2 Vlans auf Layer 2 switch über pfsense routen?



  • Hi Leute,

    ich bin grade erst dabei viele Grundlagen zu verstehen und stelle mir grade die Frage, ob das was ich vorhabe überhaupt möglich ist.

    Keine reine pfSense Frage an der Stelle, aber ich denke für euch durchaus beantwortbar :-)

    Ich hab hier nen Layer2 HP1810G-24 Port Switch und meine pfSense eben.

    Was ich mir nun dachte ist, ein VLAN neben dem default vlan auf dem switch einzurichten in dem mein Homelab hängt.

    Sagen wir z.b.

    VLan 1: 192.168.1.0 /24
    VLan 2: 192.168.2.0 /24

    Ist es nun möglich dass ich A) Innerhalb meines LANs von VLAN 1 nach VLAN 2 kommunizieren kann und B) Beide VLans Zugang zum WAN haben?

    Falls ja, wie stelle ich das ganze an? Bin grade etwas ratlos.

    Hab natürlich gegoogelt aber ich nehme fast an das ich da irgendwas falsch verstehe.

    Ich habe zumindest schon kapiert, dass wenn die VLANs untagged sind, ich sie nur mittels kabel untereinander verbinden könnte.

    Bin für jede Hilfe dankbar!

    Ceo



  • Klar geht das.
    Wie willst Du's denn haben bzw. wie viele Netzwerk-Buchsen hat Deine pfSense insgesamt / noch frei?

    Bei je einer physikalischen Buchse für LAN und OPT1 (wird später Dein Lab) kannst Du in der pfSense ein 2. Interface "Opt1" anlegen und LAN auf einen Port von VLAN 10 und Opt1 auf einen Port mit VLAN 20 Deines Switches stecken.

    Hast Du keine 3 NICs an Deiner pfSense (1x WAN, 1x Lan, 1x Opt1) dann geht das immer noch, wird nur etwas schwieriger zu konfigurieren.

    Was immer Du mit VLANs machst, erinnere Dich an 2 Dinge:
    -nutze VLAN ID 1 ausschließlich für gar nichts (auch der 1810G kommt damit als default, bei vielen anderen Geräten kannst Du es nicht ändern, was zu Problemen führt)
    -mische nie tagged und untagged Verkehr auf einem Interface, das kann mal funktionieren und mal auch wieder nicht. Sicher ist, dass es nicht sicher ist.  ;-)



  • Servus.

    Meine pfSense hat 3 interfaces. Wäre also möglich.

    Wie meinst du VLAN ID1 für gar nichts?

    Bezüglich der Vlans müsste ich also für mein normales LAN eine Verbindung zur pfSense stecken und für das homelab vlan richtig?

    Gehen wir mal davon aus, port 1-12 VLAN1, d.h. meine Lan Geräte(z.b.) auf Port 1-11 und die pfSense auf Port12.

    Für das Homelab Ports 13-24, homelab geräte auf ports 13-23, pfSense auf Port 24.

    Somit wären alle ports Untagged? Wofür braucht man dann tagged ports?

    Was meinst du mit OPT1?

    Falls du dir die Zeit nimmst meine Fragen zu beantworten, danke! :D

    EDIT: Ich hätte auch einen Cisco 2800 in meinem homelab. Wäre es somit möglich, den Cisco Router ins Homelab VLAN zu hängen und eine Route zur pfSense aufzubauen? Oder müsste da der Cisco router auch direkt mit Vlan1 verbunden sein?



  • Moin,

    @ceofreak:

    … Wofür braucht man dann tagged ports?

    Um die VLan Information zwischen den Geräten, die mit VLan Tags umgehen können, zu übertragen.

    Beispiel:

    Lan Interface pfSense mit 3 virtuellen Interfaces: VLan 10, 20, 30 kommen über eine physische Leitung zum Switch, da die Ports tagged sind kommen die VLan Informationen beim Switch an und er kann sie auf die Access mappen.

    Das ist gerade der "Trick" Du hast 1 physische Verbindung aber im Beispiel 3 logische Verbindungen die völlig separat funktionieren und kein Datenverbindung zulassen ohne ein routendes Element dazwischen.

    -teddy



  • @ceofreak:

    Wie meinst du VLAN ID1 für gar nichts?
    … port 1-12 VLAN1

    Nee, eben NICHT VLAN1 sondern eine ID zwischen VLAN2 und VLAN4096. (nix heißt nix und nicht Port 1-12  ::) )
    Dafür musst Du auch Deinen Switch so konfigurieren, dass das Management VLAN dann auch nicht mehr auf der ID1 liegt.

    Deinem Switch gibst Du die Ports 1-12 in, sagen wir, VLAN ID10. Alles untagged (während Du selbst auf einem der übrigen Ports steckst, sonst schiesst Du Dich raus). Dann Management VLAN ID ebenfalls auf 10 setzen und nach dem Speichern dann auf einen dieser Ports umstecken.
    Anschließend die Ports 13-24 in VLAN ID20, ebenfalls untagged, legen.

    Damit hast Du Deinen Switch in zwei separate Einheiten unterteilt. Von jeder Hälfte musst Du nun ein Kabel in die pfSense zeihen.
    Hat den Vorteil, dass Du zwischen Deinen VLANs mit eigenen Leitungen bei voller Geschwindigkeit routen kannst (sofern die pfSense das schafft).
    Bei Verwendung eines Trunks mit 2 VLANs hast Du maximal die halbe Leitungsgeschwindigkeit, da sich die Leitungsgeschwindigkeit durch die Anzahl der VLANs im Trunk teilt.



  • Wenn du auf einem Trunk mit 2 VLANs genau zwischen diesen beiden routest hast du trotzdem fast volle Leitungsgeschwindigkeit, da es sich auf RX und TX aufteilt ;)

    Aber klar, wenn freie Interfaces vorhanden sind diese natürlich exklusiv für die VLANs verwenden.

    Bei 20+ VLANs funktioniert das dann leider nicht mehr so gut 8)