Netzwerk Unklarheiten
-
Hallo allerseits, ich bin neu in Netzwerken und möchte meine eigenes Netzwerk machen und zwar:
Ich habe 3 Vlans: LAN(Computer, Server, Drucker) und WLAN und Geust-WLAN
Ich habe bereits die drei VLANs definiert in meinem Switch und ebenfalls auf Pfsense Web Config. und ich habe ebenfalls IP aderessen
definiert dafürNun meine Fragen:
-
ich muss die DHCP Server für meine VLANs bzw. Interface aktivieren da ich will dass Pfsense automatisch IP Adressen an meine Geräte hergibt richtig ?
-
Muss ich meinen Geräten feste IP Adressen vergeben ? (Zb. meinem Server)
-
Bei den Rules muss ich definieren dass mein Server SMTP zulässt von außen für die Emails richtig ?
-
VLAN-RULES: Wenn ich will dass ich mit dem Handy im WLAN drucken kann obwohl der Drucker im LAN ist, muss ich bei den Rules von LAN definieren dass meine Geräte aus WLAN (source) zum Drucker (destination: IP Adresse von meinem Drucker) dürfen ?
-
muss ich danach ROUTING von meinem Modem abschalten damit Pfsense das Routing übernimmt (warum) ?
-
verbinde ich meinen Pfsense Firewall mit Switch in dem ich einfach vom Pfsense LAN Port zum Trunk port vom Switch gehe und mein Firewall erkennt alles automatisch ?
-
Wie kann ich die 4 OPTs als Ausgang zum Switch verwenden damit die Geschwindigkeit erhöht wird ?
Ich weiß es sind sehr viele Fragen aber mich würde das SEHR viel helfen und freuen.
Lg
-
-
Hallo
zu 1) richtig
zu 2) geschmacksache. notwendig ist das nicht
zu 3) richtig
zu 4) richtig (abgesehen davon das es keine speziellen VLAN Rules gibt)
zu 5) die Frage ist etwas unklar. Das Modem macht nur noch die Einwahl und eigentlich kein Routing.
zu 6) richtig. Allerdings "erkennt" die Firewall nichts. Sie pusted einfach die getaggten Packete raus. Ob der Switch damit richtig umgegeht erkennt die Firewall nicht.
zu 7) Ich vermute Du hast alle VLANs auf die LAN Schnittstelle gelegt. Wenn Du weitere Netzwerkkarten hast könntest Du die VLANs die am meisten Verkehr bekommen alleine auf eine Opt Schnittstelle legen und diese dann an einen entsprechend getaggten Port auf den Switch legen.
Gruß
Hagen -
Um Hagen da noch freundlich zu ergänzen:
-
Genau, Geschmacksfrage (und Aufwand, je nach Anzahl an Geräten), bei Servern würde es ggf. Sinn machen eine DHCP Reservierung zu machen (MAC hinterlegen für fixe IP) UND die IP fest konfigurieren. (Server fährt dann schneller hoch, weil er nicht auf IP warten muss und bei Neuinstallation o.ä. wird trotzdem die richtige IP vergeben durch die DHCP Reservierung).
-
Wenn dein Server IM LAN SMTP VON außen bekommen soll - dann ja, brauchst du eine Regel und ggf. ein Forwarding auf dem WAN für SMTP/SMTPS. Wenn er nur nach draußen versenden können soll, kommt das ganz auf deine sonstigen LAN Regeln an. Wenn du dort eh alles nach draußen lässt (AAA Regel) ist keine extra Regel notwendig.
-
Falsch. Die Regeln müssen AUF dem Interface des VLANs (in dem Fall WLAN) sein. Regeln werden immer dort definiert, wo Pakete bei der pfSense das erste Mal (eingehend) ankommen. Und das tun sie bei einem Druckjob vom Handy an den Drucker auf dem WLAN-VLAN (rein -> nach LAN raus). Ausgehende Regeln auf dem LAN müssen NICHT definiert werden, die werden automatisch bei den eingehenden Regeln miterstellt.
-
Genau. Ein Modem macht nur Einwahl, kein Routing. Es sei denn du hast einen Modem-Router bzw. ein Router mit eingebautem Modem (meistens) wie Speedports von der Telekom, FritzBoxen etc. Ob du dort Routing abschalten und auf "nur Modem" stellen kannst, ist eine Frage die von deinem Anschluß und deinem Modem/Router abhängt. Prinzipiell kann die pfSense bei einem angeschlossenem PPPoE Modem die Einwahl selbst übernehmen.
-
Jeder definiert hier (auch auf Herstellerseite) den Begriff "Trunk Port" am Switch anders. Wenn damit ein Port gemeint ist, an dem mehrere VLANs aufgelegt sind, dann muss die pfSense auch für mehrere VLANs konfiguriert sein auf dem physikalischen Interface. Dann kannst du die pfSense am Trunk-Port einfach anschließen, ja. Wie Hagen aber richtig sagt: auto-magisch konfiguriert niemand irgendwelche VLANs für dich, das muss sowohl auf Switch wie auch pfSense Seite selbst erfolgen. Zudem empfiehlt es sich, auf dem LAN Port dann bei mehreren VLANs KEINEN untagged Traffic zusätzlich dann noch anzunehmen, das kann mitunter sehr unschöne oder ungewollte Nebeneffekte haben.
-
Bitte deine Frage besser spezifizieren/stellen, uns ist an der Stelle nicht klar (weil wir deine Hardware etc. nicht kennen), was die "4 OPTs" sind. Wenn du mehrere LAN Schnittstellen hast und diese ALLE kombiniert als einen Trunk (wieder der Begriff ;)) nutzen willst, müsstest du ein LACP Bond erstellen, das muss aber der Switch können und unterstützen, ansonsten hast du hier "nur" 4-faches Failover was dir keinen Vorteil bringt. Die andere Variante hat Hagen schon aufgezeigt, du kannst auch deine stark genutzten VLANs einfach auf einzelne physikalische Ports legen, dazu muss nur die Switch Konfiguration stimmen (Access Ports im entsprechenden VLAN), dann muss hierzu auch nicht in der pfSense ein extra VLAN auf dem phyiskalischen Port konfiguriert werden.
Zu 6) und 7) müsstest du schon etwas mehr Informationen einbringen, sonst kann hier nicht klar erkannt werden, was du eigentlich möchtest und gerade schon hast.
Gruß Jens
-
-
Danke für Eure Antworten.
Also im Prinzip hab ich meine VLANs: LAN: 10.1.50.1, WLAN: 10.1.60.1, Guest: 10.1.190.1
Ich hab einen pfsense sg 4860 firewall und einen Cisco Managed 28port Switch.Am Switch hab ich meine VLANs (Alle untagged, Trunks) wie oben also mit der IDs: 150, 160, 190 definiert und das selbe am Firewall als Interface konfiguriert.
Ich habe auch den Firewall mit meinem Modem verbunden und mit switch allerdings nur durch LAN Anschluss vom Firewall: 10.1.10.1.
Firewall -> Switch(VLAN: LAN) und bekomme auch Internet allerdings wird meinem PC der mit Switch verbunden ist (im LAN) nur die IP-Adresse 10.1.10.2 zugeordnet was auch logisch ist weil ja mein Switch mit LAN Interface verbunden ist.Mein Ziel ist aber dass meine Geräte im LAN 10.1.50.1-x bekommen und meine WLAN 10.1.60.1-x . (Bridge vielleicht ?)
Ich will das ich die OPTs als Ausgang zum switch verwenden und am switch die Geräten an jeweiligen Ports (VLANs) anschließen und sie die IP Adresse vom jeweiligen VLAN bekommen, aber ich verstehe nicht we man das macht.
Also der Switch hat ja sozusagen die VLANs was von einander nichts wissen und Trotzdem soll WLAN ins LAN zugreifen können und das macht man in der Konfiguration vom Firewall richtig ?
Wie gesagt ich bin sehr neu in dieser Richtung.
Danke im Voraus
-
- Falsch. Die Regeln müssen AUF dem Interface des VLANs (in dem Fall WLAN) sein. Regeln werden immer dort definiert, wo Pakete bei der pfSense das erste Mal (eingehend) ankommen. Und das tun sie bei einem Druckjob vom Handy an den Drucker auf dem WLAN-VLAN (rein -> nach LAN raus). Ausgehende Regeln auf dem LAN müssen NICHT definiert werden, die werden automatisch bei den eingehenden Regeln miterstellt.
Autsch, da habe ich beim zweiten Teil der Frage nicht richtig aufgepasst. :-(
-
Autsch, da habe ich beim zweiten Teil der Frage nicht richtig aufgepasst. :-(
Kann passieren, kein Beinbruch :)
Am Switch hab ich meine VLANs (Alle untagged, Trunks) wie oben also mit der IDs: 150, 160, 190 definiert und das selbe am Firewall als Interface konfiguriert.
WO als Interface? Alle 3 als einzelne physikalische Ports? Oder alle 3 als VLANs eines physischen Ports mit dem du zum Switch gehst? Das ist nicht klar.
Ich habe auch den Firewall mit meinem Modem verbunden und mit switch allerdings nur durch LAN Anschluss vom Firewall: 10.1.10.1.
Was hat jetzt 10.1.10.x wieder für eine Bewandnis? Du hast doch angeblich nur 50, 60 und 190? Und was ist jetzt "LAN" Anschluß. Der LAN Port der 4860? Die hat ja nun 6 Interfaces, also WELCHER Port? Oder doch mehrere? Das ist alles recht konfus.
Mein Ziel ist aber dass meine Geräte im LAN 10.1.50.1-x bekommen und meine WLAN 10.1.60.1-x . (Bridge vielleicht ?)
Warum Bridge? Was hat die damit nun noch zu tun? :o Wenn das alles getrennte Netze sind, muss doch nichts gebridget werden?
Ich will das ich die OPTs als Ausgang zum Switch nutze
Nochmals: OPT ist irgendeine interne Bezeichnung, die alles mögliche (VLAN, echtes Interface, etc.) definieren kann. Mag sein, dass das bei der SG außen drauf steht, dann aber doch bitte einfach dazuschreiben, dass echte Ports gemeint sind oder nicht. So ist das gerade alles extrem undurchsichtig und wäre einfacher wenn du einfach mal eine Skizze machen würdest, was du womit meinst.
an jeweiligen Ports (VLANs) anschließen und sie die IP Adresse vom jeweiligen VLAN bekommen, aber ich verstehe nicht we man das macht.
OK Bitte Skizze. -.-
Ansonsten können VLANs intern genauso behandelt werden wie jedes andere physikalische Interface und dementsprechend auch problemlos einen eigenen DHCP Server o.ä. aufgesetzt bekommen.Also der Switch hat ja sozusagen die VLANs was von einander nichts wissen und Trotzdem soll WLAN ins LAN zugreifen können und das macht man in der Konfiguration vom Firewall richtig ?
Richtig, im Routing zwischen den Netzen werden dann entsprechend auf den eingehenden Interfaces die Regeln aufgelegt wer wohin warum mit wem reden darf.
Gruß