Opensense VLAN einrichten
Habe eine Opensense Firewall, und in einem Netz habe ich ein Rechner auf dem noch eine Virtale Maschine läft (Linux).
Die Netzwerkkonfiguration der VM ist als Bridge eingestellt, so das der VM Rechner eine IP von der Opensense erhält, was ganz normal
funktioniert.
Aus Sicherheitsgründen will ich den VM Rechner nun in ein separates Netz legen, damit dieser nur ins Internet kann. Wie dies bei normalem Netzwerk
geht weiß ich, aber ich habe nur noch ein LAN-Kabel
daher sollte es ein VLAN werden.
Wie richte ich es am besten ein, und auf was sollte ich da achten?
Danke
Die Netzwerkkonfiguration der VM ist als Bridge eingestellt, so das der VM Rechner eine IP von der Opensense erhält, was ganz normal
funktioniert.
Aus Sicherheitsgründen will ich den VM Rechner nun in ein separates Netz legen, damit dieser nur ins Internet kann. Wie dies bei normalem Netzwerk
geht weiß ich, aber ich habe nur noch ein LAN-Kabel
Wie richte ich es am besten ein, und auf was sollte ich da achten?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2791179614
Url: https://administrator.de/forum/opensense-vlan-einrichten-2791179614.html
Ausgedruckt am: 03.04.2025 um 19:04 Uhr
12 Kommentare
Neuester Kommentar
Einfach mal die Suchfunktion benutzen... 😉
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. die Virtualisierungsumgebung:
VLAN mit Cisco SG220, ESXIund Pfsense
Das sollte alle deine Fragen beantworten.
Beachten musst du nichts, nur das dein VLAN Tagging natürlich stimmt.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bzw. die Virtualisierungsumgebung:
VLAN mit Cisco SG220, ESXIund Pfsense
Das sollte alle deine Fragen beantworten.
Beachten musst du nichts, nur das dein VLAN Tagging natürlich stimmt.
Du legst am Switch auf den Switchport der VM / des Hosts zusätzlich zu deinem Untagged Netz auch das gewünschte Netz tagged mit dazu und konfigurierst in deinen VM Einstellung die entsprechende VLAN ID.
Dann kommuniziert deine VM über dieses heroische Netzwerkkabel mit dem gewünschten zweiten Netz.
VG
Dann kommuniziert deine VM über dieses heroische Netzwerkkabel mit dem gewünschten zweiten Netz.
VG
Denke wurde alles gesagt. Ich hab selber ähnliche Konfiguration für eine Testumgebung am laufen.
In der Anleitung ist aller drin. Die vSphere/ vCenter Oberfläche ist teils gewöhnungsbedürftig. Wichtig zu verstehen ist das der Switch unter VMware auch Netzwerkgruppen hat. Sonst hängt er in der Luft!
Wir reden hier immer von den "normalen", "ersten" vSwitch. Portgruppe ist das Zauberwort. Nur dort wird die VLAN ID eingetragen.
Nimm am besten sprechende Namen: pVid7 - p für Portgruppe Vid für die VLAN ID.
So verrent man sich auch nicht, sonder weiss auch immer gleich das wir hier irgendwo bei der Portgruppe sind.
Normal geht wenig schief. Du solltest dir ggf. vorher nochmal in Erinnerung rufen wie man über SSH auf der OPNsense die Config zurücksetzt.
Solltest du dich absollut verrennen, kannst du es damit binnen 2 Sekunden zurück setzten.
Denke auch an DHCP etc. JA oder NEIN für das VLAN. Bei letzteren müsstest du sonst manuell IP Eintragen. DHCP lässt sich für VLANs unter OPNsense genau so einrichten. Ist kein muss, erleichtert aber die Arbeit, bzw. Fehlersuche.
In der Anleitung ist aller drin. Die vSphere/ vCenter Oberfläche ist teils gewöhnungsbedürftig. Wichtig zu verstehen ist das der Switch unter VMware auch Netzwerkgruppen hat. Sonst hängt er in der Luft!
Wir reden hier immer von den "normalen", "ersten" vSwitch. Portgruppe ist das Zauberwort. Nur dort wird die VLAN ID eingetragen.
Nimm am besten sprechende Namen: pVid7 - p für Portgruppe Vid für die VLAN ID.
So verrent man sich auch nicht, sonder weiss auch immer gleich das wir hier irgendwo bei der Portgruppe sind.
Normal geht wenig schief. Du solltest dir ggf. vorher nochmal in Erinnerung rufen wie man über SSH auf der OPNsense die Config zurücksetzt.
Denke auch an DHCP etc. JA oder NEIN für das VLAN. Bei letzteren müsstest du sonst manuell IP Eintragen. DHCP lässt sich für VLANs unter OPNsense genau so einrichten. Ist kein muss, erleichtert aber die Arbeit, bzw. Fehlersuche.
Nee, das geht natürlich auch als VM auf dem Mac, erfordert dann aber mindesten 2 Netzwerk Adapter auf dem Mac. Logisch, denn eine Firewall hat ja mindestens immer 2 Netzwerk Interfaces (Lokales LAN und WAN Port)
Ein preiswerter USB-C--Ethernet Adapter für den Mac ist dann dein bester Freund!!
https://www.amazon.de/Ethernet-Adapter-Gigabit-1000Mbps-Netzwerkadapterk ...
Wenn du zwei Kabel Interfaces dafür willst (statt 1 Port via WLAN) benötigst du natürlich 2 von der Sorte.
Ein preiswerter USB-C--Ethernet Adapter für den Mac ist dann dein bester Freund!!
https://www.amazon.de/Ethernet-Adapter-Gigabit-1000Mbps-Netzwerkadapterk ...
Wenn du zwei Kabel Interfaces dafür willst (statt 1 Port via WLAN) benötigst du natürlich 2 von der Sorte.
Jein...
Zumindestens benötigst du den wenn du eine Firewall VM betreiben willst. Dein Mac hat ja nur ein einziges Netzwerk Interface mit dem WLAN.
Mit einer einzelnen Host VM wie du es derzeit betreibst ist das ja kein Thema, denn die hat ja nur eine einzige NIC und braucht nicht mehr und das interne VM Netz liegt per Bridging auf deinem WLAN.
Aber eine Firewall benötigt immer mindestens 2 NICs bzw. Interfaces (Lokales LAN und WAN) die in jeweils getrennte IP Netze müssen. Folglich benötigst du ein 2tes physisches Netzwerk Interface um das umsetzen zu können.
Theoretisch ginge das auch mit einem VLAN und entsprechendem Tagging. Das wird aber auf einem WLAN Interface dann etwas anspruchsvoller, denn du benötigst dann einen AP der zum einem mit MSSIDs umgehen kann und zum anderen auch noch Tagging supportet.
Mal ganz abgesehen von der Frage ob deine Virtualisierungslösung mit VLANs und Tagging umgehen kann.
Als Beispiel kannst du dir einmal eine einfache VLAN Lösung auf VmWare mit der Firewall ansehen. Aber da natürlich über Kupfer Interfaces!
Es gäbe noch einen Workaround ohne 2ten Adapter, aber dann musst du dein VM Netzwerk umstrukturieren.
Du kannst das VM Netz mit dem VM Host komplett isoliert nur im Hypervisor betreiben. Dort hängst du dann das lokale LAN der Firewall ein und bridgest den WAN Port der Firewall auf das physische WLAN Interface.
Das ginge auch allerdings hast du dann Zugriff auf den VM Host erstmal nur über den Mac. Das interne VM Netz kannst und den VM Host kannst du dann nur über ein Port Forwarding in der Firewall VM direkt aus dem WLAN erreichen.
Zumindestens benötigst du den wenn du eine Firewall VM betreiben willst. Dein Mac hat ja nur ein einziges Netzwerk Interface mit dem WLAN.
Mit einer einzelnen Host VM wie du es derzeit betreibst ist das ja kein Thema, denn die hat ja nur eine einzige NIC und braucht nicht mehr und das interne VM Netz liegt per Bridging auf deinem WLAN.
Aber eine Firewall benötigt immer mindestens 2 NICs bzw. Interfaces (Lokales LAN und WAN) die in jeweils getrennte IP Netze müssen. Folglich benötigst du ein 2tes physisches Netzwerk Interface um das umsetzen zu können.
Theoretisch ginge das auch mit einem VLAN und entsprechendem Tagging. Das wird aber auf einem WLAN Interface dann etwas anspruchsvoller, denn du benötigst dann einen AP der zum einem mit MSSIDs umgehen kann und zum anderen auch noch Tagging supportet.
Mal ganz abgesehen von der Frage ob deine Virtualisierungslösung mit VLANs und Tagging umgehen kann.
Als Beispiel kannst du dir einmal eine einfache VLAN Lösung auf VmWare mit der Firewall ansehen. Aber da natürlich über Kupfer Interfaces!
Es gäbe noch einen Workaround ohne 2ten Adapter, aber dann musst du dein VM Netzwerk umstrukturieren.
Du kannst das VM Netz mit dem VM Host komplett isoliert nur im Hypervisor betreiben. Dort hängst du dann das lokale LAN der Firewall ein und bridgest den WAN Port der Firewall auf das physische WLAN Interface.
Das ginge auch allerdings hast du dann Zugriff auf den VM Host erstmal nur über den Mac. Das interne VM Netz kannst und den VM Host kannst du dann nur über ein Port Forwarding in der Firewall VM direkt aus dem WLAN erreichen.
Mit nur einem physischen NIC egal ob Kupfer oder WLAN müsstest du dann zwangsweise die beiden Netzwerk Segmente mit einem VLAN Tag taggen um sie getrennt über eine einzige NIC übertragen zu können.
Bei WLAN ginge das, erfordert dann aber einen Tagging fähigen AP. Das kann nicht jeder und du musst dafür dann ggf. andere AP Hardware benutzen.
Auch musst du sicherstellen das die andere Seite sprich der WLAN Treiber 802.1q VLAN Tagging supportet und das auch noch auf den Hypervisor durchreicht. Nur wenige WLAN NIC Treiber können sowas.
Bei Kupfer ist das generell etwas einfacher wie du HIER an einem Winblows/Linux Beispiel sehen kannst.
Bei WLAN ginge das, erfordert dann aber einen Tagging fähigen AP. Das kann nicht jeder und du musst dafür dann ggf. andere AP Hardware benutzen.
Auch musst du sicherstellen das die andere Seite sprich der WLAN Treiber 802.1q VLAN Tagging supportet und das auch noch auf den Hypervisor durchreicht. Nur wenige WLAN NIC Treiber können sowas.
Bei Kupfer ist das generell etwas einfacher wie du HIER an einem Winblows/Linux Beispiel sehen kannst.
Ich mache das nicht mit dem WLAN nur mit dem LAN, und habe ein MAC.
OK, mit einem LAN Adapter ist das dann kein Problem, das klappt fehlerlos.https://support.apple.com/de-de/guide/mac-help/mh15134/mac
Damit ist das dann mit der VLAN Realisierung ganz einfach...
muss mir dazu aber erst mal ein passenden Switch besorgen.
Ist ja auch in 2 Tagen oder beim IT Shop oder Blödmarkt um die Ecke sofort erledigt:https://www.amazon.de/TP-Link-TL-SG108E-Unmanaged-Metallgehäuse-Man ...