Netzplanung - wie mache ich es "richtig" ohne zu murksen?

[audofriemler]

Servus,

ich muss euch leider schon wieder belästigen, aber ich habe niemanden, den ich fragen kann.

Smalltalk ON
Ich kenne noch Modems und BTX auf 286 Rechnern mit Turbo Knopf, hatte sauteures ISDN mit Kanalbündelung und war stolz auf das erste DSL Modem. Da hing dann ein ausrangierter 486 dran mit 3 NICs für DSL/LAN/DMZ, alles mit Hubs und natürlich DynDNS. Mit IPtables war das für mich alles sehr übersichtlich. Irgendwann haben FritzBoxen übernommen und ich habs einfach laufen lassen. Jetzt gehts mal wieder weiter, nach all den der Jahren Abstinenz. Hat sich viel geändert, IPv6 ist schon komplex, wenn man damit anfängt und es verstehen will.
Smalltalk OFF

Da ich keine Ahnung habe wie ich den Aufbau des Netztes "richtig" mache, hoffe ich daß ich hier ein paar hilfreiche Hinweise von Profis bekomme.

So hätte ich es früher mit IPv4 und ohne VLAN gemacht:

Code Select Expand


                                                WAN
                                                PPPoE
                                                en0



OPNsense    10.10.10.1/24 automatix.lan
            v6

                Port1               Port2               Port3               Port4
            config/VLAN1            WiFi                PRINT               DMZ
                igb0                igb1                igb2                igb3
            10.10.10.1/24       10.10.11.1/24       10.10.12.1/24       10.10.13.1/24
                 ||                  ||                  ||                  ||
                 ||                  ||                  ||                  ||
            10.10.10.2/24       10.10.11.2/24       10.10.12.2/24       10.10.13.2/24
                Port1               Port2               Port3               Port4

Switch      10.10.10.2
            v6

                Port5               Port6               Port7               Port8
            10.10.10.5/24       10.10.11.6/24       10.10.12.7/24       10.10.13.8/24
                                     ||
                                     ||
                                10.10.11.11/24
                                     AP



Jetzt sieht die Planung so aus:

Code Select Expand


                                                Modem
                                                 ||
                                                 ||
                                                WAN
                                                PPPoE
                                                en0

OPNsense    10.10.10.1/24 automatix.lan
            v6

                Port1               Port2               Port3               Port4
                LAN1                frei                LAGG                LAGG
                igb0                igb1                igb2                igb3
            10.10.10.1/24            --                  --                  --
                                                         ||                  ||
                                                         ||                  ||
                 --                  --                  --                  --
                Port1               Port2               Port3               Port4

Switch      welche IP?
            v6

                Port5               Port6               Port7               Port8
                frei             VLAN oder IP?          VLAN20              VLAN30
                                     ||
                                     ||
                                  welche IP
                                   WiFI AP

VLAN01  WiFI
VLAN02  PRINT
VLAN03  DMZ
VLAN04  Gast

Fragen:

Ein LAN für die Konfiguration soll man untagged lassen?
Eigentlich reicht mir der Zugang auf der OPNsense mit Laptop direkt.
Oder nimmt man in dieses Netz dann auch den Switch und den WiFi AC zur Konfiguration?
Ich frage wie es die Profis machen würden, hin murksen kann ich das schon irgendwie, aber darum geht es nicht.
Vielleicht gibt es eine elegantere Methode, Switch und AP zu versorgen.

Mille Grazie
(einer der auch beim audofriemeln nicht murkst)

PS:
Eigenlich gefällt mir das mit LAGG und VLANs ganz gut. Ich habe noch einen ausrangschierten CISCO SG350 rum liegen. Der ist aber Spielzeug, wenn mit dem einfachen D-Link mal funktioniert. Ich denke mit VLANs ist so ein Routertausch einfacher zu bewerkselligen.

[schmuessla]

Bei vernünftiger Hardware (Switch, AP) kann man immer ein Management VLAN konfigurieren.
Ich habe es bei mir so gelöst, dass der ganze Management Kram in einem Subnetz hängt, von dort ist aber das Webinterface der Opnsense nicht erreichbar, das geht nur aus dem Subnetz meiner Geräte. Eine Zeitlang hatte ich das Webinterface nur am VPN Interface erreichbar zu machen, aber da ging der Komfort flöten und ich bezweifle, dass sich jemand wochenlang die Mühe macht mein komplettes Heimnetz zu infiltrieren.

Der Übersichtlichkeit halber habe ich bei mir VLAN Tag = IPv4 Subnetz = IPv6 Präfix
Beispiel VLAN 32 = 192.168.32.0/24 = 0x20