simbea
Goto Top

Anfängerfrage zum VLAN Routing

Folgendes Setting soll umgesetzt werden:

Um in meiner Praxis die Rechner von einer VOIP-Telefonanlage zu trennen wird ein Cisco SG250 angeschafft. Es werden 2 VLAN (VLAN10, VLAN20) konfiguriert.
Somit hätte ich beide Netze schön säuberlich getrennt. Ich möchte aber von EINEM PC im Vlan10 die Telefonanlage im VLAN20 konfigurieren können und die
Telefonanlage im VLAN20 soll Faxe auf EINEM Rechner im VLAN10 ablegen können.

Der Cisco kann Layer 3. Ich könnte also das Routing zwischen VLAN10und VLAN20 im Switch hinterlegen. Soweit ich es verstehe kann aber dann JEDER Rechner im VLAN10 auf VLAN20 zugreifen und umgekehrt, was den Sinn der VLANs ad absurdum führen würde, da damit die Trennung wieder aufgehoben würde.

Ist die Lösung meines Problemes dann, den Cisco Switch auf Layer 2 umzuschalten und eine nachgeschalteten OPNSENSE Router das Routing machen zu lassen und in den Firewallregeln dann einen einzelnen Rechner im VLAN10 zu der Telefonanlage durchzulassen?

Danke für Eure Hilfe

simbea

Content-ID: 453840

Url: https://administrator.de/forum/anfaengerfrage-zum-vlan-routing-453840.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

maretz
maretz 21.05.2019 um 17:29:48 Uhr
Goto Top
Moin,

das kannst du dir aussuchen.... Du kannst auf dem Switch eben auch basic acls einbauen die eben genau einen Rechner auf einem Port ins VOIP-Netz lassen... Du kannst das auch über eine Nachgeschaltete Firewall/Router machen... Ein "richtig" oder "falsch" gibts da nicht...
aqui
Lösung aqui 21.05.2019 aktualisiert um 17:37:56 Uhr
Goto Top
Hier steht wie du es auf dem SG-250 richtig einrichtest:
Verständnissproblem Routing mit SG300-28
Ist die Lösung meines Problemes dann, den Cisco Switch auf Layer 2 umzuschalten
Nein ! Das ist falsch !
Die Lösung ist eine IPv4 Accessliste auf dem Switch wie der Kollege @maretz oben schon richtig sagt.
Alles andere wäre ja mit Kanonen auf Spatzen.
Es sei denn du hast die Firewall schon im Einsatz, dann kannst du dir das in der Tat aussuchen !
Wenn nicht dann ist die Lösung = Accessliste !

acl
simbea
simbea 21.05.2019 um 18:12:01 Uhr
Goto Top
Sowohl Switch als auch OPNSENSE Router sind bereits angeschafft. Ich sitze quasi vor dem PC und versuche das Ganze zusammen zu frickeln.

OK, das bedeutet, dass ich steuern kann dass ein einzelner Rechner von einem definierten Port aus VLAN10 auf VOIP in VLAN20 zugreifen kann. Somit kann ich zumindest die Zugriffrichtung steuern (nur VLAN10 => VLAN20).

Aber einen Einfluß auf die Protokolle habe ich dadurch nicht.?? Ist das die sicherste Lösung? Ich verstehe schon, dass ich mir auch jedesmal einen PC ins VLAN20 hängen kann um dort zu konfigurieren, aber das ist nicht wirklich praktisch.

Eigentlich ist die zugrunde liegende Frage, ob alles, was auf Switchebene schon geroutet wird, durch eine nachgeschaltete Firewall wieder eingeschränkt werden kann.

Wenn die Accessliste die beste Lösung zur Trennung von VOIP und Praxis-PC ist, dann mache ich es so.

Danke, simbea
certifiedit.net
certifiedit.net 21.05.2019 um 19:04:56 Uhr
Goto Top
Die sicherste Lösung ist natürlich eine utm mit tiefer gehender Paket Analyse. Um was für eine Praxis (Art, Größe) geht es denn?
aqui
aqui 21.05.2019 aktualisiert um 20:21:05 Uhr
Goto Top
Sowohl Switch als auch OPNSENSE Router sind bereits angeschafft
OK, dann kannst du dir das aussuchen was du machst.
Da die OpenSense dann ja sicher zentral auch den Internet Zugang regelt und entsprechende Regeln hat solltest du es dann besser dort machen. So hast du dann alle Access Regeln zentral an einem Punkt was vom Management einfacher ist.
Dann brauchst (und darfst) du das IP Routing auf dem SG250 natürlich nicht aktivieren !
Sinnvoll ist dann auch den DHCP Server auf der OpenSense zu betreiben für alle VLANs !!
Du konfigurierst dann einen Tagged Uplink vom Switch auf die OpenSense und setzt die Zugriffsregel für den Konfig PC dann dort in der Firewall. Damit hast du das Regelwerk dann an zentraler Stelle und einheitlich, was für das Management des Netzes erheblich einfacher ist.

Wie man Switch und Firewall so verheiratet erklärt dir das VLAN Tutorial. Es ist völlig identisch zur pfSense:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Aber einen Einfluß auf die Protokolle habe ich dadurch nicht.??
Wenn du damit die Access Liste auf dem L3 Switch meinst, nein !
Das ist der Nachteil von Switch Access Listen, sie sind nicht Stateful. Eine Firewall ist immer Stateful, letztlich damit also sicherer.
jedesmal einen PC ins VLAN20 hängen kann
Das ist Blödsinn und auch IT technisch Steinzeit und macht kein vernünftiger Administrator so. So einen Unsinn musst du natürlich nicht machen in deinem Netzwerk !
was auf Switchebene schon geroutet wird, durch eine nachgeschaltete Firewall wieder eingeschränkt werden kann.
Nur wenn der Traffic auch an der Firewall ankommt, was VLAN intern gerouteter Traffic natürlich nicht tut.
Folglich ist das FW Routing dann für dich der richtige, weil sicherere Weg.
simbea
simbea 22.05.2019 um 09:44:11 Uhr
Goto Top
Folgendes wurde umgesetzt:

Am Switch:
IpV4 Routing: AUS

Port 1, Acess, Vlan1, IPv4 Interface 192.168.7.1
Port 2-8, Access, Vlan10, IPv4 Interface 192.168.1.1
Port 13-15, Acess, Vlan20, IPv4 Interface 192.168.2.1
Port 17 Trunk, tagged

=> ist nicht schön, aber nur so muß ich das Praxis-Bestandsnetz nicht umkonfigurieren, was zwar möglich wäre, aber einen immensen Aufwand bedeuten würde.

Auf OPNSENSE:
Schnittstellen: -LAN (em1): Konfigurationstyp: statisches IPv4, Adresse 192.168.7.2
-Andere Typen/VLAN: -em1 VLAN10
-em1 VLAN20
-WAN (em0): -pppoe0 (em0) xxxxxxxxxxxx0001@t-online.de

danach OPT1 und OPT2 aktiviert und unter IPv4 Konfigurationstyp DHCP ausgewählt.

Unter Dienste/LAN DHCP aktiviert, Range 192.168.7.100-200, Standardgateway wird auf der statischen LAN Adresse 192.168.7.2 belassen.

Wenn das soweit stimmt, komme ich hier nicht weiter, da ich keine Möglichkeit finde wo ich für OPT1_VLAN10 und OPT2_VLAN 20 den DHCP Server konfigurieren kann. Dort wird doch ein völlig anderer Bereich (192.168.1.0 bzw. 192.168.2.0) benötigt, als auf dem LAN Interface??
aqui
Lösung aqui 22.05.2019 aktualisiert um 10:20:26 Uhr
Goto Top
Die IP Adressierung ist FALSCH !
Der Switch routet doch gar nicht mehr also braucht er auch nur eine einzige IP !!!
Nämlich nur die IP um ihn zu managen also aufs GUI zuzugreifen !!
Die IPs in den VLANs auf dem Switch sind also vollkommen falsch. Die musst du unbedingt wieder löschen.
Denke bitte mal selber etwas nach ! Ist doch auch logisch, denn der Switch ist jetzt mit deaktiviertem Routing doch überhaupt nicht mehr am IP Forwarding der Ethernet Pakete beteiligt. Das hast du ihm ja abgeschaltet !
Er funktioniert jetzt nur noch als einfacher Layer 2 VLAN Switch auf Basis der mac Adressen, denn das IP Forwarding sprich Routing macht ja nun zentral deine Firewall und eben nicht mehr der Switch !
Folglich sind die IP Adressen in den VLANs sinnfrei und überflüssig.
Du brauchst wie bereits gesagt nur noch eine einzige IP nämlich die Management IP und musst dir dann aussuchen in welchem deiner VLANs du das Management bzw. den Management Zugang machst:
Im Default ist das das VLAN 1:
mgmt
Dann noch die Route auf das Firewall Interface im VLAN 1
route
Fertig !
Fazit: EINE IP Adresse nur zum Management genügt !! Du willst ja nicht das deine Gäste im Gäste VLAN deinen Switch verfummeln ?!
So ist es dann richtig !

Deine VLAN Einrichtung auf der Firewall ist auch falsch bzw. fehlerhaft !
So gehst du richtig vor:
  • VLAN Interfaces einrichten: Du gehst auf Interface -> Assignments wählst dort VLAN aus und klickst "Add+"
  • Mit dem Parent Interface bestimmst du das physische Interface auf der FW an das nachher dein Switch angeschlossen wird !! Das wählst du dann aus.
  • Unter "VLAN Tag" tägst du die VLAN ID ein für welches VLAN dieses Interface sein soll. Z.B. "10" für VLAN 10
  • Das wiederholst du für alle VLANs ! Außer VLAN 1. VLAN 1 wird NICHT im VLAN Setup eingerichtet, das ist das Parent Interface, also das physische Interface selber !
  • Mit "Save" abspeichern und die Konfig sichern.
  • Jetzt gehst du zurück auf Interface -> Assignments und klickst dort auf "Add+" zum Hinzufügen dieser neuen Interfaces zur Firewall.
  • Das auch wieder mit "Save" sichern.
  • Jetzt klickst du vorne auf dieses Interface und konfigurierst das indem du den Haken setzt bei "enable" (aktivieren) dann ihm eine statische IP Adresse gibst mit Maske und sinnvollerweise solltest du die Bezeichnung von "OPTx" in "VLAN10" ändern damit du eine sinnvolle Bezeichnung in der Firewall für das Interface verwendest die dir das Management erleichtert !!!
  • Sind die Interfaces alle so eingerichtet, dann "siehst" du sie entsprechend auch in der DHCP Server Einrichtung der Firewall. Wenn sie nicht auftauchen zeigt das das du was mit der VLAN Interface Einrichtung grundsätzlich falsch gemacht hast.
Gehe also bitte genau nach den oben genannten Schritten vor und bitte auch nach dem Tutorial hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort ist doch alles haarklein beschrieben sogar mit bunten Bildern. Das schafft auch der Azubi im ersten Lehrjahr da die richtigen Klicks zu machen ! face-wink
Lesen und verstehen....!!

Wenn du das soweit richtig und funktionsfähig umgesetzt hast machen wir weiter hier...!
simbea
simbea 22.05.2019 um 10:23:09 Uhr
Goto Top
=> Habe VLAN10/20 auf OPNSENSE statisch auf 192.168.1.254, ...2.254 und das LAN ebenfalls statisch auf ...7.254 umgestellt, dann bleibt es logisch. Brauche eh kein DHCP, da alle Clienten feste IP-Adressen haben.
Bleibt folgende Frage: Alles was am Switch hängt bekommt das Gateway des Switches ( also in meinem Fall VLAN 1 die192.168.7.1, VLAN10 die 192.168.1.1, VLAN20 die 192.168.2.1)
Muß ich jetzt noch irgendwo statische Routen eintragen, damit die Clienten am Switch ins Internet kommen??
simbea
simbea 22.05.2019 um 10:24:28 Uhr
Goto Top
Sorry, hatte den Kommentar davor noch nicht gelesen...
aqui
Lösung aqui 22.05.2019 aktualisiert um 10:33:59 Uhr
Goto Top
Habe VLAN10/20 auf OPNSENSE statisch auf 192.168.1.254, ...
OK, richtig, das sieht dann gut aus !
brauche eh kein DHCP, da alle Clienten feste IP-Adressen haben.
Auch im WLAN und Gast WLAN ?? Das wäre eher ungewöhnlich...aber egal.
Bleibt folgende Frage: Alles was am Switch hängt bekommt das Gateway des Switches
Neiiiiinnn !!! face-sad
Zum letzen Mal: Der Switch macht gar kein Routing mehr in deinem Setup !!
Er hat also gar kein Gateway mehr !! Seine einzige IP die er noch hat dient rein nur dem Management des Switches !! Er ist nur noch ein dummer, einfacher Layer 2 VLAN Switch der nach Hardware Mac Adressen forwardet und NICHT mehr nach IP Adressen ! DU hast ihm das Routing (IP Forwarding) ja abgeschaltet was ja nun die Firewall macht !
Muß ich jetzt noch irgendwo statische Routen eintragen
Nein !
Die Clients bekommen als Default Gateway IP immer die IP Adresse der Firewall in ihren jeweiligen VLANs und gut iss.
Logisch, denn die Firewall macht ja nun das IP Forwarding / Routing !! face-wink

Denk auch dran:
Bei den neuen VLAN Interfaces der Firewall ist alles verboten per Default sofern du keine Regel dort definiert hast !!!
Ohne entsprechende Regel ist ein VLAN übergreifendes Routing und ein Routing ins Internet also NICHT möglich.
Nicht das du dich wunderst das du nicht ins Internet kommst ohen entsprechendes Regelwerk an den Interfaces.
Hilfreich ist hier immer die Diagnostics Funktion auf der Firewall selber. Dort hast du eine Ping Funktion und kannst entsprechend Interface spezifisch pingen und die Connectivity testen !
simbea
simbea 22.05.2019 um 12:42:56 Uhr
Goto Top
OK, verstehe soweit. Zurück zum Start...

Routing auf dem Switch ist AUS.

Ich will im VLAN10 den Switch und die Firewall managen und das Bestandsnetz liegt auf 192.168.1.0, also hat bekommt der Switch die 192.168.1.254 auf dem Interface VLAN10.

Das VLAN10 soll unbedingt das Standardgateway 192.168.1.1 (wegen dem Bestandsnetz) bekommen, was ich also auf der OPNSENSE im VLAN10 eintrage. Damit kann das Gateway der Pcs des Bestandsnetzes unverändert auf 192.168.1.1 bleiben. VLAN20 wäre dann analog z.B. 192.168.2.1
Was wäre dann eine sinnvolle Adresse für LAN auf der OPNSENSE und wie komme ich aus dem VLAN 10 auf die OPNSENSE?

Beim Eintrag der IP-Static Route aus dem Switch ist mit nicht klar, was bei "Destination IP Prefix" eingetragen werden soll. Die 0.0.0.0 quittiert der Switch mit einer Fehlermeldung.
Unter "next hop Router Adress" käme dann die 192.168.1.1 und bei "outgoing interface" das VLAN10.

Mir ist klar, daß die Anleitungen vieles erklären, aber ich bin eben wegen dem bestehenden 192.168.1.0er Netz nicht frei in der Wahl der Addresbereiche und muß dadurch mehr Akrobatik betreiben.
Danke für eure Geduld
simbea
simbea 22.05.2019 um 16:04:44 Uhr
Goto Top
So, der Switch ist jetzt wie im Posting 10:20 konfiguriert. Management über Vlan10 an 192.168.1.254, Eintrag in IP-Static Route habe ich auch hinbekommen Destination IP Prefix 0.0.0.0 0, next hop Router Adress 192.168.1.1, outgoing interface VLAN10.

Ports 1-8 VLAN10, untagged
9-12 VLAN20 untagged
Port 13-16 VLAN1 untagged
Port 17 als Trunk, in der Port Lan Membership steht unter "operational VLANs": 1U, 10T, 20T.

Auf der OPENSENSE sind LAN auf 192.168.178.1, VLAN10 auf 192.168.1.1, VLAN20 auf 192.168.2.1 konfiguriert, mit DHCP im jeweiligen Subnetz Range 192.168.x.40-60 konfiguriert.

EIn PC der in Port 1-8 eingestöpselt wird, bekommt vom DHCP die 192.168.1.40 zugewiesen,
im Port 13-16 die 192.168.178.1 was beweist, daß das schon mal funktioniert...
Soweit ganz gut,
...aber im Port 9-12 kann sich der PC keinerlei Adresse ziehen! Das kapiere ich nicht...das sollte doch über den Trunk mit VLAN20 Tag an die OPNSENSE weitergeleitet werden und von dort über den DHCP von VLAN20 eine Adresse zugewiesen bekommen??

Dann habe ich gelesen, daß VLAN eine Layer 3 Funktion ist und ich habe ja dem Switch das Routing abgestellt, um die OPNSENSE das übernehmen zu lassen.
aqui
Lösung aqui 22.05.2019 aktualisiert um 16:57:34 Uhr
Goto Top
Management über Vlan10 an 192.168.1.254,
Warum machst du dir das Leben schwer und kodierst nicht einfach die VLAN ID mit in das IP Netz ??
Z.B. 192.168.10.0 /24 = VLAN 10 oder 192.168.20.0 /24 = VLAN 20
Ist ja dann kosmetisch einfacher das zu managen face-wink
Natürlich kannst du aber auch die 192.168.1.0 /24 im VLAN 10 verwenden. IP Adressen kann man frei wählen.
Allerdings wenn du mal mit VPNs liebäugelst für eine remote Einwahl auf dein Netz sind diese banalen Allerwelts 192.168er Adressen eher kontraproduktiv. Das aber nur nebenbei. Wieder andere Baustelle... face-wink

Auf der OPENSENSE sind LAN auf 192.168.178.1,
Mmmmhhhh...
Das "riecht" aber eher nach FritzBox und dann Internet Router. Dann wäre das falsch und es müsste der WAN Port sein. Dazu müsste man aber mal genau wissen was du jetzt vorhast. Eine Skizze mit deiner Adressierung und Netzen würde helfen.
Soweit ganz gut,
Stimmt, das ist soweit auch alles richtig !
aber im Port 9-12 kann sich der PC keinerlei Adresse ziehen!
OK, das ist VLAN 20 !
Dann strategisch vorgehen:
  • Ist VLAN 20 auch tagged am Uplink Port 17 zur Firewall eingetragen ? 1U, 10T, 20T ist aber richtig !
  • Ist das VLAN 20 Interface am Firewall Parent Interface aktiv (enabled)
  • Ist der FW DHCP Server an VLAN 20 aktiv
  • Und das Wichtigste: Ist eine entsprechende Firewall Regel am VLAN 20 Interface konfiguriert die den Traffic passieren lässt ?!
Eins von den 4 Punkten hast du unter Garantie vergessen ! 100 € auf die fehlende Firewall Regel !! face-wink
Dann habe ich gelesen, daß VLAN eine Layer 3 Funktion ist
Völliger Quatsch ! Wo hast du solch einen Blödsinn gelesen ??
Lesen und verstehen !!! => https://de.wikipedia.org/wiki/Virtual_Local_Area_Network
Da stehts ganz klar schwarz auf weiß = Layer 2 Funktion
Ist auch klar wenn du dir die Technik ansiehst:
https://de.wikipedia.org/wiki/IEEE_802.1Q
Der der IEEE802.1q VLAN Header ist klar im Layer 2 des Ethernet Paketes angelegt !
Vergiss diesen Unsinn also. Kommt sicher von irgendeinem Dummie mit gefährlichen Halbwissen face-sad
simbea
simbea 22.05.2019 um 17:47:53 Uhr
Goto Top
Warum machst du dir das Leben schwer und kodierst nicht einfach die VLAN ID mit in das IP Netz ??
Weil ich eben nicht das Bestandsnetz 192.168.1.0 umkonfigurieren kann und weil das VLAN1 als Default schon existiert

aber im Port 9-12 kann sich der PC keinerlei Adresse ziehen!
OK, das ist VLAN 20 !
Dann strategisch vorgehen:
  • Ist VLAN 20 auch tagged am Uplink Port 17 zur Firewall eingetragen ? 1U, 10T, 20T ist aber richtig !
VLAN 20 ist tagged
* Ist das VLAN 20 Interface am Firewall Parent Interface aktiv (enabled)
Ja, ist es
* Ist der FW DHCP Server an VLAN 20 aktiv
DHCP für VLAN20 ist aktiv
* Und das Wichtigste: Ist eine entsprechende Firewall Regel am VLAN 20 Interface konfiguriert die den Traffic passieren lässt ?!
Eine Firewallregel ist aber weder für das VLAN10 noch für LAN konfiguriert und dennoch funktioniert das ziehen einer IP Adresse an diesen Ports


OK. Ich glaube ich gebe es auf. Ich sitze jetzt hier seit 2 Tagen, bin voll gestresst und mir ist noch nicht einmal kar, ob mein grundlegendes Setting stimmt.

Bislang hatte ich ne Fritzbox=> Zywall Firewall=> Praxisnetz im Bereich 192.168.1.0 mit 5 Pc, Konnektor für Telematik Infrastruktur, eine VPN-Box für den Laborzugang, alles im 192.168.1.0 Bereich. Funktionierte ohne Probleme. Zugang ins Internet über virtuelle Maschinen mit Linux, alles mit festen IP. So konnte ich die Praxisrechner vom Zugriff auf WAN abhalten und nur bei Bedarf für Updates kurzfristig in der Zywall freischalten.

Wegen der Anschaffung einer VIOP Telefonanlage hatte ich vor, das Netz zu segmentieren, damit Voip und Praxisnetz getrennt bleiben.
Die Zywall wollte ich, da sie End of Life ist, durch den Cisco Switch ersetzen. Aber da gehen eben die Probleme los, ich bin auf die 192.168.1.0 angewiesen, weil da softwaretechnisch soviel dran hängt, dass ich diesen Adressbereich nicht ändern kann. Das das so ein Albtraum wird hatte ich nicht erwartet.


Dann bleibt mir nur, den Switch wieder zu verkaufen und die Telefonanlage an die Zywall anzuschließen.
aqui
Lösung aqui 22.05.2019 aktualisiert um 20:45:43 Uhr
Goto Top
Eine Firewallregel ist aber weder für das VLAN10 noch für LAN konfiguriert und dennoch funktioniert das ziehen einer IP Adresse an diesen Ports
Ja, weil DHCP so geht aber eben alles andere NICHT face-wink
Ich glaube ich gebe es auf. Ich sitze jetzt hier seit 2 Tagen, bin voll gestresst
Ruhig Brauner..!!! face-smile
Immer cool bleiben und keinen Stress machen. Zwischendurch Kaffee trinken einmal durchatmen und weiter gehts. Dein Grundkonzept stimmt, da ist nichts falsches dran.
Du bist Newbie und da ist der Weg etwas steiniger aber er ist richtig und du solltest den auch weiter gehen.
Das ist natürlich Blödsinn, denn eine Firewall kann mal logischerweise nicht mit einem Switch ersetzen. Das sind 2 völlig unterschiedliche Komponenten. Einen PKW ersetzt du ja auch nicht mit einem Motorrad nur weil beide dich transportieren können.
Mit der 192.168.1.0 weiterzuarbeiten ist ja auch kein Thema. Das Altnetz schliesst du einfach als VLAN an deine neue FW an und migrierst dann Step für Step die Komponenten in die neuen VLAN. Das ist ein klassisches und richtiges Konzept.
Du solltest nur startegisch und gezielt vorgehen !!
  • Zuerst Switch VLANs, Firewall und Internet Router in der Grundkonfig ans Fliegen bringen so das du wie gewohnt aus dem Bestandsnetz weiter ins Internet kannst.
  • Dazu belässt du das Bestandsnetz in VLAN 1 und testest die Connectivity vorab mit einem Testrechner im VLAN 1
  • Klappt das alles hängst du das Bestandsnetz (Praxis) dran
  • Parallel hast du deine VLANs 10 und 20. Auch da testest du vorab mit einem Testrechner die Verbindung. Firewall Regeln lässt du erstmal OFFEN um die nicht noch mehr Stolpersteine in den Weg zu legen !
  • Klappt auch von VLAN 10 und 20 die Verbindung ins Internet und untereinander migrierst du alle Komponenten da wo sie hinsollen.
  • Dann erst ziehst du die Firewall Regeln dicht !! So hast du immer die Sicherheit das dein Konzept per se sauber arbeitet, der Fehler dann aber einzig nur noch an falschen Regeln liegen kann.
Fazit:
Nicht aufgeben, dein Konzept ist richtig ! Du hast die richtigen und perfekten Komponenten dafür ! Alles passt !
Also es gibt keine Hürden außer DU selbst und deine Geduld das perfekt zu Ende zu bringen !
Ran ans Werk und die Punkte oben abarbeiten...!

So sieht dein fertiges Konzept aus wenn du alles richtig umgesetzt hast:

firewall-sg250

Damit solltest du es doch nun wirklich ohne Probleme zum Fliegen bekommen ?!
simbea
simbea 23.05.2019 um 10:28:00 Uhr
Goto Top
Hmmm...sieht schick aus.Dann müsste ich um von VLAN1 die Telefonanlage im VLAN20 managen zu können auf der OPNSENSE (nicht Fritzbox!) noch VLAN Brücken anlegen und eine Menge Firewalregeln definieren und wäre dann sehr schnell am Ende meiner doch eher bescheidenen Kenntnisse...

Ich würde deshalb gerne nochmals die Lösung mit dem Switch als Layer 3 Router unter

Verständnissproblem Routing mit SG300-28

aufgreifen und gaaaanz kleine Brötchen backen und alles ins 1 VLAN packen. Dann könnte ich nämlich das ganze Geraffel was sich
derzeit auf meinem heimischen Schreibtisch befindet in die Praxis verfrachten und mit steigender Lernkurve nachträglich anpassen.
Was ich ganz vergessen habe, als Modem wird ein Vigor 165 genutzt, also ist die Fritzbox unnötig. Das Setting sieht so aus: Vigor165=>OPNSENSE=>CiscoSG250=>Pc

Ich stelle also im Switch das Routing auf "enabled", im IPv4 Interface: VLAN1 mit der IP192.168.1.1, definiere einen Port als Trunk (untagged weil VLAN1) und schließe an diesen Trunk die OPNSENSE (diese mit einer statischen Lan-Adresse auf 192.168.178.1)
Unter" IPv4 static Route" trage ich 0.0.0.0 0 192.168.178.1 (also die Route zur OPNSENSE) ein?

Auf der OPNSENSE müsste dann doch eine statische Route auf das VLAN1 des Switches eingetragen werden, also ip route 192.168.1.0 255.255.255.0 192.168.1.1. Das sieht aber unsinnig aus...wie ich schon sagte, eher...bescheidene...Kenntnisse
aqui
Lösung aqui 23.05.2019 aktualisiert um 16:34:09 Uhr
Goto Top
Dann müsste ich um von VLAN1 die Telefonanlage im VLAN20 managen zu können auf der OPNSENSE (nicht Fritzbox!) noch VLAN Brücken anlegen
Nein, das ist falsch !
Du brauchst natürlich nichts weiter anzulegen. Brücken schon gar nicht !!!
Die Firewall ist doch ein Router !! Sie routet also schon per se zwischen den VLANs wenn diese eingerichtet sind.
Das Einzige was du machen musst ist also nur ein paar geschickte Firewall Regeln zu setzen und gut iss ! face-wink
Was ja mit ein paar Mausklicks im Klicki Bunti Menü der FW in Sekundenschnelle erledigt ist.
Eine einzige Regel brauchst du mehr nicht. Schade das du vor solch einer Banalität die jeder Azubi in 10 Minuten erledigt schon kapitulierst...aber egal, deine Entscheidung die wir natürlich respektieren !

kleine Brötchen backen und alles ins 1 VLAN packen.
OK, das ist natürlich kinderleicht...
  • Werksreset machen auf dem Switch...
  • Damit sind alle VLANs weg bis auf das VLAN 1 und alle Ports sind im VLAN 1
  • Endgeräte aufstecken
  • Fertisch !
Das müsstest du sicher noch hinbekommen, oder ?
und mit steigender Lernkurve nachträglich anpassen.
Wäre der richtige Weg !
Laaangsam und Stück für Stück migrieren wier oben auch schon beschrieben...
als Modem wird ein Vigor 165 genutzt, also ist die Fritzbox unnötig.
Perfekt ! face-smile
Umso besser, dann sparst du dir die leidige Konfig und Frickelei mit einer Router Kaskade.
Dann sähe dein Zieldesign korrigiert so aus:

firewall-sg250

Du hast eigentlich die idelae Hardware zusammen um das perfekt umzusetzen und natürlich auch den richtigen Plan !
Ich stelle also im Switch das Routing auf "enabled", im IPv4 Interface: VLAN1 mit der IP192.168.1.1
Mmmhhhh....
Dazu muss man wissen WAS denn dein weiterer Plan ist ???
Der Switch kann logischerweise kein NAT und kein PPPoE. Sprich den kannst du also NICHT direkt ins Internet hängen ! Dazu brauchst du dann logischerweise einen Router oder eine Firewall.
WAS willst du da denn nehmen ??? Bzw. wie soll dein Migrationskonzept aussehen ??
Du hast ja mehrere Optionen und leider keinerlei Äußerungen gemacht wie du das angehen willst ???
  • Switch alles in VLAN 1 und dann welcher Router ? FritzBox oder Firewall ?
  • Konzept 1 bedingt dann aber das der Switch dann so nicht routen muss. FritzBox bedeutet auch das keine VLANs möglich sind. Switch wäre dann simpler L2 Switch
  • Ausnahme dann der Switch routet
  • Mit VLAN Option zur Migration bleibt dir dann nur die Firewall sofern du die VLANs auf der Firewall routen willst.
  • Willst du das nicht musst du wieder auf dem Switch routen
Die Frage ist WELCHEN Weg willst du gehen ??

Ein Bild sagt mehr als 1000 Worte...
Gehen wir mal davon aus das du die Firewall Modem Kombination behalten willst, dann hast du folgende Optionen:
Switch ohne Routing, alles in VLAN 1, Firewall ersetzt die FritzBox:

firewall-sg250allv1

Hier muss der Switch NICHT routen. Kann er ja auch gar nicht, denn hier ist ja auch rein gar nix zu routen, da ja nur ein einziges IP Netz vorhanden face-wink
Nachteil:
Die Migration in ein VLAN Konzept würde ohne die Umstellung des Koppellinks bedeutetn das du immer den Internet Traffic aller zukünftigen VLANs durch dein VLAN 1 schleusen muss.
Nicht wirklich schön und z.B. wenn eins der VLANs ein Gastnetz wird sicherheitstechnisch ein NoGo.
Besser du separierst dann den Link in ein eigenes Netz.
Das geht einmal wenn der Switch routet was dann so aussieht:

Switch Routing, Koppelnetz an Firewall separat:

firewall-sg250-2

Die Zugangssteuerung unter den VLANs muss dann mit Access Listen am Switch erfolgen, denn da werden die VLANs zentral ins Internet geroutet !
Die andere Alternative hatten wir oben ja schon:

Switch nur Layer 2 (kein Routing, reicht VLANs durch), Firewall routet :

firewall-sg250-3

Die letzten beiden Designs haben den Vorteil das sie für das VLAN Handling und einen sanfte und langsame Migration vorbereitet sind. Das ist aber kein Zwang. Du kannst auch mit dem Banaldesign starten, musst dann aber nachher mehr im laufenden Betrieb umstellen.
Migrations technisch ist es also besser mit einem der beiden letzten Designs zu starten und da stellt sich dann wieder die Frage wo du bevorzugt routen willst. Switch oder Firewall ?
Hättest du bloß einen Layer 2 only Switch gekauft, dann wäre diese Entscheidung schon gefallen face-wink Spaß beiseite...
Jetzt bist du dran: Quo vadis ?
simbea
simbea 31.07.2019 um 17:07:38 Uhr
Goto Top
Habe mich mal wieder drangewagt und die oben stehende Lösung umgesetzt (Switch Layer 2). In Abweichung zur oben stehenden Zeichnung hat der Switch die 192.168.1.254, die Opnsense (also LAN) die 192.168.1.1, und die Vlans die 192.168.10.1, 192.168.20.1, 192.168.30.1. DHCP funktioniert auf allen Interfaces.In der Opensense ist bei unbound DNS der Haken bei Enable resolver gesetzt und DNS query forwarding ebenso, damit sollten also interne DNS Anfragen nach extern weitergeleitet werden können.

Vom LAN komme ich mit der schon vordefinierten LAN Regel any, any ins Internet....

ich will aber nur bestimmte LAN Rechner ins Internet lassen.

Deshalb habe ich über Aliases über Type=>URL mehrere LAN Adressen und Ports (80, 443 und 53) definiert.
Wenn ich diese in den Rules/LAN dann übernehme und die Standardregel deaktiviere geht nix mehr raus und das Log füllt sich mit DNS anfragen, die geblockt werden.

Deshalb folgende Fragen:

1. Können interne Adressen über Aliase angelegt werden (bei OPNSENSE!!) und wenn ja, über welchen Punkt?? => Hosts oder URL (ip)? Alles andere angebotene (Networks, Ports, URL table, GeoIP) macht keinen Sinn. Ich habe nämlich das Gefühl, daß die OPNSENSE diese wie externe Adressen behandelt.

2.Wo kann ich in den Regeln eine oder mehrere interne IP Adresse anlegen, unter "Source" scheint das nicht zu gehen.

3. Im Lan haben alle Rechner für DNS Auflösung die OPNSENSE unter 192.168.1.1 eingetragen. Muß ich dann noch für das Interface LAN eine Regel definieren a la Source Lan, Destination 192.168.1.1, Port 53

Ich finde diese Einstellungen im Gegensatz zu einer Zywall fürchterlich unübersichtlich und komme damit auf der OPNSENSE nicht zurecht.
aqui
Lösung aqui 01.08.2019 aktualisiert um 08:26:21 Uhr
Goto Top
Zu deinen Fragen:
1.)
Ja das geht natürlich. Type URL ist aber falsch, was einem ja auch schon der gesunde Menschenverstand sagt. Denk mal etwas nach... Einen einzelnen Rechner bezeichnet man ja als "Host" ist also der Typ Host hier der richtige. Ein URL ist sowas wie https://administrator.de ,also was ganz anderes.
aliias
Es ist dabei völlig irrelevant ob das externe oder interne IP Adressen sind. Die Firewall macht da keinen Unterschied. Ein Alias ist nur ein Platzhalter zur einfachen Administration ! Man kann sich oft eben Namen besser merken als IP Adressen oder eine Liste von IP Adressen und Ports. Zumal die Aliase im Setup GUI der Firewall auch als Mouseover angezeigt werden was die Konfig dann noch einfacher macht.
TCP und UDP Ports definiert man ebenso:
ports

2.)
Mmmmhhh...das ist jetzt etwas zweideutig was du fragst und nicht klar formuliert. Geraten kann man vermuten das du z.B. mit einer Liste an Hosts, sprich also mehrere Hostadressen z.B. den Zugang aus einem Netz limitieren willst. Richtig ?
Das geht zum einen einzeln in den Firewall Regeln indem du jeden Host einzeln dort mit PASS, Protocoll usw. in die Regelliste einträgst.
Bei mehreren Hosts ist das aber Blödsinn, da dann logischerweise das Regelwerk sehr schnell unübersichtlich wird.
So eine Liste von Endgeräten (Hosts) definiert man vorher als Alias:
liste
und lässt diese dann auf das Regelwerk los. Neue Hosts oder solche die es nicht mehr gibt pflegt man dann einfach in der Alias Liste dazu.

3.)
Das Default LAN Interface hat eine Default "Schrotschuss" Regel die alles erlaubt und deshalb keine extra DNS Regel erforderlich ist.
Für neue Interfaces bzw. deine VLAN Interfaces auf der Firewall gilt allerdings ja wie bei allen Firewall üblich "Alles ist per Default verboten".
Hier musst du logischerweise also eine Regel erstellen die TCP und UDP Port 53 durchlässt ansonsten könnte DNS Traffic nicht passieren !
Das macht man aber immer so:
PASS, Interface:<Interface_Name>, AdressFamily:IPv4, Protocol:TCP/UDP, Source:<LAN_Name net>, Destination:any, PortRange: DNS(53)

Also sinnvollerweise so das aus dem gesamten Interface IP Netzwerk ("net" im Source Name !) DNS Traffic erlaubt ist.

Ich finde die Zywall gruselig und unübersichtlich. Oft hat sie auch eine laienhafte Syntax in der GUI. Allerdings verglichen mit dem pfSense GUI.
Du solltest statt der OpenSense mal die pfSense probieren, das Original, dort ist das erheblich logischer und übersichtlicher gestaltet.
simbea
simbea 30.08.2019 um 16:48:33 Uhr
Goto Top
Ich habe im Interface LAN folgendes angelegt und habe immer noch grundsätzliche Verständnissprobleme:

Source: einen Alias (host, 192,168.1.2), Destination: any, port 80 und
PASS, Interface:<Interface_Name>, AdressFamily:IPv4, Protocol:TCP/UDP, Source:<LAN_Name net>, Destination:any, PortRange: DNS(53)

So kann ich mit deaktivierter LAN Default any any Regel mit diesem Host ins Internet. Funktioniert einwandfrei.

1. Wenn ich jedoch unter Destination: Wan net eintrage, mit der Vorstellung, daß das LAN bei Destination:any ja auch Zugriff auf meine VLANs und überall hin hätte (??!),blockiert die Opnsense sofort den Zugriff auf das Internet!!

Das verstehe ich überhaupt nicht! Wie kann ich den Zugriff des LANs denn sonst nur auf die Destination WAN begrenzen??

2. Ich lese auch immer wieder, daß die Firewallregeln immer nur inbound gelten sollen.Auch das leuchtet mir überhaupt nicht ein, suggeriert beispielsweise eine Source im Lan und eine Destination WAN eine Bewegungsrichtung vom LAN ins WAN und somit outbound.
Wie soll ich mir das vorstellen oder welche bildliche Vorstellung hilft hier weiter?


3.In der Opnsense kann jede Firewallregel auch auf outbound eingestellt werden. In welchem Szenario ist das sinnvoll ?

4. Wenn ich vom LAN auf einen Host im VLAN10 (im Netz192.168.10.0) über http/(s) zugreifen will, wie sieht dann der Eintrag aus?
Ich hätte hier erwartet Source: Lan net, Destination VLAN10, port 80 und 443 bin mir aber wegen des Problems unter 1. auch hier nicht mehr sicher.
aqui
Lösung aqui 30.08.2019, aktualisiert am 02.09.2019 um 10:24:13 Uhr
Goto Top
So kann ich mit deaktivierter LAN Default any any Regel mit diesem Host ins Internet.
Aber einzig nur mit Browser. Es klappt also rein nur surfen, da du nur TCP 80 (HTTP) und DNS (53) zugelassen hast. ix anderes. Nicht mal Secure HTTP (TCP 443) und damit alle gesicherten Webseiten klappt.
Wenn das so gewollt ist, OK !
1. Wenn ich jedoch unter Destination: Wan net eintrage,
Logisch, denn das lässt dann einzig und allein nur Verbindungen in das IP Netzwrk am WAN Port zu wie die Regel ja schon sagt. Das teht aber kein einziger Rechner oder irgendwelche Internet Dienste.
Logisch also das der ganze Rest blockiert ist solange du nicht alle IP Netze der Welst (any), sprich damit das ganze Internet als Ziel freigbst. Ist doch logisch !
Die Regel tut also genau das was sie soll ! Deine IP "Denke" stimmt da nicht in Bezug auf Quell- und Zieladressen ! face-wink
Wie kann ich den Zugriff des LANs denn sonst nur auf die Destination WAN begrenzen??
Eben mit genau der Regel ! Dann aber auch einzig nur auf das IP Netz am WAN Port was natürlich NICHT das Internet ist, denn das besteht bekanntermaßen ja auch Millionen von anderen IP Netzen.
2. Ich lese auch immer wieder, daß die Firewallregeln immer nur inbound gelten sollen
Ja, das ist auch richtig ! Immer nur vom externen Netzwerk Draht IN das Interface hinein.
suggeriert beispielsweise eine Source im Lan und eine Destination WAN eine Bewegungsrichtung vom LAN ins WAN und somit outbound.
Die Sichtweise ist per se nicht falsch, bezogen aber auf die Regel Arithmetik ist sie falsch, denn das bezieht sich immer rein nur vom externen Draht IN das jeweilige Interfce hinein. Nicht auf die Flows.
Denke also immer an die Fliessrichtung der Pakete. Die Regel wirkt nur auf Pakete die von außen IN das Interface hineingehen. NICHT auf Pakete die AUS der Frewall heraus auf den Netrzwerk Draht gehen !
3.In der Opnsense kann jede Firewallregel auch auf outbound eingestellt werden
Bist du dir da sicher ? Bei der pfSense geht das nicht. Da beide einen identischen Unterbau haben wäre das verwunderlich aber durchaus möglich.
Natürlich kann man Regeln sowie inbound als auch outbound anlegen.
Die pfSense supportet aber nur inbound, deshalb die Grundregel die du gehört hast...
4. Wenn ich vom LAN auf einen Host im VLAN10 (im Netz192.168.10.0) über http/(s) zugreifen will, wie sieht dann der Eintrag aus?
Ganz einfach...denke immer daran WIE das Paket sich bewegt....
Regel 1: PASS, Source: <LAN-net>, Port:any, Destination: <IP_adresse_host>, Port: TCP 80
Regel 2: PASS, Source: <LAN-net>, Port:any, Destination: <IP_adresse_host>, Port: TCP 443
Das kann man kosmetisch auch schöner mit nur einer Regel machen indem man einen Alias für die Ports anlegt. Sprich also Alias "HTTP_Ports" und darunter setzt du die Ports TCP 80 und TCP 443.
PASS, Source: <LAN-net>, Port:any, Destination: <IP_adresse_host>, Port: <Alias_HTTP-Ports>

Alles ganz einfach und logisch face-wink
simbea
simbea 01.09.2019 um 18:26:23 Uhr
Goto Top
Die Anfangsfrage der für meine Zwecke geeignetsten Netzwerktopologie ist in diesem Thread mehr als ausführlich beantwortet worden, weshalb ich mich an dieser Stelle bei allen Beteiligten und vor allem bei aqui bedanken möchte.

Fragen habe ich noch eine Menge, aber die gehören hier nicht hin, weshalb ich diesen Thread als gelöst markiere.

Tausend Dank, simbea
aqui
aqui 02.09.2019 um 10:26:37 Uhr
Goto Top
Fragen habe ich noch eine Menge, aber die gehören hier nicht hin,
Wenn sie IT technisch bedingt sind schon und wir sind happy wenn wir sie dir beantworten können... face-wink
Wenns um den heimischen Garten geht dann sicher nicht... face-wink