[Infotainment] Netzwerk Neubau mit pfSense und Unifi
-
Moin Michael.
Willkommen im Forum.
Wäre dein "Leidensweg" nicht besser in einem eigenen Thread aufgehoben? :)@mike69 gerade wenn ich das Environment daliegen habe und die Geräte welche zentrales Management bieten würde ich auch ein VLAN Konzept empfehlen, und sei es nur um seine Konsolen und Gastgeräte aus produktiven Netzen herauszuhalten, für die Konsolen ein Direct-NAT erstellt um beim zocken keine Latenzen mehr zu haben, oder die Multimedia Abteilung auf Multicast Basis in einem eigenen isolierten Bereich betreibt.
Ich denke mal, da sind viele bei Dir. Wird von vielen praktiziert, auch von @JeGr, daher die Frage an Ihn, was hat Er vor? :)
@meipert said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:
p.s. und wenn die Oma mal wieder die ganze Bandbreite zum skypen verbraucht dann trunk ich einfach ihren VLAN Port kurz weg :-)
Auch hier gibt es elegantere Lösungen. :)
-
ich lagere mal den einen Post in ein extra Thema aus, macht da glaub ich mehr Sinn, weil das ansonsten nicht so wirklich eine Antwort ist auf den Rest :)
Ich denke mal, da sind viele bei Dir. Wird von vielen praktiziert, auch von @JeGr, daher die Frage an Ihn, was hat Er vor? :)
Wenn Fragen sind, stellt die doch ruhig. Ist doch kein Problem?
-
Hab ich doch.
@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:
Wie ich sehe, nutzt Du kein VLAN für deine Netzwerke, darf ich fragen, warum? Bestimmt, weil Du es kannst aber im Ernst, hast Du so viele Ports frei am Switch?
Du hast 4 Kabel vom Router zum Switch, VLAN-Trunk, LAN, Lab und Management. Also fährst Du nicht komplett im VLAN?
-
@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:
Du hast 4 Kabel vom Router zum Switch, VLAN-Trunk, LAN, Lab und Management. Also fährst Du nicht komplett im VLAN?
OK die Frage darin hatte ich nicht wirklich wahrgenommen. Gut so :)
Doch ich fahre VLANs. Wie im Farbschema beschrieben, alles was grau/weiß ist. Die erste Ader ist der Uplink (weiß weil auf Wand verlegend) und die nächste ist der VLAN Trunk auf dem die nicht so performanten VLANs aufgelegt sind. Momentan sind das Infrastruktur, IoT und Media sowie Guest. Wirklich aufgelegt sind mgmt (obivous reasons are obvious), LAN und LAB. LAN, weil es von dort aus duchaus Durchgriffe in andere Nezte gibt und das dann auf VLANs unnötig Bandbreite rauben würde. Lab liegt nur auf einem Interface weil es da ist und ich somit wirklich physische Trennung habe, wo ich ggf. nen anderen Switch etc. anschließen kann für echte Tests.
-
Mal eine Frage, wie schottest Du dein "LAB" oder "LAN" ab auf den Switch, über ACL Rules auf dem Switch?
-
@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:
Mal eine Frage, wie schottest Du dein "LAB" oder "LAN" ab auf den Switch, über ACL Rules auf dem Switch?
Warum auf dem Switch? Die Netze liegen auf der Firewall auf?
-
@JeGr said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:
Warum auf dem Switch? Die Netze liegen auf der Firewall auf?
Du gehst z.B. mit LAN und LAB physikalisch vom Router in den Switch.
Mit einem am Switch angeschlossenen Host aus dem LAN Netz kannst Du doch auf die am Switch engeschlossenen Gerätschaften im LAB Netz zugreifen, oder?Das looft doch direkt im Switch und nicht durch den Router, oder? Hab ich da einen Denkfehler? Als Layer 2 Switch ist ihm doch die IP egal.
-
@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:
Mit einem am Switch angeschlossenen Host aus dem LAN Netz kannst Du doch auf die am Switch engeschlossenen Gerätschaften im LAB Netz zugreifen, oder?
Huh? Nö. Lab ist einfach ein abgetrenntes VLAN in dem ich LAN oder ähnliches simulieren kann und was ich als TestBed für Dinge wie VPN Strecken etc. nutze, wenn ich bspw. auf Arbeit eine externe Testgelegenheit brauche. Dann baue ich den Tunnel zu meiner Kiste auf und als Remote Netz nutze ich das Lab, was nur sich selbst sieht. Ich könnte vom LAN aus zum Labnetz zugreifen, richtig, aber der Traffic würde IMMER geroutet werden und über die grüne Strecke in die pfSense und von dort aus der blauen wieder in den Switch gehen. So wie immer mit eigenen VLANs. Nur weil die Sachen am gleichen Switch hängen, heißt ja nicht per se, dass ich da "einfach" drauf zugreifen kann. Die Ports sind ja alle entsprechend in VLANs bzw. im Radius Mode und belegen sich dann untagged mit dem VLAN was drauf soll, also bspw. Lab, LAN o.ä,.
Das looft doch direkt im Switch und nicht durch den Router, oder? Hab ich da einen Denkfehler? Als Layer 2 Switch ist ihm doch die IP egal.
Jetzt widersprichst du dir ;) Gerade WEIL er auf Layer 2/2,5 Modus operiert ist ihm die IP etc. egal und er respektiert nur die VLANs. Ist alles sauber mit VLAN Tags separiert und daher behandelt er alle Ports des entsprechenden VLANs als virtueller Switch. Sprich die sehen nur andere Geräte aus dem gleichen VLAN und die Firewall. Fertig. Nix anderes Gerät aus LAN im Labnetz oder umgekehrt. Deshalb macht man den Spaß ja mit VLANs ;) Und daher würde alles von LAN -> Lab oder umgekehrt immer brav durch die Firewall juckeln.
-
@JeGr said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:
Gerade WEIL er auf Layer 2/2,5 Modus operiert ist ihm die IP etc. egal und er respektiert nur die VLANs. Ist alles sauber mit VLAN Tags separiert und daher behandelt er alle Ports des entsprechenden VLANs als virtueller Switch.
Jetzt fällt der Groschen. :)
Die Ports am Switch sind oder werden noch mit der entsprechenden VLAN ID getagged :). Jetzt wir ein Schuh draus, logisch.
Hatte das mit den tagged Ports an den physikalischen Interfaces irgendwie nicht auf dem Schirm.Danke :)
-
Rack ist übrigens fertig und an Endposition angekommen
Fertiges Rack ist fertig...
... und steht auch komplett fix und fertig wo es hin soll. "In the cabinet under the stairs (...)" ;)
-
Also da stört das Rack überhaupt nicht.
Sieht sauber aus.
