ein User VLAN, wo von mir aus alles rein kommt, was nicht WLAN ist, inklusive dir, mit Freischaltung auf das Interface der OPNsense... und dann... naja ises "ok"....
Gut ist das nicht, aber mehr wird dein Netgear ohne LACP so oder so nicht schaffen.
1Gig Leitung bleibt halt eine 1Gig Leitung. Wird das Netzwerk durch VLANs aufgeteilt, teilen sich die vielen Subnetze natürlich auch die 1Gig Leitung...

Weiterhin ist dein WLAN Setup auch stark davon abhängig ob deine WLAN AP VLAN fähig sind.
Das bedeutet: Können diese Multi SSIDs aufspannen und diese per VLAN trennen und können sie weiterhin auch ihr eigenes Web Interface von diesen SSIDs trennen? Falls nein, dann hast du einen klassischen billig Home AP-Router, mit dem du nicht viel machen werden wirst VLAN technisch gesehen...

Im Grunde taggst du auch viel zu viel laut deiner Übersicht...
Das fängt schon damit an, dass dein PC keine VLAN Taggs versteht und diese Pakete einfach wegwerfen wird.
Der Drucker genauso...

In deinem Fall müssen die VLANs, die in deinem Netz existieren Tagged über einen Trunk Uplink-Port zwischen den Switchen verschickt werden. Default VLAN 1 bleibt hierbei untagged auf allen Ports und wird NICHT Tagged übertragen.

Ein paar Beispiele:
Wenn dein PC an Switch A am Switchport 6 hängen soll und im VLAN 20 sein soll, dann muss dieser Switchport als Access Port und Untagged konfiguriert werden. Die PVID ist hierbei ebenfalls 20 an diesem Access Port.
(Normalerweise weiß der Switch selber, welche PVID er nutzen muss. Weiß er das nicht muss du das an jedem untagged Access Port selber einrichten.)

Beim Drucker genauso.... Der Drucker hängt jetzt hier nur Beispielsweise am Switch B am Switchport 4 und soll ins PRINTER VLAN 40, dann muss am Switchport 4 der Port als Access Port und untagged konfiguriert werden mit der PVID 40.

Die Verbindung zwischen Switch A und B geschieht durch einen Trunk Port der Tagged Pakete verschickt, wobei an diesem Switchport VLAN 20 und 40 Tagged eingerichtet werden müssen. PVID bleibt bei diesem Trunk Port auf 1. Dieses Trunk Port Tagging musst du auf Switch A genauso wie auch auf Switch B an den jeweiligen Ports einstellen, damit der Tagged Transport funktioniert.

Der Post hier ist super um VLANs zu verstehen... vielleicht hilft dir das:
https://www.linuxmintusers.de/index.php?topic=31152.0

Versuch dein Netzwerk jedenfalls einfach zu halten, aber sorg dafür das Web Interfaces für Konfigurationen in einem extra separatem VLAN stecken. Das sollte schon das Minimum sein.

Ich hoffe ich hab dich nicht verwirrt.

Schöne Grüße
Oxy

EDIT:
Aus eigener Erfahrung kann ich dir sagen, dass VLANs und NAS Server sich nur dann gut verstehen, wenn du QoS einrichtest und dort auch wirklich LACP zur Verfügung stellst. Tust du das nicht, wird es beim Streamen oder Musikhören Aussetzer geben beim wiedergeben. Das kann man im Grunde etwas unterbinden in dem man die NAS in das gleiche VLAN steckt, wie die User die darauf zu greifen sollen. In diesem Fall wird nur auf Layer-2 des OSI-Modells geswitched und es muss nicht zwischen den VLANs geroutet werden.
Problem hierbei natürlich die fehlende Security durch fehlende Firewall Regeln.
Ist auf jeden Fall eine Frage die du dir stellen müssen wirst.

[DokuKäfer]

Hi Oxy,

vielen Dank für deine ausführlichen Antworten! Es wird schon langsam heller am Ende des Tunnels. 
Das mit der PVID habe ich nun soweit verstanden.

Ich erstell jetzt noch ein drittes VLAN (VLAN_Management), ohne DHCP Server.
In dieses packe ich dann die OPNsense, Switche und APs.

Drucker und NAS werde ich mal vorläufig ins VLAN_Privat packen.

Wie bekomme ich denn nun nachträglich das WEB Interface in dieses VLAN_Management Netz?
Was muss ich am em0 umstellen? Oder reicht es dem Interface im LAN_Management eine Static IP zuzuweisen?
Wie geh ich hier am besten vor?

Das phyisische Netz darf ich ja sicherlich nie deaktivieren oder?


Grüße

[DokuKäfer]

Ouh, jetzt versteh ich.
Hab das Problem gelöst wie ich z.B. aus dem VLAN_Privat die OPNsense erreiche.   
Stichwort Firewall Regel, erstmal zum Testen alles offen.

Folgendest steh nun in meiner Testumgebung:

VLAN_Gast
VLAN_Privat
VLAN_Management

DHCP auf VLAN_Gast und VLAN_Privat.
Internet funktioniert auf allen VLANs.

Durch die "Alles offen Regel" kann ich natürlich von jedem Netz in die anderen Netze pingen.

Anbei einen Screenshot der Firewallregel unter LAN_GAST.
Hier wollte ich den Zugriff von LAN_Gast auf LAN_Privat blocken.

Aber ich kann weiterhin vom LAN_Gast auf LAN_Privat pingen.
Wo liegt hier noch der Fehler?

Ich denk mal wenn ich das nun verstehe, hab ich alle Puzzleteile zusammen. 




EDIT oh man peinlich. Netze durcheinander gebracht. Nun funktioniert auch das Regelwerk

[Oxygen61]

Hey DokuKäfer,

wie ich sehe hast du deine Fragen ja mehr oder weniger eh schon selbst beantwortet.

Ich erstell jetzt noch ein drittes VLAN (VLAN_Management), ohne DHCP Server.
In dieses packe ich dann die OPNsense, Switche und APs.

Genau. Wichtig ist, dass du sämtliche Zugriffe auf das OPNsense Gateway in den nicht Admin Netzen verbietest. Bei Firewalls kann man von jedem VLAN Subnetz immer wenn man das Gateway anwählt auf die Weboberfläche kommen. Um das zu verhindern musst du eine Regel schreiben, die den Zugriff von NUR GENAU DEINEM Rechner auf das Gateway im Management Subnetz erlaubt. Kein AP oder Switch muss die Möglichkeit haben die Web-GUI Schnittstelle der Firewall anzusprechen. Auch der Drucker nicht, genauso wenig wie die WLAN Gäste und und und.
Bei Switchen gibt es meist die Möglichkeit ein Management oder Primäres VLAN festzulegen. Da dann einfach das Management VLAN ankreuzen und das Default Gateway auch über die Management VLAN Schnittstelle laufen lassen.
Bei AP's kann es sein, dass du Probleme kriegen wirst, das auf-gesponnene WLAN Netz von der AP Web-GUI abzukapseln. Wenn es geht mach das. Andernfalls, muss der AP im selben Netz sein wie die WLAN Gäste.

Was muss ich am em0 umstellen? Oder reicht es dem Interface im LAN_Management eine Static IP zuzuweisen?

Wie schon am Anfang mal gesagt. Das tatsächliche physische Interface em0, brauchst du nicht mehr, da dieses nur noch als Träger der VLANs genutzt wird. Solang dein Rechner im VLAN_Privat landet und per Firewall Freischaltung auf die Default Gateway Adresse im Management VLAN zugreifen darf, kannst du das Assignment auf em0 bei den Interfaces löschen. Darüber läuft eh kein Traffic, der verwertet wird. Verarbeitet wird alles nur noch in den jeweiligen VLAN Subnetzen.

Oder reicht es dem Interface im LAN_Management eine Static IP zuzuweisen?

Jedes Interface bekommt eine Static IP im jeweiligem VLAN Subnetz.
Meistens die 1 am Ende, also 192.168.X.1 /24
Solang es kein WAN Interface ist, musst du so oder so jedem VLAN Interface eine Static IP zuweisen.

Das phyisische Netz darf ich ja sicherlich nie deaktivieren oder?

Was heißt "deaktivieren" für dich? In der Interface Assignment Übersicht auf der GUI brauchst du dieses Interface nicht mehr, da du ja VLAN Interfaces angelegt hast, die das em0 als "Träger" nutzen. Du bekommst ja auch keine IP mehr aus diesem Subnetz oder? Also weg damit.

Stichwort Firewall Regel, erstmal zum Testen alles offen.

du sagst zwar zu Testzwecken.... Das klingt aber eher so als ob du nicht wirklich wüsstest wonach du eigentlich suchst.
Ich hoffe du änderst das noch.
Wenn du nicht weißt, ob die Firewall was blockt kannst du jederzeit, wenn etwas nicht funktioniert unter
"Firewall > Log Files > Normal View" die geblockten Pakete nachschauen. Da siehst du dann ganz schnell, welche Regel fehlt und was alles geblockt wird.

Hier gleich ein Tipp von mir:
Du machst dir selbst das Leben einfacher, wenn du die Regeln so kleinlich wie möglich ausformulierst.
Also nicht ganze Subnetze freigeben, sondern wirklich Source-IP zu Destination-IP mit genau dem Port den du freischalten willst. Der Aufwand ist am Anfang sehr hoch, ABER (!) du hast dann später nicht mehr die Probleme, dass du nicht weißt welche Verbindungen noch offen sind und welche nicht. Mit der kleinlichen Ausformulierung kannst du dir nämlich ganz sicher sein, dass jegliche Verbindungen egal von wo nach wo IMMER durch die Default Block ANY Regel am Ende verhindert werden, sofern du diese nicht explizit erlaubt hast. Das bedeutet auch, dass du durch das Log immer ganz schnell nachlesen kannst, welche Regeln du noch freizuschalten hast.
Regeln wie bei dir, die so formuliert sind: "Deny VLAN Gast nach VLAN Privat ANY ANY" sind dann alle hinfällig. Die brauchst du dann alle nicht mehr, weil durch die DENY ANY Regel am Ende eh alles weggefiltert wird, was du nicht eigenhändig erlaubt hast.

Internet funktioniert auf allen VLANs.

Das was man im Allgemeinen immer als "Internet" kennzeichnet, ist zu 80% eine Freischaltung nach !RFC1918 (Also die Umkehrung aller privaten Adressen = !) auf die TCP Ports 80 und 443. Dann brauchst du vielleicht noch IMAP (143) und Submission (587) für den Mail Verkehr und den Ping von Intern nach Außen im privaten LAN, aber im großen und ganzen ist es das meistens schon. Also auch da aufpassen nicht all zuviel zu erlauben. Außer beim WLAN Gast, da würde ich weniger restriktiv sein, grade auch um Ärger mit den Hotel/Restaurant Gästen zu vermeiden wie in deinem Beispiel.

EDIT oh man peinlich. Netze durcheinander gebracht. Nun funktioniert auch das Regelwerk

Bei der Regelerstellung solltest du dir angewöhnen, IP's und Subnetze auszuformulieren und ALIAS Regeln nur dann zu formulieren, wenn du sie selber angelegt hast. Dieses Erlaube "VLAN Privat nach VLAN Irgendwas" verwirrt dich sonst nach der 80igsten Regel, wenn plötzlich was nicht geht und du nicht genau weißt, was denn "Vlan_Privat Net" eigentlich ist für ein Subnetz.

Juti jutii.. aber du kriegst das schon hin, sieht ja gut aus.

Schöne Grüße
Oxy