10
OPNsense VLAN Konfiguration
Hallo Administrator-Community,
Ich bin derzeit neu in der IT-Welt und benötige Hilfe im OPNsense.
Ich habe euch zum Verständnis meiner Fragen eine kleine Skizze meiner Infrastruktur erstellt (ich hoffe sie ist verständlich).
Trotzdem würde ich nochmal in Worten kurz zusammenfassen was das Bild aussagen soll:
Ich habe einen Mini-Computer mit 4 LAN Ports, auf dem das OPNsense läuft.
LAN1 hat eine DHCP4 Adresse zugewiesen bekommen und ist an meinem Netzwerk angeschlossen.
LAN2 hat eine statische IP-Adresse (siehe Bild) und ist mit meinem Gerät 1 angeschlossen.
LAN3 hat ebenso eine statische IP-Adresse (siehe Bild) und ist mit meinem Gerät 2 angeschlossen.
Ich möchte das sich Gerät 1 und Gerät 2 pingen können (ohne eine Bridge), mithilfe eines VLANs.
Ich wollte erst ein großes VLAN erstellen indem die Schnittstellen LAN1, LAN2, LAN3 vorhanden sind, habe aber gemerkt das ich das auf dem OPNsense nicht tun kann.
Daher habe ich jeder Schnittstelle ein VLAN zugewiesen mit dem selbem Tag 30 (Büro, Gäste und R Netz.
Diese VLANs haben ebenso statische IP-Adressen (siehe Bild).
Nun meine Frage:
Kann das so überhuapt funktionieren, dass sich Gerät 1 und Gerät 2 pingen können, wenn ja wie?
Wenn nicht wieso?
Was mache ich falsch?
Ich bedanke mich im voraus.
Grüße
IT797979
Ich bin derzeit neu in der IT-Welt und benötige Hilfe im OPNsense.
Ich habe euch zum Verständnis meiner Fragen eine kleine Skizze meiner Infrastruktur erstellt (ich hoffe sie ist verständlich).
Trotzdem würde ich nochmal in Worten kurz zusammenfassen was das Bild aussagen soll:
Ich habe einen Mini-Computer mit 4 LAN Ports, auf dem das OPNsense läuft.
LAN1 hat eine DHCP4 Adresse zugewiesen bekommen und ist an meinem Netzwerk angeschlossen.
LAN2 hat eine statische IP-Adresse (siehe Bild) und ist mit meinem Gerät 1 angeschlossen.
LAN3 hat ebenso eine statische IP-Adresse (siehe Bild) und ist mit meinem Gerät 2 angeschlossen.
Ich möchte das sich Gerät 1 und Gerät 2 pingen können (ohne eine Bridge), mithilfe eines VLANs.
Ich wollte erst ein großes VLAN erstellen indem die Schnittstellen LAN1, LAN2, LAN3 vorhanden sind, habe aber gemerkt das ich das auf dem OPNsense nicht tun kann.
Daher habe ich jeder Schnittstelle ein VLAN zugewiesen mit dem selbem Tag 30 (Büro, Gäste und R Netz.
Diese VLANs haben ebenso statische IP-Adressen (siehe Bild).
Nun meine Frage:
Kann das so überhuapt funktionieren, dass sich Gerät 1 und Gerät 2 pingen können, wenn ja wie?
Wenn nicht wieso?
Was mache ich falsch?
Ich bedanke mich im voraus.
Grüße
IT797979
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668409
Url: https://administrator.de/contentid/668409
Ausgedruckt am: 27.09.2024 um 03:09 Uhr
10 Kommentare
Neuester Kommentar
Hi,
VLAN Regel hast du erstellt, damit ICMP erlaubt ist? Im Live Log solltest du auch ein paar Infos sehen wenn du den Ping absetzt.
VLAN Regel hast du erstellt, damit ICMP erlaubt ist? Im Live Log solltest du auch ein paar Infos sehen wenn du den Ping absetzt.
Regeln sind erstellt.
Bzw. VLAN Regeln die den gesamten Datenverkehr erlaubt.
Bzw. VLAN Regeln die den gesamten Datenverkehr erlaubt.
Sry, hatte die Grafik nicht angeschaut.
Gerät 1 und 2 sollen ja im gleichen VLAN sein, lt. dem Bild.
Unter Interfaces: Other Types: VLAN, Spalte Parent muss also auch die gleiche Schnittstelle zugewiesen sein.
Gerät 1 und 2 sollen ja im gleichen VLAN sein, lt. dem Bild.
Unter Interfaces: Other Types: VLAN, Spalte Parent muss also auch die gleiche Schnittstelle zugewiesen sein.
Das ist auch teils das Problem. Ich kann ein VLAN nur einer Schnittstelle zufügen. Hier kurz ein Bild:
Du hast da offensichtlich noch einige Verständnisprobleme und Wissenslücken was die OSI Schichten betrifft.
Du brauchst in deinem Fall überhaupt keine VLANs, VLANs braucht man nur wenn man mehrere Netze auf ein und dem selben Interface transportieren will oder eine Switch nachschaltet und auf dem Trunk dann VLANs zum Switch überträgt.
Du hast ein und das selbe Subnetz (192.168.1.0/24) an zwei unterschiedlichen Ports ohne Bridge konfiguriert. Das geht so natürlich nicht, denn die Clients versuchen erst gar nicht zu routen sondern versuchen die IPs in der selben Layer 2 Domain zu erreichen via ARP Request, deswegen klappt das Prinzipbedingt nicht auch weil zwei gleiche Subnetze aud dem selben Router ohne separate Routing-Tables so routing technisch nicht funktionieren ! Wenn du zwei Devices an unterschiedlichen Ports der selben Layer2 Domain zuordnen willst brauchst du zwingend eine Bridge, und die Ports müssen Member der Bridge sein! Ansonsten musst du subnetten, also das Netz in mehre kleine Netze aufteilen und jedem Port sein eigenes Netz zuweisen, also bspw. 192.168.1.0/29 and Port 2 und 192.168.1.8/29 an Port 3, und die Geräte-IPs dann an die Subnetze anpassen.
Die OPNSense kann auch ein VLAN nicht auf mehrere Ports setzen (sie unterstützt keine Bridges mit vlan_filtering), sie ist und bleibt ein Router und kein Switch, nutze sie also wofür sie vorgesehen ist fürs "Routen". Für gemeinsame Layer 2 Domains auf mehrere Ports bleibt dir auf der Sense nur eine oder mehrere Bridge(s) für die unterschiedlichen Netze.
p.s. Außerdem ist die IP-Adressierung im Bild völlig durcheinander und nicht eindeutig.
Du brauchst in deinem Fall überhaupt keine VLANs, VLANs braucht man nur wenn man mehrere Netze auf ein und dem selben Interface transportieren will oder eine Switch nachschaltet und auf dem Trunk dann VLANs zum Switch überträgt.
Du hast ein und das selbe Subnetz (192.168.1.0/24) an zwei unterschiedlichen Ports ohne Bridge konfiguriert. Das geht so natürlich nicht, denn die Clients versuchen erst gar nicht zu routen sondern versuchen die IPs in der selben Layer 2 Domain zu erreichen via ARP Request, deswegen klappt das Prinzipbedingt nicht auch weil zwei gleiche Subnetze aud dem selben Router ohne separate Routing-Tables so routing technisch nicht funktionieren ! Wenn du zwei Devices an unterschiedlichen Ports der selben Layer2 Domain zuordnen willst brauchst du zwingend eine Bridge, und die Ports müssen Member der Bridge sein! Ansonsten musst du subnetten, also das Netz in mehre kleine Netze aufteilen und jedem Port sein eigenes Netz zuweisen, also bspw. 192.168.1.0/29 and Port 2 und 192.168.1.8/29 an Port 3, und die Geräte-IPs dann an die Subnetze anpassen.
Die OPNSense kann auch ein VLAN nicht auf mehrere Ports setzen (sie unterstützt keine Bridges mit vlan_filtering), sie ist und bleibt ein Router und kein Switch, nutze sie also wofür sie vorgesehen ist fürs "Routen". Für gemeinsame Layer 2 Domains auf mehrere Ports bleibt dir auf der Sense nur eine oder mehrere Bridge(s) für die unterschiedlichen Netze.
p.s. Außerdem ist die IP-Adressierung im Bild völlig durcheinander und nicht eindeutig.
2
Ich möchte das sich Gerät 1 und Gerät 2 pingen können (ohne eine Bridge), mithilfe eines VLANs.
Dann ist deine IP Adressierung falsch!!Beide Geräte sind ja in einem gleichen IP Netz was dann zwingend eine Bridge an den beiden Firewall Ports dieser Geräte erzwingt was du aber ja eben nicht willst...
Folglich müssen beide Geräte in unterschiedliche IP Netze bzw. VLANs wenn es ohne Bridge gehen soll. Zu den Details hat Kollege @Ted555 oben ja schon alles gesagt.
Die Frage ist also was du jetzt wirklich genau willst? 🤔
Ein Blick ins OPNsense VLAN Tutorial sollte dir in jedem Falle beim Setup helfen und alle deine Fragen beantworten.
Hallo Ted555,
danke für deine ausführliche Antwort! Wissenslücken habe ich definitiv, ich bin ganz frisch im IT-Bereich.
Ich führe gerade einfach Versuche mit dem OPNsense durch und wollte einfach schauen wie ich zwei Geräte miteinander pingen kann, denn wenn ich diese hinbekomme, sollte der Rest "meines Plans" einfach sein.
Mit einer Bridge habe ich sie schon zusammen pingen können und nun versuche ich das mit einem VLAN.
Jedes meiner Ports hat schon sein eigenes Netz, also IP-Adresse. Port 2 mit 192.168.2.3 und Port 3 mit 192.168.2.4 . Der erste Port ist ja an meinem Netz gebunden und habe ihm eine automatische IP-Adresse gegeben also DHCP.
Die Geräte IPs sind zwei Laptops mit Windows Betriebssystem. Gerät 1 hat ja 192.168.1.3 und Gerät 2 hat 192.168.1.4 .
Was genau muss ich da Anpassen? Kannst du mir eventuell ein Beispiel geben wie die Adressen sein sollten?
danke für deine ausführliche Antwort! Wissenslücken habe ich definitiv, ich bin ganz frisch im IT-Bereich.
Ich führe gerade einfach Versuche mit dem OPNsense durch und wollte einfach schauen wie ich zwei Geräte miteinander pingen kann, denn wenn ich diese hinbekomme, sollte der Rest "meines Plans" einfach sein.
Mit einer Bridge habe ich sie schon zusammen pingen können und nun versuche ich das mit einem VLAN.
Jedes meiner Ports hat schon sein eigenes Netz, also IP-Adresse. Port 2 mit 192.168.2.3 und Port 3 mit 192.168.2.4 . Der erste Port ist ja an meinem Netz gebunden und habe ihm eine automatische IP-Adresse gegeben also DHCP.
Die Geräte IPs sind zwei Laptops mit Windows Betriebssystem. Gerät 1 hat ja 192.168.1.3 und Gerät 2 hat 192.168.1.4 .
Was genau muss ich da Anpassen? Kannst du mir eventuell ein Beispiel geben wie die Adressen sein sollten?
wollte einfach schauen wie ich zwei Geräte miteinander pingen kann
Das ist auch kinderleicht. Sie müssen dazu aber zwingend in 2 unterschiedlichen IP Netzen bzw. VLANs liegen wenn du (zu Recht) ohne Bridge auskommen willst. (Siehe Tutorial)Gleiches IP Netz erzwingt bekanntlich immer ein Layer 2 Bridging.
Einfach einmal etwas IP Routing Grundlagen lesen und verstehen und dein Adressdesign überdenken! 😉
Hallo! Es klingt so, als hättest du bereits einen guten Grundstein für deine OPNsense-Installation gelegt. Um sicherzustellen, dass sich Gerät 1 und Gerät 2 pingen können, müssen beide im selben VLAN sein. Das bedeutet, dass sie über die gleiche VLAN-ID (Tag 30) kommunizieren müssen. Wenn du separate VLANs für LAN2 und LAN3 mit demselben Tag erstellst, können sie trotzdem nicht miteinander kommunizieren, da sie physisch unterschiedliche Netzwerke darstellen.
Stelle sicher, dass die Schnittstellen LAN2 und LAN3 dem gleichen VLAN zugeordnet sind, und konfiguriere die Firewall-Regeln so, dass der Verkehr zwischen diesen VLANs erlaubt ist. Wenn alles korrekt konfiguriert ist, sollten sich die Geräte problemlos pingen können.
Stelle sicher, dass die Schnittstellen LAN2 und LAN3 dem gleichen VLAN zugeordnet sind, und konfiguriere die Firewall-Regeln so, dass der Verkehr zwischen diesen VLANs erlaubt ist. Wenn alles korrekt konfiguriert ist, sollten sich die Geräte problemlos pingen können.
dass die Schnittstellen LAN2 und LAN3 dem gleichen VLAN zugeordnet sind
Was die OPNsense (und auch pfSense) nicht supporten auf einem Bridge Interface wie Kollege @Ted555 oben schon gesagt hat. (KEIN vlan_filtering auf einem Bridge Interface)Der TO hat also nur 5 Optionen:
- Bridge Interface konfigurieren und dort beide OPNsense Interfaces als Memberports hineinlegen. Es gibt dann 2 NoGo Kriterien: 1.) Will der TO nicht, 2.) Bridge Interface hat keinen VLAN Support!
- An jedes der Interfaces ein IP Netz mit jeweils einem Gerät drin. Beide Geräte arbeiten dann in unterschiedlichen IP Netzen können sich aber problemlos pingen.
- Nur ein einzelnes Interface an der Firewall verwenden und dort einen einfachen Switch anstecken an dem dann beide Geräte im gleichen IP Netz arbeiten und sich pingen können.
- Nur ein einzelnes Interface an der Firewall verwenden und auf dieses (Parent) Interface dann 2 VLAN Interfaces mappen und mit einem VLAN trennen. Erfordert dann ebenfalls einen VLAN Switch der die Netze wieder wie trennt in dem sich dann die Geräte gegenseitig auch pingen können aber unterschiedliche IP Netzadressen haben. (Siehe o.a. Tutorial!)
- Wenn der TO unbedingt 2 Firewall Interfaces nutzen will kann er diese mit einer Link Aggregation zusammen bündeln (Performance, Redundanz) und dort dann den VLAN Switch anschliessen. Rest wie oben wieder mit VLAN Switch zur Netztrennung und der Switch muss natürlich LACP LAG Link Aggregation supporten.
1
