Routing Frage

[djcroman]

Hallo zusammen,
ich benötige mal einen kleinen Gedankenanstoß. Steh irgendwie auf dem Schlauch und bin auch nicht so der Netzwerkprofi.
Ich habe hier 3 Server, 1 MAC und 1 Switch.
Server 1: OPNsense mit 3 x 1GB LAN (IP: 10.0.1.1)
Server 2: Proxmox mit 10GB LAN (IP:10.0.2.2 - Default Gateway:10.0.2.1 - DNS:10.0.1.1)
Server 3: Proxmox Backup Server mit 10GB LAN (IP:10.0.2.3 - Default Gateway:10.0.2.1 - DNS:10.0.1.1)
MAC Studio mit 10GB LAN (IP:10.0.1.10 - Default Gateway: 10.0.1.1 - DNS:10.0.1.1)
Dazwischen einen 10GB Switch (Layer 3) (IP:10.0.1.2)

Wie bekomme ich es nun hin, dass der Switch das Routing zwischen Server 2 und 3 und dem MAC Studio übernimmt und der Datenverkehr nicht immer über die OPNsense geroutet wird?!?
DHCP übernimmt die OPNsense.

[meyergru]

Du schreibst nichts über die Topologie und hast keine Netzmasken erwähnt - ich gehe mal von /24 aus.

Grundsätzlich routet die OpnSense sowieso nicht zwischen dem Server 2 und 3, da beide im selben Netzwerk 10.0.2.0/24 liegen. Die einzige Art, wie der Traffic überhaupt die OpnSense passieren könnte, wäre, wenn die beiden Server an unterschiedlichen Interfaces der OpnSense hängen - diese müssten dann aber gebridged sein, so dass wieder nichts geroutet wird. Das bedeutet insbesondere, dass dort auch keine Firewall-Regeln greifen können.

[djcroman]

Ja ist /24 Netz

Das Problem ist, dass, sobald ich z.B. eine größere Datei von meinem MAC auf den Proxmox Server schiebe, die OPNsense der Flaschenhals ist und in die Knie geht. Das wirkt sich dann so aus, dass die OPNsense sich komplett aufhängt und nur noch ein Reboot hilft.
Es würde also vermutlich helfen, wenn ich den MAC ins selbe vLAN hänge, wie die Server?

[knebb]

Wenn Dein Switch WIRKLICH ein Layer3 Switch ist, dann macht der doch auch Routing,oder?

Mac-Netz an den "Switch", OPNSense auch direkt da ran und auch den Proxmox Server da ran. Dann den Switch so konfigurieren, dass er dazwischen routet. Fertig die Laube. Dann geht nur das an die OPNSense, was auch wirklich raus soll....

Ansonsten ist das doch klar, dass die OPNSense der Flaschenhals ist - die hat nur 1GBit/s, wohingegen die beiden anderen Server 10gBit/s NICs haben...

[djcroman]

Ich habe den Zyxel XS1930-12HP und da steht L3

Ja, ist auch alles so verkabelt. Meine Frage war eher, wie und wo ich was einstellen muss, dass NUR der Switch das interne Routing übernimmt.

[meyergru]

Frage: Welchen Sinn hat eine Netztrennung und eine Firewall, wenn dann der Traffic über einen Layer3-Switch daran vorbei geleitet wird?

Offenbar sind es ja nicht so viele Geräte, dass die Auftrennung in unterschiedliche ARP-Domains das Ziel ist.

[osmom]

Läuft auf den Promox Server 2 ein Fileserver oder was anders für deinen MAC? Kannst du das virtuelle Gerät evt. in das 10.0.1.x Netz bringen? Evt durch eine zusätzliche Netzwerkkarte?

Laut dem Manual von deinem  Switch kann der nicht viel routen, schau dir mal im SwitchManual die Kapitel IPv4 Routing Tabel und Static Routing an.

[knebb]

DAs ist mal wieder ein typischer Fall von "Marketing-Verarsche" :(

Ja, diese Switches können tatsächlich routen. Und werden deshalb auch als L3 Switches beworben. Dabei sind sie bestenfalls L2+ Switches. Die können nämlich nicht die üblichen Routing-Protokolle, sondern nur statisches Routing.

Wie funktionert das bei denen? Du musst für jedes VLAN ein Interface des Switches einrichten. Und dieses Interface ist das jeweilige Default-Gateway des VLANs. Und dann wohl noch ein paar Sachen konfigurieren lt. Doku: IPv4 Routing, Inter-VLAN Routing (L3 Mode), Static Routes.

DANN routet das Ding (habe ich hier selbst im Einsatz, aber nur als ordentlicher Switch) wohl tatsächlich zwischen den VLANs.

Bleibt die Frage, die auch @meyegru gestellt hat, wo der Sinn von via VLAN getrennten Netzwerken ist, wenn die Routing-Wege dazwischen dann doch wie ein offenes Scheunentor sind...

Meine Empfehlung wäre auch, diese doch etwas krude Infrastruktur zusammenzulegen und nur ein lokales LAN zu betrieben. Ist ja auch besser, wenn man versteht was man macht ;)

/KNEBB