Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Anfänger-Fragen: hier speziell zu VLAN-Einrichtung
« previous
next »
Print
Pages: [
1
]
Author
Topic: Anfänger-Fragen: hier speziell zu VLAN-Einrichtung (Read 2985 times)
Sphyrna
Newbie
Posts: 4
Karma: 0
Anfänger-Fragen: hier speziell zu VLAN-Einrichtung
«
on:
July 24, 2021, 03:56:36 pm »
Hallo liebe Leute,
nachdem ich viel über OPNsense und die damit verbundenen Möglichkeiten gelesen habe, versuche ich gerade unser WG-LAN zu pimpen und habe dazu die bisherige FritzBox durch eine OPNsense ersetzt.
Leider ist die Lernkurve für mich sehr flach. Ich bin schon glücklich, die Telefonie zum Laufen gebracht zu haben....
Folgende Ziele möchte ich aus augenblicklicher Sicht noch erreichen:
a) Trennung des LANs in VLANs mit einem managed-Netgear-Switch (Netgear GS324T S350 – 24-Port)
b) Ausfilterung von Werbung mittels Unbound
c) Einrichtung von LetsEncrypt-Zertifikaten, so dass die Management-Oberfläche ohne Warnungen ansprechbar ist
d) Einrichtung eines VPN-Servers für entfernten Zugriff auf unser privates LAN
e) Einrichtung von Parsec, so dass ich in gefühlter Echtzeit per VNC auf meine VMs komme
Leider habe ich Schwierigkeiten für mich nachvollziehbare Tutorials zu finden.
Zunächst möchte ich Ziel a) erreichen. Folgende Ausgangssituation:
Ist:
WAN / Internet
:
: Deutsche Glasfaser
:
.-------+-------.
| Gateway | NT (Network Terminator)
'-------+-------'
|
WAN | geNATtete IPv4 und IPv6 (Präfix 56)
|
.-------+----------.
| OPNsense | OPNsense 21.1.8_1-amd64 (Mini-PC: 2 NICs, 8GB RAM, 256GB SSD, Intel Core i5-5257U)
'-------+----------'
|
LAN | 192.168.2.1/24
|
.-------+---------.
| LAN-Switch | Netgear GS324T S350 – 24-Port
'-------+----------'
|
...-------+--------... (Clients/Servers)
Clients/Servers:
2x Windows Laptop
Windows Desktop
Ubuntu Desktop
Aquariencomputer (GHL ProfiLux)
Dosiergerät (GHL Doser 2.0)
Raspi mit LibreElec
Unraid-Server mit vielen VMs (MacOS, Windows, Linuxe)
Drucker über LAN
Synology-NAS (DS 2415+)
Fritzbox 7390 für WLAN und SIP-Telefonie
2x Freifunk Router
Ziel:
WAN / Internet
:
: Deutsche Glasfaser
:
.-------+-------.
| Gateway | NT (Network Terminator)
'-------+-------'
|
WAN | geNATtete IPv4 und IPv6 (Präfix 56)
|
.-------+---------.
| OPNsense | OPNsense 21.1.8_1-amd64 (Mini-PC: 2 NICs, 8GB RAM, 256GB SSD, Intel Core i5-5257U)
'-------+---------'
|
LAN | 192.168.2.1/24
|
.-------+------.
| LAN-Switch | Netgear GS324T S350 – 24-Port
'-------+------'
|
...-------+------------------+------------------+------------------+------------------+-----...
| | | | |
| | | | |
| | | | |
.-------+-----. .-------+-----. .------+------. .-----+------. .------+-----.
| VLAN1 | |VLAN100 | |VLAN200 | |VLAN300 | |VLAN400 |
'-------+-----' '-------+-----' '------+------' '-----+-------' '------+------'
privat Tel./WLAN Freifunk-Router Management
(Fritzbox 7390) OPNsense
Ich bin in einigen Punkten noch sehr unsicher. Bevor ich nun anfange zu basteln, habe ich ein paar Fragen, die ich bitte zu beantworten:
Ist mein Ziel so sinnvoll und erreichbar?
Wie würdet ihr die Trennung in VLANs umsetzen?
Ist es ratsam DHCP für die VLANs in dem Switch zu erledigen oder besser in der OPNsense?
Wie bekomme ich die VLANs des Switches an die OPNsense angebunden?
Wie kann ich sicherstellen, dass ich mich bei der Einrichtung des VLAN400 (Management OPNsense) nicht selbst ausschließe und die OPNsense erreichbar bleibt, bzw. wie kann ich VLAN400 sicher an einen ausgewählten PC in VLAN100 exklusiv durchreichen?
Wie bekomme ich es hin, dass ausgewählte Geräte im VLAN200 auch ins VLAN100 kommen?
Kann mir jemand vielleicht noch einmal mit einfachen Worten den Unterschied zwischen "untagged" und "tagged" am Switch erklären?
Vielleicht gibt es ja schon schöne Tutorials zu meinen Fragen und ich finde sie einfach nicht? Hier wäre ich um Hinweise dankbar!
Soweit zunächst...
Besten Dank und viele Grüße
Sphyrna
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Anfänger-Fragen: hier speziell zu VLAN-Einrichtung
«
Reply #1 on:
July 24, 2021, 04:09:03 pm »
Hi!
So wie du das zeichnest, willst du den Switch als quasi Core via Transfernetz an die Sense hängen und die Netze dort auflegen? Das würde ich tatsächlich nicht machen, es sei denn du hast da gute Gründe für. Zuhause finde ich sowas eher unnötig und selten notwendig. Einziger Grund wäre deine OPNsense HW ist so schwach, dass du nicht ordentlich Gigabit routen kannst und brauchst aber hohe Performance zwischen den VLANs.
Da ich deine Sense HW nicht kenne und nicht sehe, was du in den VLANs packen möchtest kann ich das nicht einschätzen, aber bislang würde ich eher "nein" sagen zu dem Versuch und empfehlen, die VLANs direkt auf der Sense zu managen. Aber das hängt auch davon ab, was du für HW und wieviele Interfaces du hast und was du an Performance da drauf brauchst.
Cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Evil_Sense
Full Member
Posts: 112
Karma: 15
Re: Anfänger-Fragen: hier speziell zu VLAN-Einrichtung
«
Reply #2 on:
July 24, 2021, 05:13:26 pm »
Hallo
Da dein Switch wohl kein L3 bzw. inter-vlan routing kann, musst Du die VLANs sowieso auf der Sense konfigurieren und routen und diese mit einem Trunk mit dem Switch verbinden.
DHCP macht ebenfalls die Sense, das kann (und sollte - ausser L3) ein Switch nicht.
Bezüglich dem Gerät, welches in ein anderes VLAN soll, entweder mit einer Firewall Regel auf der Sense oder falls das Gerät mehrere VLANs unterstützt, dieses zusätzlich am Port (auf dem Switch) freigeben.
Selbiges für andere Geräte (VLAN200 -> VLAN100), hier ist eine Regel wohl am sinnvollsten.
Der Unterschied zwischen tagged und untagged ist recht einfach:
Tagged - Die VLAN ID wird im Header jedes Packets mitgesendet, das empfangende Gerät muss dementsprechend das VLAN auf dem Interface unterstützten und konfiguriert haben.
Untagged - Auf dem Switch ist der Port im entsprechenden VLAN, das Gerät braucht keine Konfiguration und bekommt vom VLAN nichts mit.
Hier ist das sonst noch genauer erklärt:
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Hoffe das klärt ein paar deiner Fragen.
Gruss
«
Last Edit: July 24, 2021, 05:24:06 pm by Evil_Sense
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Anfänger-Fragen: hier speziell zu VLAN-Einrichtung