Brauche Hilfe beim VLAN einrichten



  • Vorab: Ich habe bisher noch nie VLANs eingerichtet, möchte das aber lernen, daher habe ich folgendes Setup aufgebaut:

    ADSL Modem > Cisco ASA 5505 > PfSense (2 NICs, WAN & LAN) > Managed Switch (16Port)

    Die Cisco ASA kann zwar auch VLANs, allerdings möchte ich gern QoS, Proxy, nTop und Snort über die PfSense Box nutzen.

    Mein Switch Setup sieht so aus:

    1 = PfSense
    2 = LAN-Drucker
    3 = WLAN AP
    7 = Server1
    8 = Server2
    12 = Büro1
    14 = Büro2
    16 = Büro3

    Ich möchte gerne jedes Büro & den WLAN AP in ein eigenes VLAN auslagern, um die Clients voneinander abzuschotten.
    Die Server & der Drucker sollen aber für alle erreichbar bleiben.
    In den Büros liegen unmanaged Switche, um den Port des Managed Switches auf mehrere Clients zu aufzuteilen. Sollte ja kein Problem sein, oder?

    Wenn ich das, was ich bisher gelesen habe, richtig verstanden habe, muss ich auf der PfSense Box zuerst die VLANs auf dem LAN Interface anlegen, anschließend für jedes VLAN ein Interface erstellen und dann das Interface mit DHCP aktivieren.
    Auf dem Switch würde ich die Ports 1-3, 1-12, 1-14 & 1-16 dann einem jeweiligen VLAN zuordnen.
    Abschließend noch entsprechende Firewall & NAT Rules für VLANs, LAN & WAN erstellen.

    Jetzt weiß ich allerdings nicht mehr so wirklich weiter, theoretisch müsste die Port Config auf dem Switch folgendermaßen sein:


    Bild zeigt noch die Default-Config.

    1.) Port1 = TRUNK (PfSense)
    TRUNK, weil die PfSense Box ja mit unterschiedlich getaggten VLAN Paketen "ankommt".
    Die PVID müsste auf 1 bleiben, damit auch das normale LAN weiter funktioniert.

    2.) Ports 3, 12, 14 & 16 = ACCESS mit entsprechender PVID (Clients für die VLANs)
    ACCESS mit der VLAN ID, damit dieser Port nur für das dafür vorgesehene VLAN funktioniert, ansonsten wäre GENERAL die richtige Auswahl, wenn ich mehre VLANs auf einem Port mixen wollen würde, oder?

    Alle anderen Clients (Server & Drucker) bleiben einfach im Standard-VLAN1 und bekommen nach wie vor die DHCP-IP Adresse, die auf dem LAN Interface in PfSense konfiguriert ist.

    Ist soweit alles richtig gedacht oder gibt es irgendwo noch einen Fehler?


Log in to reply