pixi123
Goto Top

Generelle Frage zu Transfernetz zw. pfsense und layer3-Switch

Hallo!

Folgender Aufbau:

internet - modem - pfsense - mikrotik-switch (l3)

pfsense lan: 192.168.255.1
mikrotik uplink ether1: 192.168.255.2

meine Vlans sind am Mikrotik-Switch einegrichtet, zwischen mikrotik-Switch und pfsense ist KEIN vlan, sondern ein einfaches transfer-subnet. Auf der pfsense sind statische Routen in die vlans eingerichtet, am Mikrotik eine default route 0.0.0.0 über an 192.168.255.1 über ether1 (der nicht zur bridge gehört). So wie aus dem aqui-tutorial,.

Nun hatte ich den Gedanken, ob man dieses transfersubent auch über vlans lösen könnte. Im Moment weiss die pfsense ja nichts von den vlans. Hätte es irgendeinen Vortiel, wenn statt des einen transfer-subnets zwischen pfsense und mikrotik auch vlans wären? in dem Fall müsste ether1 am mikrotik zur bridge hinzugefügt werden und alle vlans tagt darauf, und der port der pfsense müsste auch tagt tagt in alle vlans, oder? Oder müsste pro vlan ein eigenes transfer-vlan erstellt werden?
kann das jemand vielleicht kurz beschreiben, wie das Design aussehen müsste? Wäre das "besser" als mein jetziges Design?

Content-ID: 607256

Url: https://administrator.de/contentid/607256

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

aqui
Lösung aqui 24.09.2020 aktualisiert um 11:09:05 Uhr
Goto Top
ob man dieses transfersubent auch über vlans lösen könnte
Ja, das kannst du natürlich auch machen.
  • VLAN erzeugen
  • VLAN IP Interface anlegen und IP Adresse
  • Physischen Port untagged (PVID) dem VLAN zuweisen
  • Fertisch
Ob man das über ein direkt geroutetes Interface oder ein VLAN IP Interface macht ist eher eine kosmetische Frage.
Pixi123
Pixi123 24.09.2020 um 11:16:57 Uhr
Goto Top
ok, danke für die Antwort.
Was mir allerdings noch nicht ganz klar ist, ist, wo ich diese neuen transfer-vlans anlege: am mikrotik oder dr pfsense? dass beide im vlan sind, ist natürlich klar, aber was mache ich genau am mikrotik und was an der pfsense?
sorry, stehe gerade am Schlauch.
aqui
Lösung aqui 24.09.2020 aktualisiert um 11:32:17 Uhr
Goto Top
Stehst du scheinbar wirklich.... face-smile
An der pfSense doch logischerweise nicht. Oben steht doch ganz groß UNTAGGED !!
Das native VLAN sprich der physische Port der pfSense ist immer UNtagged, kennt also keinerlei VLAN ID.
Deshalb legst du es nur am MT an und setzt den physischen MT Port dazu auch auf UNtagged (PVID) und fertig ist der Lack.
Aus Sicht des MT ist das dann ein simpler ungetaggter "Endgeräte" Port in dem VLAN. Die pfSense ist ja eh untagged an ihrem Port ohne jegliche Parent VLANs (siehe oben).
Eigentlich doch kinderleicht ?! face-wink
Pixi123
Pixi123 24.09.2020 aktualisiert um 12:09:38 Uhr
Goto Top
ja ok, das ist so schon klar. das heisst aber auch, dass es nur 1 transfer vlan gibt zwischen pfsense und MT. ich dachte, man macht für jedes vlan, dass es am MT gibt, ein dezidiertes transfer-vlan.
wenns eh nur 1 transfervlan gibt, dann kan man es ja gleich so lassen wie es sit, nämlich ohne vlan. weil 1 vlan ist ja theoretisch immer da, nämlich das default vlan. sprich: habe ich als transfer-netz einfach ein einfaches subnet, dann verwend eich doch auch im grunde das defqault vlan.

ich lasse es also wie es ist, dazu nur eine rein theoretische Frage:
müsste ich, wenn ich das transfernetz als vlan mache, am mikrotik eine 2. bridge machen mit dem einen physischen port, oder kann man, wenn es eh nur 1 port und 1 vlan gibt, auf die bridge verzichten?
aqui
Lösung aqui 24.09.2020 um 12:26:39 Uhr
Goto Top
Kann das sein das deine Shift Taste defekt ist ? face-wink
das heisst aber auch, dass es nur 1 transfer vlan gibt zwischen pfsense und MT
Gegenfrage: Warum sollte es deiner Meinung mehrere geben wenn du die VLANs zentral auf dem Switch routest ??
Du brauchst ja nur einen simplen Link Richtung Internet mehr nicht.
Eine Ausnahme: Gästenatze sollte man niemals auf dem Core Switch routen weil so die Gefahr besteht das diese dann direkt in deine privaten VLANs kommen. Bzw. man muss mit zusätzlichem Firewall Aufwand planen.
Da machst es Sinn diese Netze dann einfach nur per Layer 2 als VLANs durchzuschleifen auf die Firewall und dort zu terminieren.
So enden Gäste oder andere unauthorisierte User direkt auf der Firewall wo man ein Captive Portal oder anderes erheblich sicheres Regelwerk hat. Kann also je nach Design Sinn machen.
Dann hast du natürlich mehrere VLANs auf dem Koppelport und musst auch Taggen, logisch.
dann verwend eich doch auch im grunde das defqault vlan.
Nein ! Denk mal selber etwas nach ! face-wink
Mit der PVID am Port des Switches bestimmst du doch in welches VLAN der Switch den ungetaggten Traffik der FW forwardet ! Das kann natürlich das Default sein (1) aber auch jedes andere VLAN Netz. Je nachdem was man für eine PVID ID dort einstellt !
dazu nur eine rein theoretische Frage:
Immer gerne...
am mikrotik eine 2. bridge machen
Nein ! Du nutzt ja ein separates VLAN z.B. mit der ID 99 oder 999. Damit ist dieser Traffic ja dann Bridge Intern schon getrennt. Man kann das machen wenn man es von der zentralen Bridge auch noch trennen will um ganz sicher zu gehen. Muss es aber nicht.
Ein Frage deines Sicherheits Empfindens.
Pixi123
Pixi123 24.09.2020 aktualisiert um 13:08:03 Uhr
Goto Top
Vielen Dank aqui. Du bist ein versiegender Quell an Wissen. Respekt!

Dein Hinweis mit dem Gäste-Vlan ist gut. Im Moment habe ich mein Gäste-Vlan nämlich wie alle anderen Vlans am Mikrotik geroutet/terminiert. Habe natürlich in der Mikrotik Firewwall den Zugriff in alles bis auf Internet untersagt. Aber das könnte ich ändern und auf die pfsense legen. Dann müsste ich, wie du schreibst, den uplink bzw. transfer zw. MT und pfsense taggen.
Anderseits: mein Core-Switch (Mikrotik) ist ja in meinem Fall auch Firewall, nämlich firewall zw den vlans. auf de rpfsense mache ich nur die FW-Regeln, die das Internet betreffen. Weiss nicht genau, was in meinem Fall die best practise Lösung wäre.
aqui
Lösung aqui 24.09.2020 aktualisiert um 14:37:06 Uhr
Goto Top
Du bist ein versiegender Quell an Wissen. Respekt!
Danke für die Blumen !
Noch sprudelt die Quelle aber und ans Versiegen will ich lieber erstmal nicht denken... face-wink
Mikrotik Firewwall den Zugriff in alles bis auf Internet untersagt. Aber das könnte ich ändern und auf die pfsense legen.
Ist Geschmackssache wie man das löst. Das Terminieren direkt auf der pfSense ist etwas sicherer und hat nicht so fatale Folgen wenn man einmal eine falsche Access Regel auf dem Switch verbockt.
Weiss nicht genau, was in meinem Fall die best practise Lösung wäre.
Die gibt es auch gar nicht, denn sie hängt einzig und allein von deiner Sicherheitspolicy oder deinem Sicherheits Bauchgefühl ab !
Der Mikrotik hat ja eine vollständige statefull Firewall an Bord mit seinem L3 Image. Das haben die meisten der Switches nicht. Deren Accesslisten sind bekanntlich nicht stateful.
In deiner HW Kombi ist es daher Geschmackssache.
Pixi123
Pixi123 24.09.2020 aktualisiert um 14:36:38 Uhr
Goto Top
ich meinte natürlich "nie versiegender Quell"! face-smile
Was ich aus deinen Beiträgen hier schon an direkt verwertbaren Wissen gezogen habe, ist echt Wahnsinn.
aqui
aqui 24.09.2020 um 14:36:45 Uhr
Goto Top
Dafür gibts dann den Bearbeiten Knopf rechts unter "Mehr" ! face-wink