Hilfe bei Routing zwischen 2 Vlans…



  • Hi Leute,

    ich fang grade erst an mich mit Networking und speziell Routing zu befassen…

    Ich kapier nicht wie ich es hinbekomme.

    Hier mein Vorhaben: http://imgur.com/OnCHfBW

    Ich will also quasi mein normales Netz und mein Homelab in 2 Subnetze trennen.

    Ich hab nun auf meinem HP Switch 2  VLans erstellt.

    Die Pfsense is mit dem LAN Interface 192.168.100.1/24 auf VLAN1 und mit dem LAB Interface 192.168.200.1/24 auf VLAN2

    Wie muss ich das Routing machen damit ich von VLAN1 auf VLAN2 komme?

    Ich hab in der pfsense selbst keine Vlans eingerichtet, die ports auf dem switch sind untagged.

    Ich versteh das mit den gateways beim routing nicht. Ich hab das szenario im cisco packet tracer nachgespielt und die verbindung zwischen den vlans einfach mittels ip route 192.168.100.1 255.255.255.0 192.168.200.1 hergestellt.

    Blick langsam aber sicher nicht mehr durch und bin für jede Hilfe dankbar :-)

    Merci!

    Ceo



  • Hi,

    nachdem pfSense offenbar dein Upstream-Gateway (GW in Internet) ist und ich davon ausgehe, dass die Hosts in beiden VLANs ins Internet kommen sollen, ist hier gar kein spezielles Routing nötig.

    Beachte einfach folgende Punkte

    • Das pfSense Interface des jeweiligen Subnetzes muss auf den Hosts das Default Gateway sein. Also auf den Geräten in VLAN1 192.168.100.1, auf denen in VLAN2 192.168.200.1.
      Dann schickt jeder Host seine IP-Pakete, die für eine Adresse außerhalb des eigenen Subnetzes bestimmt sind, an die pfSense und die routet sie ins entsprechende Zielnetz.

    • Auf der pfSense muss auf beiden Interfaces eine Regel eingerichtet sein, die den Zugriff erlaubt. Am LAN ist standardmäßig eine Regel, die alles erlaubt. Wenn du aber ein zusätzliches Interface einrichtest, musst du die Regeln selbst anlegen.
      Wenn du eingeschränkte Regeln anlegst, achte darauf, dass du auch DNS erlaubst.

    • Du hast hoffentlich nicht die VLAN ID 1 verwendet. Die ist auf den meisten Switches das Standard-VLAN und kann nicht für eigene Zwecke verwendet werden.

    Mehr fällt mir dazu auch schon nicht mehr ein.



  • Ich weiß ja, dass hier im Forum der Hass auf VLAN1 recht hoch ist, aber die Aussage dazu es kann nicht für eigene Zwecke verwendet werden ist schon "gewagt":o

    Wenn man mal weiter darüber nachdenkt, macht es in diesem Fall wo nur "normales Netz" und "Homelab" getrennt werden sollen sogar richtig Sinn eben VLAN1 an das "normale Netz" zu vergeben.
    Denn dann wäre ja jedes Gerät, was im Standard VLAN1 hängt, gleich im richtigen Netz ;)
    In einer komplexeren Umgebung wo z.B. Management Interfaces explizit nicht im normalen LAN hängen sollen sieht das natürlich anders aus. Aber das scheint ja hier nicht der Fall zu sein.

    Ansonsten hat der viragomann schon recht. Die pfsense muss einfach das default GW bei den Clients in deinen beiden Netzen sein. Dann müssen nur passende FW Regeln gesetzt sein, die die Kommunikation erlauben.



  • Der Rat war nicht für dich gedacht, sondern für einen Anfänger. Verwendet er es nicht, ist er auf der sicheren Seite. Eventuell fälliges Troubleshooting möchte ich einem Netzwerk-Anfänger nicht zumuten.  ;)



  • Wieso ist er so auf der sicheren Seite?
    Falls ihm tatsächlich mal ein Gerät in die Hände fällt, was VLAN1 zwingend erfordert, muss er ein extra Interface dafür anlegen und kann nur über die pfsense damit kommunizieren. Was ggf. nicht so gewollt ist.
    Also ist es in der Tat komplizierter und kann mehr Probleme für einen Anfänger verursachen.

    Vielleicht hab ich ja einen Denkfehler, aber ich finde deine Aussage in diesem Fall nicht gut  :-\



  • @l4k3k3m4n:

    Falls ihm tatsächlich mal ein Gerät in die Hände fällt, was VLAN1 zwingend erfordert

    Nie gehört.



  • Hi zusammen, danke für den Tipp, werd ich gleich morgen probieren.

    Schonmal vorweg zum VLAN:

    Ja, ich nutze VLAN1 auf meinen Switch.

    Also VLAN1 is mein 192.168.100.1 und VLAN2 is mein 192.168.200.1

    Soll ich das ändern? Wenn ja, wieso? ELI5 plz :)



  • Das kommt auf dem Switch an. Ich kenne deinen leider nicht.

    Manche Switche schicken VLAN1 einfach an jedem Port raus, der nicht einem anderen VLAN zugewiesen ist.
    Wenn es bei dir aber klappt, brauchst du auch nichts daran ändern.



  • Tatsache!

    Grade einfach die Firewall rules also die Allow LAN to Any auf mein Homelab angewendet und die Verbindung steht!

    Danke dafür! Wieso funktioniert das ohne routing? Weil ich nur einen Router benutze und der das Intern regelt?

    Wie würde ich jetzt meinen Cisco router im VLAN2 konfigurieren, dass er das Routing fürs Homelab übernimmt und als Gateway für die Hosts im VLAN2 fungiert und ich trozdem internet über die pfsense bekomme?

    Macht das überhaupt Sinn, die Netze so zu trennen oder hab ich nen Denkfehler? Bin grade etwas verwirrt, das ich 2 Subnetze in 2 Vlans benutzen kann ohne ne route irgendwo eintragen zu müssen.  :o

    Wie gesagt, Anfänger :D

    edit: Switch procurve 1810G



  • An den Interfaces der pfSense liegen direkt deine beiden Subnetze. pfSense ist dein Gateway ins Internet und auf allen Hosts als Standard-Gateway eingerichtet. D.h. jeder Host sendet Pakete, die für IP Adressen außerhalb des eigenen Subnetzes bestimmt sind, an die pfSense, also auch jene fürs andere VLAN.
    Nachdem dieses andere Subnetz an einem Interface der pfSense eingerichtet ist, schickt sie die Pakete dahin weiter. Selbiges gilt für die Antwort-Pakete in umgekehrter Richtung.

    Eine Route ist nur nötig, um einem Host oder einem Router klar zu machen, dass er Pakete für ein bestimmtes Subnetz an einen anderen Host (Router) schicken soll. Also dann, wenn ein Netz hinter einem anderen Router liegt, das der erste nicht sieht. Die IP dieses 2. Hosts muss aber zu einem Subnetz gehören, das an einem Interface des 1. Hosts (an dem die Route eingerichtet ist) liegt.

    Also ja, wenn du den Cisco als zusätzlichen Router ins Netz hängst, muss du auf der pfSense eine statische Route für das Netz hinter dem Cisco einrichten, damit die Pakete für dieses Netz an die IP des Cisco geschickt werden.
    Und auch am Cisco benötigst du eine Route für das VLAN, falls es erreicht werden soll.

    Ob es Sinn macht? Wenn das Homelab als "böses Netz" isoliert werden soll, würde ich an der pfSense dafür ein zusätzliches VLAN einrichten. Ja, es können mehrere VLANs über ein Kabel betrieben werden. Genau genommen, ist das der wahre Sinn von VLANs. Der HP Switch kann dann die beiden VLANs wieder trennen.
    Und statische Routen kannst du dir so ganz sparen.  :)



  • Danke für die ausführliche Antwort!

    Wie würde denn die Route auf der pfSense in dem Fall aussehen?



  • Schon mal einen Blick in System > Routing geworfen? Das ist doch ganz simpel und auch ohne Erklärung zu schaffen, aber ok.

    Am Tab Gateway musst du erstmal die IP des Ciscos als Gateway anlegen: Das Interface auswählen, an dem er erreichbar ist, einen Namen und die IP, also 192.168.200.254, angeben, unten kannst du noch eine Beschreibung angeben und speichern.
    Das Gateway nicht als Default setzen!

    Dann gehst du auf Routes und fügst eine hinzu. Oben ist das Zielnetz hinter dem Cisco anzugeben, das kenne ich aber nicht, und darunter kannst du dann das zuvor eingerichtete Gateway auswählen und wieder eine Beschreibung eingeben.
    That's it.



  • Genau das hatte ich ja ursprünglich versucht dann kommt: http://imgur.com/tqUKhLL

    Ich hab sicher irgendwo einfach n Denkfehler den du mir gleich aufzeigen wirst :D



  • Warum auch sollte jemand eine Route für ein Subnetz anlegen, das schon auf einem Interface angebunden ist???

    Routen sind nur für Netze, die hinter einem (oder auch vielen) anderem Router liegen. Das Gateway muss innerhalb eines Subnetzes am angegebenen Interface liegen.

    Das Ganze macht nur Sinn, wenn hinter dem Cisco ein anderes Netz liegt. Wenn der einzige Sinn des Cisco die Netzverteilung ist und davor kein anderes Gerät auf dem VLAN2 angeschlossen ist, ist er als Router sinnlos. Dann benötigst du nur einen Switch. Der Cisco kann vielleicht auch einen Switcht-Mode, weiß ich nicht.



  • I see.. Wie gesagt, steh ganz am Anfang.

    Danke für die Erklärung und Zeit!

    Muss mich in meinem Material erstmal bis zum Thema Routing vorarbeiten ums zu verstehen denke ich…