Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Zwei getrennte Netzwerke, drei Lösungsmöglichkeiten?

    Deutsch
    4
    25
    5.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ
      JeGr LAYER 8 Moderator
      last edited by

      Was Teddy sagt mit dem Zusatz:

      Hat die SG 1000 Gigabit LAN?

      Nope. Die SG-1000 gibt zwar beide Anschlüsse als Gigabit in Hardware aus, schafft auf den Interfaces durch die interne Bus-Anbindung (ähnlich dem RasPi) kein Gigabit auf den Ports. Damit könntest du ggf. nicht mal eine große Kabel-Leitung vollständig ausnutzen, da die Ports beim Routing schon bei 200-400Mbps Schluß. Die eigene Website spricht da von:

      Layer 3 forwarding performance using FreeBSD without a packet filter exceeds 400Mbps. Using pfSense with the default ruleset offers performance exceeding 200Mbps.

      als etwas vage formulierte grobe Hausnummern. Sprich ~200Mbps sind drin, können auch mehr sein wenn nicht viel drauf läuft, aber das ist so die grobe Richtung. VPN brauchst du dann gar nicht diskutieren im dreistelligen Bereich ;)

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      1 Reply Last reply Reply Quote 0
      • K
        KHR
        last edited by

        Hallo,

        ich muss nochmal diesen Thread rauskramen. Habe neulich was getestet und bin etwas verwirrt, was VLANs angeht.

        In Bezug auf Reply Nummer 1 von JeGr
        @JeGr:

        …
        Variante 1 ist ein Denkfehler/Unwissen von VLAN Handling. Sie funktioniert nicht.
        ...

        Ich habe neulich mal einen alten Consumer Router an meinen 24Port Switch gesteckt, dort wo eigentlch die pfSense dransteckt mit VLAN Tagging usw.

        JeGr schrieb, dass meine Unwissenheitsversion 1 nicht funktionieren sollte. Das Witzige ist, dass allerdings auch so alles funktionierte. Der Consumer Router hat keinerlei VLAN Tagging gemacht oder dergleichen. Der war im Werkszustand. Im Switch war alles so, wie vorher hier immer beschrieben. Zwei VLANs zugeordnet zu den jeweiligen Ports.

        Auch hier war folgende Funktion:
        Alle Geräte in ihren jeweiligen VLANs konnten miteinander kommunizieren. VLAN 10 aber nicht mit VLAN 20 und VLAN 20 nicht mit VLAN 10. Beide VLANs waren im selben IP Bereich (192.168.1.0/24).

        War das jetzt nur ein Zufall, dass das so funktioniert hat (wie in meinem Eröffnungsport als Version 1 beschrieben), oder funktioniert es eigentlich doch so, aber man macht's halt nicht so, sondern mit verschiedenen IP Adressbereichen?

        Viele Grüße,
        KHR

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Beide VLANs waren im selben IP Bereich (192.168.1.0/24).

          Das macht ja dann erst recht gar keinen Sinn. Man definiert einzelne VLANs mit Unterschiedlichen Netzen damit man sie trennen kann. Gleiche Netze machen an der Stelle keinen Sinn, weil kein Router der Welt die Netze dann sinnvoll routen könnte. Wie auch - er könnte sich ja nicht entscheiden, auf welchem Port mit welchem VLAN er die Pakete jetzt rausschicken soll, weil er für VLAN10 und 20 den gleichen IP Range hat und da diese gleichberechtigt sind könnte er das nicht zustellen.

          Wenn das SO konfiguriert war, hast du es tatsächlich geschafft es schlichtweg so kaputt zu konfigurieren, dass es zufällig dann teils funktioniert hat, denn ein nur mit Tagging konfigurierter Port OHNE PVID (also ohne Fallback auf ein definiertes VLAN) könnte einem Gerät das kein VLAN konfiguriert hat eigentlich gar keine Pakete zustellen. Wahrscheinlich kam aber an der Stelle solch eine Konstellation zu tragen. Aber dass ein Router ohne Tagging an einem Tagged-only Port Pakete aus 2 unterschiedlichen VLANs annehmen sollte, halte ich für schier unmöglich. Dann war da definitiv irgendwo noch was anderes im Switch konfiguriert.

          Gruß :)

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • K
            KHR
            last edited by

            Ich glaube dir, dass das so keinen Sinn macht. :-) Aber es funktioniert trotzdem so, wenn ich meinen alten Consumer Router dort anstöpsele. War ja nur ein Test, weil auch ein Arbeitskollege meinte, dass VLANs auch ohne devinierte dedizierte Netze funktionieren würde.

            Kaputtkonfiguriert denke ich habe ich nichts im Switch. Dort sind nur die jeweiligen Ports den einzelnen VLANs zugeordnet. Nur einer ist Tagged. Nur der, der mit pfSense verbunden ist. :-) Alle anderen sind Untagged. WLAN, so habe ich mir später überlegt, brauche ich nur bei einem meiner VLANs.

            Die PVID habe ich bei den Ports von VLAN10 auf 10 und bei den Ports von VLAN20 auf 20 gestellt. Der Taggedport von pfSense steht auf PVID 10 auf dem Switch. Das "Default VLAN 1" habe ich auf allen Ports deaktiviert, außer auf dem von mir definierten Konfigurationsport des Switches, weil das Management VLAN auf 1 steht. Der von mir in dieser Testkonfiguration angeschlossene Consumer Router kann von sich aus gar kein VLAN. Bzw. das Einzige, was ich dort im Zusammenhang mit VLANing finde ist ein Default VLAN 1, was ja sowieso Standard ist, wenn ich richtig informiert bin.

            Wie gesagt, das war auch nur ein Test von mir. Mittlerweile steckt wieder alles an der pfSense. :-)

            Aber ein paar dumme Fragen hätte ich evtl. doch noch dazu, weil's mich interessiert.
            Der Switch arbeitet ja auf Layer 2. Somit macht der ja VLANing auf Layer 2. Die "Layer 3 Komponente" übernimmt pfSense, also das Aufteilen in die verschiedenen Subnetze 192.168.10.0/24 und 192.168.20.0/24. Wäre es nicht möglich, dass auch VLANing "nur" auf Layer 2 möglich ist? Also technisch?

            Auch habe ich im Netz was über Private VLANs gelesen. Ist nicht genau das, was ich dann mit dem ollen Consumer Router gemacht habe? Ist nicht Private VLAN tatsächlich VLANing "nur" auf Layer 2? Oder bin ich da durcheinander?

            Bin etwas verwirrt. Leider gibt's hierzu nur Informationen in Englisch.

            Oder habe ich da was mit den PVIDs nicht verstanden? Sollte auf allen immer PVID 1 stehen? Habe dieses "Default VLAN 1" bei allen Ports von VLAN10 und VLAN20 deaktiviert. Macht man das nicht so?

            [EDIT]
            Was mich bei VLANs verwirrt ist, dass wenn ich mir im Netz Informationen über VLAN durchlese oder mir ein Video darüber auf YT angucke immer nur die Rede vom Switch und eigentlich nie vom Router ist in Bezug auf VLAN. Was ich bisher bei verschiedenen Informationen immer nur herauslesen konnte, war, dass man nur zur Kommunikation verschiedener VLANs untereinander einen Router (und somit ja auch verschiedene Netze) "braucht".

            Somit würde ja, wenn ich die diversen Informationen von YT richtig interpretiere, eigentlich VLAN auf Layer 2 "reichen", wenn die unterschiedlichen "Netze"/VLANs nicht miteinander kommunizieren sollen. Daher auch meine Version 1 im ersten Thread.

            Nun, wo ist mein Denkfehler oder meine Wissenslücke?

            Ich bin wirklich sehr interessiert, was Netzwerke betrifft.
            [/EDIT]

            [EDIT2]
            Mit VLAN auf Layer 2 meine ich "portbasiertes VLAN". Laut einem Artikel von Admin Magazin möglich. Beschrieben direkt auf der ersten Seite.

            http://www.admin-magazin.de/Das-Heft/2012/03/VLAN-Grundlagen-virtueller-LANs

            [/EDIT2]

            Viele Grüße,
            KHR

            1 Reply Last reply Reply Quote 0
            • K
              KHR
              last edited by

              @ JeGr

              Deine Aussage "kaputtkonfiguriert" macht mich etwas stutzig.

              Meine Konfiguration ist folgende.

              pfSense Interface Assignment
              NIC 1 als WAN
              NIC 2 not assigned
              VLAN10 auf NIC 2 (IP: 192.168.10.0/24)
              VLAN20 auf NIC 2 (IP: 192.168.20.0/24)

              pfSense Firewall VLAN10 (von oben nach unten)
              1. Allow IPv4 * VLAN10 net Port * –> VLAN10 address Port *, Gateway *
              2. Block IPv4 * VLAN10 net Port * --> VLAN20 net Port *, Gateway *
              3. Allow IPv4 * VLAN10 net Port * --> * Port *, Gateway * (also auf any)

              pfSense Firewall VLAN20
              gleiche Konfiguration, wie VLAN10 nur mit VLAN20

              24Port Switch
              Port 1: Tagged VLAN10 und VLAN20 (hier ist pfSense angeschlossen) / PVID: 10
              Port 2-10: Untagged VLAN10 (hier sind Rechner angeschlossen) / PVID: 10
              Port 11-15: Untagged VLAN20 (hier sind Rechner angeschlossen) / PVID: 20
              Port 16: Untagged VLAN20 (hier ist der Access Point angeschlossen) / PVID: 20
              Port 17-23: diese Ports sind deaktiviert, gehören aber dem Default VLAN 1 an (hier sind logischerweise keine Geräte angeschlossen) / PVID: 1
              Port 24: Untagged Default VLAN 1 (hier stecke ich einen Rechner an, wenn ich den Switch konfigurieren möchte) / PVID: 1

              Die Port Security aller Ports steht auf 1-24, ist somit deaktiviert.

              Die Konfigurationen von pfSense und dem Switch sollten doch so richtig sein, oder?

              Vielen Dank nochmal,
              KHR

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.