VLAN-Config mit Fritzbox

[cyberdott]

Hallo,

ich hänge grade ein wenig...Ich möchte gerne 3 separate Netze per VLAN über Opnsense leiten und meine Fritzbox dient hier quasi nur als Modem.

Fritzbox und WAN-Interface hängen im selben Netz (FB 192.168.15.1 / WAN OS 192.168.15.2/ Iface re0)
VLAN´s 33,145,245 habe ich eigerichtet und an ein separates Interface gebunden (IGB0)
Rückrouten habe ich auf der FB eingetragen
192.168.245.0
192.168.145.0
192.168.33.0 -> 192.168.15.2
Die VLAN´s haben auf dem Switch eine IP -> 192.168.(245/145/33).254  (IP korrespondierend zum VLAN , ist leichter zu merken :-) )
Ebenso auf dem Interface des VLAN´s auf der Opnsense (192.168.245/145/33.253)
DHCP ist aktiv und funktioniert auch.
Die IP auf dem Switch kann ich erreichen, die auf der Opnsense nicht, ebenso kein Internet. Was hab ich vergessen? Muss ich auf dem Switch auch noch das Routing anpassen?
Firewallregeln habe ich aktuell nur für WAN aufgemacht um an die Oberfläche zu kommen. Bin grad ein wenig ratlos...Vielen Dank!

[Gauss23]

Na du brauchst natürlich Firewall Regeln für die VLAN Interfaces. Sonst wird jeglicher Traffic dort an der Sense geblockt.

[micneu]

wie mein vorschreiber, regeln auf die vlans.
bitte einen grafischen netzwerkplan

[cyberdott]

Okay, im Anhang habe ich mal die Struktur aufgemalt :-)

Mit den Firewallregeln war ein guter Tipp, ich komme nun ins Internet und kann Opnsense auch erreichen. Nur leider komme ich noch nicht an die Oberfläche der Switche wenn ich mich im Transfernetz (192.168.15.x) befinde. Wenn ich auf den Switchen im VLAN eine IP konfoguriere, dann funktioniert es aber ich möchte diese gerne aus dem Transfernetz erreichen und nicht aus den VLAN´s. Ich hoffe, es ist verständlich, ist mein erster Versuch mit Opnsense und Netzwerkdiagrammen :-)

[Gauss23]

Haben denn die Switches ein Default GW definiert? Oder die Switches nehmen keine Anfragen für das Management aus anderen Subnetzen an. Muss man ggf noch freischalten.
Oder Du musst die FW Regeln anpassen, dass der Traffic nicht nur Richtung Internet gehen darf, sondern eben auch in andere lokale Subnetze.

[cyberdott]

Ja, default gateway ist die IP der Opnsense, also 192.168.15.2. Mein Rechner hat die 192.168.15.3 und ich erreiche die 192.168.15.254/3/2 leider nicht.

Die Regeln habe ich um die funktion zu testen auf any/any gestellt, dass sollte also nicht das Problem sein.

[cyberdott]

Muss ich nicht auch noch irgendwas zum VLAN 1 einrichten?

[cyberdott]

Oder ist das Setup so Schrott...Macht doch eigentlich Sinn so oder würdet Ihr das anders gestalten?

[Gauss23]

Ja, default gateway ist die IP der Opnsense, also 192.168.15.2. Mein Rechner hat die 192.168.15.3 und ich erreiche die 192.168.15.254/3/2 leider nicht.

Die Regeln habe ich um die funktion zu testen auf any/any gestellt, dass sollte also nicht das Problem sein.

Hä? Dann bist du doch im selben Subnetz. Da hat die Sense nichts mit zu tun, wenn du die Switches nicht erreichst.

[cyberdott]

Die Switche liegen doch quasi hinter der Opnsense. Ich müsste doch mit einem Client, angebunden an der Fritte oder an nem weiteren LAN-Port der Opensense die Switche im Transfernetz 192.168.15.x erreichen...tue ich aber leider nicht...

[Gauss23]

Die Switche liegen doch quasi hinter der Opnsense. Ich müsste doch mit einem Client, angebunden an der Fritte oder an nem weiteren LAN-Port der Opensense die Switche im Transfernetz 192.168.15.x erreichen...tue ich aber leider nicht...

Die Switches müssen natürlich im richtigen IP Bereich für das VLAN liegen. Wenn das Fritzbox Netz die 192.168.15.0/24 ist, können die Switches nicht in diesem IP Bereich liegen, wenn sie hinter der OPNsense in einem VLAN sein sollen. Wie soll das gehen?
Entscheiden in welches VLAN die Switches sollen, dann die IPs entsprechend auf den Switches anpassen, dann solltest Du rankommen. Dazu brauchst du natürlich FW Regeln, die Pakete vom Fritzbox Netz in das Switch VLAN zulassen.