netzer2021
Goto Top

Feedback Network setup

Hallo zusammen,

Ich möchte mein Home-Network neu aufstellen und in diesem Zuge auch meine OPNsense neu aufsetzen. Als Hardware nutze ich einen Protectli Vault (4 Port), einen Unifi Lite 8 PoE sowie 2x Unifi AP U6 Lite.

Mein gewünschtes setup seht ihr hier: Hinweie: Das Diagram hat keinen Anspruch richtige Verwendung von Symbolen etc face-smile es dient eher als grobe Orientierung.

So ganz bekomme ich es noch nicht zusammen:


Ich benötige auf meinem Switch das LAN als auch alle VLANs.
Das LAN damit die angeschlossenen AP eine IP aus dem LAN Netz erhalten wie auch die OPNsense und der Switch
Die vlans da ich über den Switch das WLAN ausgeben möchte, aber auch access für devices im jeweiligen vlan benötige

Dem entsprechend könnte ich doch (wenn ich nicht zwei Trunk Ports nutzen möchte) die vlans alle mit dem parent LAN versehen und alle Netze damit über igb1 an den Switch geben um sie dort weiter zu verteilen. Was würde dagegen sprechen?

Damit verbaue ich mir doch aber die Möglichkeit den einen dedizierten LAN Port auf der Protectli zb igb2 zu haben über den ich per LAN access zum Device erhalten würde (nur über diesen) da ich das LAN ja bereits auf einen anderes device igb1 assigned habe, richtig?

Würde ich zb das lan und vlan0.30, vlan0.40 auf einen adneren Port legen um die IPs zu vergeben, und wlan abzugeben könnte ich diese netze nicht mehr auf einem anderen device an der protectli nutzen. vlan0.30 benötigt zb auch physikalisch connected devices.

Wie bewertet ihr das? WIe geht ihr an eure Netzwerkplanung und habt ihr ggf. gute Links mit Beschreibungen/Anleitugnen?

Danke euch!
screenshot from 2023-11-10 14-35-49

Content-Key: 6949148549

Url: https://administrator.de/contentid/6949148549

Printed on: May 22, 2024 at 01:05 o'clock

Member: the.other
the.other Nov 10, 2023 updated at 15:25:57 (UTC)
Goto Top
Moinsen,
Beschreibungen und Anleitungen gibt es ja hier genug, zB von @aqui zu pf/opnsense oder auch VLANs... face-smile
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Was ich nicht verstanden habe: warum lässt du nicht alles über Interface zB igb1 laufen? Das LAN dann als parent interface, das die VLANs trägt. Du behältst LAN (VLAN1, default VLAN) bei plus die Anzahl der produktiven VLANs für den eigentlichen Datenverkehr. Alles geht dann über das eine Interface, auch die Vermittlung von dhcp und dns und was gebraucht wird zum Funktionieren...(bin da eben nur hobbykelleradmin).

Von den 4 Intefaces des protectli hast du dann also 1 x WAN und 1 x LAN in Benutzung, wobei letzteres eben die VLANs als Trunk mitbefördert.

Wie du dann Zugriff auf die diversen Geräte (opnsense, switch) bekommst, kannst du ja individuell einstellen (etwa nur aus VLAN1 heraus oder, falls du ein ManagementVLAN aufziehen willst, dann eben nur darüber). Dafür benötigst du nicht die Nutzung eines weiteren physischen Interfaces.

Aber vielleicht hab ich die Aufgabenstellung auch gänzlich missverstanden an diesem Freitag Nachmittag im Regen. Dann entschuldigt die Zeitverschwendung... ;)
Member: commodity
commodity Nov 10, 2023 at 15:35:52 (UTC)
Goto Top
Hallo @netzer2021
Zitat von @netzer2021:
Dem entsprechend könnte ich doch (wenn ich nicht zwei Trunk Ports nutzen möchte) die vlans alle mit dem parent LAN versehen und alle Netze damit über igb1 an den Switch geben um sie dort weiter zu verteilen. Was würde dagegen sprechen?
Du meinst mit LAN das untagged Netz, oder? Das kannst Du natürlich im Trunkport mit durchreichen.
Damit verbaue ich mir doch aber die Möglichkeit den einen dedizierten LAN Port auf der Protectli zb igb2 zu haben über den ich per LAN access zum Device erhalten würde (nur über diesen) da ich das LAN ja bereits auf einen anderes device igb1 assigned habe, richtig?
Nein, Du könntest die zwei Ports (oder mehr) bridgen.
https://docs.opnsense.org/manual/how-tos/lan_bridge.html
Schlau ist das aber wahrscheinlich nicht, siehe den Hinweis in der Doku. Die Sense hat wahrscheinlich keinen (oder keinen ordentlichen) Switch-Chip und muss den Traffic dann über die CPU leiten. Besser ist es, dafür noch einen zweiten Port am Switch vorzusehen, der dann auch im LAN ist. Wenn der Switch keine Ports mehr hat, kaufe einen größeren face-big-smile.
Würde ich zb das lan und vlan0.30, vlan0.40 auf einen adneren Port legen um die IPs zu vergeben, und wlan abzugeben könnte ich diese netze nicht mehr auf einem anderen device an der protectli nutzen.
Mit einer Bridge (s.o.) schon.
Wie bewertet ihr das? WIe geht ihr an eure Netzwerkplanung und habt ihr ggf. gute Links mit Beschreibungen/Anleitugnen?
Alles, was Du für VLANs brauchst, bekommst Du mundgerecht (und vielen vertiefenden Links) hier. Den Rest bei Wikipedia, Google und dem OPNsense Manual.
Vor dem Planen kommt das Verstehen. Wenn Du das Tutorial nachts um 3 frisch geweckt ohne Vorlage nachstellen kannst, bist Du soweit face-wink

Viele Grüße, commodity
Member: Spirit-of-Eli
Spirit-of-Eli Nov 10, 2023 at 18:09:14 (UTC)
Goto Top
Moin,

anstatt zu bridgen würde ich an der Sense zwei Ports per LACP an den Switch binden. Deutlich effektiver.

Gruß
Spirit
Member: aqui
aqui Nov 10, 2023 updated at 20:08:57 (UTC)
Goto Top
Du machst einen generellen Design Fehler, denn das LAN separat mit einer extra Strippe auf den Switch zu verbinden ist unsaubere Frickelei.
Sinnvoll und ein deutlich sauberes Design wäre die 2 Ports igb1 und 2 in einem LACP LAG auf den Switch zu bündeln. So nutzt man sinnvoll die skalierte Bandbreite mit 2 Ports.
Dann legst du dein LAN und die 4 VLANs auf den LAG. Ob du dein LAN dann als Native/PVID VLAN untagged oder als zusätzlich getaggtes VLAN am LAG laufen lässt ist eher eine kosmetische Frage.
Grundlagen, wie immer, im L2 VLAN Tutorial.
Lesen und verstehen... face-wink
Member: netzer2021
netzer2021 Nov 12, 2023 at 13:19:50 (UTC)
Goto Top
Ohne alle Details gelesen und verstanden zu haben (folgt noch....jedenfalls lesen ;) verstehen wird sich zeigen face-smile)

Hat es denn Nachteile wenn allle Netze also LAN plus sämltiche VLANs zusammen über ein Port an de Trunk port gesendet werden? Ich mache die ganze Thematik ja weil ich Netze trennen will. Läuft dann icht am Ende alles im LAN?

Mit LACP schaue ich mir mal näher an klingt aber aufwändiger. Wo wären da die großen Vorteile? Bandbreite ist hier im Homelan nicht so das Thema.
Member: aqui
aqui Nov 12, 2023 updated at 14:32:48 (UTC)
Goto Top
Hat es denn Nachteile...
Der generelle Nachteil von einem Layer 2 VLAN Konzept mit einem one armed Router o. Firewall ist das lokal gerouteter VLAN bzw. PVID Traffic ja immer 2mal über den Tagged Uplink geht.
Z.B. wenn du vom VLAN-1 ins VLAN-2 routest geht der Traffic ja von VLAN-1 über den Uplink auf die Firewall, wird dort geroutet ins VLAN-2 und geht über denselben Uplink (Trunk) dann ins VLAN-2.
Du verdoppelst also in einem sog. "one armed" oder "router on a stick" Layer 2 Konzept immer den Traffic auf dem Trunk.
Je nachdem wieviel lokal gerouteten Traffic man hat belastet dieser also den Trunk zum Layer 3 Device entsprechend.

Das kann man mit einem LACP LAG minimieren, da du dann 2 Links bündelst so das sich der doppelte Layer 2 Traffic auf die Memberlinks verteilt und man so eine deutliche Entlastung erreicht und die Performance hoch hält.
Zusätzlich erreicht man eine Link Redundanz und damit eine bessere Verfügbarkeit. Fällt ein singulärer Uplink aus setht das gesamte Netz. Nicxht so bei einem LACP LAG wo ein Link ausfallen kann.
Man hat also immer gleich 2 Vorteile mit einem LAG in einem Layer 2 VLAN Setup.
klingt aber aufwändiger
Das ist natürlich Quatsch und weisst du auch selber. Im Switch sind das 2 simple Klicks im Setup um 2 Links so zu bündeln und beim Router oder Firewall entsprechend auch. "Aufwand" ist was anderes...
Die deutlichen Vorteile rechtfertigen in jedem Falle diesen "Aufwand"!

Wenn du das alles umgehen willst, dann realisierst du halt ein Layer 3 VLAN Konzept mit einem Routing fähigen L3 VLAN Switch, der dann die VLANs alle direkt routet. Das eliminiert die o.a. Nachteile einer one armed Lösung, weil dann der VLAN übergreifende Traffic direkt auf der Switch Backplane geroutet wird.
Auf diese simplen Punkte kommt man aber auch von selber ohne Thread wenn man sich den Traffic Flow nur einmal in aller Ruhe durch den Kopf gehen lässt... face-wink
Member: netzer2021
netzer2021 Nov 12, 2023 at 14:37:31 (UTC)
Goto Top
Klingt logisch und interessant. Ich gucke…😉

Mal was anderes. Ich nutze aktuell die UniFi Hardware. Ich persönlich finde sie eigentlich ganz ok und vorallm (da homelab) kann man sie auch im Wohnzimmer gut ansehen. Was mich aber echt nervt, ist die Konfiguration über den Controller, den ich momentan bei mir auf dem Server mit installiert habe. Ist der Server kaputt komme ich nicht an den an die Hardware ist die Hardware kaputt geht gar nix mehr und kann’s nicht mal mehr mehr konfigurieren.

Gibt es aus eurer Perspektive bessere Alternativen, die so etwas wie eine Web GUI direkt integriert haben und lediglich ein Laden Zugang brauchen?
Member: aqui
aqui Nov 12, 2023 updated at 15:44:48 (UTC)
Goto Top
Was mich aber echt nervt, ist die Konfiguration über den Controller
Typischer Vendor Lock eben. Ein Schelm wer Böses dabei denkt... Der Hauptgrund immer die Finger von sowas zu lassen. Von der miesen Performance mal nicht zu reden.
Die Alternativen im Low Budget Bereich wie z.B. Mikrotik u.a. solltest du als langjähriger Forenuser ja nun auch langsam mal mitbekommen haben. 🧐
Member: netzer2021
Solution netzer2021 Nov 14, 2023 at 23:13:16 (UTC)
Goto Top
Naja, ich hatte da eher an Produkte von Netgear oder TP Link geschielt, aber die haben leider eine sowas von hässliche Benutzer Oberfläche bisschen altbacken , ja ich weiß 😂😂 hartes Kriterium.

Wobei ich bei TP Link auch mal geschaut habe, die Access Points scheinen von Omada zu kommen, die wiederum auch über eine App oder sonst wie verwaltet werden müssen. Bedeutet ich hätte zwei Lösung für je ein Gerät, was totaler Schwachsinn wäre. 🤔
Member: aqui
aqui Nov 26, 2023 at 14:02:45 (UTC)
Goto Top
Wenn es das denn nun war:
How can I mark a post as solved?
nicht vergessen!