VLAN Zuweisung auf OPNsense oder Switch

Started by Adm1n-1337, September 22, 2022, 01:25:22 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 22, 2022, 01:25:22 AM
Hallo,

aktuell habe ich physische 3 Interfaces (ohne VLAN). Jedes Interface ist mit einem "untagged" Switch-Port (UniFi) im entsprechenden VLAN verbunden. Es funktioniert alles wie gewünscht.

Ist dies der richtige Weg, oder sollte ich die VLANs bereits auf der OPNsense erstellen und entsprechend beim Switch auf einen "tagged" Port (UniFi z.B. "All") gehen?

Was wären Vor- oder Nachteile der jeweilige Variante?
September 22, 2022, 11:40:00 AM #1
Hallo,

du richtest in der OPNSense deine VLANs ein mit allen Infos, IP-Bereich, DHCP usw.

Im Unifi-Controller legst du dann ebenfalls VLAN-Netze an und zwar mit "VLAN only", mehr Daten brauche da nicht eingetragen werden.
Diese VLAN's werden dann auch direkt zu den Switch-Profilen und das Profile weisst du dann den Switchports zu, die in das entsprechede VLAN sollen. Der Rechner bekommt dann aus dem VLAN per DHCP seine IP usw. zugewiesen.

Bei Switchports zwischen den Switchen oder zwischen Switch und OPNSense oder WLan-AccessPoint bleibt das Profile auf "All"
Ich habe zwischen dem Unifi-Switch und der OPNSense eine LAN-Verbindung ohne VLAN ( VLAN 0 oder Management-LAN wo alle Unifi-Teile drin hängen )  und eine mit 3x1 GBit als LACP mit allen VLANs drauf.

Irgentwo hatte ich mal gelesen, das die OPNSense bzw. das FreeBSD darunter, Probleme mit "tagged" und"untagged" auf einem Interface hat, wobei ich das anfangs alles über eine Interface hatte und das keine Problem gemacht hat.  Vermuttlich ist das Problem auch schon gefixed
September 22, 2022, 12:43:40 PM #2
Danke für die Umfangreiche Antwort.

Die Konfiguration ist und war kein Problem und es läuft ja auch alles wie gewünscht.

Die Frage war nur, ob es irgendwelche Vorteile mit sich bringt, das Tagging bereits auf der OPNsense zu machen oder erst ab dem Switch.

Die Probleme mit FreeBSD und Tagging habe ich auch mitbekommen, deshalb die Frage.

Ich habe aber auch, wie Du bereits schreibst, Interfaces mit mehreren VLANs und die funktionieren auch problemlos.

Dann werde ich wohl dabei bleiben, untagged auf den Switch zu gehen und dort erst mit VLANs zu starten.

Danke.
September 22, 2022, 01:15:10 PM #3
Auf der OPNnsense taggen skaliert besser. Wenn man statt 3 vielleicht 10 VLANs hat.
Man kann dann auch ein Linkaggregation Interface unter die VLANs legen und hat so Redundanz.

Wenn du nur die 3 hast und das so bleibt, sehe ich keinen Vorteil außer dem Lerneffekt.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 22, 2022, 03:37:57 PM #4
Quote from: Adm1n-1337 on September 22, 2022, 12:43:40 PM
Die Probleme mit FreeBSD und Tagging habe ich auch mitbekommen, deshalb die Frage.

Ich habe aber auch, wie Du bereits schreibst, Interfaces mit mehreren VLANs und die funktionieren auch problemlos.

Dann werde ich wohl dabei bleiben, untagged auf den Switch zu gehen und dort erst mit VLANs zu starten.
Das Problem sind nicht mehrere VLAN's auf einem Interface sondern VLAN und eine "Nicht-VLAN" Schnittstelle auf einem Interface zu legen.
Bei Unifi währe das eben das Management-LAN mit VLAN-ID 0

Aber wie gesagt, ich hatte das auch einige Zeit und keine Probleme.

Was besser ist ? Gute Frage. Ich finde es übersichtlicher, die VLAN-Konfig komplett auf der OPNSense zu machen mit allem was dazu gehört ( IP-Netz, DHCP, DNS-Zuweisung, usw. ) und die Unifi-Seite nur das reine Zuweisen der Switch-Pofile zu überlassen, weil groß konfigurieren mit IP-Pools usw. kannst du dort dann eh nicht. Dann braucht es ja einen Router von denen ( UDMPro etc. ) - kurz gesagt, besser nicht auf Unifi sondern nur auf der OPNSense, die kann das eh besser. :-)

September 22, 2022, 04:07:17 PM #5 Last Edit: September 22, 2022, 09:21:16 PM by Adm1n-1337
Danke für die Antworten.
Print
Go Up Pages1
User actions