Umbau Netzwerkstruktur (VLAN)


  • Hallo,

    nachdem ich nun seit dieser Woche aufgrund der Schwierigkeiten mit einem neuen Hybrid-Anschluss einen zweiten WAN-Anschluss mit einer reinen DSL-Leitung hinzubekommen habe, möchte ich in Kürze die bestehende Netzstruktur bereinigen/umbauen. Diese ist historisch als ein Netz gewachsen und besteht derzeit bereits aus über 50 Geräten.

    Vorhandene Hardware / Ist-Zustand:

    • PC Engines APU1D4 Appliance (3x Gigabit LAN)
    • WAN1: DSL Annex-J mit Modem an pfsense, 13/1,5 MBit/s Down/Up
    • WAN2: Speedport Hybrid mit Transfernetz, max. 66/12,5 Mbit/s Down/Up
    • HP 1810-24G Switch (VLAN-fähig)

    Insbesondere stellt sich mir die Frage, welche Ports an der APU weiterhin physikalisch genutzt werden sollten und welche man gefahrlos mittels VLAN bedienen kann. Macht es beispielsweise Sinn, die WAN-Ports in je einem eigenen VLAN unterzubringen und auf einen physikalischen Port zu leiten, läuft das stabil? Sollte eine DMZ prinzipiell besser nicht als VLAN sondern schon physisch getrennt an einem Port + separatem Switch hängen?

    Wie geht man bei der Umstellung am besten vor - alles frisch und neu aufsetzen, oder die VLANs neben dem normalen LAN zusätzlich konfigurieren, alle Änderungen am Switch vornehmen und zum Schluss das Routing entsprechend einstellen?

    Grüsse,

    Michael


  • Die Interface-Aufteilung der APU zu überdenken ist sicher ein guter Ansatz.
    Wenn Du an WAN1 ein Modem im Bridge-Modus für das Annex-J betreibst, dann musst Du da sicherlich auch PPPoE auf der pfSense machen.
    Ich habe Zuhause damit das Problem, dass ich dann nur noch ca. 8Mb/s Durchsatz erhalte anstatt der 100Mb/s, wenn das vorgeschaltete ZyXEL VMG1312-B30A im Routenmodus läuft. Also habe ich es so belassen und VoIP funktioniert plötzlich auch viel stressfreier (parallel zum pfSense WAN).

    Überlege Dir, von wo nach wo am meisten Traffic fließt. Wenn es machbar ist, dann solltest Du das auf zwei physikalische Interfaces legen.

    Wenn Du VLANs verwendest, dann benutze bitte NICHT das VLAN1, da das zu div. Problemen führen kann (default in fast allen Geräten und bei einigen nicht änderbar).


  • Hallo Chris,

    am ersten WAN-Port hängt ein ALLNET Modem am Annex-J Anschluss, welches von der pfsense direkt per PPPoE angesteuert wird. Das benötige ich leider separat, da ich am Speedport Hybrid mit dem Double-NAT bzw. fehlendem QoS massive Probleme mit den VOIP-Geräten hatte. Ich habe diese derzeit per Alias in einer Gruppe zusammengefasst und route den Traffic mit einer Firewall-Rule direkt an das Gateway mit dem Modem, alles andere geht momentan per Default über den Hybrid-Router.

    Wichtig wäre mir insbesondere eine Trennung der Netzbereiche in Privat, Firma, Voip-Geräte und evtl. DMZ. Die Wifi-Geräte kämen dann noch mit zwei weiteren SSIDs in deren VLANs hinzu. Ich war auch schon am überlegen ob es sinnvoller wäre, auf Hardware mit einer größeren Anzahl an Netzwerkports zu wechseln, allerdings halte ich die Einteilung per VLAN dann doch für sinnvoller zumal der Switch das problemlos beherrscht.

    Wenn ich dich richtig verstanden habe, sollte das DSL-Modem dann besser an einem eigenen Port direkt an der pfsense verbleiben? Ein Grossteil des Traffics wird sicherlich innerhalb des Firmennetzwerkes entstehen (Kopieren von/auf den Fileserver/NAS), gefolgt vom Datenverkehr vom Speedport Hybrid in das Private- und das Firmennetz. Solange die Daten nicht VLAN-Übergreifend übertragen werden, geschieht das alles direkt über den Switch und muss demnach nicht über die pfsense geroutet werden, liege ich da richtig? Oder geht der gesamte Traffic grundsätzlich immer über die pfsense, wo dann jeweils in der Firewall entschieden wird was erlaubt ist?

    Grüsse,

    Michael


  • Moin,

    nein, das siehst Du richtig, Geräte im gleichen VLan können direkt mit einander kommunizieren der Verkehr läuft nicht über den Router.
    Wenn Du später doch mal mehr VLan übergreifenden Datenverkehr kannst Du ja noch immer einen Layer 3 Switch vor die pfSense setzen, darüber flutschen die Bits zwischen den VLans mit Wirespeed und belasten die APU nicht.

    @jahonix: Ich habe das Zyxel auf der Arbeit als DSL Modem laufen, habe zwar nur einen 35Mbit Anschluss und Sync mit 33Mbit aber das Teil macht keine Probleme ..

    -teddy


  • Hi teddy,

    danke für die Rückmeldung, dann weiss ich dahingehend schonmal Bescheid. Wie sieht es denn bei der Priorisierung von Traffic aus, kann das dann direkt über die "VLAN Priority" gelöst werden oder sollte das weiterhin per Traffic-Shaper laufen? Bei den VOIP-Geräten würde ich das gesamte VOIP-VLAN auf das WAN-Interface mit dem DSL-Modem leiten, aber wenn im Privat/Firmennetz einmal ein größerer Upload läuft, dann sollte die Download-Richtung natürlich nicht negativ beeinflusst werden. Wenn ich einen normalen Ping auf einen externen Host starte und parallel einen Upload, dann gehen die Ping-Zeiten massiv nach oben (Bufferbloat ?). Vorher (mit einem WAN-Port) hatte ich das ganze über den Traffic-Shaper mit PRIQ Queues gelöst, momentan bin ich aber unsicher wie ich das ganze konfigurieren soll - der zweite WAN-Port hat leider keine fixe Up-/Downloadrate aufgrund des LTE-Turbos im Speedport-Hybrid. Genügt es dort die Queues mit CODELQ zu konfigurieren, oder wird das dann doch umfangreicher?

    Grüsse,

    Michael


  • @magicteddy:

    Ich habe das Zyxel auf der Arbeit als DSL Modem laufen, habe zwar nur einen 35Mbit Anschluss und Sync mit 33Mbit aber das Teil macht keine Probleme ..

    Ich fürchte, dass das eher ein Problem der pfSense auf APU1D ist als ein Modem Problem. Die macht im Bridge-Mode halt PPPoE selbst, und das nicht so gut.
    Ich habe momentan aber weder alternative Hardware zum Testen zur Verfügung noch die geringste Lust, am jetzt funktionierenden System zu schrauben. Dann wird die Familie wieder verrückt, wenn da auch etwas mal wieder nicht läuft. (ich muss den Ball gerade etwas flach halten… Drucker wirft nur noch Mist raus, VoIP nicht stabil, LED-Dimmer geht nur sporadisch, HomeServer/NAS verstorben, ...  :-(
    Das Modem Synct mit 42/109Mb/s und die habe ich jetzt auch, denn WAN der pfSsense als DHCP Client konfiguriert ist.
    Ich wollte den Thread jetzt aber nicht hijacken, sorry!


  • Ist ein Invest in ein Layer3 Switch noch drin?


  • Bringt der Austausch auf einen Layer3 Switch denn signifikante Vorteile? Inwieweit würde dann die Kommunikation mit der pfsense verlaufen, welche normalerweise das Routing übernimmt?


  • Ich bin der Meinung, dass das LAN und WLAN Routing nicht auf die pfSense gehört, zumal die Hardware auch sehr schwach ist.
    Ein Layer 3 Switch switched und routet mit Line-Speed.

    Ehrlich gesagt ist das Konzept in meinen Augen lediglich ein Proof-of-Concept, was sicherlich funktioniert, aber mehr Nachteile als Vorteile hat.

    Wenn Geld da ist, dann kaufe dir ein Layer 3 Switch und nutze es als Router für alle LANs und WLANs und setze die pfSense auf die Default Route. Alle deine Netze Forwarden dann auf einen "richtigen" Router und alles nicht auszulösende würde dann eh schon auf pfSense gehen(default route). Zusätzlich ist das Thema Single Point of Failure auch schon wieder entschärft.

    Guck mal hier: http://www.ebay.de/itm/DELL-PowerConnect-6224-24-Port-Switch-/322082472877?hash=item4afd9c83ad:g:DFoAAOSwPhdVEWA-
    Power Connect 7000 gehen auch hin und wieder gebraucht für das Geld weg.
    Alternativ, anspruchsvoller aber eine andere Klasse, Force10 Switches.


  • Moin,

    @shiversc:

    Ich bin der Meinung, dass das LAN und WLAN Routing nicht auf die pfSense gehört, zumal die Hardware auch sehr schwach ist.

    Wenn Geld da ist, dann kaufe dir ein Layer 3 Switch und nutze es als Router für alle LANs und WLANs und setze die pfSense auf die Default Route.

    Es kommt doch darauf wieviel Verkehr zwischen den Netzen zu routen ist. Solange es überwiegend um das Routing ins WAN geht und die DMZ keine große Rolle spielt ist doch alles gut. Ich persönlich würde mir lieber einen Cisco SG 300 neu kaufen der liegt preislich ähnlich.

    @michaeljk
    Jein  :D der Layer 3 Switch bringt dann richtig was wenn Du intern zwischen den Netzen Daten schubsen willst. Du hast dann intern zwischen den einzelnen Netzen auch vollen Durchsatz den die NICs der beteiligten Geräte bieten können und bist nicht auf die Leistung der APU angewiesen. Innerhalb des jeweiligem Netzsegmentes ändert sich nichts außer Dein jetzige Switch macht hier zicken.
    Ich erreiche hier ~55MByte/s zwischen LAN & Gastnetz über die APU1D4 an getrennten Anschlüssen, in meinem Fall vollkommen ausreichend da außer ggf. mal VNC kein Verkehr zwischen dem privatem LAN und dem Gastnetz nötig ist.

    -teddy


  • Danke für eure Rückmeldungen :-) Ich hätte hierzu aber noch zwei Verständnisfragen:
    Zur Zeit läuft auf der pfsense eine einfache Standard-Konfiguration, also keine zusätzlich installierten Pakete oder sonstiges - vor allem WAN-Routing, Firewall und DHCP. Würde man mit dem neuen Layer3-Switch dann den bisherigen HP-Switch ersetzen? Werden die Routing-Regeln für die internen Netze direkt auf dem Switch konfiguriert?


  • Wenn du den jetzigen Switch ersetzt und den neuen in den Layer3-Modus versetzt solltest du das Routing der Netze natürlich am Switch selber vornehmen, um Wirespeed beim Routing zwischen den Netzen zu erhalten.

    OT:Ist ein Cisco SG 300 einem HP 1920 vorzuziehen?


  • Moin,

    @Marvho:

    OT:Ist ein Cisco SG 300 einem HP 1920 vorzuziehen?

    HP scheint in der Preisklasse auch nur Standardware aufzukaufen und mit HP Aufklebern zu Tapezieren damit sind die für mich  persönlich außen vor. Sobald bedarf ist kommt hier der SG 300 ins Haus.

    -teddy


  • Ohne die durchschnittlichen Paketgrößen, Anzahl der Netze usw zu kennen sind zu erwartende "~55 MBit" echt nicht viel und unter Summe Bandbreite der WAN Leitungen.

    Im den genannten Preissegment der Switches kochen alle nur mit Wasser.

    Wer kann Switches ohne CLI managen, bzw. wer möchte das?
    Bei Ebay gibt es gebrauchte Force10 Switches, das FTOS ist einfach nur der Wahnsinn. Admin in Love with CLI.

    Bezüglich des Routings ist es so, wie schon erwähnt. Das HP-Switch kannst du aber dann auch wieder als z. B. Access-Switch nutzen.


  • Moin,

    habe meinen Beitrag korrigiert, es sind ~55MByte/s zwischen den Netzen, getestet mit Netio.

    -teddy