VLAN to LAN Interface

verdammt

Hi Gemeinde, ich habe eine kleine Frage.
Wie kann ich den dem LAN Interface, welche eine Feste IP X.X:178.X hat zusätzlich eine VLAN ID 178 geben.
Ich habe es versucht unter VLAN eins 178 auf dem Interface anzulegen, dann der Schnittstelle keine IP zugewiesen, das Endgerät holt sich dann aber keine IP des LAN Netzwerks.
Ich bekomme es nur hin wenn ich dem VLAN Interface eine andere IP geben.
Ich will das Netzwerk quasi als tagged und untagged nutzen.

Geht sowas in der Sense?

Bob.Dig

@verdammt said in VLAN to LAN Interface:

Geht sowas

Nein, Du kannst keine überlappenden Netze nutzen.

verdammt

@Bob-Dig
Ochja, das hätte ich jetzt gedacht. Danke für die Rückmeldung.

viragomann

@verdammt
Wozu denn das?
Machbar wäre das schon, aber die IP X.X:178.X kann dennoch nur einmal vorkommen, also nur in einem L2.

Um das umzusetzen, müsstest du das VLAN konfigurieren, diesem ein Interface zuweisen und aktivieren und dann eine Bridge über beide Interfaces erstellen.
Ich weiß nicht, ob das das ist, was du haben möchtest.

verdammt

@viragomann
Hmm ok, das muss ich mal schauen nachher und testen.
Warum ich das brauche wäre für eine DMZ, dort ist ein Endgeräte drin gigaset N500 was keine VLAN kann, ich habe aber auch Geräte in der DMZ z.B. eine Synology mit Vrtuellen Netzwerken die dann das VLAN haben, ich wollte aber nur ein Netz haben in der DMZ, ich kannte so von Unifi Netzwerken, da kann man das Netz definieren und diesem auch gleichzeitig noch eine VLAN ID zuweisen.

JeGr

@verdammt said in VLAN to LAN Interface:

Warum ich das brauche wäre für eine DMZ, dort ist ein Endgeräte drin gigaset N500 was keine VLAN kann, ich habe aber auch Geräte in der DMZ z.B. eine Synology mit Vrtuellen Netzwerken die dann das VLAN haben, ich wollte aber nur ein Netz haben in der DMZ, ich kannte so von Unifi Netzwerken, da kann man das Netz definieren und diesem auch gleichzeitig noch eine VLAN ID zuweisen.

Antworten

Das ist doch aber dem Endgerät völlig egal ob es VLANs kann oder nicht, wenn dein Switch die kann reicht das doch völlig. Ich habe eher den Verdacht, dass dir nicht ganz klar ist wie VLANs funktionieren. Es macht kaum Sinn ein Netz erst zu separieren in VLANs für bspw. eine DMZ und die dann wieder zu bridgen - dann hast du rein gar nichts gewonnen :)

ich kannte so von Unifi Netzwerken, da kann man das Netz definieren und diesem auch gleichzeitig noch eine VLAN ID zuweisen.

Das ist aber was ganz anderes als was du hier versuchst? Natürlich kann man in Unifi Netzen auf dem Switch einem Port untagged + tagged Netze zuweisen - bspw. um eben Rechner und Telefon am gleichen Port mit durchschleifen zu nutzen. Aber nicht so wie du das hier versuchst :)

Cheers

micneu

@verdammt said in VLAN to LAN Interface:

Hi Gemeinde, ich habe eine kleine Frage.
Wie kann ich den dem LAN Interface, welche eine Feste IP X.X:178.X hat zusätzlich eine VLAN ID 178 geben.
Ich habe es versucht unter VLAN eins 178 auf dem Interface anzulegen, dann der Schnittstelle keine IP zugewiesen, das Endgerät holt sich dann aber keine IP des LAN Netzwerks.
Ich bekomme es nur hin wenn ich dem VLAN Interface eine andere IP geben.
Ich will das Netzwerk quasi als tagged und untagged nutzen.

Geht sowas in der Sense?

leider habe ich in deinem text nicht verstanden was genau dein ziel ist?

• was willst du mit deiner schilderung erreichen?
• bitte mal einen grafischennetzwerkplan von dem ist zustand und was du erreichen willst mit genauen angaben was du an hardware einsetzte (so können wir auch sehen ob es damit überhaupt möglich ist)
  hier beispiele:
  https://forum.netgate.com/topic/19017/netzwerk-diagramme-zum-einfügen-in-eigene-posts
  am besten auch das lesen und beachten:
  https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann

verdammt

@JeGr
Ok, vielleicht bringe ich da was durcheinander, aber wie schaffe ich es dann, das ich mit der PFsense es so hinbekomme, das wenn ich einer virtuellen Netzwerkkarte der Synology, welche 1 Netzwerkkarte hat und im LAN A hängt, ich dann der VirtuellenKarte das VLAN99 geben will welche über LAN B (DMZ)kommt. Der soll dann per DHCP von der pfsense eine IP aus dem DMZ Netzwerk bekommen.

viragomann

@verdammt
Das VLAN auf der Synology einrichten und ebenso am LAN Port der pfSense. Dem VLAN ein Interface zuweisen, aktivieren (IP Konfig = none).
Eine Bridge erstellen, LAN und VLAN99 als Member. Der Bridge ein Interface zuweisen und aktivieren.

Die statische IP sollte von der DMZ entfernt (erst DHCP deaktivieren) und der Bridge zugewiesen werden und auf dieser dann der DHCP konfiguriert werden. Ansonsten wäre der DHCP inaktiv, wenn das Kabel von der DMZ abgezogen wird.

verdammt

@viragomann said in VLAN to LAN Interface:

@verdammt
Das VLAN auf der Synology einrichten und ebenso am LAN Port der pfSense. Dem VLAN ein Interface zuweisen, aktivieren (IP Konfig = none).
Eine Bridge erstellen, LAN und VLAN99 als Member. Der Bridge ein Interface zuweisen und aktivieren.

Die statische IP sollte von der DMZ entfernt (erst DHCP deaktivieren) und der Bridge zugewiesen werden und auf dieser dann der DHCP konfiguriert werden. Ansonsten wäre der DHCP inaktiv, wenn das Kabel von der DMZ abgezogen wird.

Das war die Lösung nun klappt es alles wie es soll, sau geil.
Vielen Vielen Dank.

@micneu
Dir war ich auch noch eine Antwort schuldig, ich habe eine alte APU2 als Backup und setzte jetzt gerade frisch auf eine
New J4125 Quad Core Firewall Micro Appliance, Mini PC, Nano PC, Router PC with 8G RAM 128G SSD, 4 RJ45 2.5GBE Port AES-NI compatible with Pfsense OPNsense
Vom großen A

JeGr

@viragomann said in VLAN to LAN Interface:

Eine Bridge erstellen, LAN und VLAN99 als Member. Der Bridge ein Interface zuweisen und aktivieren.

Was wollt ihr denn immer mit einer Bridge zwischen einem untagged und einem tagged VLAN? Was soll denn das bringen?

Das war die Lösung nun klappt es alles wie es soll, sau geil.

Ja aber WAS klappt denn damit bitte? Das ist doch Mumpitz dann überhaupt mit einem VLAN rumzuspielen wenn man es nicht braucht und via Bridge wieder aushebelt?

Das hatte ich ja gefragt: was das Ziel ist und was es bringen soll, denn außer dass du jetzt beschrieben hast, dass du irgendwas auf einer Syno machst - die BTW ordentliches VLAN handeln kann - verstehe ich immer noch nicht WAS genau du da warum treibst? :)

Zumal du immer wieder von einer DMZ schreibst. Das ist ein Security Konstrukt was SicherheitsGEWINN bringen soll, das tut sie aber in dem dort Dinge landen, die eben direkten Netzkontakt mit außen haben und somit kein Kontakt ins normale LAN darf ohne Umweg über die DMZ. Wenn du aber wild irgendwelche Interfaces auf irgendwelche VLANs bridgest und damit platt via Layer2 einfach verbindest als wenn du mehrere Switche einfach zusammensteckst ist da überhaupt keine Trennung und das ist weder eine DMZ noch sonstwie ein Sicherheitsgewinn. Daher verstehe ich leider überhaupt nicht, was damit erzielt werden soll - außer chaotischer Konfiguration.

Cheers

viragomann

@JeGr said in VLAN to LAN Interface:

Was wollt ihr denn immer mit einer Bridge zwischen einem untagged und einem tagged VLAN? Was soll denn das bringen?

An zwei unterschiedlichen NICs? Warum nicht?

Ja aber WAS klappt denn damit bitte? Das ist doch Mumpitz dann überhaupt mit einem VLAN rumzuspielen wenn man es nicht braucht und via Bridge wieder aushebelt?

Ich vermute nun, Zweck der Sache ist, auf dem NAS in einem separaten Netzwerksegment, der DMZ, eine VM zu betreiben.
Ich sehe da nichts Seltsames. Und da wird auch nichts ausgehebelt.

JeGr

@viragomann said in VLAN to LAN Interface:

Ich vermute nun, Zweck der Sache ist, auf dem NAS in einem separaten Netzwerksegment, der DMZ, eine VM zu betreiben.

He? Wenn ich ein LAN und ein VLAN zusammenbridge betreibe ich eine VM aus diesem VLAN plötzlich in der DMZ? In welcher Welt?

Wenn du auf der Syno nen zweiten NIC hast, diese für VMs nutzt und die NIC tagged ist (warum dann überhaupt, wenn die VM auch ne IP aus dem LAN bekommen soll!?), dann wäre das noch halbwegs verständlich, aber selbst dann hinterfrage ich den Sinn, warum ich dann LAN und VLAN zusammenmixe und damit wieder ein großes LAN habe - wofür mach ich dann den Spaß mit 2. NIC und VLAN?

Nochmal hier der Satz:

ich dann der VirtuellenKarte das VLAN99 geben will welche über LAN B (DMZ)kommt. Der soll dann per DHCP von der pfsense eine IP aus dem DMZ Netzwerk bekommen.

Warum habe ich dann erst auf der Syno eine virtuelle NIC mit VLAN99, die über LAN B (DMZ) kommt, wenn ich dann auf der Sense das VLAN und LAN wieder zusammenmixe? Dann kann ich die virt NIC direkt auf LAN B bridgen - das macht doch keinen Sinn?

Ich denke es wäre vielleicht einfacher und zielführender, wenn @verdammt uns mal genauer beschreibt, was, wie, wo eigentlich existiert, was von wem getrennt sein soll und wie das konfiguriert ist bzw. war, denn so lese ich das als ziemliches Chaos das nicht wirklich ordentlich aufgeräumt ist und statt dessen nur Overhead (bspw. auf der Syno wegen sinnfreiem VLAN) produziert :)

Cheers

viragomann

@JeGr
Ich denke, du hast das falsch verstanden. Ich habe es am Ende jedenfalls so aufgenommen:
pfSense hat WAN, LAN, DMZ auf 3 Ports.
NAS hat eine NIC, die per Kabel mit dem LAN verbunden ist (ev. via Switch).
Auf dem NAS möchte er eine VM in der DMZ betreiben.

Also macht er auf dem LAN Kabel ein VLAN auf beiden Geräten und das brückt er auf der pfSense mit der DMZ.
Was ist daran verkehrt?

Da gibt es normalerweise auch kein "Übersprechen" zwischen dem VLAN und dem LAN.

JeGr

@viragomann OK dann hast du es ganz anders verstanden als ich :) Darum schrieb ich ja, es wäre vielleicht transparenter, alles aufzuzählen was da ist bzw. was worüber läuft, damit man versteht was das Ziel ist :)

Rein technisch ist das ja möglich wie du ja auch schreibst - aber macht es Sinn? :) Der Switch könnte ja schlicht ein VLAN für die DMZ festlegen und das packt man dann an Syno und pfSense - so dass man sich den Bridge Kram auf der Sense schenken kann. Vielleicht ging mir das deshalb auch nicht so in den Kopf wie dus verstanden hast, weil das Sachen sind, die ich dazwischen bzw. auf der Syno schon vorher mit einem Switch "richten" würde bevor das überhaupt auf der pfSense ankommt :)

Cheers

viragomann

@JeGr
Ja, nach dem Sinn des Ganzen hatte ich auch zu Anfang gefragt und keine vernünftige Erklärung erhalten. Wäre ebenso hilfreich gewesen wie ein grafischer Netzwerkplan. Somit fehlte auch die Info über einen etwaigen Switch zwischen den Geräten.

Warum die VM dann unbedingt eine IP aus der DMZ bekommen soll, hatte ich denn nicht mehr weiter hinterfragt.
Ich hätte auf dem VLAN wohl eher eine DMZ2 gemacht und beide DMZ zu einer Interfacegruppe hinzugefügt, auf der man dann auch Filter- und NAT-Regeln für beide in einem Schritt definieren kann.
Aber vielleicht brauchen die DMZ-Maschinen zwingend einen gemeinsamen Layer 2. Ich fürchte, wir werden es nie erfahren... ;-)

verdammt

@viragomann
So wie @JeGr es geschrieben hat ist es bei mir.
Ich finde gerade nicht die Möglichkeit auf die schnelle ein Bild einzufügen.
Daher mal vorab so:
1 Pfsense 4 Ports. WAN/LAN/DMZ/GÄSTE
gehen an Unifi Switch pro 24 Port.
Der Switch hat die VLANConfig und das DefaultNetzwerk

Die Synology hat nur 1 LAN Schnittstelle, auf der Synology läuft aber noch ein Virtual Manager wo ich 2 Netzwerke konfiguriert habe. Das Standard LAN und eine Schnittstelle die das VLAN99 hat.
Die Schnittstelle VLAN99 hat die VM bekommen, ich lasse auf dem Synology einen Mailserver laufen der dann in der DMZ hängen soll.
Auf dem Unifi Switch habe ich dem Port des NAS das Default und noch das VLAN99 geben.

Weiterhin hängt eine GigaSet N500 pro in der DMZ (VOIP), das Teil kann nur Netzwerk ohne VLAN oder Ähnliches.
Das hängt am Switch und hat direkt das VLAN99 am Switchport bekommen.
Mir war es eigentlich nur wichtig, dass ich ein DMZ Netzwerk habe, also einen Adresspool in der Sense wo die Clients sich bedienen sollen.
Das hatte bisher ohne den BridgeModudus nicht geklappt, wenn ich einem Client das VLAN99 geben hatte, hat der Client eine eigene IP bekommen keins von der DMZ.

Jetzt mit der Bridge klappt es, VLAN99 an die virtuelleKarte und es kommt eins aus der DMZ, VLAN weg und die Katte bekommt eine selbstzugewiesene Adresse.

So wie ich das aber hier lese muss ich mir das nochmal bisschen anschauen, es gibt da ja wohl mehrere Wege zum Ziel.

Grüße
Markus

viragomann

@verdammt
Okay, das sind etwas mehr Details. Aber ich sehe immer noch keinen Grund, warum das VLAN auf der Synology (Mailserver) in einem gemeinsamen Layer2 Netz mit der übrigen DMZ (Gigaset VoIP) sein muss.
Falls das nicht erforderlich ist, würde ich es so machen, wie ich oben beschrieben habe und du könntest dir die Bridge ersparen.

Wenn du 2 LAN-Kabeln zwischen pfSense und Switch verlegen kannst, wäre eine andere Möglichkeit , den Switch in einen DMZ und einen LAN Teil zu aufzuteilen. Dann kannst du beide Subnetze nativ, ohne VLAN mit der pfSense verbinden und konfigurierst nur auf dem Port zum NAS einen Trunk mit LAN und VLAN. Das könnten dann auch beides VLANs sein, die gibt es dann eben nur am Switch und auf der Syno.

verdammt

@viragomann
ich hätte nochmal eine nachfragen zu deiner Variante,
bei dieser ist es aber dann so das ich 2 Netzwerke brauche z.B. 192.168.99.x/24 (VLAN99) und 192.168.100.x/24 (DMZ), darüber dann die Gruppe.
Habe ich das richtig verstanden?

Gruß
Markus

viragomann

@verdammt
Ja, wenn nur das LAN zum Switch geht und die DMZ Geräte nicht eine gemeinsame Broadcast Domain benötigen, würde ich es so machen.
Das erspart die Bridge und auf der Interface Gruppe lassen sich ebenso NAT- und Firewallregeln definieren. Bietet also fast denselben Komfort bei der Konfiguration. Der DHCP muss natürlich auf beiden eingerichtet werden.

Vielleicht die Subnetze so besser wählen, dass sie sich mit einem /23er zusammenfassen lassen, bspw. 192.168.100./24 u. .101./24.