[gelöst] Netzwerk segmentieren
-
Hallo liebe Forianer.
Seit einiger Zeit läuft unser Gäste-WLAN als einziges im VLAN, der Rest ist untagged. Nun kommt langsam der Wunsch, das Netzwerk sauber zu segmentieren und den Rest ebenfalls im VLAN laufen zu lassen. In den Jahren ist das Netzwerk hier stetig gewachsen, wer hätte vor 12 Jahren gedacht, daß ein 24-Port Switch nicht mehr ausreicht.
So der Plan:
pfSense mit der IP 192.168.1.1
VLAN-ID 20 mit 192.168.12.0/24 für die Gäste
VLAN-ID 10 mit 192.168.2.0/24 erstmal für den RestHier mal unsere Topographie:
+-------------------------+ | | | pfSense | | | +-------------------------+ |OPT1 VLAN-ID 10,20 |LAN VLAN10 |192.168.2.0/24 |192.168.1.0/24 VLAN20 |192.168.12.0/24 | | | |Port 22 |Port 20 +---------------------------------------------------+ VLAN-ID 20: Port 12,22 Gäste-WLAN | Switch managed | Rest untagged | ProCurve 1810G-24 | | | +---------------------------------------------------+ Port 14| Port 8| Port 15 |Port 12 | | | | | | | +---------------------Draytek Vigor AP 710 AP | | | | | | +----------------------+ | +------|-------------------+ | Switch managed | | | Switch unmanaged |------FritzBox als AP und VoIP | Netgear | | | CISCO | IP-Cams | GS 105Ev2 | | | SG110-8Port PoE | USV +----------------------+ | +--------------------------+ | | | | | | | +-------------------------+ +--------------------------+ | | Switch unmanaged | | Switch unmanaged | | | ProCurve 1410-8G | | Netgear | | | | | GS105GE | | +-------------------------+ +--------------------------+ | | | 192.168.1.0/24 | | | | | | 192.168.1.0/24 192.168.1.0/24 | | | | | | | | | Multimedia Tochter | Wechselrichter | Monitoring Multimedia im WohnzimmerDer Switch der Tochter und der ProCurve 1810G-24 sind die einzigen, der konfigurierbar ist, die restlichen Switches sind unmanaged. Zumindest der kleine ProCurve 1410 soll die VLAN-Tags durchschleifen können, klappt aber nicht mangels VLAN-fähiger Endgeräte.
Einfach den Port 8 und 22 auf VLAN-ID 10 taggen, in der Hoffnung dass den Clients die richtige IP zugewiesen werden funktioniert leider auch nicht. :)Was für Möglichkeiten bestehen, außer die unmanaged gegen managed Switche (welch ein Wort) zu tauschen?
So richtig sauber segmentieren wird wohl nichts, oder?Hoffe auf paar Tips.
Mike
-
@mike69 "Einfach den Port 8 und 22 auf VLAN-ID 10 taggen"
VLAN bei Procurve switchen ist folgendermaßen:
Port auf Tagged im VLAN 10 > Das angeschlossene Gerät muss Pakete selbst mit einem Tag versehen.
Port auf Untagged im VLAN 10 > Jedes Paket ohne VLAN Tag wird im VLAN 10 verarbeitet.Setz also Port 22 auf Tagged und mach das Tagging auf deiner pfSense. Port 8 setzt du dann Untagged ins VLAN 10 und schon sollte dein Multimedia im Wohnzimmer in dem Netz sein.
Viele Grüße
-
@bepo said in Netzwerk segmentieren:
@mike69 "Einfach den Port 8 und 22 auf VLAN-ID 10 taggen"
VLAN bei Procurve switchen ist folgendermaßen:
Port auf Tagged im VLAN 10 > Das angeschlossene Gerät muss Pakete selbst mit einem Tag versehen.
Port auf Untagged im VLAN 10 > Jedes Paket ohne VLAN Tag wird im VLAN 10 verarbeitet.Setz also Port 22 auf Tagged und mach das Tagging auf deiner pfSense. Port 8 setzt du dann Untagged ins VLAN 10 und schon sollte dein Multimedia im Wohnzimmer in dem Netz sein.
Viele Grüße
Du bist mein heutiger Held.
Einfach die Ports mit dem unmanaged Switch im richtigen VLAN auf untagged setzen und das wars? Das war einfach.
-
@mike69 Genau. So einfach kann es sein. Gib einfach nochmal Feedback, wenn es geklappt hat oder du noch Fragen hast. Und markier deinen Eingangspost dann mit (Gelöst).
-
Hakelt noch ein bisschen.
-
Servus,
mache es auch so.
pfSense geht "Tagged" an den Switch und vom Switch gehe ich zu allen Geräten oder unmanaged Switchen mit "Untagged" (weiße im Switch das VLAN per PID zu).
Nur meine Server mit VMs bekommen aktuell noch "Tagged" Ports, da dort ja verschiedene VLANs drauf laufen. -
Irgendwie ist gerade die Forumssoftware unbrauchbar.
Mal eine Verständnisfrage. wenn ich alle untagged Ports mit von der VLANID 1 auf die z.B. VLANID10 übernehme, was macht das für einen Sinn? Dann kann es doch auf der Defailt-ID bleiben und mir das managen der Tags von der Sense ersparen, oder? Einzelne Ports taggen sehe ich ein, aber die Untagged einfach mit in eine andere VLANID mitnehmen...
-
Persönlich will ich NICHTS in VLAN1 haben. Ein unkonfigurierter Switchport soll ins Nichts führen. Kenne es auch von den allermeisten Kunden und Partnern so.
Ob das für dein persönliches Szenario sinnvoll ist, musst du entscheiden.
-
@bepo said in Netzwerk segmentieren:
Persönlich will ich NICHTS in VLAN1 haben. Ein unkonfigurierter Switchport soll ins Nichts führen. Kenne es auch von den allermeisten Kunden und Partnern so.
Ja, ist ok.
Ob das für dein persönliches Szenario sinnvoll ist, musst du entscheiden.
Das werde ich auch tun, brauchen aber nicht auf diese persönliche Schiene rutschen. Mir geht es um das warum, der Grundgedanke dahinter.
Mike
DG FTTH 400/200
Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2 -
Der Grund dafür ist, dass jeder Switch-Port von Haus aus, also wenn er keinem VLAN speziell zugewiesen wurde, VLAN1 ist. Das ist jedenfalls bei den meisten Switches so. Wie sich hier der ProCurve 1810G-24 verhält, weiß ich nicht.
Daher, um am Switch-Port nicht ein unerwünschtes Signal rauszulassen, wird empfohlen, jedem genutzten Port ein VLAN <> 1 zuzweisen, falls man VLANs einsetzt.
Die Folge ist natürlich auch, dass man VLAN1 gar nicht verwendet. -
@mike69 Huch, etwas leicht reizbar? Es liegt in deiner Entscheidung, ob es bei dir sinnvoll ist VLANs einzusetzen und welches Netz du als VLAN/Native nimmst. Es ist auch eine Designfrage. Daher auch eine persönliche Schiene des Admins :-)
Bin dann ab jetzt raus.
-
@bepo said in Netzwerk segmentieren:
@mike69 Huch, etwas leicht reizbar?
Sorry, kam irgendwie anders rüber. Wollte den Sinn dahinter verstehen und in der Antwort ging es um persönliche Entscheidungen. Brachte mich ein bissl aus dem Takt.
@viragomann said in Netzwerk segmentieren:
Der Grund dafür ist, dass jeder Switch-Port von Haus aus, also wenn er keinem VLAN speziell zugewiesen wurde, VLAN1 ist. Das ist jedenfalls bei den meisten Switches so. Wie sich hier der ProCurve 1810G-24 verhält, weiß ich nicht.
Daher, um am Switch-Port nicht ein unerwünschtes Signal rauszulassen, wird empfohlen, jedem genutzten Port ein VLAN <> 1 zuzweisen, falls man VLANs einsetzt.
Die Folge ist natürlich auch, dass man VLAN1 gar nicht verwendet.Ja, verhält sich ebenfalls so. Danke für die Erklärung.
So, Problem gelöst, liegt komplett bis auf das Gäste-WLAN in einer anderen VLANID. Danke nochmal an alle.
