Heimnetzwerk und VLANs



  • Hallo zusammen,

    habe mich nach recherchieren im Internet dazu entschlossen mein Heimnetzwerk inkl. VLANs etc. von pfSense verwalten zu lassen.
    Leider bin ich mit der Materie VLANs, Firewalls, Routing nicht ganz so bewandert, weswegen ich auf gute Tipps/Tutorials von eurer Seite hoffe.

    Ausgangslage:

    Der Einfachheit/Übersicht halber, habe ich in der Abbildung nur 2 VLANs eingezeichnet, aber ich denke wenn die grundlegenden Sachen von mir verstanden wurden, können eben analog weitere VLANs hinzugefügt werden.

    Die Abbildung stellt insofern auch gerade die aktuelle physische Vekabelung dar.

    pfSense läuft aktuell als VM auf meinem NAS und sollte idealerweise auch so bleiben, da ich nicht noch mehr Geräte anschließen möchte und mit den Ressourcen arbeiten will die vorhanden sind.

    Das NAS ist mit 4 NICs am Switch angeschlossen. 2 davon laufen als LACP, 1 ist für die Win7-VM reserviert und 1 für die pfSense-VM.

    Vorliegende Hardware:

    • Switch: TP-Link TL-SG3424P (VLAN, LACP,… etc. -fähig)
    • NAS: QNAP TS-470 Pro (i5 3570s, 16GB RAM)
    • FritzBox 6360 Cable (unitymedia)

    Meine Zielsetzung:

    • Ich möchte gerne verschiedene VLANs innerhalb meines Netzwerkes realisieren.

    • VLAN 1/2 soll komplett separat sein, ohne sich gegenseitig sehen zu können. Internetzugang sollen beide von der FritzBox bekommen.

    • Der Drucker soll von allen vorhandenen VLANs genutzt werden.

    • Der LACP Anschluss des NAS soll auch von allen VLANs genutzt werden können.

    • Auf dem Switch soll ein "Master Port" existieren von dem aus ein admin/Ich Zugriff auf alle VLANS hat.

    • DHCP soll für jedes VLAN automatisch innerhalb eines vordefinierten Bereiches vergeben werden.

    Der nächste Punkt wäre ein "nice-to-have" aber kein "must"; Priorität haben oben genannte Sachen:

    Die genutzte Internetbandbreite für 1 bestimmtes VLAN im Up und Down begrenzen. Zeitgleich aber nicht die lokale Bandbreite innerhalb des Netzwerkes begrenzen.

    Was ich aktuell mit pfSense bewerkstelligt habe:

    Ich habe soweit pfSense als VM auf dem NAS zum Laufen bekommen.
    Um auf das WebUI zugreifen zu können, musste ich während des Installationsprozesses dem WAN-Interface ein NIC zuordnen.
    Da nur einer vorhanden ist, lautet das Ergebnis: WAN -> em0
    Dem LAN-Interface wurde kein NIC zugeordnet.
    WAN hat eine statische IP (zunächst) bekommen, um besser aus dem Heimnetz erreichbar zu sein.
    VLANS wurden im Interface Menü angelegt mit den Tags 1-4

    So und jetzt zum spannendsten alles Punkte, die Einrichtung…

    Fragen über Fragen:

    Die allerwichtigste zuerst: Wie genau konfiguriere ich das nun alles auf pfSense?

    Was genau muss den alles auf pfSense eingerichtet werden? (NAT, Firewall, Routing, Interface…?)

    Wie genau muss die FritzBox angepasst werden, damit DHCP/was auch immer NICHT mehr über diese laufen?
    Was muss überhaupt alles an der Fritzbox ausgeschalten werden

    Ist das mit der physischen Verkabelung, so wie sie vorliegt, realisierbar?

    Reicht 1 NIC für pfSense?
    Muss ein LAN-Interface existieren, wenn nur ein NIC vorliegt?

    Leider konnte ich bislang keine zufiredenstellenden Tutorials / How-Tos finde und würde mich deswegen freuen, wenn man mich vielleicht schrittweise zum Ziel führen könnte.
    Manchmal brauche ich vielleicht an der ein oder anderen Stelle etwas Erklärung, bin aber lernfähig... So please bear with me, wie es der Engländer so schön sagen würde.

    Freue mich auf eure Hilfe und bedanke mich schonmal für alle (vor allem produktiven) Antworten!



  • Moin,

    brauchst Du die Fritte bzw. soll sie später weiterbenutzt werden?
    Wenn ja baue erstmal eine klassische Routerkaskade:
    Fritte – pfSense -- Switch -- Clients

    Wenn Du einen V-Lan tauglichen Switch hast kannst Du das auch mit einem Interface abfrühstücken, Du erstellst VLans  und damit virtuelle Interfaces. Ob das Sinn macht? Ich glaube in Deinem Fall nicht: Du willst Dein NAS per LCAP anbinden, lohnt das ? liefern die Platten die Daten schnell genug? Wenn es um Performance geht wäre dann die Schnittstelle der pfSense ein Engpass, alles was geroutet wird muss hier durch. Das könntest Du mildern wenn  jede Schnittstelle des NAS in einem VLan ist.

    Etwas Lektüre: http://www.schulnetz.info/category/vlan/

    -teddy



  • brauchst Du die Fritte bzw. soll sie später weiterbenutzt werden?

    Ja, sonst wars das mit dem Internet :)

    Wenn ja baue erstmal eine klassische Routerkaskade:
    Fritte – pfSense -- Switch -- Clients

    Dies würde bedeuten dass ich auf dem pfSense-Gerät 2 NICs brauche oder?

    Wenn Du einen V-Lan tauglichen Switch hast kannst Du das auch mit einem Interface abfrühstücken, Du erstellst VLans  und damit virtuelle Interfaces. Ob das Sinn macht? Ich glaube in Deinem Fall nicht.

    Dies wäre mir die eindeutig liebere Variante, da ich glaube ich nicht 2 NICs einer VM zuordnen kann.

    Du willst Dein NAS per LCAP anbinden, lohnt das ? liefern die Platten die Daten schnell genug?

    Kumulierte Geschwindigkeiten von 220 MB/s wurden bereits erreicht. Performant ist das Ding also, habe aus diesem Grund das LACP mal drin gelassen; ich würde aber wahrscheinlich auch ohne LACP auskommen, sehe nur aktuell keinen Grund dazu weil….

    Wenn es um Performance geht wäre dann die Schnittstelle der pfSense ein Engpass, alles was geroutet wird muss hier durch. Das könntest Du mildern wenn  jede Schnittstelle des NAS in einem VLan ist.

    … die von dir vorgeschlagene Art der Anbindung so ziemlich viele Schnittstellen verbraucht, die ich anders nutzen könnte/muss. Die Win7-VM muss ein dediziertes NIC haben, womit wir also bei 3 übrigen wären. ab 4 VLANs wären dann dementsprechen bereits nicht mehr genügend NICs vorhanden, um es so zu machen wie du meinst.
    pfSense der Engpass? Verstehe ich nicht ganz... Das NAS müsste doch genug Power habe?

    etwas Lektüre: http://www.schulnetz.info/category/vlan/

    Ja, hier war ich auch bereits drauf und habe es mir zu Gemüte geführt. Die Grundlagen sind soweit klar, nur hapert es bei mir an der Umsetzung, da einerseits das System etwas anders aufgebaut ist und andererseits ich nicht weiß welches Gerät ich wie einzustellen habe…
    vor allem im laufenden Betrieb ist das etwas schwer... so ein Testsystem wäre natürllich eine feine Sache, doch dazu fehlen eindeutig die Ressourcen.



  • Hallo,

    man kann das sicherlich so arrangieren nur ist es eben auch immer ein wenig umständlich.
    Aber es gibt da mehrere Wege dies zu tun. Denn die AVM FB ist nicht VLAN fähig.

    • Ein kleiner MikroTik Router für 30 € - 50 € sollte das Problem lösen.
    • Ein DD-WRT, OpenWRT oder RouterOS in einer VM sollte das Problem auch lösen
    • Ein Layer3 Switch wie ein Cisco SG300-10/20/26 sollte das Problem am besten lösen
      denn er kann ein Transfernetz aufspannen in das dann die AVM FB kommt und das Gateway
      von diesem VLAN ist dann die IP des AVM FB ROuters.  ;)


  • Hallo Frank,

    Ja, das die Fritz nicht VLAN fähig ist war mir klar, aus diesem Grund wollte ich ja auch pfSense dafür nutzen.

    Von weiteren Geräte-Anschaffungen würde ich gerne absehen, da es zum einen wieder weitere Investitionen sind und ein weiteres Gerät auch wieder mehr Stromverbrauch bedeutet (so gering der auch ausfällt).
    Das NAS läuft sowieso 24/7, hat genug Power und soll vorerst genügen. Berechtigte Einwände für ein separates Gerät gibt es, aber ich würde gerne bei diesem Weg bleiben und mit den Ressourcen arbeiten die ich hier vorhanden habe,

    Ich hatte bis vor kurzem einen WDR4300 mit OpenWRT hier rumfahren, doch (sei es durch persönliches Unvermögen oder sonst was) bin ich nicht recht damit klargekommen.

    Was wären denn deiner Meinung nach die ersten Schritte die ich mit meiner aktuellen Konfiguration unternehmen sollte?



  • @Wassermann:

    … die von dir vorgeschlagene Art der Anbindung so ziemlich viele Schnittstellen verbraucht, die ich anders nutzen könnte/muss. Die Win7-VM muss ein dediziertes NIC haben, womit wir also bei 3 übrigen wären. ab 4 VLANs wären dann dementsprechen bereits nicht mehr genügend NICs vorhanden, um es so zu machen wie du meinst.
    pfSense der Engpass? Verstehe ich nicht ganz... Das NAS müsste doch genug Power habe?

    Moment, gemach gemach! Du kannst auf einem Interface durchaus mehrere VLans stressfrei fahren.
    Aufgedröselt wird das am Switch. Du kannst mehre VLAN tagged auf einer Leitung zum Switch führen, der dröselt das dann in untagged Ports für die Clients auseinander. Wobei Du natürlich über die physischen Grenzen der Schnittstellen nicht hinaus kommst.
    Vostellung: 4 Vlans übertragen gleichzeitig mit Volldampf auf einem Gigabit Port, wenn alles gut geht hast Du dann knappe 25% für jedes VLAN übrig. Du siehst es macht nicht immer Sinn alles auf ein Interface laufen zu lassen.

    Angenommen Dein NAS hängt in VLAN 1, wie sollen jetzt die Daten des Clients aus VLAN 2 dahinkommen?
    Richtig, mit einem Router, das wäre ein Deinem Fall pfSense, das ist der Engpass, nicht Dein NAS.
    Evtl. kann Dein NAS ja selber mit VLAN umgehen, dann besteht diese Problem natürlich nicht.

    -teddy



  • Kannst du mir mal Faktoren oder ein greifbares Beispiel nennen inwiefern pfSense zum Engpass wird, stehe da anscheinend etwas auf dem Schlauch…

    pfSense hat doch nur die Aufgabe jedem Datenpaket zu sagen, welchen Weg es nehmen muss, sozusagen die Weichen stellen.
    Dafür muss dieses Datenpaket doch aber nicht zwangsläufig in seiner kompletten Größe durch den Router fließen oder?

    hab gerade im NAS nachgeguckt, jedem Port lässt sich ein VLAN zuordnen.



  • @Wassermann:

    pfSense hat doch nur die Aufgabe jedem Datenpaket zu sagen, welchen Weg es nehmen muss, sozusagen die Weichen stellen.
    Dafür muss dieses Datenpaket doch aber nicht zwangsläufig in seiner kompletten Größe durch den Router fließen oder?

    Doch es muss komplett druch.
    Die PfSense in der Funktion als Router sagt der Paketen nicht wo die hinsollen sondern wie der Namen schon sagt routet sie die Pakete.  Wenn sie nun Router zwischen zwei Netzen (VLAN's) ist dann muss jedes Paket da druch und zwar komplett

    Wenn du das verhindern will muss das NAS in jedem Netz eine Schnittstelle haben dann muss nix durch den Router.



  • @Wassermann:

    Dafür muss dieses Datenpaket doch aber nicht zwangsläufig in seiner kompletten Größe durch den Router fließen oder?

    doch  8)

    hab gerade im NAS nachgeguckt, jedem Port lässt sich ein VLAN zuordnen.

    Ein Problem weniger  ;)

    Was für einen Switch hast Du?

    -teddy



  • Doch es muss komplett druch.
    Die PfSense in der Funktion als Router sagt der Paketen nicht wo die hinsollen sondern wie der Namen schon sagt routet sie die Pakete. 
    Wenn sie nun Router zwischen zwei Netzen (VLAN's) ist dann muss jedes Paket da druch und zwar komplett.
    Wenn du das verhindern will muss das NAS in jedem Netz eine Schnittstelle haben dann muss nix durch den Router.

    Mhm ok, Denkfehler erkannt, Denkfehler gebannt.
    In der aktuellen Zusammenstellung könnte ich sogar auf den NAS in 2 (von 4) VLANs verzichten, was dann 1 NIC pro VLAN ergeben würde und somit passen würde.

    Habe ich jetzt aber richtig verstanden, dass durch die Tatsache dass mein NAS VLAN unterstützt dies egal ist?

    @teddy

    Vorliegende Hardware:

    • Switch: TP-Link TL-SG3424P (VLAN, LACP,… etc. -fähig)
    • NAS: QNAP TS-470 Pro (i5 3570s, 16GB RAM)
    • FritzBox 6360 Cable (unitymedia)


  • Moin,

    @Wassermann:

    Kannst du mir mal Faktoren oder ein greifbares Beispiel nennen inwiefern pfSense zum Engpass wird, stehe da anscheinend etwas auf dem Schlauch…

    stell Dir jedes VLAN als eigenes Netz vor, weiterhin stellst Du dir statt einen VLAN tauglichen Switch entsprechend der Anzahl der VLAN einzelne Switche vor. Wie kommen jetzt die Datenpakete von einem VLAN / Netz ins andere?

    • Der einfachste Fall, Du verbindest die Switche mit Patchkabel, dann hättest Du auch einen größeren Switch nehmen können es ist eh alles eine Suppe  :o

    • Über einen Router der die Datenpakete ins richtige Netz schleust  ;D

    • Auch ein Layer 3 Switch kann die Funktion des Bitschubsers übernehmen

    -teddy



  • OOOOOOOK….. :)

    Nachdem wir nun jetzt aufgedröselt haben...
    ....was die Aufgaben des Routers sind
    ....wie dieser zum Engpass werden kann
    ....wie wir die Auslastung des Routers verhindern (NAS entweder einem VLAN zueordnen ODER je ein NIC an ein VLAN anbinden)

    ... können wir ja mal einen Schritt weiter gehen und uns angucken, was ich nun als erstes hierfür im pfSense einstellen muss.  ;D

    @teddy

    Ja soweit habe ich die Theorie mit dem Router und Layer 2/3 verinnerlicht, würde aber trotzdem gerne bei meinem Layer 2 switch in Verbindung mit pfSense als VM im Layer 3 arbeiten.



  • Moin,

    @Wassermann:

    Ja soweit habe ich die Theorie mit dem Router und Layer 2/3 verinnerlicht, würde aber trotzdem gerne bei meinem Layer 2 switch in Verbindung mit pfSense als VM im Layer 3 arbeiten.

    klar, und ich werde den Teufel tun um dich davon abzuhalten  ;D, es macht ja auch Sinn erstmal zu verwurschten was man hat, habe ich auch oft genug gemacht.

    Check doch mal ob Dein NAS LACP tagged mit 2 VLan unterstützt, dann hättest Du kein Problem, aber ich glaube eher nicht.

    -teddy



  • klar, und ich werde den Teufel tun um dich davon abzuhalten  ;D, es macht ja auch Sinn erstmal zu verwurschten was man hat, habe ich auch oft genug gemacht.

    hmmm… ich hoffe das war jetzt nicht ironisch gemeint :)

    Check doch mal ob Dein NAS LACP tagged mit 2 VLan unterstützt, dann hättest Du kein Problem, aber ich glaube eher nicht.

    Hm also ich hab jetzt sowohl das internet als auch die Bedienungsanleitungen durchforstet, aber ich denke, dass nach dem was du fragst, mein NAS nicht kann…Die einzige Einstellungsmöglchkeit die ich diesbezüglich habe siehst du oben... (gut anscheinend kann das NAS noch einen DHCP für entsprechenden Port aufsetzen, aber das ist ja mal gerade ganz schnurz)
    Wie gesagt, ich poche jetzt mal nicht darauf das LACP am Leben zu erhalten. im schlimmsten fall kommt halt ein NIC in VLAN 1, der andere in VLAN 2 und das LACP wird aufgelöst...


Log in to reply