driv3r
Jun 17, 2023, updated at 17:51:43 (UTC)
view2082
view20
0
Goto Top

OPNSense: welchen Weg nimmt ein Paket (Vlan Trunk zwischen zwei Switchen)

GermansolvedQuestionFirewallRouters, Routing
Hallo zusammen,

ich plane gerade mein Netzwerk neu und habe mir dazu folgendes überlegt.

Internet - Vigor 167 - OPNSense(NUC) - GS319EP - GS319 EP

Trotz dem ich viele Stunden mit lesen unzähliger Beiträge verbracht, hab ich ein Verständnis-Problem.

Auf der OPNSense sollen die VLANs 10,20 und 30 konfiguriert sein. Diese werden per Trunk zum 1. Switch und von dort auch zum zweiten Switch mit einem weiteren Trunk durchgereicht.

Da ich sowohl am ersten als auch am zweiten Switch alle VLANs benötige UND ich auch interVLAN Kommunikation brauche nun meine Frage:

Wenn PC A im VLAN 20 ein Paket zu Server A im VLAN 10 schicken muss, beide Geräte aber auf unterschiedlichen Switchen sind, muss das Paket dann über die OPNSense, da dort die Regeln fürs interVLAN Routing sind?

Danke euch und einen schönen Abend.
Timo
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 7561882686

Url: https://administrator.de/contentid/7561882686

Printed on: May 6, 2024 at 20:05 o'clock

20 Comments
Latest comment
Goto Top
Member: aqui
Solution aqui Jun 17, 2023 updated at 18:09:04 (UTC)
Goto Top
Moin Timo!
muss das Paket dann über die OPNSense
Kommt, wie immer, drauf an wie du lokale VLANs routest?! Dazu sagst du ja leider nix... face-sad
Du routest bei deinem VLAN 10, 20 Beispiel oben ja 2 IP Netze. Wenn das Layer 3 (Routing) Geschäft bei dir zentral auf der OPNsense liegt wie hier dann geht es über die FW.
Macht L3 einer der Switches (der dann natürlich L3 fähig sein muss) dann macht es der Switch. (Layer 3 VLAN Konzept).
Den genauen Weg so eines gerouteten Paketes kannst du u.a. hier genau nachlesen.
Statt eines NUC solltest du ggf. eine Appliance mit mehr Ports verwenden:
https://www.amazon.de/Firewall-Appliance-HUNSN-Barebone-Storage-Schwarz/ ...
Member: DRIV3R
DRIV3R Jun 17, 2023 at 18:17:07 (UTC)
Goto Top
Hi Aqui,

die beiden GS319 sind ja L2 Switche.
Das Routing soll komplett zentral über OPNSense laufen. An den GS319 ist nur „blöd“ konfiguriert, welche Ports welches VLAN untagged sind und welcher Port der Trunk Port ist.

Muss denn bei dem Layout alles über die OPNSense oder läuft der eigentliche Datentranfer über den Trunk der Switche, nachdem die Regel der OPNSense das erlaubt?

Oder hab ich da nen Knoten im Kopf?
Member: Tezzla
Tezzla Jun 17, 2023 at 18:20:18 (UTC)
Goto Top
Moin,

vielleicht kannst du dir die Frage selbst beantworten, wenn du berücksichtigst, wohin die Anfrage geht, wenn sie außerhalb des eigenen Subnetzes liegt. face-wink
Member: Drohnald
Drohnald Jun 17, 2023 at 18:20:25 (UTC)
Goto Top
die beiden GS319 sind ja L2 Switche.
Dann routet ausschließlich die OPNSense.

Ein Trunk bedeutet nur: Über diese Ports werden Pakete von verschiedenen VLANs übertragen.
Ein Trunk hat mit Routing nichts zu tun.
Member: DRIV3R
DRIV3R Jun 17, 2023 at 18:26:18 (UTC)
Goto Top
Danke ihr drei
Ich hab mir das schon so (oder so ähnlich) gedacht.

Wenn ich jetzt so ne Kiste mit mehreren Interfaces habe (wie in deinem Link, aqui) wo liegt der Vorteil?

Etwa darin, beide Switche an jeweils ein Interface anzuschließen?

Aber dann müsste der Traffic ja trotzdem über die FW, oder?
Member: radiogugu
Solution radiogugu Jun 17, 2023 updated at 20:03:58 (UTC)
Goto Top
Zitat von @DRIV3R:
Wenn ich jetzt so ne Kiste mit mehreren Interfaces habe (wie in deinem Link, aqui) wo liegt der Vorteil?

Etwa darin, beide Switche an jeweils ein Interface anzuschließen?

Nabend.

Das würde in manchen Konstellationen einen Hop im Netzwerk eliminieren.

Weil ja der nächste Hop eines Pakets direkt die OPNSense ist und nicht erst ein Switch Trunk.

Ob das jetzt einen Vorteil in Sachen Geschwindigkeit mit sich bringt, wird man nur in der Praxis sehen.

Aber dann müsste der Traffic ja trotzdem über die FW, oder?

Ist und bleibt so, solange keine L3 Switches zum Einsatz kommen.

Gruß
Marc
Member: aqui
Solution aqui Jun 18, 2023 updated at 09:27:27 (UTC)
Goto Top
die beiden GS319 sind ja L2 Switche.
OK, dann managed natürlich alles die Firewall.
oder läuft der eigentliche Datentranfer über den Trunk der Switche
Sowohl als auch. VLAN ist ja immer ein reines Layer 2 Verfahren, hat mit Routing also nix zu tun!
Nehmen wir mal an beide Clients VLAN 10 und 20 befinden sich an Ports an Switch 2 dann sieht der "Paket Walk" so aus:
  • Client 10 sendet Paket an Client 20 was geroutet werden muss da ja L3 Traffic. Client 10 sendet das Paket also zur Firewall
  • Client 10 Paket geht also vom Switch 2 Client 10 Port über den Trunk auf Switch 1
  • Von Switch 1 auf den Trunk zum VLAN 10 Interface der Firewall
  • Firewall routet und sendet Vlan 20 Rücktraffic am Trunk zu Switch 1 wieder raus
  • Switch 1 sendet das Paket über seinen Trunk zu Switch 2
  • Switch 2 sendet es über den Endgeräte Port an Client 20
Eigentlich doch ganz logisch und klassisches Layer 2 Konzept. face-wink

Wenn deine Switches LAG oder MLAG supporten kannst du die Switchverbindung unter sich und die der Firewall auf 2 Links splitten und damit die Last verteilen. Bei MLAG dann sogar über beide Switches.
Wenn man viel VLAN internen Traffic hat ist das sehr sinnvoll zur Lastverteilung.

Ganz sicher hilft dir zusätzlich noch die VLAN Schnellschulung zum Verständnis?! face-wink
Member: DRIV3R
DRIV3R Jun 18, 2023 at 08:32:18 (UTC)
Goto Top
Vielen Dank!

Wie immer ein Vergnügen hier bei euch mein Wissen zu erweitern!
heart1
Member: DRIV3R
DRIV3R Jul 07, 2023 updated at 16:46:42 (UTC)
Goto Top
Das muss ich noch mal meinen eigenen Thread kapern. face-smile

Wenn ich auf einer Protectli mit 4 NIC Proxmox drauf habe und dort OPNSense als VM, muss ich in Proxmox noch was einstellen, wenn ich eine NIC als Trunk für 3 VLANs nutze?

Oder reicht es in Proxmox die Bridges hinzuzufügen, und dann als VirtIO in die VM zu laden?

Grüße aus der Sonne
Timo
Member: aqui
aqui Jul 07, 2023 at 17:25:05 (UTC)
Goto Top
muss ich in Proxmox noch was einstellen, wenn ich eine NIC als Trunk für 3 VLANs nutze?
Ja, du musst dem vSwitch sagen das er VLANs verstehen muss! face-wink
Guckst du HIER!
Außerdem musst du in Proxmox darauf achten das es die AES/NI Funktion an die VM durchreicht:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

☀️ige Grüße zurück!
Member: DRIV3R
DRIV3R Jul 08, 2023 updated at 10:59:30 (UTC)
Goto Top
Danke aqui,

reicht also VLAN Aware? Den Rest mache ich in OPNSense und dem entsprechenden Managed Switch Gegenstück?

Ich muss in Proxmox keine VLANs an den Bridges konfigurieren?

Ich muss nämlich an einer NIC 3 VLANs übertragen. Als Trunk.

Edit:
Gerade gesehen dass ich dem Adapter in der Proxmox VM den Tag auch mitgeben muss. Geht das auch mit mehreren Tags? Also z.B. mit Komma getrennt?

Oder mehrere Adapter anlegen mit jeweils einem Tag auf gleichem Adapter?
Member: aqui
Solution aqui Jul 08, 2023 updated at 16:42:18 (UTC)
Goto Top
Ich muss in Proxmox keine VLANs an den Bridges konfigurieren?
Nein. Mit dem Haken an dem vSwitch reicht dieser den VLAN Tag durch an die NIC, die ihn dann an den Switch weitergibt und der die Frames dann ins entsprechende VLAN schickt. Klassisches VLAN Tagging also.
Das einzige was du machts ist an der VM in deren NIC einen entsprechenden Tag zu setzen.
dass ich dem Adapter in der Proxmox VM den Tag auch mitgeben muss.
Genau DAS war damit gemeint! face-wink
Geht das auch mit mehreren Tags?
Klar du kannst jeden x-beliebigen Tag zwischen 1 und 4096 mitgeben! Soviele VLANs supportet bekanntlich der 802.1q VLAN Standard! face-wink
Oder mehrere Adapter anlegen mit jeweils einem Tag auf gleichem Adapter?
Das ginge auch.... Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Netzwerk Management Server mit Raspberry Pi
Usw.
Ich muss nämlich an einer NIC 3 VLANs übertragen. Als Trunk.
Das macht die NIC im Proxmox die an die Außenwelt (VLAN Switch) angeschlossen ist immer automatisch wenn der Haken am vSwitch gesetzt ist! (Siehe Tolologie Zeichnung im Link oben!) face-wink
heart1
Member: DRIV3R
DRIV3R Jul 10, 2023 updated at 19:18:20 (UTC)
Goto Top
Da bin ich wieder ;)

Habe nun alles soweit konfiguriert.
Bei meiner Protectli ist die LAN Schnittstelle 192.168.20.1.
Mit DHCP. Läuft!

Auf OPT1 laufen die beiden VLANs 10 (10.0.10.1) und 20 (10.0.20.1) mit DHCP per Trunk auf meinem Netgear Switch.

Zum testen ist Port 10 (Switch) VLAN 10 tagged und Port 11 (Switch) VLAN 20 tagged.

Läuft alles.

Zum Verständnis.
An einem „doofen“ Switch am LAN Port der Protecli bekomme ich aus dem 192.168.20.0 Netz eine IP und kann unter 20.1 das Webif der OPNSense erreichen.

Am 10er und 11er Port des managed Switch , angeschlossen und konfiguriert als Trunk am OPT1 (Trunkport) bekomme ich IP-Adressen aus dem entsprechenden Bereich. Kann die 10.0.10.1 respektive 10.0.20.1 auch pingen.

Aber das WebIF der OPNSense lässt sich nur über die LAN Schnittstelle aufrufen, also 192.168.20.1

Über die VLANs (10.0.10.1 oder 10.0.20.1) nicht.

Soll das so? ;)
Member: aqui
aqui Jul 11, 2023 updated at 09:11:10 (UTC)
Goto Top
Da bin ich wieder
Welcome back!
Zum testen ist Port 10 (Switch) VLAN 10 tagged und Port 11 (Switch) VLAN 20 tagged.
Wie testest du denn damit?? In der Regel setzt man diese Testports am Switch immer in den //Access Port"" Mode und damit immer UNtagged zum Testen um daran einfache Endgeräte wie PC, Laptop etc. anzuschliessen die in der Regel ja alle untagged Traffic erzeugen.
Damit checkt man dann ob diese IPs in den besagten VLANs bekommen und sowohl die IP Connectivity zu den anderen VLANs (bei entsprechendem Regelwerk!) als auch die Internet Connectivity gegeben ist.
Mit einem Tagged Port ist das so bekanntlich nicht möglich...aber nundenn, du hast sicher deine Gründe das Tagged zu machen?! Komischerweise läuft es ja auch mit Tagging wie du selbst sagst was ja dann auch OK ist. face-wink
An einem „doofen“ Switch am LAN Port der Protecli bekomme ich aus dem 192.168.20.0 Netz eine IP und kann unter 20.1 das Webif der OPNSense erreichen.
Was an einem doofen, nicht managebaren Switch ja auch üblicher und erwartbarer Standard ist!
Aber das WebIF der OPNSense lässt sich nur über die LAN Schnittstelle aufrufen
Das zeigt das dein Regelwerk an den beiden 10er Segmenten irgendwelche Fehler hat. face-sad
Da du das hier nicht postets bleibt uns nur Raten im freien Fall oder die Kristallkugel was daran wohl falsch gemacht wurde. Oder wie dachtest du sonst sollen wir zielführend antworten?!
Bei offenem "Scheunentor" Regelwerk kannst du das GUI der FW über alle ihre IP Adressen von egal woher erreichen.
Soll das so?
Jein. Hängt von deinen System Security Settings und dem Regelwerk ab!
Member: DRIV3R
DRIV3R Jul 11, 2023 updated at 15:36:23 (UTC)
Goto Top
Ich versuch es mal ohne freien Fall.

Proxmox auf Protectli 4 Port
OPNSense als VM
Protectli WAN (pppoe0 vtnet0) an Vigor 167
Protectli LAN Port (vtnet1) - Netgear unmanaged switch - PC
Protecli OPT1 Port (vtnet2) - (Trunk) - Netgear GS316EP Port 15 (VLAN ID 10,20 tagged)
Netgear GS316EP Port 10 (VLAN ID10 untagged) - PC
Netgear GS316EP Port 11 (VLAN ID11 untagged) - PC

vtnet1 192.168.20.1 DHCP
vtnet 2 keine IP
vlan0.10 auf vtnet2 10.0.10.1 DHCP
vlan0.20 auf vtnet2 10.0.20.1 DHCP

Ansonsten ist alles jungfräulich.

Hinter dem umanaged Switch bekomme ich eine IP Adresse aus dem 192.168.20.0
Hinter dem managed Switch bekomme ich an Port 10 eine Adresse aus 10.0.10.0
Hinter dem managed Switch bekomme ich an Port 11 eine Adresse aus 10.0.20.0

Soweit so gut. Firewall Regeln habe ich weder eingetragen noch gelöscht.
Aus dem Netz 192.168.20.0/24 kann ich auf die OPNsense zugreifen (192.168.20.1)
Aus dem Netz 10.0.10.0/24 kann ich NICHT auf die OPNsense zugreifen (10.0.10.1)
Aus dem Netz 10.0.20.0/24 kann ich NICHT auf die OPNsense zugreifen (10.0.20.1)

Meine Vermutung:
ich muss dem vtnet2 noch eine ipv4 verpassen, und nicht nur dem vlan0.10 bzw. vlan0.20
Oder ich brauche eine allow regeln damit auch aus dem VLan10 und Vlan20 auf die OPNsense zugegriffen werden kann.
Member: aqui
aqui Jul 11, 2023 updated at 16:40:36 (UTC)
Goto Top
Netgear GS316EP Port 10 (VLAN ID10 untagged) - PC
Ooops!! Mit einmal sind die Testports dann also doch UNtagged?!
Soviel zum Thema Missverständnisse und falsche Sachverhalte... 😉
Hinter dem umanaged Switch bekomme ich eine IP Adresse aus dem 192.168.20.0
Das ist dann der einzige und alleinige Switch am LAN Port, richtig?
Verhalten ist dann auch erwartbar und korrekt!
Hinter dem managed Switch bekomme ich an Port 10 eine Adresse aus 10.0.10.0
Das ist dann der einzige und alleinige Switch am OPT1 Port, richtig?
Verhalten ist dann ebenso auch erwartbar und korrekt!
Firewall Regeln habe ich weder eingetragen noch gelöscht.
OK, das war ein wichtiger Hinweis! Dann gilt:
  • Am LAN Port gilt die Installations Default Regel: Traffic mit Absender IP aus dem LAN_network dürfen überall hin
  • Traffic von beiden VLAN Interfaces über den OPT1 Port wird vollständig geblockt! Neue und zusätzliche Interfaces werden bekanntlich und firewallüblich mit einem DENY any any per Default belegt! (Whitelisting Prinzip jeglicher Firewalls)

Fazit:
Völlig klar also das die Firewall sich so verhält wenn du ein entsprechendes Regelwerk an den beiden VLAN Interfaces einfach ignorierst. Sie blockt dann dort halt alles wie es sich gehört.
Eigentlich weiss auch ein blutige Laie und Anfänger das bei einer Firewall immer gilt: "Es ist alles verboten was nicht explizit erlaubt ist!!" (Whitelisting Prinzip)
Das scheint aber über die Jahrzehnte an dir vorbeigegangen zu sein?! 🤔
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Lesen und verstehen!!
Dort ist das mehrfach erklärt und wird auch in den weiterführenden Links mehrfach drauf hingewiesen.

ich muss dem vtnet2 noch eine ipv4 verpassen
Nein, das ist Blödsinn. Das nackte (Parent) Interface ist immer das native VLAN (PVID VLAN) an so einem Trunk. Das sendet also immer UNtagged Traffic.
Das ist bei dir ja gar nicht in Benutzung wenn du nur getaggte VLAN Interfaces hast auf diesem Parent Interface. Folglich brauchst du dort logischerweise auch kein weiteres IP Netz!

Dein Kardinalsfehler ist schlicht und einfach das du die einfachen Grundlagen von Firewall Regelwerken nicht beachtet hast! Eine Firewall ist was die Regeln angeht kein Router. 😉
Member: DRIV3R
DRIV3R Jul 11, 2023 at 16:59:48 (UTC)
Goto Top
Soweit verstanden und gut erklärt, danke.
Zum Thema Firewall ebenso erwartbar, auch schon vor 20 Jahren face-smile
Aber da ich von falschen Vorraussetzungen ausgegangen bin, nun verständlich.
Ich muss mich da wohl verlesen haben. Irgendwo (außerhalb von administrator.de natürlich) stand mal was davon, dass der Assistent der OPNSense im Bereich LAN die Türen gaaaanz öffnet, und im WAN Bereich alles dicht macht.

Da ich leider nicht in die Firewall geschaut habe................. my fault.
Member: aqui
Solution aqui Jul 11, 2023 updated at 17:08:08 (UTC)
Goto Top
Zum Thema Firewall ebenso erwartbar, auch schon vor 20 Jahren
Da war es mit dem Regelwerk auch nicht anders! 😉
dass der Assistent der OPNSense im Bereich LAN die Türen gaaaanz öffnet
Das ist ja auch genau richtig! Gaanz weit nicht aber so das LAN Traffic passieren kann.

Oben handelt es sich ja aber nicht um das LAN Interface sondern um das OPT1 Interface (kleiner aber feiner Unterschied) und da verhält sich die Firewall wie alle Firewalls auf der Welt auch! Siehe
https://www.youtube.com/watch?v=OmGy-xuru8A
Da ich leider nicht in die Firewall geschaut habe
Hoffentlich Lektion gelernt?! face-wink
Case closed...
Member: DRIV3R
DRIV3R Jul 11, 2023 at 17:14:17 (UTC)
Goto Top
Hoffentlich Lektion gelernt?! face-wink

Wie immer hier bei euch.
heart1
Member: DRIV3R
DRIV3R Aug 26, 2023 at 14:47:55 (UTC)
Goto Top
Aller guten Dinge sind drei, oder auch mehr, mal sehen.

Hi zusammen.
Jetzt läuft meine config schon eine Weile ganz gut. Ich möchte nun an meiner Protectli von einem Trunk auf 2 Trunks erweitern um zwei managed switches zu nutzen, scheitere aber an der VLAN config.

Aktuelle Hardware und Konfiguration:

Proxmox auf Protectli 4 Port
OPNSense als VM
Protectli WAN (pppoe0 vtnet0) an Vigor 167
Protectli LAN Port (vtnet1) - Netgear unmanaged switch
Protecli OPT1 Port (vtnet2) - (Trunk) - Netgear GS316EP

vtnet1 192.168.20.1 DHCP
vtnet 2 keine IP
vlan0.10 auf vtnet2 10.0.10.1 DHCP
vlan0.20 auf vtnet2 10.0.20.1 DHCP

So läuft es mit einem managed switch an Port OPT1

Mein Plan ist nun, auch den Protectli OPT2 Port zu nutzen, identisch zu OPT1, also:

Protecli OPT1 Port (vtnet2) - (Trunk) - Netgear GS316EP
Protecli OPT2 Port (vtnet3) - (Trunk) - Netgear GS308EP

Aber opnsense meckert immer, weil ich ja die VLANs 10 und 20 schon auf vtnet2 liegen habe.

Kann es sein dass ich neue vlans anlegen muss mit anderem Namen aber gleichem Tag (10 und 20) um diese dann auf die vtnet3 Schnittstelle lege. Und danach eine weitere IP Adresse aus dem Adresskreis für das Interface vergebe.

Würde dann eventuell so ausehen?

Proxmox auf Protectli 4 Port
OPNSense als VM
Protectli WAN (pppoe0 vtnet0) an Vigor 167
Protectli LAN Port (vtnet1) - Netgear unmanaged switch
Protecli OPT1 Port (vtnet2) - (Trunk) - Netgear GS316EP
Protecli OPT2 Port (vtnet3) - (Trunk) - Netgear GS308EP

vtnet1 192.168.20.1 DHCP
vtnet 2 keine IP
vlan0.10 auf vtnet2 10.0.10.1 DHCP
vlan0.20 auf vtnet2 10.0.20.1 DHCP
vlan0.11 auf vtnet3 10.0.10.2 DHCP
vlan0.21 auf vtnet3 10.0.20.2 DHCP
GermansolvedQuestionFirewallRouters, Routing
Hotly discussed
LinuxeroWireguard with systemd and nftablesLinuxero - 9 Comments