Mehrere ip Bereiche auf einer NIC



  • Moin,

    wie kann ich auf dem LAN Interface einen weiteren IP Bereich zuweisen?
    mein LAN Interface hat die 192.168.3.1 und ich will die 192.168.1.1 auch auf diesen Interface haben.
    wie mache ich das, habe auch leider keine ahnung unter was ich suchen soll.
    ich setze pfSense 2.2.6 ein.



  • Was für einen Grund gibt es das zu tun? Beschreib mal bitte dein Einsatzszenario.

    Wenn man an LAN einfach eine zweite IP bindet wie bei einem normalen Betriebssystem gäbe es schon wegen der Firewallregeln verschiedenste Probleme insbes. beim Routing. Sollen das denn getrennte Subnetze werden?

    Ansonsten: Firewall / Virtual IPs.



  • sorry, hätte ich auch gleich machen sollen (ich sagen auch immer zu meinen usern, wie ist die user story)
    wenn ich hardware bekomme ist meist die hardware nicht mit dhcp aktiviert, in meinem fall ist ist die hardware im ip bereich 192.168.1.0/24



  • wie kann ich auf dem LAN Interface einen weiteren IP Bereich zuweisen?

    Es gibt dazu zwei Möglichkeiten die man einsetzten kann.

    • Je LAN Port einen anderen IP Adressbereich einsetzen und an jeden LAN Port auch einen Switch für mehrere
      Geräte oder eben einen LAN Port mit einem Gerät, was dann versorgt wird oder aber man nutzt VLANs an einem
      Interface (LAN Port) und hat dann dort mehrere VLANs und jedes hat seinen eigenen IP Adressbereich allerdings
      muss dann hier ein Switch benutzt werden.

    mein LAN Interface hat die 192.168.3.1 und ich will die 192.168.1.1 auch auf diesen Interface haben.

    Einfach zwei VLANs anlegen und jedes hat dann seinen eigenen IP Adressbereich.

    • VLAN50 privat - 192.168.3.0/24 (255.255.255.0)
    • VLAN60 büro - 192.168.1.0/24

    wie mache ich das, habe auch leider keine ahnung unter was ich suchen soll.
    ich setze pfSense 2.2.6 ein.

    Am besten besorgt man sich dann einen VLAN fähigen Switch dazu und das ist dann auch schon wieder
    abhängig von der Anzahl der Geräte die versorgt werden sollen, also sprich wie viele Ports der Switch haben soll.



  • ja die idee hatte ich auch schon, nur bin ich noch nicht sicher in vlan, die hardware ist alles vorhanden.
    2 x 8 port manageswitch (TP-Link TL-SG2210P 8-Port Gigabit Desktop PoE Smart Switch)

    Ist mein vorgehen richtig?:

    • pfsense VLAN anlegen & Interface zuweisen
    • pfsense Interface mit ip bereich & VLAN zuweisen
    • im switch einen Port an dem die Neue Hardware angeschlossen wird auch das VLAN 50 zuweisen

    oder habe ich da einen gedanken fehler?

    aber so geht es nicht….








  • Hallo nochmal,

    in der Regel muss ein VLAN auf beiden Seiten gleich angelegt werden. Von der pfSense zu einem Switch
    muss der VLAN Port in der Regel "tagged" sein und dazu legt man in der Regel auf beiden Geräten ein VLAN
    an und steckt dann an beide Ports auch gleich die Kabel an. Das sollte völlig unkompliziert laufen und keine
    Probleme bereiten.



  • Wenn du an deinem Switch auf Port 8 die pfsense hast, musst du den so einstellen:

    VLAN1 untagged, PVID 1
    VLAN50 tagged

    Dann kannst du einen anderen Port nehmen für deine Hardware:

    VLAN50 untagged, PVID 50
    und VLAN1 NotMember



  • Der Ansatz mit VLANs ist sicherlich sinnvoll.

    @l4k3k3m4n:

    VLAN1 untagged, PVID 1
    VLAN50 tagged

    Ne, das lass mal lieber!
    Mische NIE tagged und untagged traffic auf einem Interface. (ich habe genau 1 Szenario wo ich das brauche, das ist aber völlig unüblich)
    …und in dem Zuge (ich komme mir vor wie eine kaputte Schallplatte): Nutze VLAN 1 exklusiv und ausschließlich für gar nichts!

    VLAN1/PVID1 ist in den meisten Geräten der default Wert und kann in ganz vielen Geräten nicht geändert oder anders verwendet werden. Daher nutze NUR VLAN IDs 2-4ß96, dann läufst Du nicht Gefahr, Dir durch VLAN ID1 ein Problem zu generieren.
    (ich habe hier ein halbes Dutzend TP-Link Switch - die haben alle das Problem diese Eigenschaft)



  • Vorgehen ist wie folgt:
    Dein IF igb1 benutzt Du als "Parent interface", auf dem Du 2 VLANs anlegst
    a) LAN zB VLAN 10
    b) test zB VLAN 20

    Das Interface igb1 ist dann Dein Trunk, den Du mit dem Switch verbindest.
    Im Switch definierst Du die gleichen VLANs (zB 10 & 20), wobei per Port, an dem die pfSense hängt, nur TAGGED traffic erlaubt und beide VLANs enthält.
    Die restlichen Ports definierst Du nach Bedarf mit VLAN10 oder 20 UNtagged.

    Ich baue dann immer gleich noch ein VLAN30 als "spare", dann brauche ich das später nicht erneut anfassen, wenn's benötigt wird.
    Viel Erfolg!

    PS: die VLAN IDs 5, 11 & 12 findest Du nicht in meiner pfSense, die existieren nur auf den Switchen.

    ![Bildschirmfoto 2016-02-22 um 00.16.23.png](/public/imported_attachments/1/Bildschirmfoto 2016-02-22 um 00.16.23.png)
    ![Bildschirmfoto 2016-02-22 um 00.16.23.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2016-02-22 um 00.16.23.png_thumb)
    ![Bildschirmfoto 2016-02-22 um 00.18.23.png](/public/imported_attachments/1/Bildschirmfoto 2016-02-22 um 00.18.23.png)
    ![Bildschirmfoto 2016-02-22 um 00.18.23.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2016-02-22 um 00.18.23.png_thumb)



  • @jahonix:

    Ne, das lass mal lieber!
    Mische NIE tagged und untagged traffic auf einem Interface. (ich habe genau 1 Szenario wo ich das brauche, das ist aber völlig unüblich)

    Sorry, aber wie bitte ??  :o . Das macht 1) keine Probleme und 2) ist es nicht unüblich die PVID untagged mitlaufen zu lassen.

    @jahonix:

    …und in dem Zuge (ich komme mir vor wie eine kaputte Schallplatte): Nutze VLAN 1 exklusiv und ausschließlich für gar nichts!

    Das war ja nicht die Frage, sondern kam aus der Vorgabe.
    Aber ja, kann man gerne vermeiden. Wobei ich seit Ewigkeiten keine Gerät mehr in den Händen hatte, wo VLAN1 in Stein gemeißelt war. Vielleicht muss ich mehr Schrott kaufen  ;)


  • Moderator

    Sorry, aber wie bitte ??  :o . Das macht 1) keine Probleme und 2) ist es nicht unüblich die PVID untagged mitlaufen zu lassen.

    Sorry erneut, aber das "keine Probleme" mag bei dir so sein, jeder Netzwerker oder CCNE aufwärts bekommt das aber abgewöhnt. Ganz schnell. Es gibt auch durchaus Geräte die das nicht können oder Probleme mit haben. Darum hat Chris mit der Aussage "soll man nicht mixen" durchaus recht. Kann man machen, will das aber normalerweise nicht.

    Aber ja, kann man gerne vermeiden. Wobei ich seit Ewigkeiten keine Gerät mehr in den Händen hatte, wo VLAN1 in Stein gemeißelt war. Vielleicht muss ich mehr Schrott kaufen  ;)

    Nö du musst (leider) nur teuer kaufen. Cisco oder Juniper hatten wir erst vor kurzem noch bei einem Switch eine Generation, bei dem eine ID eingebrannt war als Default, was dem auch nicht abzugewöhnen war und richtig nervig noch dazu. Kann richtig ätzend werden… Und wenn man schon die Möglichkeit hat wie der TE, das gleich schön sauber einzutüten, sollte man davon Gebrauch machen :)



  • Jep genau, es hat bei mir und in keinem von mir gesehenen Szenario jemals Probleme bereitet. Ich kann mich natürlich nur auf bisher gemachte Erfahrungen beziehen. Ich kann nicht für die Weltbevölkerung sprechen ;) Sorry für die falsche Wortwahl.

    Aber ich kann - in aller persönlichen Bescheidenheit - ganz gut einschätzen, dass es eben nicht "völlig unüblich" ist, so eine Konfiguration vorzufinden. Da fand ich die "Belehrung" etwas am Ziel vorbei.

    Richte ich es so ein wenn ich die freie Wahl habe? Nein. Habe ich auch nicht geschrieben.

    Ich bin lediglich auf die Fragestellung eingegangen und habe anhand der Vorgabe des TE eine einfache und schnelle Lösung gezeigt. Und ich bin sicher die funktioniert bestens.



  • Aus eigener leidvoller Erfahrung kann ich nur empfehlen: mach es von Anfang an gleich den Standards entsprechend, dann musst Du später nicht umbauen.
    (und ich schrieb bewusst nicht: mach' es gleich richtig)



  • Ich habe ein ähnliches Anliegen. Allerdings habe ich keinen VLAN fähigen Switch.
    Mein normales Netz ist 192.154.13.1.

    Nun habe ich einen Server, auf dem Proxmox läuft und viele virtuelle Maschinen bereitstellt. Dieser soll seinen eigenen, sichtlich getrennten IP Pool haben. z.B. 10.0.10.1. Proxmox läuft hier auf einem HP Proliant ml10 und ist per LAN mit dem Netzwerk verbunden. Proxmox hat sich automatisch eine Bridge eingerichtet, die ihm Zugriff eth0 des Servers gewährt. Dort gibt es zumindest einen "VLAN Aware" Button.

    Zur Frage "warum das Ganze": da ich auf dem Server mit diversen VM experimentieren möchte, soll mein "haupt" Netzwerk nicht mit unzähligen DHCP IPs gefüllt werden. Ich habe es da lieber übersichtlich und würde gerne nur die Geräte, die auch produktiv zusammenarbeiten, in meinem Hauptnetz gruppieren.



  • @benjsing:

    Mein normales Netz ist 192.154.13.1

    Nein, DAS ist nur eine IP und kein Netz (es fehlt dazu die Netzmaske). Zudem noch eine public IP, das ist so korrekt?