Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Broadcasts und Subnetting (VLANs)

    Deutsch
    3
    6
    949
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      iamhermes
      last edited by

      Hallo Gemeinde,

      ich habe zu Hause zur Isolierung diverser Netzwerkgeräte (WLAN und auch LAN) mehrere VLANs eingerichtet.

      Zugriff in andere VLANs werden durch die pfsense einzeln Freigegeben. Standardmäßig wird keine Kommunikation von einem ins andere VLAN gestattet, außer es ist für den Dienst zu einer IP gestattet.
      Jetzt besteht noch das Problem der Weiterleitung von Broadcasts in andere VLANs. (aktueller Zustand in eingebundener Grafik)

      Kann ich ein /19er Netz über alle VLANs aufspannen, während jedes VLAN sein eigenes "24er" Netz als 19er erhält?
      Bzw wie könnte ich die spezifizierten Broadcasts von einem VLAN in andere/bestimmte VLANs gestatten, ohne die Trennung aufzuheben?

      Danke

      Untitled Document.png

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        @iamhermes said in Broadcasts und Subnetting (VLANs):

        Kann ich ein /19er Netz über alle VLANs aufspannen, während jedes VLAN sein eigenes "24er" Netz als 19er erhält?

        keine Ahnung wie du dir das vorstellst, aber so wird es nicht gehen. Die Broadcast-Adresse ist in jedem Subnetz eine andere.

        ich verstehe zwar grundsätzlich nicht, wofür man Broadcasts zwischen Subnetzen benötigt, die ohnehin nicht miteinander kommunizieren dürfen, erklären wolltest du es auch nicht, aber, ungeachtet der Sinnhaftigkeit, kannst du deine VLANs brücken. Also alle zu einer Bridge hinzufügen und für die dann ein entsprechend großes Subnetz wählen.
        Die pfSense kannst du dann so konfigurieren, dass du dennoch auf den einzelnen Interfaces filtern kannst, indem du in System > Advanced > System Tunables die Variable net.link.bridge.pfil_member auf 1 setzt.
        Der nächste Wert, net.link.bridge.pfil_bridge, bestimmt dann, ob auch auf Bridgeebene gefiltert werden soll.

        Grüße

        1 Reply Last reply Reply Quote 0
        • I
          iamhermes
          last edited by

          Ich stelle mir vor dass man in einem VLAN mit einem Broadcast zb einen NFS Share in einem anderen VLAN finden kann.
          Oder einen SMB Share ohne IP oder DNS Eingabe, Streaming Boxen auffindbar in Apps, usw.
          Bestimmte Geräte (Hausautomatisierung, IOT, Streaming Boxen, unseriöse Netzwerk Geräte,... ) sind verschiedenen VLANs zugeordnet und hierdurch separiert und Zugriffsgeregelt bezüglich anderen VLANs.

          Und der Broadcast geht doch soweit ich verstanden habe nur, wenn sich alle VLANs sich das gleiche Subnet teilen. Daher der Gedankengang mit dem auf /24er herunter geteilten /19er (mit DHCP die Zuteilung des /19er aus dem Adressbereich des betreffenden /24er zum VLAN) da sich hier dann alle Gerate im gleichen Broadcast befinden.
          Dies erspart mir doch ebenfalls irgendwelche Proxy's, nur um das broadcast Paket in andere Subnets zu hieven, wenn die jeweilige Server Software so etwas überhaupt mitmacht?

          Am Ende bleibt hier nur das Bridging über?

          Dabei muss allerdings eine Isolierung der VLANs untereinander bestehen bleiben.

          (Ich traue keinem Gerät was ich nicht selbst komplett neu flashen/installieren bzw unter Kontrolle bringen kann)

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Für Netzwerkshares oder SMB würde ich kein gemeinsames Netz einrichten. Die IP oder den Hostnamen gebe ich einmal ein und komme auch hin, dann speichere ich die Adresse als Favorit.
            Bei Geräten, die aber DLNA oder ähnliches benötigen, ist ein gemeinsames Subnetz quasi Voraussetzung, wenn man sich nicht mit IGMP-Proxies herumschlagen möchte.

            @iamhermes said in Broadcasts und Subnetting (VLANs):

            Daher der Gedankengang mit dem auf /24er herunter geteilten /19er (mit DHCP die Zuteilung des /19er aus dem Adressbereich des betreffenden /24er zum VLAN) da sich hier dann alle Gerate im gleichen Broadcast befinden.

            Das kann nicht funktionieren. Jedes /24er-Subnetz hat seine eigene Broadcast-IP und kann mit den anderen Subnetzen ausschließlich über das Gateway kommunizieren.

            Du müsstest ein gemeinsames Netz machen, eben per Bridge, also das 19er, /und in diesem darf es nur einem DHCP geben. Ich sehe keine Möglichkeit, dem DHCP anzuweisen an einem bestimmten Interface nur einen bestimmtes Teil-Subnetz anzubieten, wenn dieses Interface Mitglied einer Bridge ist.
            Macht unterm Strich auch gar keinen Sinn, weil du ohnehin auf jedem Interface separat filtern kannst. Du kannst also dem IoT-Interface nur den Web ins Internet erlauben, aber keinen internen Zugriff.

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by JeGr

              @iamhermes said in Broadcasts und Subnetting (VLANs):

              Jetzt besteht noch das Problem der Weiterleitung von Broadcasts in andere VLANs. (aktueller Zustand in eingebundener Grafik)

              Damit wirst du ein Problem haben, denn Broadcasts können/dürfen keine VLANs überschreiten. Der Scope ist "lokales Netz" und der darf nicht überschritten werden - andernfalls würde eine Netztrennung keinen Sinn machen.

              Kann ich ein /19er Netz über alle VLANs aufspannen, während jedes VLAN sein eigenes "24er" Netz als 19er erhält?

              Nein, siehe oben. Damit würde die Trennung absolut keinen Sinn mehr machen.

              Bzw wie könnte ich die spezifizierten Broadcasts von einem VLAN in andere/bestimmte VLANs gestatten, ohne die Trennung aufzuheben?

              Nochmals: Broadcasts gelten in dem Netzsegment (broadcast domain), in der sie abgesetzt werden. Nicht weiter. Und werden auch nicht weitergeleitet. Es wäre vielleicht sinnvoll erst einmal zu definieren WARUM man das überhaupt will und was für Dienste das betrifft. Und dann evtl. mal hinterfragen ob dann die Trennung so Sinn macht wie sie gemacht ist. Zudem gibt es Limited Broadcasts und Directed Broadcasts. Also Senden gegen 255.255.255.255 oder gegen das genutzte Netz bspw. 172.17.2.255 was nochmals unterschiedliche paar Stiefel sind.

              @iamhermes said in Broadcasts und Subnetting (VLANs):

              Ich stelle mir vor dass man in einem VLAN mit einem Broadcast zb einen NFS Share in einem anderen VLAN finden kann.

              Das ist doch Unfug. Gerade SMB oder NFS ist problemlos ohne den ganzen Broadcast Humbug nutzbar, gerade mit Nutzung von Name oder IP Adresse - beides kann pfSense bereitstellen. Ja muss man eingeben, aber wenn man anfängt Netze zu trennen weil man Ihnen nicht vertraut(!) dann ist es doch kompletter Unsinn, dann wieder Tür und Tor für irgendwelche Automatismen und automagischen Findebasteleien zu öffnen, damit wieder Dienste miteinander reden können, die du eigentlich kontrollieren willst!

              Mit Verlaub, da beißt sich doch die Katze in den eigenen Schwanz! Einerseits kommst du mit der Aussage:

              (Ich traue keinem Gerät was ich nicht selbst komplett neu flashen/installieren bzw unter Kontrolle bringen kann)

              andererseits willst du irgendwelche autodiscoveries, automagische Selbstverknüpfungen und Datenshares finden lassen etc etc. - ja was denn nun? Wenn ich ein Netz trenne und Sicherheit aufbauen möchte, dann will ich doch gerade nicht, dass irgendein Gerät beim anderen einfach so auftaucht, sondern will genau die Verbindung haben, die ich definiere und keine andere. Gerade irgendwelche Musik oder Video Boxen sind da oft einfach. Einmal das NFS oder SMB/CIFS Share mit IP eingerichtet, den Zugriff von dort auf die entsprechende Ziel-IP erlaubt (Stream-Box1 -> NAS bspw.) und fertig. Ja muss man einmal in die Hand nehmen, dann läuft aber genau das und sonst nichts anderes. Und wenn jemand dran herumschraubt und irgendwelche anderen Geräte hinzufügen will, passiert eben nichts.

              @iamhermes said in Broadcasts und Subnetting (VLANs):

              Bestimmte Geräte (Hausautomatisierung, IOT, Streaming Boxen, unseriöse Netzwerk Geräte,... ) sind verschiedenen VLANs zugeordnet und hierdurch separiert und Zugriffsgeregelt bezüglich anderen VLANs.

              Und genau das würde durch irgendwelche Broadcast Sendereien wieder geöffnet werden. Wozu also erst wegschließen, wenn man dann im Schrank hintenrum die Rückwand einreißt damit sich wieder jeder sehen kann?

              @iamhermes said in Broadcasts und Subnetting (VLANs):

              Dies erspart mir doch ebenfalls irgendwelche Proxy's, nur um das broadcast Paket in andere Subnets zu hieven, wenn die jeweilige Server Software so etwas überhaupt mitmacht?

              Vielleicht erstmal definieren, was sauberes IP/DNS NICHT mitmacht. Gibt nämlich außer irgendwelchen Musik/Video Stream-Gedöns-Sachen kaum was, was nicht mit sauberem IP/DNS Setup genauso fluppen würde.

              @iamhermes said in Broadcasts und Subnetting (VLANs):

              Dies erspart mir doch ebenfalls irgendwelche Proxy's, nur um das broadcast Paket in andere Subnets zu hieven, wenn die jeweilige Server Software so etwas überhaupt mitmacht?

              Komisch, noch nie einen gebraucht. Irgendwas mach ich falsch ;) Und das trotz mehreren NAS' und Streaming Boxen. Einzig wie @viragomann schon angesagt hat bei irgendwelchen DLNA Geschichten die man nicht fix auf IP bringen kann würde man überhaupt so ein Broadcast/Multicast Gewurschtel brauchen. Und da ist die Frage obs nicht eh eine bessere/einfachere Lösung gibt. Notfalls gäbe es dann immer noch den IGMP Proxy o.ä. den man für den Einzelfall konfigurieren kann.

              Oder man geht eben von vornherein komplett das ganze Setup durch und fragt wer sich konkret mit wem unterhalten muss und über was. Und plant dann seine VLANs auch entsprechend sinnvoll.

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • I
                iamhermes
                last edited by

                Danke für die Antworten.
                Ich belasse es dann so wie es ist und definiere die Verbindungen manuell.
                War nur ein Gedankengang mir eventuell einen Schritt einfacher zu machen.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.