OPNSense die ersten Anfänge.. VLAN??

[RealQuality]

Hallo Forum,

ich hoffe hier etwas neues zu lernen.

Ich habe aktuell noch einen Speedport Smart 4 mit 5G Empfänger der hoffentlich ab mitte des Jahres einem Glasfaseranschluss weichen muss.

Ich baue aktuell ein Netzwerk auf mit OPNSense (was auch sonst hier im Forum..) und Omada.

Das Omada Netzwerk funktioniert bereits einwandfrei und bedient aktuell ca. 20 Clients. Die Anzahl wird sich zum Glasfaservertrag ändern da meine Familie aktuell jeder einen seperaten Festnetz Vertrag hat und wir einen gemeinsamen Glasfaseranschluss nutzen wollen (Kosten Sparen lieber 1x 50€ wie 3 x 40€ )

Hier das entsprechende Netzdiagramm:
AN / Internet
            :
            : Telekom Hybrid
            :
      .-----+-----.
      |  Gateway  |  Speedport Smart 4 Hybrid
      '-----+-----'
            |
        WAN | DHCP IP vom Speedport
            |
      .-----+------.   
      |  OPNsense  +--
      '-----+------'   
            |
        LAN | 192.168.1.1
Aufgeteilt in 5 VLANS
192.168.10.1 Mein VLAN
192.168.20.1 VLAN Bruder
192.168.30.1 VLAN Eltern
192.168.40.1 VLAN IPCam
192.168.50.1 VLAN IoT
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)     Irgendwo meine Synology? Aktuell noch unter 192.168.1.111 mit offenem https Port(5001) für Photos Sicherungen



Ich habe aktuell noch keine Regeln erstellt außer die entsprechenden VLAN Regeln damit diese nach draußen kommunizieren können. Leider habe ich noch nicht so ganz verstanden wie die Regel aussehen muss damit dieser DHCP Bereich für sich bleibt und keine Verbindung zu einem anderen VLAN schafft. bzw nur auf das NAS zugreifen kann.

Hier ein Foto der Regel Übersicht vom VLAN meines Bruders



Für den zusätzlichen Schutz meiner Augen habe ich Adguard installiert und nutze die entsprechenden Filter und den DNS
Auf dem Lan Port ist Zenarmor  eingerichtet nach der Anleitung von Zenarmor selbst.
Auf dem WAN Port ist IDS und IPS eingerichtet nach der Anleitung von Thomas Krenn.


Meine Abschließende Frage ist.. Macht dieser gesamte Aufbau überhaupt Sinn? oder öffne ich das Tor zur Unterwelt?
Ich bin für verbesserungsvorschläge und Tipps offen bin absoluter Neuling in dieser Welt.

Vielen Dank

Mit freundlichen Grüßen

Luca

[Patrick M. Hausen]

Wenn du die VLANs alle hinter den Switch packst und der Switch dazwischen routet, kannst du auf der OPNsense nicht mehr filtern.
Du musst alle VLANs auf der OPNSense anlegen und den Switch zu einem dummen Layer-2-Gerät degradieren.

HTH,
Patrick

[viragomann]

und den Switch zu einem dummen Layer-2-Gerät degradieren

Das nicht. Den Switch braucht er ja, um den Trunk zu verteilen.

[RealQuality]

Hallo Patrick, leider war meine Grafik falsch
Selbstverständlich habe ich die Vlans in der OPNSense angelegt.

[Patrick M. Hausen]

Das nicht. Den Switch braucht er ja, um den Trunk zu verteilen.

Trunk und VLANs = Layer 2

Routing = Layer 3

[RealQuality]

Das nicht. Den Switch braucht er ja, um den Trunk zu verteilen.

Trunk und VLANs = Layer 2

Routing = Layer 3

Ich habe die Zeichnung oben geändert, selbstverständlich habe ich diese auf der OPNSense angelegt.
Aber auch Zeitgleich in Omada mit gleichen Einstellungen um über die entsprechenden SSID zu gehen.

[Patrick M. Hausen]

Guck mal hier, wie man den Verkehr zwischen den VLANs unterbinden kann:

https://forum.opnsense.org/index.php?topic=46094.msg230851#msg230851

[RealQuality]

Guck mal hier, wie man den Verkehr zwischen den VLANs unterbinden kann:

https://forum.opnsense.org/index.php?topic=46094.msg230851#msg230851

Hallo Patrick,

habe ich probiert.. ein Pingen aus dem VLAN 192.168.30.3 auf 192.168.1.116 ist immer noch möglich.
Sollte dies nicht verhindert werden?


EDIT:
Oke habe meinen Denkfehler gefunden..
Ich kann unter den VLANs nicht Pingen aber ins Lan(192168.1.) geht.
Wenn ich dies unterbinden möchte muss ich unter dem Interface Restricted das Lan Netzwerk mit hinzufügen.
Hat dies irgendwelche Auswirkungen ?

[Patrick M. Hausen]

Du musst die das LAN mit in den "Net_Local" Alias aufnehmen, damit die VLANs nur in "!Net_Local" kommen. Oder wie auch immer du das Zeug nennst - bei mir heißt es "Net_Local".

Und du solltest nicht auf demselben physischen Interface deine getaggten VLANs und das untagged LAN betreiben. Tagged und untagged nicht auf demselben Interface. Mach einfach das LAN auch zu einem VLAN - das ist ja in der OPNsense nur eine Zuordnung ...

[RealQuality]

Vielen Dank für dein Tipp, ich habe die Regeln bzw Aliase gleich angelegt wie du damit es einfacher ist zu vergleichen.
Ich werde das LAN(Benutze Aktuell ja nur ich..) zu einem VLAN ändern.
Welche Auswirkungen haben den tagged und untagged auf dem selben Interface?
Meine Hardware hat ja noch 2 Ports frei sollte ich eventuell die VLANS bzw LAN auf die Ports aufteilen?

[RealQuality]

Ich muss das Thema noch einmal aus der versenkung holen..

Ich habe nun einen extra Port genutzt (igc3) um die VLANS vom LAN zu trennen, aber irgendwie habe ich es geschafft das igc3 nicht vergeben ist aber die VLANS über diesen Port laufen. Siehe Screenshot.
ist dies ein Problem oder sogar so richtig? vorstellen kann ich mir das nicht.

Vielen Dank

[Patrick M. Hausen]

Das ist so richtig. Das phys. Parent Interface der VLANs ist selbst kein logisches Interface in OPNsense. Es laufen ja keine ungetaggeden Pakete darüber.

[RealQuality]

Vielen Dank für die schnelle Antwort!

Gruß Luca

[RealQuality]

Guck mal hier, wie man den Verkehr zwischen den VLANs unterbinden kann:

https://forum.opnsense.org/index.php?topic=46094.msg230851#msg230851

Hallo Forum

ich habe die VLAN Rule von Patrick angewendet um den Datenverkehr zwischen den VLANS zu unterbinden.
Ich möchte aber gerne die Geschwindigkeit meines Heimnetzwerkes nutzen um auf die NAS Backups etc. durchzuführen.
Über einen Proxy habe ich aufgrund meines schlechten Internets nur ca 3 MB/s an Upload.

lässt sich eine Regel erstellen das nur diese eine IP des NAS zugänglich ist für bestimme VLANs?
Oder sollte ich die NAS in ein extra VLAN nehmen und den Zugang auf dieses VLAN einfach erlauben?

Ich frage mich welche die "Sicherste" Methode ist.

Vielen Dank für die Hilfe.

[Zapad]

ich betreibe Vlans auf dem Switch und Vlans auf der OPNSense für IP6.

Frage: Möchtest du geschwindigkeit zwischen Vlans haben?

Antwort: Switch muss routen, und über Default GW zum OPNSense verbunden werden mit static Routen auf der Sense zum Switch GW.
(Ev. ACL auf dem Switch erstellen um Vlans zu trennen)

Frage: willst du alles über Sense laufen lassen und Vlans trennen?

Antwort: Vlans ohne Interface IP auf dem Switch erstellen und IP GW je Vlan auf der Sense erstellen.... (Client hat GW von der Sense)
leider wird jeder Intervlan auch zb 10gbe NAS über die Sense geroutet was der Geschwindigkein gewiss abtgäglich ist.

auch wenn der Traffik zb über Static Routen ankommt/geht kannst du alles auf der Sense filtern auch mit Switch GW.

Ich habe 4 Vlan und 1 Vlan rein als GW mit 252 maske also 2 IP 1x Switch 1x Sense,
auf dem Switch ist die Ip von der Sense als Default GW konfiguriert auf der Sendse Static Routen zu der IP auf dem Switch mit ziel je Vlan ip Range.

Warum Extra Vlan für default GW? es erleichtert ACL config auf dem Switch.