Generelle Frage zu Transfernetz zw. pfsense und layer3-Switch
Hallo!
Folgender Aufbau:
internet - modem - pfsense - mikrotik-switch (l3)
pfsense lan: 192.168.255.1
mikrotik uplink ether1: 192.168.255.2
meine Vlans sind am Mikrotik-Switch einegrichtet, zwischen mikrotik-Switch und pfsense ist KEIN vlan, sondern ein einfaches transfer-subnet. Auf der pfsense sind statische Routen in die vlans eingerichtet, am Mikrotik eine default route 0.0.0.0 über an 192.168.255.1 über ether1 (der nicht zur bridge gehört). So wie aus dem aqui-tutorial,.
Nun hatte ich den Gedanken, ob man dieses transfersubent auch über vlans lösen könnte. Im Moment weiss die pfsense ja nichts von den vlans. Hätte es irgendeinen Vortiel, wenn statt des einen transfer-subnets zwischen pfsense und mikrotik auch vlans wären? in dem Fall müsste ether1 am mikrotik zur bridge hinzugefügt werden und alle vlans tagt darauf, und der port der pfsense müsste auch tagt tagt in alle vlans, oder? Oder müsste pro vlan ein eigenes transfer-vlan erstellt werden?
kann das jemand vielleicht kurz beschreiben, wie das Design aussehen müsste? Wäre das "besser" als mein jetziges Design?
Folgender Aufbau:
internet - modem - pfsense - mikrotik-switch (l3)
pfsense lan: 192.168.255.1
mikrotik uplink ether1: 192.168.255.2
meine Vlans sind am Mikrotik-Switch einegrichtet, zwischen mikrotik-Switch und pfsense ist KEIN vlan, sondern ein einfaches transfer-subnet. Auf der pfsense sind statische Routen in die vlans eingerichtet, am Mikrotik eine default route 0.0.0.0 über an 192.168.255.1 über ether1 (der nicht zur bridge gehört). So wie aus dem aqui-tutorial,.
Nun hatte ich den Gedanken, ob man dieses transfersubent auch über vlans lösen könnte. Im Moment weiss die pfsense ja nichts von den vlans. Hätte es irgendeinen Vortiel, wenn statt des einen transfer-subnets zwischen pfsense und mikrotik auch vlans wären? in dem Fall müsste ether1 am mikrotik zur bridge hinzugefügt werden und alle vlans tagt darauf, und der port der pfsense müsste auch tagt tagt in alle vlans, oder? Oder müsste pro vlan ein eigenes transfer-vlan erstellt werden?
kann das jemand vielleicht kurz beschreiben, wie das Design aussehen müsste? Wäre das "besser" als mein jetziges Design?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 607256
Url: https://administrator.de/contentid/607256
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
9 Kommentare
Neuester Kommentar
ob man dieses transfersubent auch über vlans lösen könnte
Ja, das kannst du natürlich auch machen.- VLAN erzeugen
- VLAN IP Interface anlegen und IP Adresse
- Physischen Port untagged (PVID) dem VLAN zuweisen
- Fertisch
Stehst du scheinbar wirklich....
An der pfSense doch logischerweise nicht. Oben steht doch ganz groß UNTAGGED !!
Das native VLAN sprich der physische Port der pfSense ist immer UNtagged, kennt also keinerlei VLAN ID.
Deshalb legst du es nur am MT an und setzt den physischen MT Port dazu auch auf UNtagged (PVID) und fertig ist der Lack.
Aus Sicht des MT ist das dann ein simpler ungetaggter "Endgeräte" Port in dem VLAN. Die pfSense ist ja eh untagged an ihrem Port ohne jegliche Parent VLANs (siehe oben).
Eigentlich doch kinderleicht ?!
An der pfSense doch logischerweise nicht. Oben steht doch ganz groß UNTAGGED !!
Das native VLAN sprich der physische Port der pfSense ist immer UNtagged, kennt also keinerlei VLAN ID.
Deshalb legst du es nur am MT an und setzt den physischen MT Port dazu auch auf UNtagged (PVID) und fertig ist der Lack.
Aus Sicht des MT ist das dann ein simpler ungetaggter "Endgeräte" Port in dem VLAN. Die pfSense ist ja eh untagged an ihrem Port ohne jegliche Parent VLANs (siehe oben).
Eigentlich doch kinderleicht ?!
Kann das sein das deine Shift Taste defekt ist ?
Du brauchst ja nur einen simplen Link Richtung Internet mehr nicht.
Eine Ausnahme: Gästenatze sollte man niemals auf dem Core Switch routen weil so die Gefahr besteht das diese dann direkt in deine privaten VLANs kommen. Bzw. man muss mit zusätzlichem Firewall Aufwand planen.
Da machst es Sinn diese Netze dann einfach nur per Layer 2 als VLANs durchzuschleifen auf die Firewall und dort zu terminieren.
So enden Gäste oder andere unauthorisierte User direkt auf der Firewall wo man ein Captive Portal oder anderes erheblich sicheres Regelwerk hat. Kann also je nach Design Sinn machen.
Dann hast du natürlich mehrere VLANs auf dem Koppelport und musst auch Taggen, logisch.
Mit der PVID am Port des Switches bestimmst du doch in welches VLAN der Switch den ungetaggten Traffik der FW forwardet ! Das kann natürlich das Default sein (1) aber auch jedes andere VLAN Netz. Je nachdem was man für eine PVID ID dort einstellt !
Ein Frage deines Sicherheits Empfindens.
das heisst aber auch, dass es nur 1 transfer vlan gibt zwischen pfsense und MT
Gegenfrage: Warum sollte es deiner Meinung mehrere geben wenn du die VLANs zentral auf dem Switch routest ??Du brauchst ja nur einen simplen Link Richtung Internet mehr nicht.
Eine Ausnahme: Gästenatze sollte man niemals auf dem Core Switch routen weil so die Gefahr besteht das diese dann direkt in deine privaten VLANs kommen. Bzw. man muss mit zusätzlichem Firewall Aufwand planen.
Da machst es Sinn diese Netze dann einfach nur per Layer 2 als VLANs durchzuschleifen auf die Firewall und dort zu terminieren.
So enden Gäste oder andere unauthorisierte User direkt auf der Firewall wo man ein Captive Portal oder anderes erheblich sicheres Regelwerk hat. Kann also je nach Design Sinn machen.
Dann hast du natürlich mehrere VLANs auf dem Koppelport und musst auch Taggen, logisch.
dann verwend eich doch auch im grunde das defqault vlan.
Nein ! Denk mal selber etwas nach ! Mit der PVID am Port des Switches bestimmst du doch in welches VLAN der Switch den ungetaggten Traffik der FW forwardet ! Das kann natürlich das Default sein (1) aber auch jedes andere VLAN Netz. Je nachdem was man für eine PVID ID dort einstellt !
dazu nur eine rein theoretische Frage:
Immer gerne...am mikrotik eine 2. bridge machen
Nein ! Du nutzt ja ein separates VLAN z.B. mit der ID 99 oder 999. Damit ist dieser Traffic ja dann Bridge Intern schon getrennt. Man kann das machen wenn man es von der zentralen Bridge auch noch trennen will um ganz sicher zu gehen. Muss es aber nicht.Ein Frage deines Sicherheits Empfindens.
Du bist ein versiegender Quell an Wissen. Respekt!
Danke für die Blumen !Noch sprudelt die Quelle aber und ans Versiegen will ich lieber erstmal nicht denken...
Mikrotik Firewwall den Zugriff in alles bis auf Internet untersagt. Aber das könnte ich ändern und auf die pfsense legen.
Ist Geschmackssache wie man das löst. Das Terminieren direkt auf der pfSense ist etwas sicherer und hat nicht so fatale Folgen wenn man einmal eine falsche Access Regel auf dem Switch verbockt.Weiss nicht genau, was in meinem Fall die best practise Lösung wäre.
Die gibt es auch gar nicht, denn sie hängt einzig und allein von deiner Sicherheitspolicy oder deinem Sicherheits Bauchgefühl ab !Der Mikrotik hat ja eine vollständige statefull Firewall an Bord mit seinem L3 Image. Das haben die meisten der Switches nicht. Deren Accesslisten sind bekanntlich nicht stateful.
In deiner HW Kombi ist es daher Geschmackssache.