Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DHCP und Projekte Segmentieren
« previous
next »
Print
Pages: [
1
]
Author
Topic: DHCP und Projekte Segmentieren (Read 3036 times)
LHBL2003
Jr. Member
Posts: 76
Karma: 2
DHCP und Projekte Segmentieren
«
on:
November 20, 2020, 01:46:22 pm »
Hallo,
Wir haben immer wieder kommende und gehende VMs. Beispielsweise 20 Projekte a 5 Rechner. Mals mehr mal weniger Projkete oder Rechner. Einige VMs sind auch alleinstehen oder komunizieren doch mal ohne DNS mit einem anderen Rechner. Alle sollen aber die möglichkeit haben über ein Gateway ein Zentrales NAS zu erreichen.
Nun dachte ich mir das ich erst einmal ein DHCP Bereich eröffne, damit ich nicht für jede VM immer eine Adresse festlegen muss und mir irgend welche Excel listen erspare. Wenn ich die Leases Zeit recht hoch setze, dann können die VMs auch mal mehrere Monate aus sein oder 1 bis 2 Jahre Archiviert sein ohne das die Adresszugehörigkeit verlohren geht. (Vorraussetzung natürlich mein Adresspool ist dementsprechend auch größer z.B. 172.16.1.0/17) (Grund dafür, nicht jedes Programm arbeitet mit DNS Namen)
Das Bedeutet in summe sind vielleicht 200 VMs aktiv.
Jetzt möchte ich aber z.B. die VMs aus einem Projekt via VPN zur Verfügung stellen oder andere gründe wie Brodcast anfragen beschränken usw. Vielleicht kommt die eine oder andere VM hinzu. Hierfür würde ich die VMs gerne in ein Segment stecken. Bei dem DHCP Dienst von OPNSense kann ich die IP Adresse, das Standardgateway usw. festlegen. Aber die Subnetzmaske bleibt immer so groß wie von meiner Schnittstelle.
Gibt es eine Möglichkeit dies einzuschränken.?
Für jedes Segment müsste ich ja eine eingene Gateway Adresse festlegen. Das kann man ja über Virtuelle IP Adressen für die Schnittstelle festlegen. Nur weiß ich nicht, wie ich über DHCP eine Gruppierung der Rechner vornehmen könnte, so das diese nicht ihren Brodcast an alle streuen.
Im Windows DNS Server kann man Adress Bereiche definieren, wo dann eine passende Subnetzmaske an die Clients gesendet wird. Nur finde ich dort die Pflege nicht so toll.
Vielen Dank für eure Tipps.
ggf. ist auch ein anderer Ansatz besser. Bin für alles offen.
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: DHCP und Projekte Segmentieren
«
Reply #1 on:
November 20, 2020, 02:03:21 pm »
VLANs sind keine Option?
Logged
„The S in IoT stands for Security!“
LHBL2003
Jr. Member
Posts: 76
Karma: 2
Re: DHCP und Projekte Segmentieren
«
Reply #2 on:
November 20, 2020, 03:21:39 pm »
Kann ich mir noch nicht ganz vorstellen. Daher mein Gedankengang nachfolgend:
1. Ich müsste für jedes Projekt auf dem ESXi Server eine Switch Gruppe definieren mit einer VLAN ID größer 0.
2. OpnSense müsste ich als VM sicherlich in die Switch Gruppe mit der VLAN ID 0 setzen.
Frage 1: Das Bedeutet OpenSense sendet in alle VLANs DHCP Adressen aus einem Netz Adress Segment?
Frage 2: Was passtiert dann wenn Rechner 1 aus VLAN 1 eine Brodcast nachricht los sendet?
Rechner 2 aus VLAN 2 wird nichts davon mit bekommen?
Frage 3: Was passiert wenn Rechner 1 aus VLAN 1 einen PING an Rechner 2 aus VLAN 2 sendet?
Rechner 2 aus VLAN 2 wird warcheinlich nichts mitbekommen oder?
In solch einen Fall müsste ich dann sicherlich einen der beiden Rechner in VLAN 0 packen,
damit dieser mit beiden VLANS komunizieren kann.?
Oder auf einen der beiden Rechner eine Netwerkkarte einrichten, die mitgliet des anderen VLANs ist.?
Hoffe ich habe mir meine Fragen richtig beantwortet, denn VLANs habe ich noch nicht verwendet.
Vielen Dank für eure Antworten.
Logged
inkasso
Full Member
Posts: 106
Karma: 1
Re: DHCP und Projekte Segmentieren
«
Reply #3 on:
November 20, 2020, 03:39:39 pm »
Ich versuch mal so gut ich kann zu helfen. Wenn ich was falsches sag, wird mich sicher wer korrigieren
VLAN IDs 0,1 und 4095 sind reserviert und für deine Zwecke nicht zu nutzen.
Ich hab eine Konfiguration mit mehreren VLANs. In der sense legst du für jedes VLAN ein Interface an. Das kann auf dem selben Hardware-Ethernet-Port sein, muss aber nicht. Je Interface kannst du einen eigenen DHCP Server laufen lassen mit einem eigenen IP Adressbereich. Also z.B. VLAN 2 mit 192.168.2.0/24 und VLAN 3 mit 192.168.3.0/24 ...
Wenn die sense Pakete bekommt, die für ein anderes VLAN bestimmt sind als das, aus dem die Pakete sind, schreibt sie die Pakete entsprechend um (weil ist ja auch ein Router das Ding
). So können Geräte über VLAN Grenzen hinweg kommunizieren. Wer von welchem VLAN in welches andere VLAN darf kannst du dabei über Firewall-Regeln steuern. Jedes VLAN Interface kann da seinen eigenen Regelsatz bekommen.
Als kleines PS noch hinterher: du musst dir natürlich Gedanken machen, wie die angeschlossenen Geräte ihre VLANs zugeordnet bekommen. Entweder schließt man sie an Switche an, deren Ports die entsprechenden Tags setzen, oder man stellt in der Treibersoftware der Netzwerkkarte entsprechende Tags ein. Dritte Option wäre die Zuweisung über einen RADIUS Server. Was man macht hängt von der Situation und den Sicherheitsbedürfnissen ab.
«
Last Edit: November 20, 2020, 03:44:48 pm by inkasso
»
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: DHCP und Projekte Segmentieren
«
Reply #4 on:
November 20, 2020, 03:55:39 pm »
VLANs kann man sich als mehrere Netzwerkkarten vorstellen. In jedes VLAN geht ein Netzwerkkabel eines bestimmten Netzes. Das Ganze eben nur virtuell, d.h. über eine physische Verbindung. Wenn die OPNsense und die VMs alle auf dem selben VM Host liegen, verlassen die Pakete den Host ja eigentlich nicht (außer vielleicht zum NAS, wenn das physisch irgendwo steht).
Du definierst verschiedene VSwitches mit unterschiedlichen VLAN IDs. Die OPNsense ist natürlich in jedem dieser Netze vertreten. Du hast die Wahl, ob die OPNsense die VLANs filtern soll oder ob der VM Host für jedes VLAN bereits ein eigenes Interface an die OPNsense weitergibt. Dann weiß die OPNsense gar nichts von den VLANs, da die Interfaces einfach wie echte Netzwerkkarten auftauchen. Ersteres hat den Vorteil, dass Du die VLANs in der OPNsense anlegst und auch siehst und keinen Reboot brauchst für ein neues VLAN.
Den Rest hat inkasso ja schon beschrieben (DHCP und Firewall Regeln, um zu definieren welches VLAN in welches andere VLAN/LAN Pakete senden darf).
Logged
„The S in IoT stands for Security!“
LHBL2003
Jr. Member
Posts: 76
Karma: 2
RE: DHCP und Projekte Segmentieren
«
Reply #5 on:
November 20, 2020, 04:13:20 pm »
Hallo @inkasso,
LECK MICH AM ARSCH IST DAS GEIL
Dein Post fine ich Richtig gut. Ich Schwebte schon mit dem gedanken, der OpnSense 20 Netzwerkkarten zu verpassen. Aber ich habe gerade die Konfigurationsmöglichkeit gefunden.
Für alle Schnittstellen --> Andere typen --> VLAN
Dort das VLan für die Hardware Schnittstelle definieren und dann unter
Schittstellen --> Zuweisungen die Zuweisung durchführen.
Danach kann man das wie Inkasso es beschrieben hat durchführen.
Dann werde ich jetzt mal ein paar VLANS auf dem ESXI definieren und in OpnSense.
Vielen Dank
Logged
inkasso
Full Member
Posts: 106
Karma: 1
Re: DHCP und Projekte Segmentieren
«
Reply #6 on:
November 20, 2020, 05:10:44 pm »
Freut mich, dass ich helfen konnte.
Ich bin auch noch nicht so lang mit einer sense unterwegs UND VLAN hab ich gerade "frische Praxis" dazu gelernt. In der Theorie hatte ich aufgrund von zahlreichen eher verwirrenden Erklärungen großen Respekt davor. Letztendlich läuft das richtig entspannt.
Logged
LHBL2003
Jr. Member
Posts: 76
Karma: 2
Re: DHCP und Projekte Segmentieren
«
Reply #7 on:
November 20, 2020, 05:49:17 pm »
leider funktioniert es noch nicht so ganz. Nur frage ich mich warum nicht.
Ich versuche es gerade etwas zu minimiere um das Problem einzugrenzen.
Ich habe den Rechner und OpnSense in eine Netzwerkgruppe VLAN 101 gesteckt um auszuschießen das irgend etwas anderes für Probleme sorgt.
Der Rechner hat 172.24.1.2 und OpnSense hat als VLAN 101 schnittstelle 172.24.1.1.
Die echte Schnittstelle hat natürlich etwas anderes. Alles ist mit dem Device em1 verknüpft. Und für die Echte Schnittstelle sowie der Virtuellen Schnittstelle habe ich alle Ports geöffnet. Auch wenn das überflüssig sein müsste.
Nur bekomme ich in über keinen der beiden Systeme einen Ping hin.
Hab eich irgend etwas wichtiges vergessen?
PS: Open Sense natürlich /24 und in der VM 255.255.255.0
«
Last Edit: November 20, 2020, 05:57:50 pm by LHBL2003
»
Logged
LHBL2003
Jr. Member
Posts: 76
Karma: 2
Re: DHCP und Projekte Segmentieren
«
Reply #8 on:
November 20, 2020, 07:41:41 pm »
Hi,
Ich habe mir gerade noch ein paar Videos angeschaut zum Thema VLAN. Ich glaube zu wissen was mein Problem ist kann es bloß jetzt nicht testen da ich nicht mehr auf Arbeit bin.
Den VMWare Rechner muss ich natürlich in die Portgruppe VLAN 101 am VSwitch hängen.
Die OpnSense dagegen darf sicherlich nicht in der Portgruppe sein da der TAG sicherlich erst erstellt wird, wenn die Portgruppe verlassen wird.
Scheinbar ist die Definition VLAN 0 auch nicht richtig, da hier keine VLAN Pakete bearbeitet werden . Ich tippe mal darauf das ich die OPNSense VM in eine Portgruppe mit der VLAN Adresse 4095 stecken muss oder 4096 welche diese TRUNK Themen behandelt. Das ist wenn ich es richtig verstanden habe eine VLAN Tag Kennung die einfach alle VLAN TAG gekennzeichneten Pakete weiter leitet und vom Zielsystem auswerten lässt. Demzufolge kommen die Pakete sicherlich erst dann bei der OpnSense an und werden nicht vorher verworfen.
Das wäre aktuell meine einzige logische Schlussfolgerung aus dem Netzwerk Switch Videos.
«
Last Edit: November 20, 2020, 07:43:40 pm by LHBL2003
»
Logged
inkasso
Full Member
Posts: 106
Karma: 1
Re: DHCP und Projekte Segmentieren
«
Reply #9 on:
November 20, 2020, 08:29:20 pm »
Ich hab leider keine Ahnung, wie dein Netzwerk aufgebaut ist.
Auf der Sense hast du auf dem physischen Anschluss kein VLAN und dann hast du zusätzlich einen virtuellen Adapter mit VLAN 101 auf dem physischen Anschluss.
Wenn du einen Switch hast, über den deine VM mit der Außenwelt redet, wäre der Port, der zur sense verbunden wird in ALLEN VLANs (der Switch muss alle VLANs, die du nutzen möchtest kennen und der Port kommt halt in ALLE rein). Die übrigen Ports deines Switches wären dann verbunden mit deinen einzelnen virtuellen Netzwerkkarten der einzelnen Systeme und je Port würdes du dort dann individuell im Switch das VLAN Tag einstellen, in dem sich der Port befinden soll.
Kommt eine DHCP Anfrage von einem virtuellen Ethernet Adapter dann an dem Tagged Port an, ergänzt der Switch den VLAN Tag mit der konfigurierten ID und leitet ihn weiter an alle Ports im gleichen VLAN. Da der Port an der sense in allen VLANs steckt, kommt er auch da raus. Die sense reagiert mit dem Adapter im richtigen VLAN und bearbeitet die Anfrage entsprechend.
Betrachte den Port an der Sense als einen Anschluss, der an allen virtuellen Netzwerken hängt und alle übrigen Ports, die sich im selben VLAN befinden, als Ports an einem gemeinsamen Switch, der als Uplink den einen Port benutzt, der alle VLANs an die sense gibt. Das ist denke ich am Einfachsten wenn man sich das vorstellen möchte.
Logged
LHBL2003
Jr. Member
Posts: 76
Karma: 2
Re: DHCP und Projekte Segmentieren
«
Reply #10 on:
November 23, 2020, 10:49:07 am »
Also zur Info bei mir hat jetzt alles Funktioniert.
Beispielkonfiguration
Bei mir liegt aktuell alles auf einem ESXi Server.
Kinfiguration auf ESXi Server
Ich habe auf dem ESXi einen Switch mit 4 Portgruppen.
Gruppe 1 = VLAN 0 (Es wird kein Tag angegeben)
Gruppe 2 = VLAN 100 (Nur VMs die mitgliet der Gruppe sind kommunizieren miteinander)
Gruppe 3 = VLAN 101 (Nur VMs die mitgliet der Gruppe sind kommunizieren miteinander)
Gruppe 4 = VLAN 4095 (TRUNK Alle VMs innerhalb dieser Gruppe können mit dem allen VLANs komunizieren, die Auswertung von welchem VLAN das Paket stammt muss der Rechner (OpnSense oder Windows) durchführen).
Konfiguration OpnSense
Das OpnSense Interface muss in der Gruppe 4 liegen (VLAN 4095)
Schnittstellen --> Andere typen --> VLAN...
Dort für VLan Tag 100 und 101 einen Eintrag für das gewünste netzwerk interface anlegen.
Schittstellen --> Zuweisungen ... die Zuweisung durchführen des VLAN Schnittstelle durchführen, so das diese als Interface augelistet wird.
Unter Firewall --> Regeln... Tauchen dann die neuen Schnittstellen / Interfaces auf. (Zum Test volle rechte geben.)
Unter Dienste --> DHCPv4... Tauchen ebenso die Schnittstellen / Interfaces auf. (DHCP für die Schnittstelle aktivieren und den DHCP bereich defineren, Speichern nicht vergessen.)
Windows Rechner
Den Windowsrechner mit seiner netzwerkkarte in die Portgruppe VLAN 100 oder 101 setzen.
Schauen das für die Netzwerkkarte keine feste IP Adresse angegeben ist. Und nun sollte der Rechner via DHCP vom opnSense eine IP adresse, ein Standardgateway und einen DNS Server erhalten.
Eine VM in dem vLAN 0 (also kein VLan aktiv) kann opnSense ebenso Pingen. Das passiert über die Standard IP-Adresse der opnSense Schnittstelle. Sofern der Rechner dann auch einen Gateway hat können die VMs aus Vlan 100 und 101 ebenso erreicht werden.
Vielen Dank an alle und ich hoffe jemand anderes kann die Informationen für sich weiterverwenden.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
DHCP und Projekte Segmentieren