-
Hallo Forumsmitglieder,
ich bin ganz neu in diesem Forum bzw. habe erst vor ein paar Tagen begonnen mich mit pfsense zu beschäftigen.
Ich hoffe ich bin mit meinem Post nicht im falschen Ordner oder gar im falschen Forum.!
Ich habe eine Firma mit 3 Mitarbeitern und wir sind gerade dabei ein neues Büro herzurichten/sanieren.
Aktuell habe ich so einiges an HW in einem 19 Rack welches nur verstaubt und zum laufen gebracht werden möchte.Ich hoffe das ihr mir helfen könnt wie ich mein neues Firmen-Netzwerk aufbauen könnte damit es funktioniert.
Räumliche Gegebenheiten
130m2 Büro mit Serverraum, Nassbereich und Teeküche- davon sind ca 50m2 Großraumbüro
- und 15m2 Chefbüro ( mein Büro)
- CAT6 Verkabelung von allen PC, Druckern, VOIP Tel und Eingangstüre zum Server
- Internetanschluss
- Lichtsteuerung über WLAN (SONOFF)
Aktuelle HW
- HW-Firewall / pfsense / 4x1,5Ghz / 8GB / 5xLAN
- SWITCH / 24 Port / Managed / TP-LINK TL-SG3428
- (SWITCH / 16 Port / Unmanaged / TP-LINK TL-SG1016DE)
- NAS 1/ TrueNas Core / 4x1,5Ghz / 8GB / 1xLAN
- NAS 2/ TrueNas Core / 4x1,5Ghz / 8GB / 1xLAN
- VOIP / ? / 4x1,5Ghz / 8GB / ?
- SMARTHOME / ioBroker / 4x1,5Ghz / 8GB / 1xLAN / 1xWLAN
Zielsetzung für neues Büro
- gesamtes Netzwerk von aussen absichern gegen unbefugte
- 1 Netzwerk für Chef, VOIP, Großraumbüro, Smarthome
Frage: ist hier Vlan die richtige Wahl? - Vom Chef-PC auf alle HW zugreifen (pfsense, Switch, Nas, usw.)
Frage: Geht das mit meine aktuellen HW
Frage: Wenn ich das mit VLAN mache wie komme ich vom VLAN-Chef in das VLAN-VOIP - Netzwerkzugang von aussen auf NAS 1
Frage: Ich hätte bis dato nur die Möglichkeit einer VPN Verbindug gefunden. - Das Großraumbüro darf nur in einem gesonderten Netzwerk sein da ggf. Arbeitsplätze vermitet werden
Inzwischen konnte ich pfsense aufsetzen und mit meinem Router und PC verbinden.
Funktioniert alles sehr gut und ich komme vom PC auch in das Internet. (alles fixe IP adressen)Könnt ihr mir helfen für diese Konstelation eine vernüftige VLAN, Gateway und IP-Adressierung festzulegen die auch zukunftssicher ist? Ich habe bis heute die Funktion der Gatway IP noch nicht behirnt !!
Was würdet ihr sagen, was ist besser die IP's über DNS, Port, Mac oder Fix ??
Ich habe gelesen das es möglich ist mehrere VLANS über 1 Kabel zu senden, da würde dann DNS eh nicht funktionieren!?
Falls DNS doch eine Wahl ist wer würde dann die IP's vergeben, der Switch oder pfsense??Ich hoffe ihr könnt mir ein paar wichtige Ansätze geben um mein neues Netzwerk aufzubauen und es auch zu verstehen.
LG
Mario -
Die pfSense ist der Mittelpunkt des Netzwerks, ich bevorzuge für diese die .1, da sie das Gateway bereitstellte. Clients fangen bei mir bei der .11 an, bis .199, dann folgen Reservierungen für Geräte die ich im Regelwerk gerne mit einem Alias entsprechend hinterlegen können will.
Du kannst, leider nur auf dem einen managed Switch alles sauber mit VLANs voneinander trennen.
Willst du den dump Switch weiter verwenden, könntest du hier das Großraumbüro anschließen und dann mit einem Link weiter auf den Managed Switch in das entsprechende VLAN ( ist dann ein Access Port).
Wenn hier jedoch feste Mitarbeiter sitzen, dann würde ich das schon trennen wollen, sprich meine Angestellten sind dann im Work VLAN und die Sharing Plätze im Share VLAN, letzte brauchen ja nur Internet und keinen Zugriff auf das NAS.Wichtig ist das du dir überlegst, wer in welches VLAN soll, dann hast du erstmal eine Aufteilung.
Dann kennst du die Anzahl der VLANs, dann geht es weiter.
Ich habe gern, dass das 3 Oktett zur VLAN ID Passt, also das Netz dann wie folgt aussieht.
VLAN 1 ist dann 10.0.1.x
VLAN 2 ist dann 10.0.2.xWenn du einen VPN Tunnel mit jemandem anderen dauerhaft aufbauen willst, dann ist jetzt der richtige Zeitpunkt gekommen mit ihm zu sprechen.
Denn noch kannst du deine IP Netze festlegen wie du willst, am besten so, dass jedes Netz nur auf einer Seite besteht, das erleichtert das Routing.
Haben deine Mitarbeiter oder du Selber eine FritzBox im Heimnetz, dann ist 192.168.178.0/23 für dich Tabu, ebenso wie 192.168.0.0/24, welches die ganzen Speedport Kisten haben.Also ggf. ein 10er oder ein 172.16.x Netz aus der RFC1918 wählen.
Clients laufen bei mir auf DHCP, besondere mit Reservierung, Server, NAS Systeme zählen dazu, wie auch Switche sind dann mit statischer IP konfiguriert. Denn diese muss ich auch bei einem Ausfall erreichen können. Wobei das, wegen dem Management Netzwerk inkl. VLAN dann komplexer ist.
Hier kannst du dir z.B. einen Port auf dem Switch für den Notfall freihalten und dieser ist dann dem Management VLAN zugehörig. -
Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.