per VLAN zugriff auf OPNSense

Started by darkness_08, February 20, 2020, 10:55:01 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 20, 2020, 10:55:01 AM
Hallo Zusammen,

ich nutze einen Cisco SG350 im L3 mit dessen DHCP für verschiedene VLAN. Jetzt möchte ich die DHCP-Verwaltung gerne auf die OPNSense umstellen.

Bisher ist die FW über die 172.16.80.1 erreichbar (Port am Cisco ist Typ Access im VLAN80; 172.16.80.254 GW)

Wenn ich jetzt an der FW ein VLAN (40) einrichte und dem Port igb0 zuweise ist die FW nicht mehr über die 172.16.80.1 erreichbar.

Den Port am Cisco muss ich doch von Access auf Trunk umstellen und das VLAN40 zuweisen.
Ich meine aber mal gelesen zu haben, dass die FW-IP (172.16.80.1) immer im VLAN1 ist.

Problem ist eben der Zugriff auf die Oberfläche der FW klappt nicht mehr.
February 20, 2020, 11:06:11 AM #1
Das liest sich alles enorm konfus. Könntest du kurz zeigen/beschreiben/zeichnen, was du wo wie verdrahtet hast und verdrahten willst?

Wenn du zudem DHCP jetzt auf der Sense machen willst, kannst du für die entsprechende Schnittstelle ja dem Cisco das L3 Interface wegnehmen. Er braucht dann ja kein Router mehr zu spielen, oder welchen Sinn hat das sonst?

Normalerweise macht entweder der Switch das Gateway für das Netz oder die Firewall. Wenn du DHCP jetzt auf die Firewall packen willst, sollte die auch das Gateway etc. sein und nicht geteilt mit verschiedenen Aufgaben rumkullern. Das artet dann nur in komische Konstrukte und asynchrones Routing aus.

Grüße
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 20, 2020, 12:49:07 PM #2
Ok, etwas wirr geschrieben :)

Erstmal vorweg. Jetzt läuft es.

Der Switch ist als L3 eingeichtet und und macht das Routing zwischen den VLANs und dann hin zu Firewall.
Bisher hatte der Switch auch DHCP für die jeweiligen VLANs gemacht.

Jetzt möchte ich aber, dass die OPNSense den DHCP-Server stellt, da ich hier auch DNS(UBound) habe.

Beim Switch habe ich jetzt DHCP deaktiviert und die DHCP-Helper eingerichtet
Auf der OPNSense habe ich die VLANs eingerichtet und in diesen entsprechend DHCP eingerichtet.
Abschließend habe ich noch am Switch einen Trunkport eingerichtet, welche die VLANs vom Switch zur OPNSens leitet (für die DHCP-Anfragen).
February 20, 2020, 04:16:39 PM #3
> Abschließend habe ich noch am Switch einen Trunkport eingerichtet, welche die VLANs vom Switch zur OPNSens leitet (für die DHCP-Anfragen).

Genau, und jetzt hat sowohl deine Firewall als auch dein Switch ein Bein in diesem VLAN durch den Trunkport - oder nicht? Die Sense hat ja jetzt wahrscheinlich auch eine IP in dem VLAN wenn du die Interfaces angelegt hast?

Und genau das meine ich - das gibt murks, denn dann hast du fehleranfälliges asymmetrisches Routing, da deine Pakete via Switch als Default GW und dann zur Firewall raus- aber nicht mehr über den Switch reingehen, da die Firewall selbst ein Bein im Subnetz hat. Das heißt der Traffic kann jetzt an deinem Switch vorbeifließen und es herrscht ein totales Kuddelmuddel. Das nur wegen DHCP aufzureißen wäre nicht meine Empfehlung. Entweder DHCP auf dem Switch lassen oder gleich das Gateway und die VLANs komplett auf die Sense ziehen.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 22, 2020, 07:37:17 AM #4
Hm, ok. Danke für die Erklärung.

Also bliebe nur die Möglichkeit der Switch bleibt in L3 und macht weiterhin DHCP.
Oder die FW übernimmt das komplette Routing und der Switch arbeitet in L2?
February 22, 2020, 08:50:40 AM #5 Last Edit: February 22, 2020, 09:00:56 AM by stefanpf
Mit einem Windows DHCP Server oder einem "frei konfigurierbarem" DHCPD würde man ja nur
- ein Interface haben, dass mit dem L3 Switch verbunden ist
- für jedes VLAN einen separaten Bereich anlegen
- den IP Helper im Switch konfigurieren

Letztendlich legt ein in der Opnsense konfigurierter DHCP Bereich auch nur ein Subnetzt in der dhcpd.conf an
Code Select

subnet 10.11.21.0 netmask 255.255.255.0 {
  pool {
    option domain-name-servers 10.11.21.254;
    range 10.11.21.150 10.11.21.199;
  }

  option routers 10.11.21.254;
  option domain-name-servers 10.11.21.254;
  option ntp-servers 10.11.21.254;

}


In der Opnsense kann man nun keinen DHCP Bereich ohne Interface konfigurieren.


Eventuell funktioniert es, wenn man die VLANs zwar in der Opnsense anlegt und IP4 Configuration Type auf "none" konfiguriert.
Ich hätte vermutet, dass dann die Routingprobleme aufgrund der fehlenden IP Adresse nicht auftreten.

Fraglich ist, ob der DHCP Bereich ohne IP Adresse auf dem Interface konfiguriert werden kann.
Wenn ich mich richtig erinnere, finden da ja einige Validierungen beim konfigurieren des DHCP Bereiches statt.

EDIT:
Hab es gerade ausprobiert... Klappt leider nicht. Weder "none" noch das nachträgliche Ändern der IP Adresse sind zielführend, da die Validierung der UI das gnadenlos abfängt und das Speichern verweigert oder den DHCP Bereich einfach deaktiviert :-(
June 11, 2021, 10:14:32 PM #6 Last Edit: June 14, 2021, 09:38:29 AM by Hellgirl
Wie hast du dich hier jetzt entschieden?  Ich stehe gerade genau vor der gleichen Umstellung.

Ich habe auch den SG350x als L3 Switch für Vlan Routing und DHCP im Einsatz und auch ich will wegen DNS jetzt den DHCP auf die Opnsense umziehen für die lokale Namensauflösung ..

EDIT: Ich habe bei mir jetzt alles umgestellt und es keine Sekunde bereut. Die Administration ist da schon 3x schneller als auf dem Cisco SG350 mit seinem trägen Webinterface.
Print
Go Up Pages1
User actions