Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VLAN mit Access und Trunk-Port
« previous
next »
Print
Pages: [
1
]
Author
Topic: VLAN mit Access und Trunk-Port (Read 2044 times)
dimi1706
Newbie
Posts: 10
Karma: 0
VLAN mit Access und Trunk-Port
«
on:
July 27, 2022, 05:42:23 pm »
Hallo Zusammen,
ich habe mich kürzlich dazu entschieden eine OPNSense aufzusetzen, was auch ohne Probleme geklappt hat.
Jetzt wollte ich das Netzwerk mit Hilfe von VLANs etwas aufteilen und bin dabei über eine wie ich finde recht triviale Hürde gestoßen, denn ich bekomme es nicht hin einem VLAN neben dem Trun-Port einen dedizierten Access-Port zuzuweisen.
Soll heißen:
Ich habe zwei VLAN : 10 & 20
Beide sollen auf der (trunk) NIC eno3 tagged laufen.
VLAN 20 soll aber zusätzlich auch auf eno4 untagged (access) laufen, und genau da ist mein Problem.
Beide VLANs sind schon angelegt mit eno3 als parent, mein NAS möchte ich aber ungern über den Switch an eno3 anschließen.
Wäre super wenn mir da jemand einen Tipp geben kann wie ich einen zusätzlichen Access-Port für VLAN 20 konfigurieren kann.
Besten Dank schon mal!
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: VLAN mit Access und Trunk-Port
«
Reply #1 on:
July 27, 2022, 05:53:00 pm »
> VLAN 20 soll aber zusätzlich auch auf eno4 untagged (access) laufen, und genau da ist mein Problem.
Warum das denn? Das liest sich ein wenig wie ein Rezept für Desaster?
> Beide VLANs sind schon angelegt mit eno3 als parent, mein NAS möchte ich aber ungern über den Switch an eno3 anschließen.
Warum? Ein Switch ist im Normalfall schneller als ein Gerät was zusätzlich filtert und routet. Was ist dann der effektive Gewinn das NAS statt an den Switch -> alles läuft über die Firewall - dann an einen zusätzlichen FW Port zu hängen? Es läuft wieder alles über die Firewall also nichts wirklich gewonnen?
Zudem hast du dann eben genau das Problem dass du die gleiche VLAN ID bzw. das Subnetz hier seltsam bridgen müsstest. Das klingt irgendwie eben nicht sinnvoll daher die freundliche Nachfrage, was genau das tun soll?
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: VLAN mit Access und Trunk-Port
«
Reply #2 on:
July 27, 2022, 06:05:51 pm »
Ich seh dein Problem nicht, Jens. Eine Bridge in FreeBSD oder Linux ist ein vSwitch und funktioniert normalerweise ganz prächtig. Man müsste also das VLAN-Interface mit dem anderen Port über eine Bridge verbinden und dann unter Assignments das logische Interface der Bridge zuweisen statt dem VLAN. Fertig.
Was mich etwas irritiiert, sind die Device-Bezeichner. Was sind denn das für Ethernet-Karten? enoX sieht mehr nach Linux als nach FreeBSD aus.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: VLAN mit Access und Trunk-Port
«
Reply #3 on:
July 27, 2022, 06:19:18 pm »
> Was mich etwas irritiiert, sind die Device-Bezeichner. Was sind denn das für Ethernet-Karten? enoX sieht mehr nach Linux als nach FreeBSD aus.
Das zum Einen - irritierte mich auch. Ich kenne höchstens em0/emX oder en0/enY Interfaces noch
> Ich seh dein Problem nicht, Jens.
Ich hab nur ein Problem mit der Logik die ich nicht sehe. Nicht mit der Bridge per se auch wenn ichs immer noch komplett widersinnig finde mit Bridging auf der Firewall rumzubasteln und sich ggf. auszusperren
wenn man eh nen Switch mit Trunk hintendran stehen hat. Macht für mich für einen sauberen Netzaufbau keinen Sinn. Zumal: wenn du eh zwei Ports am Start hast die theoretisch frei sind auf der Firewall - warum nicht simpel einen ins VLAN10 und einen ins VLAN20 vom Switch reinhauen, zack beide mit Gigabit am Start, keine Performance Engpässe und alles ist in Butter.
So hat man ein Trunk bei dem sich 2 VLANs das Gigabit teilen und einen extra Port an dem per Gigabit ein NAS hängt, was dann irgendwie ins andere Interface:VLAN reingebridged wird wegen - warum? - und bei dem sich trotzdem auf dem Trunk IF die Geräte auf der einen NIC konzentrieren und sich mit allen VLAN10+20 Devices die über den NIC gehen den Traffic teilen. Ich hoffe du kannst mein ? überm Kopf jetzt sehen/verstehen
Mir gehts da weniger um die Bridge. Ja das kann man seit FBSD13 toller machen. Bin ich Fan davon? Nö ich würde es vermeiden wo ichs nicht brauche. Ist aber jetzt hier gar nicht das eigentliche Problem, sondern dass ich den Sinn nicht verstehe, den es bringt das NAS direkt gebridged zu einer anderen NIC mit geteilten VLANs/Trunk drauf rüberzubasteln weil es weder aus Performance noch aus - viel wichtiger - Debugging und Struktursicht für mich grade Sinn macht.
Deshalb die Nachfrage um etwas Licht ins Dunkel zu bringen
«
Last Edit: July 27, 2022, 06:20:54 pm by JeGr
»
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: VLAN mit Access und Trunk-Port
«
Reply #4 on:
July 27, 2022, 06:43:29 pm »
Siehste ... und schon stimme ich dir wieder zu.
Router routen, Server serven, ...
(ein gewisser Detlef Bosau, damals in den Ardennen)
Lässt sich auf Firewalls firewallen, Switche switchen, ... erweitern.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
dimi1706
Newbie
Posts: 10
Karma: 0
Re: VLAN mit Access und Trunk-Port
«
Reply #5 on:
July 27, 2022, 09:14:47 pm »
Danke für eure Antworten!
Dann muss ich wohl doch weiter ausholen, meine vorherige Beschreibung war abstrahiert um lediglich mein Vorhaben zu erläutern.
Meine OPNSense läuft in einer Proxmox VM welcher ich sogar vier NICs per PCI zugewiesen habe und eine virtuelle NIC.
Eine zweite VM beherbergt Ubuntu Server mit verschiedenen Diensten welche auch eine virtuelle NIC an der gleichen vmbr hat wie die vNIC der OPNSense.
Diese beiden vNICs sollen im VLAN 99 sein und in eben dieses VLAN soll jetzt auch mein NAS aber eben ohne den Umweg über den Switch wenns geht.
Habt ja im Prinzip recht, an sich sollte man den Switch switchen lassen, aber hier von einem phy. Switch zur (v)OPNSense über einen vmbr zum Ubuntuserver und zurück kommt mir recht unelegant vor.
Spiele jetzt schon mit dem Gedanken der OPNSense eine phy. NIC weg zu nehmen um diese wiederum an die besagte vmbr zu koppeln um auf diese weise mein NAS ins VLAN 99 zu bekommen.
Bin weiterhin offen für andere Vorschläge, das mit der Bridge innerhalb der OPNSense fühlt sich auch nicht so richtig an wenn ich es schon eine Ebene drüber machen kann.
LG
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: VLAN mit Access und Trunk-Port
«
Reply #6 on:
July 27, 2022, 10:02:05 pm »
Dann mach VLANs und vSwitch doch in Proxmox und gib OPNsense lediglich virtuelle Interfaces ... würde ich in ESXi so machen, Proxmox habe ich nicht.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
dimi1706
Newbie
Posts: 10
Karma: 0
Re: VLAN mit Access und Trunk-Port
«
Reply #7 on:
July 28, 2022, 03:31:11 pm »
genau so werde ich es vermutlich auch machen.
Aber mal aus Interesse,
deinen zuerst genannten Lösungsweg über eine Bridge in OPNS habe ich nicht ganz verstanden bzw ist mir die Umsetzung nicht klar. Magst du das etwas näher beschreiben?
(Da ich neu in der *Sense Welt bin und man ja nicht wissen kann wofür es mal gut sein wird
)
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: VLAN mit Access und Trunk-Port
«
Reply #8 on:
July 28, 2022, 04:50:27 pm »
Layer 2:
Code:
[Select]
FreeBSD Bridge --+--> phys. Schnittstelle
|
+--> VLAN --> andere phys. Schnittstelle
Und die Layer 3 Zuweisung wie z.B. "LAN" oder "OPT1" machst du dann auf die Bridge - Interfaces > Assignments.
Wie gesagt, FreeBSD hat einen vSwitch an Bord. Der kann nur keine VLANs. Aber man kann damit N Ports zusammenbridgen.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VLAN mit Access und Trunk-Port