gelöst Generelle Frage zu Transfernetz zw. pfsense und layer3-Switch

Mitglied: Pixi123

Pixi123 (Level 1) - Jetzt verbinden

24.09.2020 um 09:50 Uhr, 471 Aufrufe, 9 Kommentare

Hallo!

Folgender Aufbau:

internet - modem - pfsense - mikrotik-switch (l3)

pfsense lan: 192.168.255.1
mikrotik uplink ether1: 192.168.255.2

meine Vlans sind am Mikrotik-Switch einegrichtet, zwischen mikrotik-Switch und pfsense ist KEIN vlan, sondern ein einfaches transfer-subnet. Auf der pfsense sind statische Routen in die vlans eingerichtet, am Mikrotik eine default route 0.0.0.0 über an 192.168.255.1 über ether1 (der nicht zur bridge gehört). So wie aus dem aqui-tutorial,.

Nun hatte ich den Gedanken, ob man dieses transfersubent auch über vlans lösen könnte. Im Moment weiss die pfsense ja nichts von den vlans. Hätte es irgendeinen Vortiel, wenn statt des einen transfer-subnets zwischen pfsense und mikrotik auch vlans wären? in dem Fall müsste ether1 am mikrotik zur bridge hinzugefügt werden und alle vlans tagt darauf, und der port der pfsense müsste auch tagt tagt in alle vlans, oder? Oder müsste pro vlan ein eigenes transfer-vlan erstellt werden?
kann das jemand vielleicht kurz beschreiben, wie das Design aussehen müsste? Wäre das "besser" als mein jetziges Design?
Mitglied: aqui
LÖSUNG 24.09.2020, aktualisiert um 11:09 Uhr
ob man dieses transfersubent auch über vlans lösen könnte
Ja, das kannst du natürlich auch machen.
  • VLAN erzeugen
  • VLAN IP Interface anlegen und IP Adresse
  • Physischen Port untagged (PVID) dem VLAN zuweisen
  • Fertisch
Ob man das über ein direkt geroutetes Interface oder ein VLAN IP Interface macht ist eher eine kosmetische Frage.
Bitte warten ..
Mitglied: Pixi123
24.09.2020 um 11:16 Uhr
ok, danke für die Antwort.
Was mir allerdings noch nicht ganz klar ist, ist, wo ich diese neuen transfer-vlans anlege: am mikrotik oder dr pfsense? dass beide im vlan sind, ist natürlich klar, aber was mache ich genau am mikrotik und was an der pfsense?
sorry, stehe gerade am Schlauch.
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.09.2020, aktualisiert um 11:32 Uhr
Stehst du scheinbar wirklich....
An der pfSense doch logischerweise nicht. Oben steht doch ganz groß UNTAGGED !!
Das native VLAN sprich der physische Port der pfSense ist immer UNtagged, kennt also keinerlei VLAN ID.
Deshalb legst du es nur am MT an und setzt den physischen MT Port dazu auch auf UNtagged (PVID) und fertig ist der Lack.
Aus Sicht des MT ist das dann ein simpler ungetaggter "Endgeräte" Port in dem VLAN. Die pfSense ist ja eh untagged an ihrem Port ohne jegliche Parent VLANs (siehe oben).
Eigentlich doch kinderleicht ?!
Bitte warten ..
Mitglied: Pixi123
24.09.2020, aktualisiert um 12:09 Uhr
ja ok, das ist so schon klar. das heisst aber auch, dass es nur 1 transfer vlan gibt zwischen pfsense und MT. ich dachte, man macht für jedes vlan, dass es am MT gibt, ein dezidiertes transfer-vlan.
wenns eh nur 1 transfervlan gibt, dann kan man es ja gleich so lassen wie es sit, nämlich ohne vlan. weil 1 vlan ist ja theoretisch immer da, nämlich das default vlan. sprich: habe ich als transfer-netz einfach ein einfaches subnet, dann verwend eich doch auch im grunde das defqault vlan.

ich lasse es also wie es ist, dazu nur eine rein theoretische Frage:
müsste ich, wenn ich das transfernetz als vlan mache, am mikrotik eine 2. bridge machen mit dem einen physischen port, oder kann man, wenn es eh nur 1 port und 1 vlan gibt, auf die bridge verzichten?
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.09.2020 um 12:26 Uhr
Kann das sein das deine Shift Taste defekt ist ?
das heisst aber auch, dass es nur 1 transfer vlan gibt zwischen pfsense und MT
Gegenfrage: Warum sollte es deiner Meinung mehrere geben wenn du die VLANs zentral auf dem Switch routest ??
Du brauchst ja nur einen simplen Link Richtung Internet mehr nicht.
Eine Ausnahme: Gästenatze sollte man niemals auf dem Core Switch routen weil so die Gefahr besteht das diese dann direkt in deine privaten VLANs kommen. Bzw. man muss mit zusätzlichem Firewall Aufwand planen.
Da machst es Sinn diese Netze dann einfach nur per Layer 2 als VLANs durchzuschleifen auf die Firewall und dort zu terminieren.
So enden Gäste oder andere unauthorisierte User direkt auf der Firewall wo man ein Captive Portal oder anderes erheblich sicheres Regelwerk hat. Kann also je nach Design Sinn machen.
Dann hast du natürlich mehrere VLANs auf dem Koppelport und musst auch Taggen, logisch.
dann verwend eich doch auch im grunde das defqault vlan.
Nein ! Denk mal selber etwas nach !
Mit der PVID am Port des Switches bestimmst du doch in welches VLAN der Switch den ungetaggten Traffik der FW forwardet ! Das kann natürlich das Default sein (1) aber auch jedes andere VLAN Netz. Je nachdem was man für eine PVID ID dort einstellt !
dazu nur eine rein theoretische Frage:
Immer gerne...
am mikrotik eine 2. bridge machen
Nein ! Du nutzt ja ein separates VLAN z.B. mit der ID 99 oder 999. Damit ist dieser Traffic ja dann Bridge Intern schon getrennt. Man kann das machen wenn man es von der zentralen Bridge auch noch trennen will um ganz sicher zu gehen. Muss es aber nicht.
Ein Frage deines Sicherheits Empfindens.
Bitte warten ..
Mitglied: Pixi123
24.09.2020, aktualisiert um 13:08 Uhr
Vielen Dank aqui. Du bist ein versiegender Quell an Wissen. Respekt!

Dein Hinweis mit dem Gäste-Vlan ist gut. Im Moment habe ich mein Gäste-Vlan nämlich wie alle anderen Vlans am Mikrotik geroutet/terminiert. Habe natürlich in der Mikrotik Firewwall den Zugriff in alles bis auf Internet untersagt. Aber das könnte ich ändern und auf die pfsense legen. Dann müsste ich, wie du schreibst, den uplink bzw. transfer zw. MT und pfsense taggen.
Anderseits: mein Core-Switch (Mikrotik) ist ja in meinem Fall auch Firewall, nämlich firewall zw den vlans. auf de rpfsense mache ich nur die FW-Regeln, die das Internet betreffen. Weiss nicht genau, was in meinem Fall die best practise Lösung wäre.
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.09.2020, aktualisiert um 14:37 Uhr
Du bist ein versiegender Quell an Wissen. Respekt!
Danke für die Blumen !
Noch sprudelt die Quelle aber und ans Versiegen will ich lieber erstmal nicht denken...
Mikrotik Firewwall den Zugriff in alles bis auf Internet untersagt. Aber das könnte ich ändern und auf die pfsense legen.
Ist Geschmackssache wie man das löst. Das Terminieren direkt auf der pfSense ist etwas sicherer und hat nicht so fatale Folgen wenn man einmal eine falsche Access Regel auf dem Switch verbockt.
Weiss nicht genau, was in meinem Fall die best practise Lösung wäre.
Die gibt es auch gar nicht, denn sie hängt einzig und allein von deiner Sicherheitspolicy oder deinem Sicherheits Bauchgefühl ab !
Der Mikrotik hat ja eine vollständige statefull Firewall an Bord mit seinem L3 Image. Das haben die meisten der Switches nicht. Deren Accesslisten sind bekanntlich nicht stateful.
In deiner HW Kombi ist es daher Geschmackssache.
Bitte warten ..
Mitglied: Pixi123
24.09.2020, aktualisiert um 14:36 Uhr
ich meinte natürlich "nie versiegender Quell"!
Was ich aus deinen Beiträgen hier schon an direkt verwertbaren Wissen gezogen habe, ist echt Wahnsinn.
Bitte warten ..
Mitglied: aqui
24.09.2020 um 14:36 Uhr
Dafür gibts dann den Bearbeiten Knopf rechts unter "Mehr" !
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliQuestionWindows Server26 Comments

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01QuestionExchange Server12 Comments

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

LAN, WAN, Wireless
Spanning Tree Probleme
solved predator66QuestionLAN, WAN, Wireless12 Comments

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Peripherals
Kaufberatung 32" Monitor mit WQHD Auflösung
solved GrueneSosseMitSpeckQuestionPeripherals10 Comments

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Notebook & Accessories
Business Support HP, Dell, Lenovo etc
fuzzyLogicQuestionNotebook & Accessories10 Comments

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Security
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netTickerSecurity9 Comments

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ähnliche Inhalte
Network Management

Fritz Box plus Layer3 Switch gleich VLANS?

Wolle1981QuestionNetwork Management2 Comments

Guten Abend. Folgenden Situation: Zu Hause habe ich eine Fritzbox mit einem 500 Mbit/s Vodafone Anschluss. Daran angeschlossen ist ...

Firewall

PFsens Open VPN Verbindung

OSelbeckQuestionFirewall4 Comments

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

LAN, WAN, Wireless

Lancom Muliti-WAN Router und Layer3 Cisco Switch - VLAN Fragen

solved VLAN-NeulingQuestionLAN, WAN, Wireless50 Comments

Hallo Zusammen, ich bin neu hier und vor allem auch neu im Thema VLAN. Zum Hintergrund: seit vielen Jahren ...

Networking Basics

Wie erstelle ich ein Transfernetz?

tr00p3rQuestionNetworking Basics10 Comments

Guten Tag Mein Netzwerk ist in den letzten Jahren immer mehr gewachsen und es werden verschiedene Verbindungstechnologien (IPSec, OpenVPN, ...

Hard drives, SSD, Raid

DiskWriteCache bei Stromausfall generell riskant?

solved CaptnemoQuestionHard drives, SSD, Raid6 Comments

Ich habe mal eine etwas allgemeine Frage. Bei einem RAID-Controller mit BBU (BackupBatteryUnit) kann man generell den Schreibcache des ...

Network Management

10 VLANs mit Layer3 Switch und IPfire, PCs ohne Proxyeintrag über Gateway ins Internet

solved eac1903QuestionNetwork Management1 Comment

Hallo, hier ein kurzer Überblick über das Netzwerk. Es sind 10 VLANs in einem Layer 3 switch vorhanden. VLAN ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT