2 Netzwerke über VLAN verbinden?
-
Hallo zusammen
Ich bin gerade an der Planung wie ich 2 Häuser miteinander verbinden kann.
Haus 1 ist bereits vorhanden und Haus 2 wird dieses Jahr gebaut.
Hardware
Haus 1:
Firewall: Pfsene 2.1.5 auf APU 1D4 (3 Ethernet Ports)
Switch: HP 1810-24G v2Haus 2:
Firewall: Pfsene 2.1.5 auf ALIX 2D13 (3 Ethernet Ports) [bereits vorhanden]
Switch: HP 1810-24G v2 [noch nicht vorhanden]Für den besseren Überblick siehe Zeichnung im Anhang.
Die beiden Netzwerke sollen nun jeweils Zugriff auf das andere haben.
Also z.B. ein PC aus Haus 2 soll auf das NAS von Haus 1 zugreifen können (Geregelt über Freigaben).Die Verbindung werde ich über LWL im Zusammenspiel mit den beiden HP Switchen, welche je 2 SFP Anschlüsse haben, realisieren.
Soweit mal zur physikalischen Verbindung.
Nun frage ich mich wie ich dies Netzwerktechnisch realieren kann.
Hier meine Überlegung:
Ich mache auf den HP Switchen ein VLAN und leite sie dann auf den jeweils freien Ethernet Port der Pfsensen weiter.
Dann müsste ich noch die Interface auf den pfsensen konfigurieren und die Firewall Regeln einstellen.
Ist meine Überlegung soweit machbar oder befinde ich mich auf dem komplett falschen Weg?
Wie würdet Ihr dies realisieren?Ich bin für jeden Gedankenanstoss dankbar.
Vielen dank für Eure Hilfe.
Gruss blacki
-
Skizze
verstanden.
Die beiden Netzwerke sollen nun jeweils Zugriff auf das andere haben.
Jup.
Die Verbindung werde ich über LWL im Zusammenspiel mit den beiden HP Switchen, welche je 2 SFP Anschlüsse haben, realisieren.
Fein :)
Ich mache auf den HP Switchen ein VLAN und leite sie dann auf den jeweils freien Ethernet Port der Pfsensen weiter.
Ööhh… also ein native VLAN auf den Glas-Ports sowie einem Ethernet Port und diesen dann an Port 3 der pfSense? Jup, würde gehen, dann hättest du ggf. eben Gigabit Traffic zu routen (gerade wenn jemand aus Haus 2 auf NAS im Haus 1 zugreift). Da ist die Alix schon zu schwach für, und die APU auch nur bedingt fitt. Da wird dein Bottleneck dann die beiden pfSensen sein.
Dann müsste ich noch die Interface auf den pfsensen konfigurieren und die Firewall Regeln einstellen.
Das Interface ist nicht schwer, da könnte man ein einfaches Transfernetz drauflegen, um es übersichtlich zu halten (10.255.255.0/24 bspw.)
Ist meine Überlegung soweit machbar oder befinde ich mich auf dem komplett falschen Weg?
Jein, machbar schon, aber dein Problem wird die Bandbreite sein. Zumal die Alix "nur" 100MBit/s Ports hat und somit der Glas-Tunnel zwisJhen APU/ALIX nur 100MBit maximal haben wird.
Wie würdet Ihr dies realisieren?
Annähernd genauso:
- Haus 1/2 lokales Netz mit HP Switch und pfSense als INet Router
- Verbindung der pfSensen via dediziertem Switchport +VLAN und 3. Interface an pfSense sowie Transfernetz
- Routing der 192er Netze hin/zurück via Routen auf der pfSense
Allerdings musst du bei Gigabit Routing eben auch was dranhaben, was Gigabit routen kann. Da wirds dann etwas teurer denn die APU schafft mit pfSense so ca. 400MBit/s (das höchste was ich gelesen habe war mit Linux/IPFire und ~650MBit/s) aber kein Gigabit Ethernet. Ergo müsstest du etwas höher reingreifen. Ein Rangely-Atom bspw. würde das locker wuppen, bspw. der C2358 oder C2758. Die Kisten kosten dann aber leider auch etwas mehr als eine APU (ca. 2-3x soviel), allerdings kannst du mit denen dann auch wesentlich mehr anstellen (IDS, Snort, AV etc.).
Außerdem könntest du dann auch Failovers für die Häuser machen (also bei Ausfall Haus 1 routest du Traffic über Haus 2 [ggf. begrenzt auf x MBit] bspw.).
Grüße
Jens -
Hallo Jens
vielen Dank für deine Antwort.
Ööhh… also ein native VLAN auf den Glas-Ports sowie einem Ethernet Port und diesen dann an Port 3 der pfSense?
Genauso hatte ich es gemeint.
Würde ich also die Alix durch eine APU ersetzen würde es gehen?
Ich benötige nicht unbedingt die volle Gigabit Leitung. (Kann zu einem späteren Zeitpunkt ja noch getauscht werden, wenn es wirklich benötigt wird)
Genutzt werden soll es hauptsächlich um HD Filme zu streamen und Bilder ablegen.Und dafür sollte es doch dann genügen?!
Könntest du bitte deinen Lösungsvorschlag etwas genauer Formulieren, ich verstehe es nur teilweise was du meinst.
Vorallem das:
- Verbindung der pfSensen via dediziertem Switchport +VLAN und 3. Interface an pfSense sowie Transfernetz
Vielen Dank.
-
Würde ich also die Alix durch eine APU ersetzen würde es gehen?
Wie geschrieben kann die APU höchstens ~500MBit/s wuppen. Eher weniger mit Filter etc.
Ich benötige nicht unbedingt die volle Gigabit Leitung. (Kann zu einem späteren Zeitpunkt ja noch getauscht werden, wenn es wirklich benötigt wird)
Das allerdings ist richtig.
Genutzt werden soll es hauptsächlich um HD Filme zu streamen und Bilder ablegen.
Je nach HD kann das reichen oder nicht ;) Ich würde aber vermuten, dass es für 720p/1080p durchaus reicht, sofern nicht auch noch riesige Tonspuren mit am Start sind. Einen nativen Blu-Ray Rip würde ich vielleicht nicht unbedingt durchs Netz schieben wollen wenn gleichzeitig auch noch Internet funktionieren soll, denn wenn du die APU bspw. auslastest, wird dort auch das Internet nur noch träge reagieren. Evtl. macht es dann Sinn, wenn du mit APUs starten willst, auf beiden Seiten APUs zu nutzen und deren Verbindung via HP+Fibre auf 100MBit/s (200 mit Duplex) zu begrenzen. Das verkraften die beiden dann recht angenehm und haben noch genug Luft um gleichzeitig Internet und sonstiges zu machen.
Und dafür sollte es doch dann genügen?!
Durchaus - s.o.
- Verbindung der pfSensen via dediziertem Switchport +VLAN und 3. Interface an pfSense sowie Transfernetz
Ganz einfach:
Beide HPs mit Glasfaser verbinden. Glasfaser Ports und je ein auszuwählender Kupfer Port nativ auf ein VLAN != Default (bspw. 255) konfigurieren. APUs auf beiden Seiten mit 3. Port in den so konfigurierten Kupfer Port stecken und Transfernetz konfigurieren (bspw. 10.255.255.1+2/30 - passend zur Hausnummer). Auf beiden pfSensen das jeweils entfernte Netz als Route konfigurieren mit Gateway auf 10.255.255.[1/2] (also gegenüberliegende Seite).
Dadurch hast du auf dem Transfernetz/Glasfaser ein eigenes VLAN (255) und ein eigenes Subnetz (10.255.255.0/30), das auch so konfiguriert ist, dass sich kein anderes Gerät da mehr reinzwängen kann (da /30). Durch Begrenzung der Kupferports - an denen die pfSense mit Port 3 hängt - auf 100MBit/s kannst du am Switch steuern, dass die APUs nur mit 100MBit/s Vollduplex arbeiten, damit überlasten die sich nicht. Wenn du später tatsächlich die APUs gegen bspw. Rangely Atoms ersetzt, kannst du das einfach am Switch ändern auf Auto/1Gbit und gut :)
(Nur die pfSense auf 100MBit/s zu stellen gibt manchmal mit Switchen Probleme die sich dann nicht sauber autokonfigurieren wollen. Andersherum hatte ich bislang deutlich weniger Ärger)Grüße
Jens -
Jetzt habe ich es verstanden.
Vielen Dank für die ausführliche Erläuterung.
-
Servus,
wozu eigentlich den zweiten Internetanschluss? Haus B kann doch den von A nehmen. Bei der angedachten Verbindung ist anscheinend ein Vertrauensverhältnis gegeben. Außerdem kann man sich die zweite pfSense sparen. VLANs kann man auf dem Trunk des HP-Switches ja taggen und entsprechend weiterverwenden. -
Hallo tpf
Weil die AGB`s unseres ISP dies nicht erlauben und ich einfach zwei logisch getrennte Netze haben will ;)
-
Hallo nochmal
@Jens
Bin nun doch am überlegen zumindest im Haus1 eine stärkere Firewall zu verbauen.
Welche Hardware kannst du mir denn empfehlen mit einem C2758 Core?Ich habe eben mal gesucht und dieses hier gefunden: Supermicro 5018A-FTN4
Jedoch habe ich gelesen das es da wohl noch Probleme geben soll? Nur 4 CPU`s nutzbar?
Vielen Dank.
-
Hi,
die C2758 Plattform hat meines Wissens kaum mehr Probleme. Es wäre auch gleichgültig ob nur 4 Cores nutzbar wären, da zumindest pfSense 2.1.x nicht sehr stark auf mehrere CPUs skaliert, aber wir haben hier eine 5018A die alle 8 Cores ohne Probleme erkennt und am Laufen hat. Zudem wird/wurde pfSense 2.2 an der Stelle stark verbessert und hat mit der Plattform kaum Probleme. Es wäre auch sehr seltsam, da das pfSense Team selbst eine gebrandete 5018A (oder zumindest ein seehr ähnliches Produkt) selbst im pfSense Shop verkauft.
https://www.pfsense.org/hardware/pfsense-store.html#c2758
Sollte das dann doch etwas zu hoch gegriffen sein (die 5018A), gäbe es auch noch eine Zwischenlösung und bspw. den kleinen Rangeley Atom (C2358) mit nur 2 Kernen oder einen C2558 mit 4 Kernen zu nehmen. Der hat immer noch genug Power und bringt ebenso AES-NI und Co. mit.
Grüße
-
Vielen Dank für die Antwort.
Ich werde dann den Supermicro 5018A-FTN4 in Haus 1 verbauen und den APU in Haus 2.
Noch eine Frage.
Wie würden denn die Firewall Regeln aussehen?
Ich habe zum Testen die APU mit der Alix auf dem freien Port verbunden, jeweils das Interface angelegt (10.255.255.1+2).
Dann die Gateways erstellt (in Haus 1 GW= 10.255.255.2 und Haus 2 GW = 10.255.255.1)
Und dann noch die Routen erstellt.
Von Haus 1: 192.168.1.0/24 über das Gateway 10.255.255.2.
Von Haus 2: 192.168.178.0/24 über das Gateway 10.255.255.1Ich denke das passt auch soweit. Nur konnte ich mit den von mir angelegten Regeln keinen Ping auf das NAS (192.168.178.10) absetzen.
Bilder hierzu im Anhang
Vielen Dank