d2boxSteve
Commodore
- Registriert
- Apr. 2010
- Beiträge
- 4.271
145.x.x.x ist öffentlich, das darf lokal gar nicht verwendet werden:
VLAN einrichten - Netzte untereinander nicht komplett erreichbar
- Ersteller BeTZe
- Erstellt am
-=Azrael=-
Commander
- Registriert
- Jan. 2009
- Beiträge
- 2.373
Ist den ein L3 switch vorhanden, falls nicht, dann muss das vLan routing über die OPNSense erfolgen.
Beispiel mit einem Cisco L3 switch, weiter unten ist eine Erweiterung mit L2 abgebildet sowie Redunanz.
https://administrator.de/forum/verstaendnissproblem-routing-mit-sg300-28-328442.html#comment-1173859
Beispiel mit einem Cisco L3 switch, weiter unten ist eine Erweiterung mit L2 abgebildet sowie Redunanz.
https://administrator.de/forum/verstaendnissproblem-routing-mit-sg300-28-328442.html#comment-1173859
-=Azrael=-
Commander
- Registriert
- Jan. 2009
- Beiträge
- 2.373
Dann kannst du quasi das verlinkte Beispiel umsetzen, dafür muss ein Switch dann in den L3 Modus versetzt sein, dort muss du die vLANs und das Routing einrichten. Die OPNSense hat damit erstmal nichts zu tun.
Willst du alles über die OPNSense machen, dann bleiben die Switches im L2 Modus und du musst alles auf der OPNSense einrichten.
Willst du alles über die OPNSense machen, dann bleiben die Switches im L2 Modus und du musst alles auf der OPNSense einrichten.
redjack1000
Fleet Admiral
- Registriert
- März 2022
- Beiträge
- 16.437
Im Handbuch, Seite 396, ist erklärt wie man statisches Routing einrichtetBeTZe schrieb:
https://manuals.coolblue.nl/d6/tp-link-t1600g-52-collection.pdf
CU
redjack
proserpinus
Commander
- Registriert
- Mai 2006
- Beiträge
- 2.714
Stichwort lautet Inter-VLAN-Routing
Damit du auch genug Beispiele und Lektüre findest im Netz.
Damit du auch genug Beispiele und Lektüre findest im Netz.
Kabel zwischen den Switches legen?BeTZe schrieb:
Es kann durchaus Vorteile haben, wenn die Netze räumlich/physikalisch/logisch getrennt sind. Ausbreitung von Schadsoftware eindämmen wäre hier ein Punkt oder auch Zugriff verhindern/erschweren von unbefugten, internen Personen.BeTZe schrieb:
Das ergibt soweit keinen Sinn, da ja die Clients auf die Drucker zugreifen müssen.BeTZe schrieb:
@redjack1000
Danke für die Anleitung. Ich habe mir das angeschaut wie ich das einrichte. Habe auch ein zwei Sachen probiert, aber leider ohne Erfolg. Scheinbar hakt es da gerade bei mir im Kopf.
Ich wollte jetzt das Routing erstmal über den Switch probieren. Die OPNsense habe ich erstmal nicht mehr angeschlossen. Die VLANs habe ich alle in der Switch gelassen. Für jedes VLNA habe ich an dem eigenen Port die ID als untagged deklariert.
Am Switch unter der L3 Config wurde ein Routing automatisch eingetragen (s. Anhang).
Ich habe jetzt beim Static Routing zwei Einträge für die beiden VLANs gemacht. Leider bleibe ich dann nur in dem Netz wo der Client auch die IP Range hat.
Danke für die Anleitung. Ich habe mir das angeschaut wie ich das einrichte. Habe auch ein zwei Sachen probiert, aber leider ohne Erfolg. Scheinbar hakt es da gerade bei mir im Kopf.
Ich wollte jetzt das Routing erstmal über den Switch probieren. Die OPNsense habe ich erstmal nicht mehr angeschlossen. Die VLANs habe ich alle in der Switch gelassen. Für jedes VLNA habe ich an dem eigenen Port die ID als untagged deklariert.
Am Switch unter der L3 Config wurde ein Routing automatisch eingetragen (s. Anhang).
Ich habe jetzt beim Static Routing zwei Einträge für die beiden VLANs gemacht. Leider bleibe ich dann nur in dem Netz wo der Client auch die IP Range hat.
Anhänge
Also folgende Konfiguration habe ich
Switch 1 -> IP -> 10.0.0.253
Switch 2 -> IP -> 172.25.31.3
Switch 3 -> IP -> 145.243.92.3
Switch 2 und 3 sind jeweils mit einem Kabel an Switch 1 angeschlossen.
Auf Switch 1 habe ich VLAN1, VLAN5 und VLAN 93.
VLAN1 -> IP -> 10.0.0.253
VLAN5 -> IP -> 172.25.31.253
VLAN93 -> IP -> 145.243.92.253
Die Ports auf Switch 1 sind
Port1 -> VLAN1 untaggged -> PVID 1
Port2 -> VLAN5 untaggged -> PVID 5
Port3 -> VLAN93 untaggged -> PVID 93
Die OPNsense hängt mit einem Kabel an Port 1 von Switch 1. Hat die IP 10.0.0.1. Da sind auch jeweils die VLAN5 und VLAN93 angelegt.
VLAN5 -> IP -> 172.25.31.254
VLAN93 -> IP -> 145.243.92.254
Der eine Client hängt z.b. an Switch 2. Hat dann folgende konfiguratioin:
IP: 172.25.31.100
Sub 255.255.255.0
Gateway 172.25.31.253
Dann kann ich folgendes anpingen:
VLAN1, VLAN5, VLAN93 sowie Clients im 172.25.31.0 Netz. Aber keine Clients im 145.243.92.0 Netz. Auch nicht die OPNsense.
Wenn ich beim Client jetzt folgendes einstelle:
IP: 172.25.31.100
Sub 255.255.255.0
Gateway 10.0.0.253
kann ich genau die gleichen Sachen per Ping erreichen und auch wieder nicht.
Switch 1 -> IP -> 10.0.0.253
Switch 2 -> IP -> 172.25.31.3
Switch 3 -> IP -> 145.243.92.3
Switch 2 und 3 sind jeweils mit einem Kabel an Switch 1 angeschlossen.
Auf Switch 1 habe ich VLAN1, VLAN5 und VLAN 93.
VLAN1 -> IP -> 10.0.0.253
VLAN5 -> IP -> 172.25.31.253
VLAN93 -> IP -> 145.243.92.253
Die Ports auf Switch 1 sind
Port1 -> VLAN1 untaggged -> PVID 1
Port2 -> VLAN5 untaggged -> PVID 5
Port3 -> VLAN93 untaggged -> PVID 93
Die OPNsense hängt mit einem Kabel an Port 1 von Switch 1. Hat die IP 10.0.0.1. Da sind auch jeweils die VLAN5 und VLAN93 angelegt.
VLAN5 -> IP -> 172.25.31.254
VLAN93 -> IP -> 145.243.92.254
Der eine Client hängt z.b. an Switch 2. Hat dann folgende konfiguratioin:
IP: 172.25.31.100
Sub 255.255.255.0
Gateway 172.25.31.253
Dann kann ich folgendes anpingen:
VLAN1, VLAN5, VLAN93 sowie Clients im 172.25.31.0 Netz. Aber keine Clients im 145.243.92.0 Netz. Auch nicht die OPNsense.
Wenn ich beim Client jetzt folgendes einstelle:
IP: 172.25.31.100
Sub 255.255.255.0
Gateway 10.0.0.253
kann ich genau die gleichen Sachen per Ping erreichen und auch wieder nicht.
El-Midas
Cadet 3rd Year
- Registriert
- Sep. 2018
- Beiträge
- 57
Ich glaube das sieht soweit richtig aus.
Hat der Client, den du versuchst anzupingen den Switch als Gateway eingetragen? (Wenn nicht "weiß" der angepingte Client nicht wohin er antworten soll und die Pings timen aus).
Wenn SW2 und SW3 als Gateway den SW1 eingetragen haben müssten die vom Client anpingbar sein.
Oder du schließt mal 2 Clients an Port 2 und 3 von SW1 an, mit der entsprechenden Konfig für das Netz, um erstmal sicher zu stellen, dass die Konfig von SW1 passt.
Wenn ich das richtig sehe ist die OPNsense am Switch nur im VLAN1, um die aus allen Netzen mit ihrer IP erreichbar zu machen müsstest du auf dem SW1 Port1 zusätlich VLAN5 und VLAN93 taggen (soweit ich die Doku vom Switch richtig verstanden habe) und, falls noch nicht geschehen, in der OPNsense ebenfalls taggen.
Wobei ich noch nicht ganz verstanden habe vozu die OPNsense in allen VLANs sein muss?
Achso und noch mal zum Thema Öffentliches Netz: Wenn ein MA versucht auf eine öffentliche Website aus dem Bereich zuzugreifen kann es sein, dass die da nicht drauf kommen, weil das im Netzwerk bleibt anstatt ins WAN weitergeleitet zu werden.
Hat der Client, den du versuchst anzupingen den Switch als Gateway eingetragen? (Wenn nicht "weiß" der angepingte Client nicht wohin er antworten soll und die Pings timen aus).
Wenn SW2 und SW3 als Gateway den SW1 eingetragen haben müssten die vom Client anpingbar sein.
Oder du schließt mal 2 Clients an Port 2 und 3 von SW1 an, mit der entsprechenden Konfig für das Netz, um erstmal sicher zu stellen, dass die Konfig von SW1 passt.
Wenn ich das richtig sehe ist die OPNsense am Switch nur im VLAN1, um die aus allen Netzen mit ihrer IP erreichbar zu machen müsstest du auf dem SW1 Port1 zusätlich VLAN5 und VLAN93 taggen (soweit ich die Doku vom Switch richtig verstanden habe) und, falls noch nicht geschehen, in der OPNsense ebenfalls taggen.
Wobei ich noch nicht ganz verstanden habe vozu die OPNsense in allen VLANs sein muss?
Achso und noch mal zum Thema Öffentliches Netz: Wenn ein MA versucht auf eine öffentliche Website aus dem Bereich zuzugreifen kann es sein, dass die da nicht drauf kommen, weil das im Netzwerk bleibt anstatt ins WAN weitergeleitet zu werden.
Das sieht mir ziemlich verworren aus.
Die OPNsense sollte das Routing übernehmen, Switche würde ich außen vor lassen damit. Wozu hat man die FW sonst?
Die Firewall braucht einen Port, hier Port1, der alle VLANs an den ersten Switch weiterleitet und dieser Port muss alle Netze bereit halten. Wie das in der Konfiguration aussieht, weiß ich bei TP Link nicht. Bei HP Aruba setzt man den Haken schlicht bei "alle Netze", bei vielen anderen heisst es auch gängig Trunk. Nebenbei, wer erledigt denn das DHCP und DNS für die VLANs?
Erst wenn der Switch alle VLANs weiter leitet, kann man weitere Ports definieren, die dann entweder untagged oder tagged sind. Wenn ich einen Port tagge, gebe ich ihm alle erlaubten VLANs mit und das angeschlossene Gerät an diesem Port definiert, welchen Tag es davon interpretiert. Wenn du also VLAN 1 und VLAN 2 tagged setzen würdest, entscheidet das VLAN Tag des Clients an diesem Port, in welchem VLAN das Gerät landet. Ist der Port darüber hinaus noch mit einem untagged versehen, bekommt der Client unweigerlich dieses VLAN.
Denn untagged bedeutet, dass der Client dahinter nicht entscheiden kann, wo er landet. Hat er kein Tag, kriegt er das vom untagged. hat er eines, kriegt er nur dann VLAN Tag, wenn der Port das auch tagged hat. Eigentlich sehr simpel.
Mir scheint, dass die Funktionsweise von VLANs hier nicht verstanden worden ist und darüber hinaus auch nicht, dass am Ende ein Gerät das Routing und die Regeln bestimmen muss. Das kann in diesem Beispiel nur die FW sein.
Eine Beispielkonfiguration könnte also so aussehen.
Ich weiß, alles sehr kompliziert, aber die Grundlagen muss man kennen, sonst klappt es halt nicht.
Die OPNsense sollte das Routing übernehmen, Switche würde ich außen vor lassen damit. Wozu hat man die FW sonst?
Die Firewall braucht einen Port, hier Port1, der alle VLANs an den ersten Switch weiterleitet und dieser Port muss alle Netze bereit halten. Wie das in der Konfiguration aussieht, weiß ich bei TP Link nicht. Bei HP Aruba setzt man den Haken schlicht bei "alle Netze", bei vielen anderen heisst es auch gängig Trunk. Nebenbei, wer erledigt denn das DHCP und DNS für die VLANs?
Erst wenn der Switch alle VLANs weiter leitet, kann man weitere Ports definieren, die dann entweder untagged oder tagged sind. Wenn ich einen Port tagge, gebe ich ihm alle erlaubten VLANs mit und das angeschlossene Gerät an diesem Port definiert, welchen Tag es davon interpretiert. Wenn du also VLAN 1 und VLAN 2 tagged setzen würdest, entscheidet das VLAN Tag des Clients an diesem Port, in welchem VLAN das Gerät landet. Ist der Port darüber hinaus noch mit einem untagged versehen, bekommt der Client unweigerlich dieses VLAN.
Denn untagged bedeutet, dass der Client dahinter nicht entscheiden kann, wo er landet. Hat er kein Tag, kriegt er das vom untagged. hat er eines, kriegt er nur dann VLAN Tag, wenn der Port das auch tagged hat. Eigentlich sehr simpel.
Mir scheint, dass die Funktionsweise von VLANs hier nicht verstanden worden ist und darüber hinaus auch nicht, dass am Ende ein Gerät das Routing und die Regeln bestimmen muss. Das kann in diesem Beispiel nur die FW sein.
Eine Beispielkonfiguration könnte also so aussehen.
- FW - Port 1 - alle Netze - DHCP und DNS für alle VLANs sowie Routing und Paketfilter finden hier statt
- an den Port 1 kommt der erste Switch. Der kriegt alle Netze von der FW und muss selbst je nach Hersteller und Modell (Trunk, alle Netze) alle VLANs an die übrigen Ports weiter leiten.
- dann nehme ich mir weitere Ports auf dem Switch raus für den Uplink / Downlink anderer Switch und auch die brauchen jeweils alle Netze. Es sei denn, dass die Switch jeweils nur ein VLAN abdecken sollen. Dann reicht es, wenn der Port auf untagged für das gewünschte VLAN gesetzt wird. Taggen muss man dann nichts mehr.
- Am Ende muss die FW das Ganze dann noch Routen und vor allem auch erlauben.
- Das erwähnte Inter VLAN Switching braucht man dann, wenn man Pakete nicht über die FW leiten will, sondern schon der Switch diese intern verteilen soll.
Ich weiß, alles sehr kompliziert, aber die Grundlagen muss man kennen, sonst klappt es halt nicht.
Also ich möchte schon das die OPNsense das Routing am Ende übernimmt. Ich werde mal schauen ob ich das irgendwie weiter eingerichtet bekomme. Mal sehen.
Für mich noch einmal kurz zum Verständnis. Ich kann ja den Ports im Switch ein VLAN zuweisen. Mache ich das pro Port nur für ein VLAN? Also z.b. Port 1 hat VLAN1, Port 2 hat VLAN5 und Port 3 hat VLAN93? Oder weise ich Port 2 und 3 jeweils beide VLAN zu?
Ich würde jetzt jeweils nur eins zuweisen, weil dadurch doch gesteuert wird, welche VLAN einem Paket zugewiesen wird oder liege ich da jetzt falsch?
Für mich noch einmal kurz zum Verständnis. Ich kann ja den Ports im Switch ein VLAN zuweisen. Mache ich das pro Port nur für ein VLAN? Also z.b. Port 1 hat VLAN1, Port 2 hat VLAN5 und Port 3 hat VLAN93? Oder weise ich Port 2 und 3 jeweils beide VLAN zu?
Ich würde jetzt jeweils nur eins zuweisen, weil dadurch doch gesteuert wird, welche VLAN einem Paket zugewiesen wird oder liege ich da jetzt falsch?
-=Azrael=-
Commander
- Registriert
- Jan. 2009
- Beiträge
- 2.373
Dann bleiben alle Switches im L2 Modus und statisches routing oder ähnliches ist nicht nötig, da die opnsense alles steuert.BeTZe schrieb:
Wie @stabile es bereits beschrieben hat:
Opnsense --> Switch1 = trunk port mit vLan1,vLan5,vLan93
Switch1-->Switch2 etc. ebenfalls trunk port außer es soll nur jeweils ein vLan pro nachgelagertem Switch abgebildet werden.
Alle anderen Ports am Switch(clients) müssen dann in das jeweilige vLan, ansonsten sind diese alle im vLan1, ist auch mit einer der Gründe warum man vLan1 nicht nutzt, da in der Regel alle Ports im vLan1 am switch zusammengefasst sind.
Kann natürlich sein, das TP Link hier ein anderes vLAN nutzt.
An meinem Cisco Switch hab ich beide Uplinks zur OPNSense im trunk modus und alle anderen Ports(clients/server etc.) im Access Modus für das jeweilige VLAN.
Auf der OPNSense werden dann die jeweiligen vLANs erstellt, inkl. dhcp für das jeweilige vLAN.
Diese müssen natürlich einer physischen Schnittstelle zugeordnet und aktiviert werden.
Auf alle vLANs müssen dann jeweils Regel für DNS/HTTP/s traffic und alles andere was man braucht eingerichtet werden.
Hier ein OPNSense cheat sheet für LAN/vLAN Regeln inkl. access/deny Regeln, dns/ntp redirect.
https://homenetworkguy.com/how-to/firewall-rules-cheat-sheet/
Und wenn man schon das Netzwerk neu einrichtet, dann sollte man auch auf den Hinweis mit dem öffentlichen Netzbereich eingehen und dies ändern, auch wenn das bedeutet, das man clients mit einer statischen IP etc. neu konfigurieren muss.
Zuletzt bearbeitet:
El-Midas
Cadet 3rd Year
- Registriert
- Sep. 2018
- Beiträge
- 57
Da du alle VLANs an die OPNsense leiten willst, wäre mein Ansatz wie folgt:
SW1: Port1 (PVID1 , Tagged: VLAN1, VLAN5, VLAN93)
SW1: Port2 (PVID5, Untagged: VLAN 5)
SW1: Port3 (PVID93, Untagged: VLAN93)
OPNsense: (Netzwekkarte?, Tagged VLAN1, VLAN5, VLAN93) und IP Adressen auf den jeweiligen VLANs
(Sollte deine OPNsense-Maschine genug Netzwerkkarten für alle Netze haben könntest du das ganze auch ohne VLAN (-Tagging) machen.)
Die OPNsense IP Adressen des jeweiligen Netzes bei den Clients als Gateway hinterlegen und in der OPNsense das Routing konfigurieren. SW2 und SW3 kannst du dann unkonfiguriert an SW1 Port2 und Port3 hängen.
Ich kenne mich aber weder mit TP-Link noch mit OPNsense aus. Wie das genau zu konfigurieren ist müsstest du also selber schauen.
Generell können Netzwerkpakete eines VLANs innerhalb eines Switches nur an Ports des selben VLANs ausgegeben werden.
Wenn der Port auf Tagged steht nimmt ein Switch nur Pakete mit dem entsprechenden VLAN-Tag an und versieht ausgehende Pakete ebenfalls mit einem Tag.
Bei untagged-Ports sorgt der Switch dafür, dass die eingehenden Pakete nicht an an Ports eines anderen VLANs (Tagged oder Untagged) ausgegeben werden.
Soweit ich das richtig verstanden habe gibt es bei TP-Link, Netgear und ein paar anderen noch zusätlich die PVID mit welcher der SW eingehende, ungetaggte Pakete intern mit der PVID taggt um die intern auseinanderzuhalten. Dieser interne PVID-Tag wird beim Verlassen der Switches wieder entfernt.
Das PVID-Thema verwirrt mich aber ein bischen, da Cisco und HP das anders handhaben
SW1: Port1 (PVID1 , Tagged: VLAN1, VLAN5, VLAN93)
SW1: Port2 (PVID5, Untagged: VLAN 5)
SW1: Port3 (PVID93, Untagged: VLAN93)
OPNsense: (Netzwekkarte?, Tagged VLAN1, VLAN5, VLAN93) und IP Adressen auf den jeweiligen VLANs
(Sollte deine OPNsense-Maschine genug Netzwerkkarten für alle Netze haben könntest du das ganze auch ohne VLAN (-Tagging) machen.)
Die OPNsense IP Adressen des jeweiligen Netzes bei den Clients als Gateway hinterlegen und in der OPNsense das Routing konfigurieren. SW2 und SW3 kannst du dann unkonfiguriert an SW1 Port2 und Port3 hängen.
Ich kenne mich aber weder mit TP-Link noch mit OPNsense aus. Wie das genau zu konfigurieren ist müsstest du also selber schauen.
Generell können Netzwerkpakete eines VLANs innerhalb eines Switches nur an Ports des selben VLANs ausgegeben werden.
Wenn der Port auf Tagged steht nimmt ein Switch nur Pakete mit dem entsprechenden VLAN-Tag an und versieht ausgehende Pakete ebenfalls mit einem Tag.
Bei untagged-Ports sorgt der Switch dafür, dass die eingehenden Pakete nicht an an Ports eines anderen VLANs (Tagged oder Untagged) ausgegeben werden.
Soweit ich das richtig verstanden habe gibt es bei TP-Link, Netgear und ein paar anderen noch zusätlich die PVID mit welcher der SW eingehende, ungetaggte Pakete intern mit der PVID taggt um die intern auseinanderzuhalten. Dieser interne PVID-Tag wird beim Verlassen der Switches wieder entfernt.
Das PVID-Thema verwirrt mich aber ein bischen, da Cisco und HP das anders handhaben
Vielen Dank an euch beide. Ich glaube ich bin einen Schritt weiter.
Also, ich habe SW2 und SW3 erstmal durch jeweils einen PC ausgetauscht. Die VLANs habe ich bei SW1 so gelassen.
So ist dann jetzt die aktuelle Belegung:
Auf Switch 1 habe ich VLAN1, VLAN5 und VLAN 93.
VLAN1 -> IP -> 10.0.0.253
VLAN5 -> IP -> 145.243.92.253
VLAN93 -> IP -> 172.25.31.253
Die Ports auf Switch 1 sind
Port1 -> VLAN1 untaggged, VLAN5 tagged, VLAN93 tagged -> PVID 1
Port2 -> VLAN5 untaggged, VLAN1 tagged, VLAN93 tagged -> PVID 5
Port3 -> VLAN93 untaggged, VLAN1 tagged, VLAN5 tagged -> PVID 93
Die OPNsense hängt mit einem Kabel an Port 1 von Switch 1. Hat die IP 10.0.0.1. Da sind auch jeweils die VLAN5 und VLAN93 angelegt.
VLAN5 -> IP -> 145.243.92.254
VLAN93 -> IP -> 172.25.31.254
Neu angelegt auf der OPNsense habe ich
VLAN1 -> IPd -> 10.0.0.254
Der eine Client an Port2 hat folgende Konfiguration:
IP: 145.243.92.90
Sub 255.255.255.0
Gateway 145.243.92.254
DNS: 145.243.92.254
Der Client an Port3 hat folgende Konfiguration:
IP: 172.25.31.90
Sub: 255.255.255.0
Gateway: 172.25.31.254
DNS: 145.243.92.254
Dann habe ich noch einen dritten Client an Port10 angeschlossen. Der hat folgende Konfiguration:
IP: 172.25.31.100
Sub: 255.255.255.0
Gateway: 172.25.31.254
DNS: 145.243.92.254
Port 10 hat die gleichen Einstellungen wie Port3.
Jetzt klappt folgendes....
Was jetzt noch nicht klappt ist....
Wo könnte da jetzt noch mein Fehler liegen?
Edit
Bzgl. Tunked Ports bei TP Link Switch hatte ich folgendes gefunden:
Trunked Ports bei TP Link Switch
Dadurch bin ich dann auf die aktuellen Port Einstellungen gekommen.
Edit 2
Was auch nicht funktioniert ist über den Switch einen der drei Clients anzupingen.
Die OPNsense kann ich darüber aber anpingen
Also, ich habe SW2 und SW3 erstmal durch jeweils einen PC ausgetauscht. Die VLANs habe ich bei SW1 so gelassen.
So ist dann jetzt die aktuelle Belegung:
Auf Switch 1 habe ich VLAN1, VLAN5 und VLAN 93.
VLAN1 -> IP -> 10.0.0.253
VLAN5 -> IP -> 145.243.92.253
VLAN93 -> IP -> 172.25.31.253
Die Ports auf Switch 1 sind
Port1 -> VLAN1 untaggged, VLAN5 tagged, VLAN93 tagged -> PVID 1
Port2 -> VLAN5 untaggged, VLAN1 tagged, VLAN93 tagged -> PVID 5
Port3 -> VLAN93 untaggged, VLAN1 tagged, VLAN5 tagged -> PVID 93
Die OPNsense hängt mit einem Kabel an Port 1 von Switch 1. Hat die IP 10.0.0.1. Da sind auch jeweils die VLAN5 und VLAN93 angelegt.
VLAN5 -> IP -> 145.243.92.254
VLAN93 -> IP -> 172.25.31.254
Neu angelegt auf der OPNsense habe ich
VLAN1 -> IPd -> 10.0.0.254
Der eine Client an Port2 hat folgende Konfiguration:
IP: 145.243.92.90
Sub 255.255.255.0
Gateway 145.243.92.254
DNS: 145.243.92.254
Der Client an Port3 hat folgende Konfiguration:
IP: 172.25.31.90
Sub: 255.255.255.0
Gateway: 172.25.31.254
DNS: 145.243.92.254
Dann habe ich noch einen dritten Client an Port10 angeschlossen. Der hat folgende Konfiguration:
IP: 172.25.31.100
Sub: 255.255.255.0
Gateway: 172.25.31.254
DNS: 145.243.92.254
Port 10 hat die gleichen Einstellungen wie Port3.
Jetzt klappt folgendes....
- Ich komme mit allen Clients ins Internet über die OPNsense.
- Ich kann von allen Clients die VLANs auf der OPNsense (alle IPs mit 254 am Ende) pingen
- Ich kann von allen Clients alle VLANs auf dem Switch (alle IPs mit der 253 am Ende) pingen.
- Ich kann die OPNsense auf der 10.0.0.1 mit allen Clients anpingen
Was jetzt noch nicht klappt ist....
- Ich kann Client 2 und 3 gegenseitig nicht anpingen, obwohl sie im gleichen IP Bereich sind
- Ich kann Client 1 und 2 nicht anpingen, jeweils in getrennten VLANs
Wo könnte da jetzt noch mein Fehler liegen?
Edit
Bzgl. Tunked Ports bei TP Link Switch hatte ich folgendes gefunden:
Trunked Ports bei TP Link Switch
Dadurch bin ich dann auf die aktuellen Port Einstellungen gekommen.
Edit 2
Was auch nicht funktioniert ist über den Switch einen der drei Clients anzupingen.
Die OPNsense kann ich darüber aber anpingen
Zuletzt bearbeitet:
-=Azrael=-
Commander
- Registriert
- Jan. 2009
- Beiträge
- 2.373
Verstehe jetzt nicht so ganz warum hier vLAN Schnittstellen auf dem Switch angelegt werden.
Das würde ich auf meinen Cisco nur dann machen, wenn dieser das Routing(L3 Modus) übernehmen soll.
In diesem Fall hat die OPNSense mit den vLANs so gut wie nichts zu tun.
Deine OPNSense hat erstmal auf dem LAN Interface die 10.0.0.1.
Dann müsste der erste Switch z.B. per 10.0.0.xxx erreichbar sein, sofern dieser seine IP per DHCP bezieht.
Ich gehe davon aus, das man auch bei TP Link die default IP sowie das admin. Gateway, direkt im Switch ändern/anpassen kann.
Und wie bereits gesagt, vLAN1 sollte man gar nicht nehmen, da hier in der Regel alle Ports am Switch in diesem vLAN sind.
Wenn also alle deine Ports per default in vLAN1 sind oder vLAN4096 oder whatever vLAN, dann dieses vLAN nicht verwenden.
Als Beispiel bleiben wir erstmal bei einem Switch:
OPNSense LAN IP: 10.0.0.1->Uplink Switch1
Switch1 IP 10.0.0.2 per DHCP oder statisch direkt am Switch eingestellt.
Auf der OPNSense werden dann auf dem LAN Interface(UPLink Switch) die vLANs erstellt/zugewiesen und aktiviert.
vLAN2 IP 10.0.2.254
vLAN5 IP 145.243.92.254(oder 10.0.5.254)
vLAN93 IP 172.25.31.254
Dann sollten unter Services-> ISC DHCPv4 die jeweiligen Schnittstellen zu sehen sein, man kann diese auch vorher, beim erstellen, eindeutig benennen.
Auf jedem Interface wird dann erstmal der DHCP für den jeweiligen Netzbereich erstellt und aktiviert, hier kann man auch andere DNS Server, DHCP Optionen etc. einstellen.
Damit sind die vLANs auf der OPNSense aktiv und können allen Clients im jeweiligen vLAN sowohl die IP per DHCP als auch das Standard Gateway/DNS vermitteln.
Unter Firewall->Rules müssen dann Regel für Kommunikation für jedes vLAN Interface erstellt werden, also DNS,HTTP/s, ICMP, FTP oder was auch immer man braucht.
Die vLANs sind erstmal von einander getrennt, das ist ja auch der Sinn der Sache.
Wenn man jetzt jegliche Kommunikation z.B. zwischen vLAN2 und vLAN5 oder vLAN5 und vLAN2 erlauben will, dann muss man eine entsprechende Firewall Regel auf den vLAN Interfaces erstellen.
Interface vLAN2:
Action: PASS
Interface: vLAN2
Protocol: any
Source: vLAN2( oder vLAN2 net)
Source Port: any
Destination: vLAN5(oder vLAN5 net)
Destination Port: any
Damit kann vLAN2 vollständig(alle Ports, Protokolle, TCP/UDP etc.) auf vLAN5 zugreifen.
Interface vLAN5
Action: PASS
Interface: vLAN5
Protocol: any
Source: vLAN5( oder vLAN5 net)
Source Port: any
Destination: vLAN2(oder vLAN2 net)
Destination Port: any
Damit kann vLAN5 vollständig(alle Ports, Protokolle, TCP/UDP etc.) auf vLAN2 zugreifen.
TP Link kenne ich nicht, wenn ich aber das von dir verlinkte richtig verstehe, dann wird der UPLink Port der OPNSense, als Beispiel Port50, auf dem ersten Switch so konfiguriert:
Port 50 muss dann UNTAGGED im default vLAN sein, ich geh davon aus, das default vLAN ist vLAN1 in dem alle Ports am Switch zusammengefasst sind.
Die PVID wird auf VID 1 gesetzt und vLAN 2, 5, 93 werden als TAGGED auf dem Port gesetzt. Damit ist der Port im Trunk Modus.
Wenn jetzt Port 1-20 vLAN2 für clients abbilden sollen(access), dann müssen die Ports UNTAGGED sein und die PVID auf VID 2 gesetzt werden.
Die Clients an Port 1-20 bekommen dann von der OPNSense, eine IP im Netz 10.0.2.0, 10.0.2.254 als Gateway/DNS und können über die jeweiligen Firewall Regel auf dem Interface vLAN2 kommunizieren.
Mehr muss man erstmal auf dem Switch nicht einstellen, vLAN Interfaces sind nicht nötig, da die OPNSense die komplette Steuerung übernimmt, nur die Ports am Switch müssen richtig eingestellt werden.
Das würde ich auf meinen Cisco nur dann machen, wenn dieser das Routing(L3 Modus) übernehmen soll.
In diesem Fall hat die OPNSense mit den vLANs so gut wie nichts zu tun.
Deine OPNSense hat erstmal auf dem LAN Interface die 10.0.0.1.
Dann müsste der erste Switch z.B. per 10.0.0.xxx erreichbar sein, sofern dieser seine IP per DHCP bezieht.
Ich gehe davon aus, das man auch bei TP Link die default IP sowie das admin. Gateway, direkt im Switch ändern/anpassen kann.
Und wie bereits gesagt, vLAN1 sollte man gar nicht nehmen, da hier in der Regel alle Ports am Switch in diesem vLAN sind.
Wenn also alle deine Ports per default in vLAN1 sind oder vLAN4096 oder whatever vLAN, dann dieses vLAN nicht verwenden.
Als Beispiel bleiben wir erstmal bei einem Switch:
OPNSense LAN IP: 10.0.0.1->Uplink Switch1
Switch1 IP 10.0.0.2 per DHCP oder statisch direkt am Switch eingestellt.
Auf der OPNSense werden dann auf dem LAN Interface(UPLink Switch) die vLANs erstellt/zugewiesen und aktiviert.
vLAN2 IP 10.0.2.254
vLAN5 IP 145.243.92.254(oder 10.0.5.254)
vLAN93 IP 172.25.31.254
Dann sollten unter Services-> ISC DHCPv4 die jeweiligen Schnittstellen zu sehen sein, man kann diese auch vorher, beim erstellen, eindeutig benennen.
Auf jedem Interface wird dann erstmal der DHCP für den jeweiligen Netzbereich erstellt und aktiviert, hier kann man auch andere DNS Server, DHCP Optionen etc. einstellen.
Damit sind die vLANs auf der OPNSense aktiv und können allen Clients im jeweiligen vLAN sowohl die IP per DHCP als auch das Standard Gateway/DNS vermitteln.
Unter Firewall->Rules müssen dann Regel für Kommunikation für jedes vLAN Interface erstellt werden, also DNS,HTTP/s, ICMP, FTP oder was auch immer man braucht.
Die vLANs sind erstmal von einander getrennt, das ist ja auch der Sinn der Sache.
Wenn man jetzt jegliche Kommunikation z.B. zwischen vLAN2 und vLAN5 oder vLAN5 und vLAN2 erlauben will, dann muss man eine entsprechende Firewall Regel auf den vLAN Interfaces erstellen.
Interface vLAN2:
Action: PASS
Interface: vLAN2
Protocol: any
Source: vLAN2( oder vLAN2 net)
Source Port: any
Destination: vLAN5(oder vLAN5 net)
Destination Port: any
Damit kann vLAN2 vollständig(alle Ports, Protokolle, TCP/UDP etc.) auf vLAN5 zugreifen.
Interface vLAN5
Action: PASS
Interface: vLAN5
Protocol: any
Source: vLAN5( oder vLAN5 net)
Source Port: any
Destination: vLAN2(oder vLAN2 net)
Destination Port: any
Damit kann vLAN5 vollständig(alle Ports, Protokolle, TCP/UDP etc.) auf vLAN2 zugreifen.
TP Link kenne ich nicht, wenn ich aber das von dir verlinkte richtig verstehe, dann wird der UPLink Port der OPNSense, als Beispiel Port50, auf dem ersten Switch so konfiguriert:
Port 50 muss dann UNTAGGED im default vLAN sein, ich geh davon aus, das default vLAN ist vLAN1 in dem alle Ports am Switch zusammengefasst sind.
Die PVID wird auf VID 1 gesetzt und vLAN 2, 5, 93 werden als TAGGED auf dem Port gesetzt. Damit ist der Port im Trunk Modus.
Wenn jetzt Port 1-20 vLAN2 für clients abbilden sollen(access), dann müssen die Ports UNTAGGED sein und die PVID auf VID 2 gesetzt werden.
Die Clients an Port 1-20 bekommen dann von der OPNSense, eine IP im Netz 10.0.2.0, 10.0.2.254 als Gateway/DNS und können über die jeweiligen Firewall Regel auf dem Interface vLAN2 kommunizieren.
Mehr muss man erstmal auf dem Switch nicht einstellen, vLAN Interfaces sind nicht nötig, da die OPNSense die komplette Steuerung übernimmt, nur die Ports am Switch müssen richtig eingestellt werden.
Zuletzt bearbeitet:
@-=Azrael=-
Danke für dein Ideen. Wenn ich das jetzt richtig verstanden habe, soll ich auf dem Switch alle VLANs löschen bis auf das Standard VLAN. Das habe ich jetzt gemacht und den Port 50 so eingestellt wie du das beschrieben hast.
Ich habe dann allerdings ein Problem. Die Ports kann ich nur konfigurieren im Bereich der VLAN Einstellungen. Wenn ich die anderen VLANs auf dem Switch nicht mehr eingerichtet habe, kann ich z.b. die Ports nur unter dem Standard VLAN untagged oder tagged setzen. Und ich kann keine andere PVID wie 1 einstellen. Wenn ich eine andere nehme, kommt die Meldung, dass das VLAN nicht existiert.
Danke für dein Ideen. Wenn ich das jetzt richtig verstanden habe, soll ich auf dem Switch alle VLANs löschen bis auf das Standard VLAN. Das habe ich jetzt gemacht und den Port 50 so eingestellt wie du das beschrieben hast.
Ich habe dann allerdings ein Problem. Die Ports kann ich nur konfigurieren im Bereich der VLAN Einstellungen. Wenn ich die anderen VLANs auf dem Switch nicht mehr eingerichtet habe, kann ich z.b. die Ports nur unter dem Standard VLAN untagged oder tagged setzen. Und ich kann keine andere PVID wie 1 einstellen. Wenn ich eine andere nehme, kommt die Meldung, dass das VLAN nicht existiert.
