ComputerBase Menü
Aktuelles

VLAN einrichten - Netzte untereinander nicht komplett erreichbar

@BeTZe Ist der Switch den im L2 Modus?
Selbstverständlich müssen die vLAN VIDs auf dem Switch eingerichtet werden, jedoch keine vLAN Schnittstellen wie 10.0.0.253.

D.h. du gehst gehst hin und erstellst vLAN VID 2, vLAN VID 5, vLAN VID 93. Dann sollte das auch mit der Zuweisung klappen.
Vielleicht musst du ja über die CLI und nicht über das Webinterface gehen.

Falls du die 10.0.0.0 als Netz für deine clients brauchst, dann kannst du z.B. der OPNSense auf der LAN Schnittstelle die 10.10.10.1 geben, der nachfolgende Switch bekommt dann per DHCP oder statisch eine IP aus dem 10.10.10.0 Netz usw.. D.h. das default vLAN1 wäre dann im 10.10.10.0 Netz.
Du wirst hier aber entsprechende Regel auf der OPNSense brauchen, wenn der client der für die Administration zuständig ist, in einem anderen vLAN hängt.
 
Ich mische mich noch einmal ein.

Die Switche müssen auf jeden Fall die VLANs kennen, wenn sie kaskadiert arbeiten, also hintereinander weg geschaltet sind. Das ist ja meistens so. Nur für den Fall, dass der Router / FW pro VLAN einen eigenen Port hat, braucht man keine VLAN Konfiguration auf den Switchen.

Und vielleicht noch etwas Basiswissen zur Verdeutlichung. Irgendeiner im Netz (das wird hier die FW sein), muss die Netze verwalten. Jedes VLAN benötigt eine virtuelle oder physische Schnittstelle, in der die Clients DHCP, DNS und Gateway brauchen. Halt wie in einem "normalen" Netz. Die Fritz!Box hat ja bekanntermaßen 192.168.178.1 als Gateway und DNS. DHCP macht sie auch.

Am einfachsten ist es in der Tat, wenn die FW 10 Schnittstellen hat und die Hausverkabelung für jedes Gerät eigene Kabel bereit hält. Dann erstellt man pro Schnittstelle einfach ein Netz und alles was da angeschlossen wird, landet in diesem Netz. Dann brauchen die Switche gar nichts können.

Anderes Szenario. Ich habe nur 1 Schnittstelle und brauche VLANs. Erstelle ich jetzt ein VLAN, wir nehmen einfach mal die 10, so braucht dieses VLAN eine Schnittstelle. Weil wir aber nur eine Schnittstele haben, erstellt man virtuelle Schnittstellen. Die haben genau so wie die physischen eine IP Adresse und die brauchen natürlich auch DNS und DHCP. Manchmal macht das ein Windows Server, hier wird es aber meistens die FW selber sein. Übrigens ist das auch der Grund, warum Unifi die VLANs in die Netzwerke verlegt. Die machen das deshalb, um dem User die Denkleistung VLAN + DHCP + DNS + Gateway = Netzwerk abzunehmen. Ist in der Tat einfacher, aber eben anders als der Industriestandard.

Die FW gibt jetzt ihre Konfiguration auf dieser Schnittstelle aus und an jeden weiter, der dahinter hängt. Der Switch muss diese Konfig nun interpretieren und das kann er nur, wenn er die VLANs kennt, die die FW ihm anbietet. Von selbst kann kein Switch erkennen, welches VLANs wo anliegt.

An dieser Stelle muss ich nun als User entscheiden, wie ich mein Netz aufbauen will. Soll der Client sein VLAN Tag mitbringen? Kann man machen. Dann kann man alle Netze auf allen Ports Taggen und der Client entscheidet, welches er davon interpretiert. Da das aber meistens recht aufwendig ist und manch ein Client gar kein VLAN Tag mitbringt, lässt man nicht das Gerät entscheiden, sondern den Switch. Der Switch schickt also an seinen Ports ein untagged VLAN durch und so landet der Client an diesem Port automatisch in diesem VLAN.

Schalte ich jetzt Switche hintereinander, so muss jeder Switch wieder jedes VLAN kennen und das an seinem Uplink / Downlink weiter leiten. Diese Konfiguration nennt man Trunk oder alle Netze oder so ähnlich.

Wenn die Ports an den Switchen nun die richtigen VLANs verbreiten und jede VLAN Schnittstelle eine IP Adresse nebst DHCP und DNS bekommen hat, geht es an die Konfiguration der FW. Denn dort kommt ja jedweder Netzwerkverkehr an und die muss nun entscheiden, wer was wohin darf. VLAN 10 darf nur Internet, VLAN 20 darf auch in VLAN 10 per SMB, VLAN 30 darf nur http / https und Webproxy. Und Und Und ...

Hier wird es für die meisten User dann knifflig, denn das ist alles Handarbeit und hier passieren auch die meisten Fehler. Eine gut abgestimmte Netzwerkkonfiguration, in der nach beteiligten Geräten und Risiken getrennte Segmente mit Regeln existieren, das ist hohe Netzwerkkunst. Ein IoT Netz mit Geo-IP Sperre, damit die China Kamera nicht nach Hause telefonieren darf? Kein Problem. Ein Heimnetz mit Webproxy, der HTTPs aufknackt und jeden Verkehr filtert? Klar. Ein SMB Server, der komplett separiert in einem VLAN nur für Backup zur Verfügung steht und der Admin PC, der per RDP oder SSH in alle Netze darf. Das kann man alles einstellen und das ist Arbeit.

Ich freue mich für jeden, der sich da einarbeiten will, aber rate trotzdem den meisten, es bei der Fritz!Box zu belassen. Ist einfach stressfreier.
 
Moin, also irgendwie komme ich leider noch immer nicht weiter.

Ich habe an Switch1 jetzt die Interfaces für die VLANs gelöscht. Also sind an Switch1 aktuell die VLANs angelegt. Außerdem die Ports folgend belegt:

Port1: VLAN1 untagged, VLAN5 tagged, VLAN93 tagged
Port2: VLAN5 untagged, VLAN1 tagged, VLAN93 tagged
Port3: VLAN93 untagged, VLAN1 tagged, VLAN5 tagged

@-=Azrael=-
In dem von dir geposteten Link wäre die Belegung z.b. anders. Da müsste meine Belegung so sein:
Port1: VLAN1 untagged, VLAN5 tagged, VLAN93 tagged
Port2: VLAN5 untagged
Port3: VLAN93 untagged

Das hat mich aber auch nicht weitergebracht.

Bei der OPNsense habe ich die VLANs auch angelegt und denen jeweils auch ein Interface zugewiesen.
Ich habe auch bei den beiden VLANs das DHCP aktiviert. Allerdings funktioniert es nicht. Wenn ich z.b. beim Client an Port2 die IP usw. automatisch beziehen lasse, bekommt er keine IP aus dem Netz.

Bei den Firewall Regeln habe ich bei beiden VLANs erstmal alles auf any gesetzt.

Wenn ich jetzt zb. einen Ping vom Client aus VLAN93 and den Client aus VLAN5 absetzte bekomme ich folgendes in den Firewall Logs:

VLAN05_T52025-05-28T07:37:25172.25.31.100145.243.92.90icmplet out anything from firewall host itself
Wenn ich das andersrum mache kommt folgendes

VLAN093_K932025-05-28T07:40:42145.243.92.100172.25.31.90icmplet out anything from firewall host itself

Beides ist grün und sieht für mich so aus, dass es durch die Firewall durchkommt. Allerdings bekomme ich an den Clients die Meldung "Zeitüberschreitung".

Sehe ich das richtig, dass es durch die FW durchgeht aber dann an der Firewall wieder hängen bleibt?

Achso, und von den Clients aus VLAN5 und VLAN93 kann ich den Switch auch nicht anpingen.
 
@BeTZe
Any/any/any bedeutet jede Quelle(Netz), jeder Port, jedes Ziel(Netz). Also ist ausgehend aus dem internen Netz alles erlaubt.
Zumal du im vLAN93 einen öffentlichen Netzbereich hast der nicht im RFC1918 ist.

Das mag ja unter IPCOP in einem VPN funktioniert haben, nur bist du nicht mehr in einem VPN und öffentliche Netzbereiche sind für die interne Kommunikation nicht erlaubt.

The RFC1918 address space includes the following networks:

  • 10.0.0.0 – 10.255.255.255 (10/8 prefix)
  • 172.16.0.0 – 172.31.255.255 (172.16/12 prefix)
  • 192.168.0.0 – 192.168.255.255 (192.168/16 prefix)

Diese Netze sind für die interne Kommunikation in deinem LAN / vLANs erlaubt.

Die OPNSense blockt auch alle Netze im RFC1918 auf dem WAN Interface.

Dein öffentlicher Netzbereich wird dir auch bei den Firewall Regeln auf die Füße fallen, da man any/any/any Regeln, auch für die Kommunikation mit dem Internet, nicht anwendet.

Du willst 3 vLANs haben, wenn ich das richtig verstehe. Also auf ein neues.

OPNSense physisches LAN Interface auf z.B. 192.168.100.1 setzen. DHCP erstellen und aktivieren.
OPNSense Uplink an Port 49 an Switch1.
Dann Switch 2 und 3 anhängen. Keine Ahnung ob die direkt an Switch1 sind oder ob du eine Kaskade hast.

Jeder Switch der auf DHCP steht, sollte dann erstmal eine IP aus dem Netz 192.168.100.0 haben und die OPNSense sowie jeder Switch ist erstmal im default vLAN1, genauso wie jeder Port am jeweiligen Switch, wenn keine anderen vLANs(PVIDs/VIDs) zugeordnet sind.

Hängt dein Client, mit dem du auf die OPNSense und den jeweiligen Switch zugreifen willst, jetzt an einem Port, dann bekommt dieser ebenfalls eine IP/Gateway/DNS aus dem 192.168.100.0 Netz, ist im vLAN1 und hat Zugriff.

In der OPNSense, unter Services->ISC DHCPv4 LAN Interface sollte jeder Switch unter leases zu sehen sein, hier kann man direkt dem DHCP sagen, das die IPs statisch sein sollen. Oder es wird an jedem Switch eine statische IP eingerichtet und dann manuell mittels MAC Adresse im LAN DHCP der OPNSense hinzugefügt.

Hängt dein Admin Client später in einem anderen vLAN, z.B. vLAN2, dann muss eine FW Regeln auf dem vLAN2 Interface erstellt werden, die den Zugriff auf z.B. 192.168.100.1(OPNSense) 192.168.100.2(Switch1) usw. erlaubt.

Unter Firewall->Alias kannst du das ganze als Host Alias für die OPNSense, jeden Switch und den Client, sofern nicht das ganze vLAN2 Netz Zugriff haben soll, einrichten und dann in den Regeln verwenden.

Du erstellst auf der OPNSense, wie bereits beschrieben deine vLANs inkl. DHCP. Diese müssen einem physischen Interface(LAN) zugeordnet und aktiviert werden.

vLAN2 Interface: 10.0.0.1
vLAN5 Interface: 172.25.31.1
vLAN93 Interface: 10.93.93.1

Am Ende hast du:
LAN, physisch, default vLAN1: Netz 192.168.100.0/24(OPNSense/jeder Switch,AP whatever)
vLAN2: Netz 10.0.0.0/24 (auf dem physischen LAN Interface)
vLAN5: Netz 172.25.31.0/24 (auf dem physischen LAN Interface)
vLAN93: Netz 10.93.93.0 /24(auf dem physischen LAN Interface)

Außer du hast ein anderen CIDR-Suffix als /24 genutzt, dann hast du andere Netzadressen.

Schau mal in die Switch Bedienungsanleitung , unter 802.1Q VLAN Configuration kann man die Ports in den Trunk oder Access Modus setzten und den jeweiligen vLANs(PVID/VID) zuordnen. Seite 153.

OPNSense UPLink Switch1 Port 49
Port 49 in Trunk Modus stellen, somit kann der Port mehrere vLANs haben.
PVID 1 untagged, VID 2,5,93 als tagged

Damit liegen deine vLANs 2,5 und 93 an und die OPNSense verteilt hier jeweils per DHCP das Gateway/DNS im jeweiligen vLAN. Diese vLANs haben keinen Zugriff auf vLAN1 und auch nicht untereinander.

Port 1-20 sollen jetzt vLAN2 für die clients abbilden.
Port 1-20 auf Access stellen
PVID 2 untagged zuordnen

Damit sind Ports 1-20 im vLAN2 und bekommen von der OPNSense per DHCP eine IP sowie Gateway/DNS die im vLAN2 auf der OPNSense eingerichtet sind.

Was die Regeln angeht, hier nochmal: https://homenetworkguy.com/how-to/firewall-rules-cheat-sheet/

Hier wird auch ICMP also PING für die internen Netze beschrieben, sowie Zugriffe unter den vLANs oder einzelne clients/server whatever aus vLAN A ins vLAN B.

Und damit Anfragen ans Internet auch tatsächlich ins Internet gehen und nicht in jegliches Netz, also auch die internen Netze, arbeitet man mit dem RFC1918.

Unter Firewall-> Alias ein RFC1918 Networks Alias erstellen.
Dort kommt dann als Wert die oben, im RFC1918 angegebenen Netzbereiche, rein.
Name: RFC1918 Internetz
Typ: Networks
Content:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Beschreibung: Web only Zugriff

vLAN2 HTTPS Zugriff ins Internet:

Interface vLAN2:

Action: PASS
Interface: vLAN2
Protocol: TCP/UDP
Source: vLAN2 net(gesamtes vLAN2 Netz)
Source Port: any
Destination: RFC1918 Alias
Destination invert: yes oder haken rein.
Destination Port: HTTPS

Damit werden alle HTTPS anfragen aus dem vLAN2 in alle Netze, nur nicht in die im RFC1918 definierten Netze, zugelassen.

Jetzt willst du aber aus dem vLAN2 auf die OPNSense(192.168.100.1) oder einen Switch(192.168.100.2) per HTTPS zugreifen.

Firewall->Alias
Name: OPNSense_LAN_IP
Typ Host
IP: 192.168.100.1
Beschreibung: OPNSense whatever

Name: Switch1_LAN_IP
Typ: Host
IP:192.168.100.2
Beschreibung: Switch1 OG1 Raum5 whatever.

Kannst hier auch eine Gruppe anlegen und dort alles reinpacken.

Interface vLAN2:

Action: PASS
Interface: vLAN2
Protocol: TCP/UDP
Source: vLAN2 net(gesamtes vLAN2) oder Client/Host Alias den der Admin verwendet
Source Port: any
Destination: OPNSense_LAN_IP oder Switch1_LAN_IP Alias / Gruppe
Destination Port: HTTPS

Damit kann dann entweder das gesamte vLAN2 Netz oder der definierte Client im vLAN2 auf die OPNSense oder den Switch per HTTPS zugreifen.

Du solltest auch ein DNS und NTP redirect für alle Schnittstellen einrichten, so können die Clients die von dir definierten DNS/NTP Server in der OPNSense nicht umgehen und eine entsprechende FW Regeln erstellen die nur DNS/NTP im jeweiligen Netz zulässt.

So werden DNS/NTP Anfragen nicht in alle internen Netze geschickt und direkt auf die OPNSense umgeleitet die dann alles weitere übernimmt.
Damit kann man auch simpel DNS over TLS unter unbound DNS für alle Clients einrichten.
 
Zuletzt bearbeitet:
Hallo, sorry kann mich erst jetzt wieder dazu melden.
@-=Azrael=-
Danke für deine letzte Hilfe. Ich bin dadurch denke ich mal schon etwas weitergekommen.
Ich habe das 145.243 Netzt jetzt gegen das von dir beschriebene 10.93.93.0 Netz ausgetauscht. Statt Switch2 und 3 habe ich jeweils einen PC angeschlossen.
Ich habe das jetzt auch soweit konfiguriert, dass die beiden PCs am jeweiligen Port für VLAN5 und VLAN93 per DHCP eine IP zugewiesen bekommen. Denke mal, dass ist schon ein guter Schritt.

Bzgl. der Portbelegung an Switch1. Danke für den Hinweis mit der Anleitung. Leider hat TP-Link die Oberfläche geändert und man kann nicht einfach einen Port auf Trunk oder Access setzen. Das wird jetzt etwas anders gelöst. Aber ich denken mal, dadurch das die IPs per DHCP richtig zugewiesen werden, passt es so wie ich es aktuell konfiguriert habe.

Nun bin ich noch bei dem Schritt, dass sich die beiden PCs nicht anpingen oder sehen können.
Ich kann von beiden Rechnern die OPsense anpingen. Sowohl im eigenen VLAN wie auch in dem anderen.

Aber die PCs untereinander kann ich nicht anpingen. Ich habe die Regeln auch soweit eingerichtet wie unter dem LINK beschrieben, den du oben genannt hast.
Auch die Extra Regeln für ICMP habe ich erstellt. Leider kein Erfolg.

Hat dazu vielleicht noch jemand einen Tipp? Danke im voraus.
 
@BeTZe

Die Frage ist welche Regel du angewendet hast.
Bei der ICMP Regel, die ich verlinkt habe, muss zunächst eine Gruppe für die Interfaces/vLANs erstellt werden oder man arbeitet mit floating rules.

Hier kann man dann ICMP vollständig( 1 Regel) oder nur Echo Request, Echo Reply, Destination Unreachable,Time Exceeded freigeben.

Vollständiger Zugriff würde so aussehen und würde keine ICMP Regel benötigen.

Action: Pass
Interface: VLAN5
Protocol: any
Source: VLAN5 net
Source Port: any
Destination VLAN93 net
Destination Port: any
Description: Allow VLAN5 access to VLAN93


Action: Pass
Interface: VLAN93
Protocol: any
Source: VLAN93 net
Source Port: any
Destination VLAN5 net
Destination Port: any
Description: Allow VLAN93 access to VLAN5


Wenn das immer noch nicht klappt, dann kann es gut sein das hier die Windows Firewall mit ins Boot kommt, insbesondere dann, wenn das Netzwerk als öffentlich und nicht als privat definiert ist.
 
Ich habe das jetzt in den Regeln so eingestellt wie du vorgeschlagen hast.

Wenn ich einen Ping von PC VLAN5 an den PC VLAN93 sende bekomme ich die Meldung Zeitüberschreitung. In den Firwall Logs steht aber mit grün hinterlegt, dass es funktioniert hat.

Durch deine Idee mit der Windows Firewall habe ich jetzt mal versucht, eine Remoteverbindung zwischen den beiden Rechnern aufzubauen. Und was soll ich sagen, es funktioniert. Also hat wohl die Windows Firewall die Pings blockiert.
Damit bin ich schonmal wieder einen Schritt weiter.

Als nächstes schaue ich mal wie ich die Regeln in der OPNsense so einstelle, dass nicht alles erlaubt ist

Außerdem das ich aus dem VLAN2 die OPNsense und den Switch1 konfigurieren kann.

Danach werde ich nach und nach die PCs gegen die beiden Switche austauschen und schauen, ob es dann auch noch alles funktioniert.

Vielen Dank für die Hilfen und vor allem die Geduld.
 
  • Gefällt mir
Reaktionen: -=Azrael=-
Hallo Zusammen,
ich muss leider doch noch einmal darauf zurück kommen.
Ich möchte jetzt statt den beiden Rechnern Switch2 und Switch3 anschließen.

Ich habe das doch richtig verstanden, dass alle drei Switche im gleichen IP Bereich sein müssen oder? Das wäre hier dann z.b. 192.168.100.1 / 192.168.100.2 / 192.168.100.3 ?

Und Switch2 und Switch3 werden jeweils an einen Port bei Switch1 angeschlossen, der als VID die 1 hat.
 
Ja, deine OPNSense sowie jeder Switch ist erstmal im selben Netz/ default vLAN.

Das kommt drauf an was du willst, sollen alle vLANs auf jedem Switch abgebildet werden, dann wirst du hier auch trunk ports nutzen müssen.
 
Meine Vorstellung wäre jetzt, dass ich Switch1 habe der so bleibt wie er jetzt konfiguriert ist.

Switch2 und Switch3 würde ich dann jeweils mit einem Kabel an Switch1 anschließen.
An Switch2 wären dann alle Geräte aus dem Bereich 172.25.31.1
An Switch3 wären dann alle Geräte aus dem Bereich 10.93.93.1

Ich würde dann Switch2 und Switch3 mit den VLANs genauso konfigurieren wie Switch1. Die Ports würde ich dann genauso konfigurieren wie bei Switch1 die Ports der beiden PCs, wo der eine im 172 und der andere im 10. Netz ist.
 
  • Gefällt mir
Reaktionen: -=Azrael=-
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

O
  • Frage Frage
VLAN einrichten im Heimnetzwerk
Antworten
19
Aufrufe
3.606
Tarimal
T
G
TP-Link VLAN Einrichten
Antworten
5
Aufrufe
569
GamboDE
G
Mr. Poe
OpenWRT VLAN einrichten
Antworten
8
Aufrufe
1.285
cbtaste420
cbtaste420
L
Unify EdgeRouter X VLan einrichten
Antworten
6
Aufrufe
4.819
Raijin
Raijin
D
VLAN einrichten an Zyxel Switch
Antworten
1
Aufrufe
3.665
foo_1337
F
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz