Mehrere Vlans, Trunk am Switch nötig?

ceofreak

Hi Leute,

ich zerbrech mir grad n bisschen den Kopf und komm irgendwie nich drauf ob ich das richtig verstehe oder nicht.

Kurze Zusammenfassung:

**pfSense auf Alix APU mit 3 ports

HP 1810G Switch**

pfSense re0: WAN
pfSense re1: Native LAN
pfSense re2: VLAN10 und VLAN20

Das re1 geht ins native VLAN am Switch, sprich VLan1.
Das re2 geht in nen Trunk port am Switch.

Eure erste Frage wird lauten, warum nicht alles auf re1 legen und an den Trunk anschließen? Weil ich ne Fritzbox hab die VOIP macht und die kein VLAN unterstützt.

Meine Frage ist, ist meine Denkweise richtig, dass ich für re2 nen Trunk am Switch benötige, da mehrere VLans darüber laufen?

In der oben genannten config läuft alles super. Würde ich nun VLAN10 und VLAN20 auf re1 legen und dem Native LAN die VLAN ID 1 geben, funktioniert VOIP nicht mehr da die Fritzbox nich mit VLANs klarkommt. habe das eben versucht.

Jetzt bin ich verwirrter als vorher, bitte helft mir das zu verstehen :D

Merci!

Ceo 8)

greaman

Du must dem native LAN kein VLAN ID geben…
alles auf re1, native LAN einfach auf re1 raus, vlan 10 und 20 tagged auf re1 raus

Eingang am Switch (Trunc): ID 1 untagged und PVID auf 1 (dann tagged der switch alles Traffic der reinkommt und keine VLAN ID hat automatisch auf 1), 10/20 als tagged members

ein Port der ID1 untagged (und auch ne PVID 1) hat -> für die Fritz!Box, dann läuft der Traffic fürs VOIP im Switch als VLAN 1, effektiv von der pfSense zum Switch und vom Switch zur Box untagged.

Wenn Du die Screenshots anschaust wäre em2 äquivalent Deiner re1 inklusive der zwei VLANs, der Rest ist die zugehörige VLAN-config des Switches

ceofreak

@greaman:

Du must dem native LAN kein VLAN ID geben…
alles auf re1, native LAN einfach auf re1 raus, vlan 10 und 20 tagged auf re1 raus

Eingang am Switch (Trunc): ID 1 untagged und PVID auf 1 (dann tagged der switch alles Traffic der reinkommt und keine VLAN ID hat automatisch auf 1), 10/20 als tagged members

ein Port der ID1 untagged (und auch ne PVID 1) hat -> für die Fritz!Box, dann läuft der Traffic fürs VOIP im Switch als VLAN 1, effektiv von der pfSense zum Switch und vom Switch zur Box untagged.

Wenn Du die Screenshots anschaust wäre em2 äquivalent Deiner re1 inklusive der zwei VLANs, der Rest ist die zugehörige VLAN-config des Switches

Bin mir grade nicht sicher, ob ich das gecheckt hab… Welcher port wäre in deinem beispiel der trunk port?

greaman

@ceofreak:

Bin mir grade nicht sicher, ob ich das gecheckt hab… Welcher port wäre in deinem beispiel der trunk port?

der erste, bzw bei meinem switch die ersten zwei, weil da zwei pfSense'n drauf liefern…

jahonix

Grundsätzliche Frage: wirst Du zwischen LAN und VLAN10 oder 20 Traffic haben, und wenn ja, wieviel?
Wenn Du das alles über nur einen Port zB re1 laufen lässt, dann wird das Dein Flaschenhals. In so einem Fall wäre es geschickter, wenn Du LAN allein auf re1 lässt und die VLANs eben auf re2.

re2 wäre dann ein Trunk und denn sollte man am Switch wieder mit einem Trunk-Port verbinden, auf dem die gleichen VLAN IDs konfiguriert sind (macht ja sonst auch keinen Sinn…).

ceofreak

@jahonix:

Grundsätzliche Frage: wirst Du zwischen LAN und VLAN10 oder 20 Traffic haben, und wenn ja, wieviel?
Wenn Du das alles über nur einen Port zB re1 laufen lässt, dann wird das Dein Flaschenhals. In so einem Fall wäre es geschickter, wenn Du LAN allein auf re1 lässt und die VLANs eben auf re2.

re2 wäre dann ein Trunk und denn sollte man am Switch wieder mit einem Trunk-Port verbinden, auf dem die gleichen VLAN IDs konfiguriert sind (macht ja sonst auch keinen Sinn…).

Nein, nicht viel. Das LAN wäre nur das management LAN wo die ganzen devices wie switch, drucker usw drinn hängen..

atm is bei mir der re2 auch nur auf der switch seite n trunk nicht auf pfSense seite und es funktioniert trozdem alles.

jahonix

@ceofreak:

… nur das management LAN wo die ganzen devices wie switch, drucker usw drinn hängen.

Das ist aber eine sehr eigene Definition von Management Lan.
I.d.R ist das wirklich nur zum Managen der Netzwerk-Komponenten, meistens Switche, gedacht, und hat aus Sicherheitsgründen eben keinerlei Zugang vom/zum Lan, in dem die gemeinen User hängen.
Ein vom Benutzersegment bedienbarer Drucken würde da genau nicht hinein gehören.

@ceofreak:

atm is bei mir der re2 auch nur auf der switch seite n trunk nicht auf pfSense seite und es funktioniert trozdem alles.

Natürlich …
denn vermutlich machen wir uns alle nur viel zu viel Arbeit bei der Konfiguration, wenn es auch so trotzdem funktioniert.  ;D

Edit: smiley dazu!

ceofreak

@jahonix:

@ceofreak:

… nur das management LAN wo die ganzen devices wie switch, drucker usw drinn hängen.

Das ist aber eine sehr eigene Definition von Management Lan.
I.d.R ist das wirklich nur zum Managen der Netzwerk-Komponenten, meistens Switche, gedacht, und hat aus Sicherheitsgründen eben keinerlei Zugang vom/zum Lan, in dem die gemeinen User hängen.
Ein vom Benutzersegment bedienbarer Drucken würde da genau nicht hinein gehören.

@ceofreak:

atm is bei mir der re2 auch nur auf der switch seite n trunk nicht auf pfSense seite und es funktioniert trozdem alles.

Natürlich …
denn vermutlich machen wir uns alle nur viel zu viel Arbeit bei der Konfiguration, wenn es auch so trotzdem funktioniert.  ;D

Edit: smiley dazu!

Sprich, best practice wäre dann nur Zugang zum Management Lan zu bekommen wenn ich mich direkt an den Port hänge? Also mir keinen Zugriff über das eigentlich LAN VLan zu geben?

Das mit dem Trunk war ernst gemeint :D Ich bin gerade erst am anfang das ganze zu verstehen.

Denke ich richtig:

Wenn ich es mache wie du sagtest, re2 als VLAN Interface zu benutzen.

re2 an den Trunk Port am Switch hängen
Alle meine VLANs auf die Switchports konfigurieren als Untagged
Den Trunkport am Switch als tagged
re2 an der pfSense??? Als trunk konfigurieren? Geht das überhaupt?

Wenn Ihr mir helft das zu verstehen bin ich über glücklich :D  :-[

JeGr

OK ich versuchs in Kurzfassung vor dem Urlaub :D

re0: WAN, ja? Alles gut
re1: wird wohl mal "LAN" mit der Default any any rule gewesen sein oder? Wir basteln da draus dann gern MGMT und hängen das ganze auf nen Mgmt Switch (out of band) wo dann nur andere Consolen, Mgmt Ports und eben ggf. ein zwei authorized clients hängen. Notfalls kann man sich hier einstöpseln, gibt sich IP aus dem richtigen Segment und hat WebUI Access oder SSH(?).

re2: da sollen wohl alle deine VLANs drauf. Deine Beschreibung passt soweit. Im Switch definierst du dann pro Port untagged, welches Gerät dann welches VLAN aufgestempelt bekommt. Beispielsweise: LAN 10, Office (Drucker etc.) 20, Gäste 30, wasauchimmer 40… - Anschließend gibts den einen Port, der dann zur pfSense hochgeht, der bekommt VLANS 10,20,30,40 dann tagged und kein untagged Traffic. Damit kommen also 4 VLANs auf re2 auf der pfSense an. Damit das dann funktionuckelt, gehst du in "Assign Interfaces", VLAN und legst dir da die 4 VLANs auf re2 an. Danach zurück zu "Assign Interfaces" und dann "Add..." und legst dir die 4 Interfaces dann an... werden dann wohl default OPT1-4 heißen und jeweils dann VLAN10 auf re2 o.ä. in der Beschreibung haben. Speichern!
Dann gehst du in jedes Interface rein -> pfSense behandelt VLANs dann wie echte Interfaces - und kannst die Beschreibung ändern (OPT1 in LAN, OPT2 in Office o.ä.) und dann kannst du ganz normal IPs, Masken, etc. drauflegen. Anschließend in den Filterregeln dann Zugriff definieren, was aus welchem Netz wohin darf.

Gewonnen :)

jahonix

@ceofreak:

Sprich, best practice wäre dann nur Zugang zum Management Lan zu bekommen wenn ich mich direkt an den Port hänge? Also mir keinen Zugriff über das eigentlich LAN VLan zu geben?

Korrekt.
Stelle Dir eine große Installation vor, zB eine Uni, das ist neutral.
Die Abteilung "Netze" schaltet sich ein ganz separates VLAN auf alle Switche, in dem exklusiv nur das Management-Interface jedes Switches hängt. Somit hat kein Benutzer an einem der herausgeführten Ports überhaupt die Möglichkeit, auf das Management-IF zu kommen.
Ob das daheim so strikt ausgeführt überhaupt sinnvoll ist, außer zum testen und lernen, bewerte ich jetzt nicht.

re2 an den Trunk Port am Switch hängen
jepp.

Alle meine VLANs auf die Switchports konfigurieren als Untagged
jepp. Und pro Port nur ein VLAN, nicht vergessen!

Den Trunkport am Switch als tagged
njein ~ ein Trunk ist der Mantel um Deine tagged VLANs, die alle auf diesem Port liegen.

re2 an der pfSense??? Als trunk konfigurieren? Geht das überhaupt?
es reicht, wenn du die VLANs auf diesem Parent-Interface generierst.

Beachte beim Arbeiten mit VLANs:

• nutze nicht VLAN1, weil das der Default Wert ist und dieser sich in vielen Geräten kaum/schlecht/nicht ändern lässt. Eine Nummerierung 10/20/30/… ist praxiserprobt und beitet Erweiterungsraum.
• auch wenn es inzwischen wohl funktioniert, mische nicht tagged und untagged Traffic auf dem gleichen Interface. Neben technischen Gründen erhöht es auch die Übersicht deutlich.

ceofreak

@JeGr:

OK ich versuchs in Kurzfassung vor dem Urlaub :D

re0: WAN, ja? Alles gut
re1: wird wohl mal "LAN" mit der Default any any rule gewesen sein oder? Wir basteln da draus dann gern MGMT und hängen das ganze auf nen Mgmt Switch (out of band) wo dann nur andere Consolen, Mgmt Ports und eben ggf. ein zwei authorized clients hängen. Notfalls kann man sich hier einstöpseln, gibt sich IP aus dem richtigen Segment und hat WebUI Access oder SSH(?).

re2: da sollen wohl alle deine VLANs drauf. Deine Beschreibung passt soweit. Im Switch definierst du dann pro Port untagged, welches Gerät dann welches VLAN aufgestempelt bekommt. Beispielsweise: LAN 10, Office (Drucker etc.) 20, Gäste 30, wasauchimmer 40… - Anschließend gibts den einen Port, der dann zur pfSense hochgeht, der bekommt VLANS 10,20,30,40 dann tagged und kein untagged Traffic. Damit kommen also 4 VLANs auf re2 auf der pfSense an. Damit das dann funktionuckelt, gehst du in "Assign Interfaces", VLAN und legst dir da die 4 VLANs auf re2 an. Danach zurück zu "Assign Interfaces" und dann "Add..." und legst dir die 4 Interfaces dann an... werden dann wohl default OPT1-4 heißen und jeweils dann VLAN10 auf re2 o.ä. in der Beschreibung haben. Speichern!
Dann gehst du in jedes Interface rein -> pfSense behandelt VLANs dann wie echte Interfaces - und kannst die Beschreibung ändern (OPT1 in LAN, OPT2 in Office o.ä.) und dann kannst du ganz normal IPs, Masken, etc. drauflegen. Anschließend in den Filterregeln dann Zugriff definieren, was aus welchem Netz wohin darf.

Gewonnen :)

Ja genau so in etwa hab ichs jetzt.

z.B.
VLAN10 on re2(Intern)
VLAN20 on re2(Homelab)

Und re1 dann wenn ichs geschafft hab die dumme DECT Fritzbox im VLAN10 zum laufen zu bekommen eben nur noch fürs management.

Mein Gehirn tut immer noch weh bei dem Thema aber ich glaub ich habs langsam verstanden :D

Danke euch beiden auch (@johanix) jetzt hab ich auch das mit dem abgetrennten mgmt Netz verstanden.

Kann mich nun endlich auch beruflich mehr mit dem Thema befassen, dann sollte sich das ganze verfestigen.

Ceo

ceofreak

Nachtrag:

Hab das jetzt genau so versucht, Fritzbox aus dem re1 ins re2 (vlan10) gehängt und genau das gleiche.. Anrufe kommen zwar an und gehen raus aber kein Ton weder von der einen noch von der anderen Seite.

Das check ich nich. Hab die IP der Fritz auch auf die VLAN10 IP geändert und eigentlich sollte der rest mittels hybrid outbound geregelt werden.

Jemand ne Ahnung woran das liegen könnte?