Barebone pf Sense mit VLANs und ohne Switch

DerCedrik

Hallo,

Ich habe einen Barebone mit mehreren ETH Ports und möchte daraus eine Firewall (pfSense) bauen. Vermutlich reichen die vorhandenen Ports für mich aus aber ich habe da gerade noch eine technische Verständnisfrage. Kann ich mit diesen Ports mir VLANs einrichten ohne mir noch extra einen Switch kaufen zu müssen? An einen der Ports muss auch ein WLAN Gateway, welcher ebenfalls VLAN fähig sein soll (Gäste WLAN, IOT WLAN, ...).

Ja ich weiß es macht sinn immer ein paar Ports auf Reserve zu haben. Was heute vielleicht reicht, kann morgen wieder anders sein. Es ist auch sehr wahrscheinlich, dass ich mir einen Switch hole, jedoch interessiert mich trotzdem ein Switchloses Szenario.

By the way, könnt ihr ein gutes WLAN Gateway mit 2,4GHZ und 5GHz empfehlen, welcher schon 3-4 VLANs schafft? 2 Zimmer Wohnung, sind also keine großen Reichweiten nötig.

micneu

@DerCedrik ich kann mir gerade nicht vorstellen wie du dann die geräte anschließen willst. Ich persönlich würde IMMER ein switch einsetzen.
Gerne poste doch mal einen Netzwerkplan wie du es gerne umsetzen willst.
so mache ich das bei mir

                                            ┌──────────────────────────┐
                                            │                          │
                                            │  WAN / Internet (PPPoE)  │
                                            │        Willy.tel         │
                                            │ 1000/250Mbit/s Glasfaser │
                                            │                          │
                                            └─────────────┬────────────┘
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │
 ┌────────────────┐   ┌────────────────┐    ╔═════════════╩═════════ pfSense+ ════════╗
 │                │   │     Switch     │    ║                             Netgate 6100║    Stand: ─ ─ ┐
 │    TrueNAS     ├───┤  USW-Flex-XG   ├────╣                      LAN: 192.168.3.0/24║  │
 │                │   │                │    ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║    07.09.2024 │
 └────────────────┘   └───┬────┬───────┘    ║       IoT WLAN (VLAN34): 192.168.34.0/24║  │
 ┌────────────────┐       │    │            ║  DynDNS über deSEC.io mit eigener Domain║   ─ ─ ─ ─ ─ ─ ┘
 │      UBNT      │       │    │            ║                                   VPN's:║
 │UniFI AP AC Pro ├───────┘    │            ║                 1 x Fritzbox 7490) IPSec║
 │                │            │            ║             1 x S2S WireGuard Fritz 6591║
 └────────────────┘            │            ║     1 x pfSense S2S (Netgate 6100) IPSec║
                               │            ║             1 x OpenVPN Road Warrior DCO║
                               │            ║                          (172.16.3.0/24)║
                               │            ║               1 x WireGuard Road Warrior║
                               │            ║                         (172.16.33.0/24)║
                               │            ║                                         ║
                               │            ╚═════════════════════════════════════════╝
                               │
 ┌────────────────┐   ┌────────┴───────┐ ┌────────────────────┐ ┌────────────────┐
 │ Fritzbox 7490  │   │     Switch     │ │        UBNT        │ │    1 x UBNT    │
 │    IPClient    ├───┤  USW-Flex-XG   ├─┤USW-ENTERPRISE-8-POE├─┤UniFi AP-Flex-HD│
 │   (Nur VoIP)   │   │                │ │                    │ │                │
 └────────────────┘   └────┬───────────┘ └──────┬─────────────┘ └────────────────┘
 ┌────────────────┐        │                    │    ┌───────────┐
 │      UBNT      │        │                    │    │           │
 │UniFI AP AC Pro ├────────┘                    └────┤  Clients  │
 │                │                                  │           │
 └────────────────┘                                  └───────────┘

PS: die APs schaffen bis zu 4 VLANS, aber wenn du jetzt neue kaufen willst solltest du dir die nachfolger anschauen

DerCedrik

@micneu Die Geräte werden an die Ports angeschlossen.

Ich habe einen Barebone mit 4 ETH Ports.
ETH Prots:
1: wird WAN und geht direkt an meine Glasfaserbox.
2: für den WLAN AP (1x IOT, 1x Gäste, 1x Rest (Handys, Notebook, etc.))
3: NAS
4: TV

Tatsächlich würde das Stand heute so ausreichen. Aber wie bereits von mir geschrieben weiß ich, dass ein Switch sinnvoller wäre, wo ich dann ggf. noch z.B. zwei freie Ports für die Zukunft hätte. Und ich werde mir sicherlich auch einen anschaffen. Aber mich interessiert es technisch einfach nur, ob man ohne Switch mit meinen 4 Ports überhaupt VLANs bauen kann. Ob sinnvoll oder nicht.

Achja, die Fritzbox die ich jetzt habe fliegt raus, bzw. wird als Hardware Internetzugangsmöglichkeitsbackup beiseite gelegt. Telefonie nutze ich nicht und brauche ich nicht. Habe ein Smartphone :)

viragomann

@DerCedrik
Auf Ports, an welchen nur ein Gerät hängt, das nur eine IP braucht, macht VLAN nicht viel Sinn.
Wenn deine Frage aber bezüglich des WLAN APs gerichtet ist, natürlich kannst du diesen direkt anschließen und VLANs auf dem Interface konfigurieren und im AP terminieren. Habe ich auch so eingerichtet.

DerCedrik

@viragomann Ja das stimmt, aber wie bereits geschrieben: Ob es sinn macht oder nicht, mich interessiert es technisch nur ob es möglich ist.

Der Grund ist warum ich überhaupt auf pfsense, VLANS und co. komme ist derer, dass ich immer mehr IOT Geräte im WLAN habe und diese gerne einfach von meinen anderen Geräten Netzwerk technisch trennen möchte. Und auf jedenfall ein Gäste WLAN, was aber auch die Fritzbox kann.
Ein bisschen was für die IT Securitiy machen.

Ich stehe da mit meiner Planung zur zukünftigen Netzwerkinfrastruktur noch am Anfang und will gerade erstmal stück für stück alle Vor- und Nachteile für mich abwiegen.

Vieles spielt sich auch virtuel mit VMs und Containern ab. (Home Assistant, NGINX,...)

viragomann

@DerCedrik
Ein VLAN muss immer an beiden Enden terminiert werden.
Wenn du auf der pfSense auf ETH2 ein VLAN konfigurierst und da ein Geräte anschließt, muss auf diesem ebenfalls das VLAN konfiguriert werden.
Nicht alle Geräte unterstützen das.
Mit automatischer Schnittstellenkonfiguration (DHCP) ist dann auch nix.

Aber wenn du einen Host anschließt und auf diesem die VLANs auf verschieden virtuelle Maschinen oder Container verteilst, macht das schon Sinn, und ist natürlich möglich.

Der Grund ist warum ich überhaupt auf pfsense, VLANS und co. komme ist derer, dass ich immer mehr IOT Geräte im WLAN habe und diese gerne einfach von meinen anderen Geräten Netzwerk technisch trennen möchte.

Das macht dann der WLAN AP. Ist auch sinnvoll, wie oben schon geschrieben.
Ich habe auch meinen AP direkt and der pfSense hängen und 5 VLANs drüber laufen, um eine Trennung diverser Sicherheitsgruppen zu erreichen.

DerCedrik

Vielleicht muss ich da auch jetzt weiter ausholen. Wie erwähnt, alles nur so Gedanken und Ideen.

Aktuell zu Hause standard Fritzbox mit WLAN. Nichts spezielles. Dazu habe ich einen Barebone mit Proxmoxx am laufen. Im Proxmoxx sind nach vielen ausprobieren Nextcloud, Home Assistant und NGINX übrig geblieben.

Ich will mir jetzt einen Ugreen 2 BAY NAS anschaffen. Dieser soll Nextcloud auf dem Proxmoxx ersetzen. Da dieser NAS mehr als genug Leistung hat, soll auch Home Assistant dort umziehen als VM. NGINX kann auch auf diesen NAS als Container laufen, sofern überhaupt noch benötigt. (Stichwort Wireguard). Home Assistant soll defenitiv in ein eigenes VLAN, zusammen mit den ganzen anderen Smarthome Zeugs (viele Matter Geräte). Mein Google TV ist mein Matter Thread Border Router. Ich hoffe ich schieße mir da jetzt Eigentor, wenn dieses Google TV in ein anderes VLAN kommt als Home Assistant.

Daraus folgt das mein Proxmoxx Barebone frei ist und ich dann Proxmoxx komplett mit pfSense ersetzen kann. Ich weiß, pfSense geht auch als VM auf Proxmoxx aber ich sehe da jetzt keinen aktuellen Vorteil mehr für mich, Proxmoxx weiter zu verwenden.

DerCedrik

@viragomann said in Barebone pf Sense mit VLANs und ohne Switch:

@DerCedrik
Ein VLAN muss immer an beiden Enden terminiert werden.
Wenn du auf der pfSense auf ETH2 ein VLAN konfigurierst und da ein Geräte anschließt, muss auf diesem ebenfalls das VLAN konfiguriert werden.
Nicht alle Geräte unterstützen das.
Mit automatischer Schnittstellenkonfiguration (DHCP) ist dann auch nix.

Aber wenn du einen Host anschließt und auf diesem die VLANs auf verschieden virtuelle Maschinen oder Container verteilst, macht das schon Sinn, und ist natürlich möglich.

Der Grund ist warum ich überhaupt auf pfsense, VLANS und co. komme ist derer, dass ich immer mehr IOT Geräte im WLAN habe und diese gerne einfach von meinen anderen Geräten Netzwerk technisch trennen möchte.

Das macht dann der WLAN AP. Ist auch sinnvoll, wie oben schon geschrieben.
Ich habe auch meinen AP direkt and der pfSense hängen und 5 VLANs drüber laufen, um eine Trennung diverser Sicherheitsgruppen zu erreichen.

Ah ok, dass habe ich mir schon gedacht, dass bei VLAN Konfigurationen immer beide Seiten eine entsprechende Konfiguration brauchen.

Aber mit einen WLAN AP kann ich ja mein Hauptziel erreichen IOT und den Rest zu trennen. Home Assistant ist ja ohne nur virtuell vorhanden.

viragomann

@DerCedrik
Angenommen auf dem NAS ist es auch möglich, VLANs zu terminieren und die VMs damit zu verbinden, kannst du da bspw. VLAN10 für HA einrichten, während das NAS selbst auf VLAN5 seinen Service + Management bereitstellt.

Auf dem AP laufen die Geräte, die mit HA im selben Layer 2 Netz sein müssen, auf VLAN11.
Auf pfSense kannst du dann VLAN10 und 11 brücken. So können sich die Geräte alle sehen und sind glücklich, entsprechende Firewall Regeln vorausgesetzt, während sie von andren Netzwerksegmenten fern gehalten werden.