12
Opensense VLAN einrichten
Habe eine Opensense Firewall, und in einem Netz habe ich ein Rechner auf dem noch eine Virtale Maschine läft (Linux).
Die Netzwerkkonfiguration der VM ist als Bridge eingestellt, so das der VM Rechner eine IP von der Opensense erhält, was ganz normal
funktioniert.
Aus Sicherheitsgründen will ich den VM Rechner nun in ein separates Netz legen, damit dieser nur ins Internet kann. Wie dies bei normalem Netzwerk
geht weiß ich, aber ich habe nur noch ein LAN-Kabel
daher sollte es ein VLAN werden.
Wie richte ich es am besten ein, und auf was sollte ich da achten?
Danke
Die Netzwerkkonfiguration der VM ist als Bridge eingestellt, so das der VM Rechner eine IP von der Opensense erhält, was ganz normal
funktioniert.
Aus Sicherheitsgründen will ich den VM Rechner nun in ein separates Netz legen, damit dieser nur ins Internet kann. Wie dies bei normalem Netzwerk
geht weiß ich, aber ich habe nur noch ein LAN-Kabel
daher sollte es ein VLAN werden.Wie richte ich es am besten ein, und auf was sollte ich da achten?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2791179614
Url: https://administrator.de/contentid/2791179614
Printed on: April 18, 2024 at 17:04 o'clock
12 Comments
Latest comment
Einfach mal die Suchfunktion benutzen... 😉
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. die Virtualisierungsumgebung:
VLAN mit Cisco SG220, ESXIund Pfsense
Das sollte alle deine Fragen beantworten.
Beachten musst du nichts, nur das dein VLAN Tagging natürlich stimmt.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. die Virtualisierungsumgebung:
VLAN mit Cisco SG220, ESXIund Pfsense
Das sollte alle deine Fragen beantworten.
Beachten musst du nichts, nur das dein VLAN Tagging natürlich stimmt.
Du legst am Switch auf den Switchport der VM / des Hosts zusätzlich zu deinem Untagged Netz auch das gewünschte Netz tagged mit dazu und konfigurierst in deinen VM Einstellung die entsprechende VLAN ID.
Dann kommuniziert deine VM über dieses heroische Netzwerkkabel mit dem gewünschten zweiten Netz.
VG
Dann kommuniziert deine VM über dieses heroische Netzwerkkabel mit dem gewünschten zweiten Netz.
VG
1
Denke wurde alles gesagt. Ich hab selber ähnliche Konfiguration für eine Testumgebung am laufen.
In der Anleitung ist aller drin. Die vSphere/ vCenter Oberfläche ist teils gewöhnungsbedürftig. Wichtig zu verstehen ist das der Switch unter VMware auch Netzwerkgruppen hat. Sonst hängt er in der Luft!
Wir reden hier immer von den "normalen", "ersten" vSwitch. Portgruppe ist das Zauberwort. Nur dort wird die VLAN ID eingetragen.
Nimm am besten sprechende Namen: pVid7 - p für Portgruppe Vid für die VLAN ID.
So verrent man sich auch nicht, sonder weiss auch immer gleich das wir hier irgendwo bei der Portgruppe sind.
Normal geht wenig schief. Du solltest dir ggf. vorher nochmal in Erinnerung rufen wie man über SSH auf der OPNsense die Config zurücksetzt. Solltest du dich absollut verrennen, kannst du es damit binnen 2 Sekunden zurück setzten.
Denke auch an DHCP etc. JA oder NEIN für das VLAN. Bei letzteren müsstest du sonst manuell IP Eintragen. DHCP lässt sich für VLANs unter OPNsense genau so einrichten. Ist kein muss, erleichtert aber die Arbeit, bzw. Fehlersuche.
In der Anleitung ist aller drin. Die vSphere/ vCenter Oberfläche ist teils gewöhnungsbedürftig. Wichtig zu verstehen ist das der Switch unter VMware auch Netzwerkgruppen hat. Sonst hängt er in der Luft!
Wir reden hier immer von den "normalen", "ersten" vSwitch. Portgruppe ist das Zauberwort. Nur dort wird die VLAN ID eingetragen.
Nimm am besten sprechende Namen: pVid7 - p für Portgruppe Vid für die VLAN ID.
So verrent man sich auch nicht, sonder weiss auch immer gleich das wir hier irgendwo bei der Portgruppe sind.
Normal geht wenig schief. Du solltest dir ggf. vorher nochmal in Erinnerung rufen wie man über SSH auf der OPNsense die Config zurücksetzt.
Solltest du dich absollut verrennen, kannst du es damit binnen 2 Sekunden zurück setzten.Denke auch an DHCP etc. JA oder NEIN für das VLAN. Bei letzteren müsstest du sonst manuell IP Eintragen. DHCP lässt sich für VLANs unter OPNsense genau so einrichten. Ist kein muss, erleichtert aber die Arbeit, bzw. Fehlersuche.
Zitat von @aqui:
Einfach mal die Suchfunktion benutzen... 😉
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. die Virtualisierungsumgebung:
VLAN mit Cisco SG220, ESXIund Pfsense
Das sollte alle deine Fragen beantworten.
Beachten musst du nichts, nur das dein VLAN Tagging natürlich stimmt.
Einfach mal die Suchfunktion benutzen... 😉
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. die Virtualisierungsumgebung:
VLAN mit Cisco SG220, ESXIund Pfsense
Das sollte alle deine Fragen beantworten.
Beachten musst du nichts, nur das dein VLAN Tagging natürlich stimmt.
Ahm, physikalisch mit einem Switch ja danke.
Nur meinte ich das ich eine VM im PC (Mac M1)laufen habe, und die VM hat als Netzwerkanschluß die Bridge, so dass beide Rechner im selben Netz sind.
Wahrscheinlich brauche ich dazu eine Sense als VM? Falls ja wie bei dem M1 da geht Virtualbox nun leider nicht mehr.
Nee, das geht natürlich auch als VM auf dem Mac, erfordert dann aber mindesten 2 Netzwerk Adapter auf dem Mac. Logisch, denn eine Firewall hat ja mindestens immer 2 Netzwerk Interfaces (Lokales LAN und WAN Port)
Ein preiswerter USB-C--Ethernet Adapter für den Mac ist dann dein bester Freund!!
https://www.amazon.de/Ethernet-Adapter-Gigabit-1000Mbps-Netzwerkadapterk ...
Wenn du zwei Kabel Interfaces dafür willst (statt 1 Port via WLAN) benötigst du natürlich 2 von der Sorte.
Ein preiswerter USB-C--Ethernet Adapter für den Mac ist dann dein bester Freund!!
https://www.amazon.de/Ethernet-Adapter-Gigabit-1000Mbps-Netzwerkadapterk ...
Wenn du zwei Kabel Interfaces dafür willst (statt 1 Port via WLAN) benötigst du natürlich 2 von der Sorte.
Zitat von @aqui:
Nee, das geht natürlich auch als VM auf dem Mac, erfordert dann aber mindesten 2 Netzwerk Adapter auf dem Mac. Logisch, denn eine Firewall hat ja mindestens immer 2 Netzwerk Interfaces (Lokales LAN und WAN Port)
Ein preiswerter USB-C--Ethernet Adapter für den Mac ist dann dein bester Freund!!
https://www.amazon.de/Ethernet-Adapter-Gigabit-1000Mbps-Netzwerkadapterk ...
Wenn du zwei Kabel Interfaces dafür willst (statt 1 Port via WLAN) benötigst du natürlich 2 von der Sorte.
Nee, das geht natürlich auch als VM auf dem Mac, erfordert dann aber mindesten 2 Netzwerk Adapter auf dem Mac. Logisch, denn eine Firewall hat ja mindestens immer 2 Netzwerk Interfaces (Lokales LAN und WAN Port)
Ein preiswerter USB-C--Ethernet Adapter für den Mac ist dann dein bester Freund!!
https://www.amazon.de/Ethernet-Adapter-Gigabit-1000Mbps-Netzwerkadapterk ...
Wenn du zwei Kabel Interfaces dafür willst (statt 1 Port via WLAN) benötigst du natürlich 2 von der Sorte.
du meinst um dann die VLAN Lösung mit der VM im MAC zu realiseren brauche ich noch einen 2 Netzwerkadapter.
Dann brauche ich noch einen VLAN fähigen Switch dazu. Welcher ist denn der günstigste der zu Empfehlen wäre?
Jein...
Zumindestens benötigst du den wenn du eine Firewall VM betreiben willst. Dein Mac hat ja nur ein einziges Netzwerk Interface mit dem WLAN.
Mit einer einzelnen Host VM wie du es derzeit betreibst ist das ja kein Thema, denn die hat ja nur eine einzige NIC und braucht nicht mehr und das interne VM Netz liegt per Bridging auf deinem WLAN.
Aber eine Firewall benötigt immer mindestens 2 NICs bzw. Interfaces (Lokales LAN und WAN) die in jeweils getrennte IP Netze müssen. Folglich benötigst du ein 2tes physisches Netzwerk Interface um das umsetzen zu können.
Theoretisch ginge das auch mit einem VLAN und entsprechendem Tagging. Das wird aber auf einem WLAN Interface dann etwas anspruchsvoller, denn du benötigst dann einen AP der zum einem mit MSSIDs umgehen kann und zum anderen auch noch Tagging supportet.
Mal ganz abgesehen von der Frage ob deine Virtualisierungslösung mit VLANs und Tagging umgehen kann.
Als Beispiel kannst du dir einmal eine einfache VLAN Lösung auf VmWare mit der Firewall ansehen. Aber da natürlich über Kupfer Interfaces!
Es gäbe noch einen Workaround ohne 2ten Adapter, aber dann musst du dein VM Netzwerk umstrukturieren.
Du kannst das VM Netz mit dem VM Host komplett isoliert nur im Hypervisor betreiben. Dort hängst du dann das lokale LAN der Firewall ein und bridgest den WAN Port der Firewall auf das physische WLAN Interface.
Das ginge auch allerdings hast du dann Zugriff auf den VM Host erstmal nur über den Mac. Das interne VM Netz kannst und den VM Host kannst du dann nur über ein Port Forwarding in der Firewall VM direkt aus dem WLAN erreichen.
Zumindestens benötigst du den wenn du eine Firewall VM betreiben willst. Dein Mac hat ja nur ein einziges Netzwerk Interface mit dem WLAN.
Mit einer einzelnen Host VM wie du es derzeit betreibst ist das ja kein Thema, denn die hat ja nur eine einzige NIC und braucht nicht mehr und das interne VM Netz liegt per Bridging auf deinem WLAN.
Aber eine Firewall benötigt immer mindestens 2 NICs bzw. Interfaces (Lokales LAN und WAN) die in jeweils getrennte IP Netze müssen. Folglich benötigst du ein 2tes physisches Netzwerk Interface um das umsetzen zu können.
Theoretisch ginge das auch mit einem VLAN und entsprechendem Tagging. Das wird aber auf einem WLAN Interface dann etwas anspruchsvoller, denn du benötigst dann einen AP der zum einem mit MSSIDs umgehen kann und zum anderen auch noch Tagging supportet.
Mal ganz abgesehen von der Frage ob deine Virtualisierungslösung mit VLANs und Tagging umgehen kann.
Als Beispiel kannst du dir einmal eine einfache VLAN Lösung auf VmWare mit der Firewall ansehen. Aber da natürlich über Kupfer Interfaces!
Es gäbe noch einen Workaround ohne 2ten Adapter, aber dann musst du dein VM Netzwerk umstrukturieren.
Du kannst das VM Netz mit dem VM Host komplett isoliert nur im Hypervisor betreiben. Dort hängst du dann das lokale LAN der Firewall ein und bridgest den WAN Port der Firewall auf das physische WLAN Interface.
Das ginge auch allerdings hast du dann Zugriff auf den VM Host erstmal nur über den Mac. Das interne VM Netz kannst und den VM Host kannst du dann nur über ein Port Forwarding in der Firewall VM direkt aus dem WLAN erreichen.
Ja aber zu komplex das ganze... Ich habe nun einfach an mein Mac Rechner ein zweites USB-NIC gesteckt der im anderen LANB ist, und Verbinde die VM mit damit mit LANB.
Is aber keine optimale Lösung, weil wenn ich die Vm beende und vergesse das LANB noch an dem MAC angeschlossen ist, dann habe ich am MAC beide Netze hängen, was sich eingtlcih verhindern möchte
Müsste mal schauen ob man die Einstellung ändern kann, das der MAC selbst keine Verbindung zum LANB aufbaut.
Is aber keine optimale Lösung, weil wenn ich die Vm beende und vergesse das LANB noch an dem MAC angeschlossen ist, dann habe ich am MAC beide Netze hängen, was sich eingtlcih verhindern möchte
Müsste mal schauen ob man die Einstellung ändern kann, das der MAC selbst keine Verbindung zum LANB aufbaut.
Mit nur einem physischen NIC egal ob Kupfer oder WLAN müsstest du dann zwangsweise die beiden Netzwerk Segmente mit einem VLAN Tag taggen um sie getrennt über eine einzige NIC übertragen zu können.
Bei WLAN ginge das, erfordert dann aber einen Tagging fähigen AP. Das kann nicht jeder und du musst dafür dann ggf. andere AP Hardware benutzen.
Auch musst du sicherstellen das die andere Seite sprich der WLAN Treiber 802.1q VLAN Tagging supportet und das auch noch auf den Hypervisor durchreicht. Nur wenige WLAN NIC Treiber können sowas.
Bei Kupfer ist das generell etwas einfacher wie du HIER an einem Winblows/Linux Beispiel sehen kannst.
Bei WLAN ginge das, erfordert dann aber einen Tagging fähigen AP. Das kann nicht jeder und du musst dafür dann ggf. andere AP Hardware benutzen.
Auch musst du sicherstellen das die andere Seite sprich der WLAN Treiber 802.1q VLAN Tagging supportet und das auch noch auf den Hypervisor durchreicht. Nur wenige WLAN NIC Treiber können sowas.
Bei Kupfer ist das generell etwas einfacher wie du HIER an einem Winblows/Linux Beispiel sehen kannst.
Zitat von @aqui:
Mit nur einem physischen NIC egal ob Kupfer oder WLAN müsstest du dann zwangsweise die beiden Netzwerk Segmente mit einem VLAN Tag taggen um sie getrennt über eine einzige NIC übertragen zu können.
Mit nur einem physischen NIC egal ob Kupfer oder WLAN müsstest du dann zwangsweise die beiden Netzwerk Segmente mit einem VLAN Tag taggen um sie getrennt über eine einzige NIC übertragen zu können.
Ja genau das hatte ich gemeint. Ich mache das nicht mit dem WLAN nur mit dem LAN, und habe ein MAC.
Da ich nun schon die andere Möglichekit nutze (USB NIC) sind die VMs alle im anderen Netz. Aber ich würde das gerne auch mit den VLANs realisieren, muss mir dazu aber erst mal ein passenden Switch besorgen.
Danke
Zitat von @Crusher79:
Normal geht wenig schief. Du solltest dir ggf. vorher nochmal in Erinnerung rufen wie man über SSH auf der OPNsense die Config zurücksetzt. Solltest du dich absollut verrennen, kannst du es damit binnen 2 Sekunden zurück setzten.
Normal geht wenig schief. Du solltest dir ggf. vorher nochmal in Erinnerung rufen wie man über SSH auf der OPNsense die Config zurücksetzt.
Solltest du dich absollut verrennen, kannst du es damit binnen 2 Sekunden zurück setzten.Guter Hinweis. Zurücksetzen heißt auf Werkseinstellungen? Welche Befehle nutze ich bei der Opensense im SSH Terminal dazu. Kann ich es nicht auf das letzte Backup "resetten" um so in den gespeicherten Zustand zurück zu gehen. In der Oberfläche kann ich die Configdatei speichern, und über das Webinterface wieder einspielen, aber über den Terminal wäre es mir auch lieber.
Ich mache das nicht mit dem WLAN nur mit dem LAN, und habe ein MAC.
OK, mit einem LAN Adapter ist das dann kein Problem, das klappt fehlerlos.https://support.apple.com/de-de/guide/mac-help/mh15134/mac
Damit ist das dann mit der VLAN Realisierung ganz einfach...
muss mir dazu aber erst mal ein passenden Switch besorgen.
Ist ja auch in 2 Tagen oder beim IT Shop oder Blödmarkt um die Ecke sofort erledigt:https://www.amazon.de/TP-Link-TL-SG108E-Unmanaged-Metallgehäuse-Man ...
