Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Umstieg von ipfire auf pfsense - Fragen zur vernünftigen Planung

    Deutsch
    3
    10
    1.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • 2
      2U1C1D3
      last edited by

      Hallo zusammen!

      Ich bin langjähriger Nutzer der ipfire-Lösung. Durch den rasanten Zuwachs an IoT-Geräten habe ich mich zum Umstieg auf pfsense entschieden. Der gewichtigste Grund war, dass die ipfire nur mit einem V-Lan pro NIC umgehen kann. Da ich jetzt aber gerade etwas von den Möglichkeiten und Optionen der pfsense überwältigt bin, mache ich mir Gedanken was sinnvoll ist und was nicht.

      Jetzt habe ich aber ein Verständnisproblem, welches ich mit dem Tutorial nicht beseitigen kann. Ich nutze als Hardware einen Mini-PC mit vier NICs.

      • igc3: WAN
      • igc0: LAN
      • igc1: OPT1
      • igc2: OPT2

      Ich habe jetzt mehrere Schnittstellen mit V-Lans angelegt: igc0.2, igc0.5, igc0.10, igc1.2, igc1.5 und igc1.10. Die Schnittstellen igc0.5 / igc1.5, sowie igc0.10 / igc1.10 sind jeweils gebrückt und sollen innerhalb dieser Brücke DHCP ermöglichen. Jede Schnittstelle für sich hat aber eine eigene IP und somit ein eigenes Subnetz. Arbeite ich jetzt nach der NIC igc1 mit der V-Lan-ID 10, welche IP wird hier zugewiesen werden? Eine aus dem DHCP-Range der Schnittstelle igc1.10, oder eine aus der Bridge? Kann ich die Schnittstelle igc1.10 deaktivieren nachdem ich sie in der Bridge drinnen habe?

      Ich kann's ned am lebenden Patienten ausprobieren, somit bitte ich hier mal ganz freundlich um Hilfe!

      Vielen Dank
      Stefan

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @2U1C1D3
        last edited by

        @2u1c1d3 said in Umstieg von ipfire auf pfsense - Fragen zur vernünftigen Planung:

        Die Schnittstellen igc0.5 / igc1.5, sowie igc0.10 / igc1.10 sind jeweils gebrückt und sollen innerhalb dieser Brücke DHCP ermöglichen. Jede Schnittstelle für sich hat aber eine eigene IP und somit ein eigenes Subnetz.

        Wofür? Wenn du NICs brückst, ist der Zweck normalerweise, beide in einem gemeinsamen Layer 2 Netz zu haben. Wozu hat dann jede Schnittstelle ein eigenes Subnetz.
        Das ist ebenso wenig sinnvoll als auf einer Schnittstelle mehrere Subnetze einzurichten.

        Der richtige Weg beim Brücken ist, keine IP Konfiguration auf den zugehörigen Interfaces zu setzen. Deaktiviert dürfen die Schnittstellen nicht werden.
        Die Bridge wird dann als Interface hinzugefügt, aktiviert und eine IP Konfiguration vergeben. Auf diesem Bridge Interface kann dann ein DHCP Server aktiviert werden. Firewall Regeln werden standardmäßig aber auf den zugehörigen Interface erstellt.

        Grüße

        2 1 Reply Last reply Reply Quote 1
        • 2
          2U1C1D3 @viragomann
          last edited by

          @viragomann
          Vielen Dank für dein Feedback! Warum den NICs ein eigenes Subnetz zuweisen? Weil ich bei der vorherigen Lösung dazu gezwungen war dies zu machen. Sonst hätte die Schnittstelle nicht funktioniert. Dasses bei pfsense auch ohne funktioniert, hast du mir jetzt grad nahe gebracht. Vielen Dank dafür! 😁

          1 Reply Last reply Reply Quote 0
          • N
            NOCling
            last edited by

            Ich verstehe nicht, warum man teure Router oder FW Ports die auf L3 arbeiten unbedingt auf L2 zwingen will.
            Wenn ich mit verschiedenen Netzten arbeiten, dann will ich die auch auf L2 Basis über VLANs getrennt haben.
            Ansonsten kann ich die Kisten auch alle in ein gemeinsames Sammelnetz werfen.

            Vor allem wenn ein kleiner managed Switch bei 30€ anfängt, frage ich mich immer wieder warum mal so eine Krücke bauen will?

            Ein LAG über mehrere Ports und dann da drüber die VLANs, ja das kann man machen, ist aber auch wieder so ein ich mache das weil ich es kann Ding, im Heimnetz braucht man das zwecks Lastausgleich praktisch nie.

            Netgate 6100 & Netgate 2100

            2 1 Reply Last reply Reply Quote 0
            • 2
              2U1C1D3 @NOCling
              last edited by

              @nocling
              Danke für deine Kritik, aber ich verstehe sie nicht so ganz. Ich kenne zwar den Unterschied zwischen Layer 2 und Layer 3, verstehe aber nicht wo ich in diesem Zusammenhang die Funktionalitäten kastriere.

              Folgender Hintergrund bei meinem Vorhaben:
              Derzeit läuft, wie oben schon erwähnt, eine Routerlösung mit drei getrennten Netzwerken. Dies hat vor roundabout zehn Jahren vollkommen ausgereicht. Ein bisschen W-Lan, ein bisschen internes Netz für PC und NAS und gut.
              Durch den Zuwachs an IoT-Geräten, ob ich will oder nicht, habe ich diese Geräte in den beiden Netzwerken "mischen" müssen. Mein Ziel mit der Neustrukturierung ist es, die IoT-Geräte und Mediengeräte, bis auf ein paar Ausnahmen, weitgehendst voneinander zu trennen. Deshalb der Gedanke mit V-Lans zu arbeiten (was auch alle Switche und APs können).
              Meine Vorstellung war jetzt, sowohl im internen Netz, als auch im W-Lan, durch die Bridges ein eigenes Subnetz für die IoTs, ein Zweites für das Mediengedöns und für das W-Lan ein Drittes, in dem sich Gäste breit machen dürfen, aufzubauen.

              Mit welchen Möglichkeiten würdest du das dann umsetzen? Bin ich mit meinem Gedankengang auf dem Holzweg?
              Wie gesagt, pfsense und V-Lan's sind für mich vollkommenes Neuland!

              Grüße
              Stefan

              1 Reply Last reply Reply Quote 0
              • N
                NOCling
                last edited by

                Mit einer Bridge erstellst du ja eine Layer 2 Brücke, das will man aber bei so einer harten Trennung genau nicht haben.

                Ich habe mir hier vom Provider ein 59er Präfix, das sind also 32 Netze, also habe ich mir ein /19er im IPv4 Bereich ausgesucht und das mit den Tunnelendpunkten zu denen ich per VPN eine Verbindung aufbauen möchte abgestimmt, das es hier erstmal keine Überschneidung gibt.

                Dann habe ich für alles VLANs angelegt, die pfSense arbeitet bei mir nur mit VLANs, das default wird nicht verwendet.
                Ich habe hier auch die Trennung zwischen LAN, IoT, Gast, Work, Haustechnik, Management, usw. aber es ist immer als VLAN am Switch angelegt und hat ein Subinterface auf der pfSense, die bei mir mit einem 2GBit LAG arbeitet.
                Aber jedes Gerät muss über die pfSense als Gateway gehen um in ein anderes Netz zu gelangen.
                Somit habe ich eine saubere Layer 2 Trennung, fängt sich in einem Netz eine Kiste was ein, bleibt der Ausbruch, so lange das Regelwerk stimmt, in diesem Netz und kann sich nicht ausbreiten.

                Daher rät jeder von einer Bridge auf der Firewall ab, das kostet zum einen viel Leistung, weil jedes Paket eh durch die CPU geht, aber du hast halt keinerlei Regelwerk was Prüft ob die Verbindung erlaubt ist oder nicht.

                Netgate 6100 & Netgate 2100

                2 1 Reply Last reply Reply Quote 0
                • 2
                  2U1C1D3 @NOCling
                  last edited by

                  @nocling
                  Na toll, da hast du jetzt bei mir die Büchse der Pandora geöffnet. Wie du vielleicht an meiner initialen Fragestellung erkennen kannst, bin ich, was Netzwerke anbelangt, eher "rudimentär" aufgestellt... Was hat der Provider mit meinem privaten Netzwerk zu tun? Was spielt es für eine Rolle welchen Präfix mir der Provider liefert?

                  Mal einen Abklatsch von dem, was ich mir jetzt vorgestellt habe:
                  Meine vier Schnittstellen die ich zur Verfügung habe, habe ich ja bereits im Post dargestellt. WAN und OPT2 vernachlässige ich jetzt mal. OPT2 ist DMZ, da hängt nur ein Server für die Kids zum Spielen drinnen.

                  Folgende Aufteilung habe ich mir vorgestellt, bzw. würde ich mir als Ziel erhoffen (das 192.168. lass ich mal außen vor):
                  igc0: 0.0/24
                  igc1: 1.0/24
                  V-Lan:
                  igc0.2: 2.0/24
                  igc1.2: 2.0/24
                  igc0.5: 5.0/24
                  igc1.5: 5.0/24
                  igc.1.99: 99.0/24
                  (Sorry, hab grad gesehen, dass ich bei meinem Eingangspost nen Fehler rein gebracht habe).
                  Diese Bridge wie ich sie jetzt bei 0.2 / 1.2 und bei 0.5 / 1.5 vorhabe, sollte ich also bleiben lassen und hier dann jeweils eigene Subnetze verwenden? Wie bekomme ich dann meinen Broadcast / Multicast von einem Subnetz ins Andere und wie wird das von meinem Provider beeinflusst???

                  Tut mir leid wenn meine Frage vielleicht für den Fachmann irre ist, aber bei mir fehlt da grad der Backround dafür.
                  Auch deine Aussage "wenn sich eine Kiste was einfängt" kann ich dabei nicht in mein Vorhaben hineininterpretieren. Ich habe doch die Geräte sauber getrennt?

                  1 Reply Last reply Reply Quote 0
                  • N
                    NOCling
                    last edited by

                    Optimalerweise die Geräte die per mDNS, Multicast usw. zusammen arbeiten in ein Netz packen, ansonsten kann man mit einem Multicast Router arbeiten, Avahi z.B. als Paket kann so etwas.
                    Aber auch damit verliert man wieder die harte Trennung zwischen den Netzen und bohrt sich mächtige Löcher rein.
                    Nicht ganz so schlimm wie bei einer Bridge, aber fast.

                    Netgate 6100 & Netgate 2100

                    2 1 Reply Last reply Reply Quote 0
                    • 2
                      2U1C1D3 @NOCling
                      last edited by

                      @nocling
                      OK, danke. Würde aber heißen, dass ich keine physikalische Trennung mehr auf den Ports den NICs der pfsense mehr vornehmen kann - sonst müsste ich ja für normales W-Lan, IoT-W-Lan und Medien-W-Lan getrennte APs aufhängen. Jeder meiner APs kann V-Lan, aber der Wunsch wäre halt gewesen, dass auf den Hardware-NICs der pfsense jeweils nur Kupfer oder over-the-Air liegt und nicht beides...

                      1 Reply Last reply Reply Quote 0
                      • N
                        NOCling
                        last edited by

                        Der NIC ist egal ob da ein AP oder ein Switch dran hängt, die überträgt nur Pakete.

                        Aktuell läuft alles auf den ersten primären 24er von meiner pfSense, das über einen 2GBit LAG, von da aus geht es dann weiter auf die Clients, das NAS usw.
                        Auf jedem Port an dem ein AP hängt sind dann die VLANs die den jeweiligen SSIDs zugewiesen sind tagged mit drauf. Untagged ist da das Management VLAN anliegend, in dem die Switche, der WLC und die APs hängen.

                        Sobald VLANs ins Spiel kommen, ist das mit der physikalischen Trennung eh hinfällig, da man über die VLAN IDs differenziert, welches Layer 2 Segment hier anliegt und welches nicht.

                        Netgate 6100 & Netgate 2100

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.