11
Pfsense o.ä. mehrere Netze auf ein Interface + managed switch zum aufdröseln?
Erstmal ein freundliches "Moin Moin" in die Runde, ich bin neu hier 
Zum Einstieg möchte ich euch gleich mal mit einer Frage quälen, vielleicht bringt mich ja jemand auf die richtige Fährte. "Richtige Fährte" meint: Ich habe keine Möglichkeit, alles denkbare zu probieren, habe aber auch keinerlei Anspruchsdenken in Richtung Klickanleitung. Antworten im Stile "damit geht's, damit nicht" + ggf. Hinweise auf Besonderheiten wären schon eine riesen Hilfe. In die Details knie ich mich dann selbst.
Derzeit: (V)DSL & NAT, einfaches Setup, Router-OS derzeit unbekannt. Router-Hardware soll ein Alix aus den letzen zwei Jahren sein.
Hintergrund der Frage ist, das zwischen zwei Gebäuden unveränderbar nur eine Gigabit-Leitung existiert. Die Router-Hardware hat nur drei GB-Ports, zwei davon werden demnächst für zwei 100er VDSL benötigt. Räumliche Verlegung oder Ersatz der Hardware soll auf jeden Fall vermieden werden.
Frage:
Kann ich mit z.B. pfsense o.ä. intern mehrere private IP-Netze erstellen *und* diese über *ein* physikalische Interface im Stile eines VLAN-Trunks zu einem managed Switch weiterleiten, damit dieser daraus wieder die einzelnen IP-Netze an einzelnen Ports zu Verfügung stellt? DHCP soll für alle Netze auf dem Router laufen. Die jeweiligen Ports am Switch sollen sich für die folgenden Netzwerk-Teilnehmer wie ein "dummer Switch-Port an Standard-Plasterouter" (Fritzbox, Speedport etc.) benehmen.
Vielen Dank schon mal
Zum Einstieg möchte ich euch gleich mal mit einer Frage quälen, vielleicht bringt mich ja jemand auf die richtige Fährte. "Richtige Fährte" meint: Ich habe keine Möglichkeit, alles denkbare zu probieren, habe aber auch keinerlei Anspruchsdenken in Richtung Klickanleitung. Antworten im Stile "damit geht's, damit nicht" + ggf. Hinweise auf Besonderheiten wären schon eine riesen Hilfe. In die Details knie ich mich dann selbst.
Derzeit: (V)DSL & NAT, einfaches Setup, Router-OS derzeit unbekannt. Router-Hardware soll ein Alix aus den letzen zwei Jahren sein.
Hintergrund der Frage ist, das zwischen zwei Gebäuden unveränderbar nur eine Gigabit-Leitung existiert. Die Router-Hardware hat nur drei GB-Ports, zwei davon werden demnächst für zwei 100er VDSL benötigt. Räumliche Verlegung oder Ersatz der Hardware soll auf jeden Fall vermieden werden.
Frage:
Kann ich mit z.B. pfsense o.ä. intern mehrere private IP-Netze erstellen *und* diese über *ein* physikalische Interface im Stile eines VLAN-Trunks zu einem managed Switch weiterleiten, damit dieser daraus wieder die einzelnen IP-Netze an einzelnen Ports zu Verfügung stellt? DHCP soll für alle Netze auf dem Router laufen. Die jeweiligen Ports am Switch sollen sich für die folgenden Netzwerk-Teilnehmer wie ein "dummer Switch-Port an Standard-Plasterouter" (Fritzbox, Speedport etc.) benehmen.
Vielen Dank schon mal
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 356254
Url: https://administrator.de/contentid/356254
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
VLAN ist Dein Freund.
Mit einem VLAN fähigem Switch und PFSense auf dem Alix.
Dann kannst Du virtuelle Netzwerkkarten erstellen. Sowohl für Einwahlen mit DSL-Modem als auch intern fürs LAN.
https://www.highlnk.com/2014/06/configuring-vlans-on-pfsense/
Stefan
VLAN ist Dein Freund.
Mit einem VLAN fähigem Switch und PFSense auf dem Alix.
Dann kannst Du virtuelle Netzwerkkarten erstellen. Sowohl für Einwahlen mit DSL-Modem als auch intern fürs LAN.
https://www.highlnk.com/2014/06/configuring-vlans-on-pfsense/
Stefan
Nun die Leitung zwischen den Gebäuden sollte aber getauscht werden gegen LWL.
Andernfalls solltest du diese Absichern da du sonst keine galvanische Trennung hast und Rauchende Hardware hast ggfs durch Potentialverschiebung "Tote" Kollegen....
Wer die Leitung "geplant" hat, hat kein Fachwissen und sollte in den Bereich nicht Tätig sein.
Lehrrohr wäre am Besten für Erweiterungen sowie ist eine Bodenrakete dafür Hilfreich.
aqui -> VLans PFSense
Vlan PFSense
Bei deinen Router sollte stehen welche Leistung dieser bringt.
PFSense Leistung
Du hast ein Unbekanntes Modell wo die Eigenschaften nicht Bekannt sind.
Daher kann es gehen aber es kann auch nicht gehen.
2 Jahre mag zwar wenig sein jedoch wurde sicherlich für den damaligen Zugang das ganze Ausgelegt... und wurde da an die Zukunft gedacht?
Du bekommst ja etliche Varianten von klein bis Groß und je nach Budget wird von den Chefs ja gerne gespart da es ja für die Zwecke damals gereicht hat und Reserve ja nur Unnötig Teuer sind....
Andernfalls solltest du diese Absichern da du sonst keine galvanische Trennung hast und Rauchende Hardware hast ggfs durch Potentialverschiebung "Tote" Kollegen....
Wer die Leitung "geplant" hat, hat kein Fachwissen und sollte in den Bereich nicht Tätig sein.
Lehrrohr wäre am Besten für Erweiterungen sowie ist eine Bodenrakete dafür Hilfreich.
aqui -> VLans PFSense
Vlan PFSense
Bei deinen Router sollte stehen welche Leistung dieser bringt.
PFSense Leistung
Du hast ein Unbekanntes Modell wo die Eigenschaften nicht Bekannt sind.
Daher kann es gehen aber es kann auch nicht gehen.
2 Jahre mag zwar wenig sein jedoch wurde sicherlich für den damaligen Zugang das ganze Ausgelegt... und wurde da an die Zukunft gedacht?
Du bekommst ja etliche Varianten von klein bis Groß und je nach Budget wird von den Chefs ja gerne gespart da es ja für die Zwecke damals gereicht hat und Reserve ja nur Unnötig Teuer sind....
Moin,
wie kommst Du darauf, dass es eine TP ist? Könnte ja auch schon LWL sein.
Vermutlich ist es TP und der Einwand ist berechtigt.
Stefan
wie kommst Du darauf, dass es eine TP ist? Könnte ja auch schon LWL sein.
Vermutlich ist es TP und der Einwand ist berechtigt.
Stefan
Da er sonst LWL erwähnt hatte da er dafür ein SFP Komverter/Modul bräuchte.
Es ist leider von viele immer noch so das diese eher Lanleitung legen als LWL zwischen den Gebäuden zumal erwähnt wurde das dies nicht änderbar sei deutet auch darauf hin.
Aber da ja nur Randinfos angegeben wurden muss man vom üblichen ausgehen was Falsch gemacht wurde..
Sollte es doch anders sein wird sicherlich die Aufklärung dazu noch kommen ;)
Es ist leider von viele immer noch so das diese eher Lanleitung legen als LWL zwischen den Gebäuden zumal erwähnt wurde das dies nicht änderbar sei deutet auch darauf hin.
Aber da ja nur Randinfos angegeben wurden muss man vom üblichen ausgehen was Falsch gemacht wurde..
Sollte es doch anders sein wird sicherlich die Aufklärung dazu noch kommen ;)
Auf alle Fälle hat er das im Handumdrehen mit einem VLAN Port gelöst:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
LWL macht er dann mit dem Switch und entsprechenden Optiken oder sollte er keinen SFP bestückten Switch haben eben mit einem simplen LWL Medienwandler ala Allied Telesyn oder Konsorten:
https://www.alliedtelesis.com/products/mmc2000-series
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
LWL macht er dann mit dem Switch und entsprechenden Optiken oder sollte er keinen SFP bestückten Switch haben eben mit einem simplen LWL Medienwandler ala Allied Telesyn oder Konsorten:
https://www.alliedtelesis.com/products/mmc2000-series
Moin,
besten Dank für die Beiträge. Ich antworte hier mal gesammelt.
Die Randbedingungen sind etwas schwammig, weil ich selber noch nicht vor Ort war und mangels Ansprechpartner nicht alles tel. erfragen konnte. (Besserung in Sicht, s.u.) Es handelt sich um eine soziale Einrichtung mit knappen Budget, weswegen die baulichen Gegebenheiten unveränderbar sind und räumliche Verlegung oder Ersatz der Hardware auf jeden Fall vermieden werden sollen. Zwischen den Gebäuden liegt LWL, Mediakonverter sind auch vorhanden. Ich hatte das nicht weiter erwähnt, weil ich darüber gar nicht diskutieren wollte
Das Board ist (zum Glück) kein Alix, sondern ein apu2c4, also Vierkerner, 3x Intel-Nic, 4GB RAM.
http://www.pcengines.ch/apu2c4.htm
https://www.highlnk.com/2014/06/configuring-vlans-on-pfsense/
Perfect Match, genau da wollte ich hin.
Ein paar Fragen, teils pfsense bezogen, hätte ich noch:
- Kann ich eines der VLAN so prioisieren, das es bei Bedarf(!) die vollen 100MBit einer Leitung zur Verfügung hat?
- Aus eurer Erfahrung: Reicht die Leistung der o.g. Hardware für 2x VDSL 100 mit Loadbalancing, 4 VLANs, Prioisierung eines VLANs und 1x VPN aus? Zuverlässigkeit hat absolute Priorität vor Geschwindigkeit.
- Habe ich im Hinblick auf "Loadbalancing + VPN" Fallstricke zu erwarten? Das das nur über eine der beiden öffentlichen IPs laufen wird, ist klar. (Oder?)
- Ist ein Netgear GS105E-200PES zuverlässig & schnell genug, um die VLANs wieder auseinander zu dröseln? Etagenswitche sind anscheinend vorhanden. (Die Netgear-Sonderlocke bzgl. der VLAN-Konfiguration habe ich wahrgenommen).
Vielen Dank
PS: Edit nimmt auch gerne Empfehlungen für einen kleinen Switch entgegen. >= 5 Ports, zuverlässig & preiswert (nicht billig).
besten Dank für die Beiträge. Ich antworte hier mal gesammelt.
Die Randbedingungen sind etwas schwammig, weil ich selber noch nicht vor Ort war und mangels Ansprechpartner nicht alles tel. erfragen konnte. (Besserung in Sicht, s.u.) Es handelt sich um eine soziale Einrichtung mit knappen Budget, weswegen die baulichen Gegebenheiten unveränderbar sind und räumliche Verlegung oder Ersatz der Hardware auf jeden Fall vermieden werden sollen. Zwischen den Gebäuden liegt LWL, Mediakonverter sind auch vorhanden. Ich hatte das nicht weiter erwähnt, weil ich darüber gar nicht diskutieren wollte
Das Board ist (zum Glück) kein Alix, sondern ein apu2c4, also Vierkerner, 3x Intel-Nic, 4GB RAM.
http://www.pcengines.ch/apu2c4.htm
https://www.highlnk.com/2014/06/configuring-vlans-on-pfsense/
Perfect Match, genau da wollte ich hin.
Ein paar Fragen, teils pfsense bezogen, hätte ich noch:
- Kann ich eines der VLAN so prioisieren, das es bei Bedarf(!) die vollen 100MBit einer Leitung zur Verfügung hat?
- Aus eurer Erfahrung: Reicht die Leistung der o.g. Hardware für 2x VDSL 100 mit Loadbalancing, 4 VLANs, Prioisierung eines VLANs und 1x VPN aus? Zuverlässigkeit hat absolute Priorität vor Geschwindigkeit.
- Habe ich im Hinblick auf "Loadbalancing + VPN" Fallstricke zu erwarten? Das das nur über eine der beiden öffentlichen IPs laufen wird, ist klar. (Oder?)
- Ist ein Netgear GS105E-200PES zuverlässig & schnell genug, um die VLANs wieder auseinander zu dröseln? Etagenswitche sind anscheinend vorhanden. (Die Netgear-Sonderlocke bzgl. der VLAN-Konfiguration habe ich wahrgenommen).
Vielen Dank
PS: Edit nimmt auch gerne Empfehlungen für einen kleinen Switch entgegen. >= 5 Ports, zuverlässig & preiswert (nicht billig).
OK, das sind alles sehr gute Voraussetzungen das das zu 98% klappen sollte. Eigentlich problemlos.
Zu deinen Fragen:
Die Dual WAN Konfig findest du hier:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
) aber ein klares JA, das kann auch diese Gurke in wirespeed problemlos erledigen. Kein Problem.
Ein TP-Link SG 108E http://www.tp-link.de/products/details/cat-41_TL-SG108E.html kann es auch sofern du wahrscheinlich auf die Kosten schielst...
Zu deinen Fragen:
Kann ich eines der VLAN so prioisieren
Ja, Priorisierung ist möglich. Sowohl im L2 als auch L3 Reicht die Leistung
Das APU Board könnte Gig im Wirespeed womit sich die Frage der Leistung vermutlich erledigt hat. Das hat allemal genug Power dafür.Die Dual WAN Konfig findest du hier:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
"Loadbalancing + VPN" Fallstricke zu erwarten?
Nein, natürlich nicht wenn du die Grundregeln beachtest. Da du das verwendete VPN Protokoll nicht weiter spezifizierst kann man auf diese Pauschalfrage auch nicht zielgerichtet antworten. Aber egal... Grundlegende Einschränkungen gibt es da nicht wenn die VPN Tunnel Sticky definiert sind wie es sein sollte.Ist ein Netgear GS105E-200PES zuverlässig
Es ist so ziemlich das Gruseligste was man sich in Sachen VLAN aus Konfig Sicht antun kann (was du ja auch zur Kenntniss genommen hast ) aber ein klares JA, das kann auch diese Gurke in wirespeed problemlos erledigen. Kein Problem.Ein TP-Link SG 108E http://www.tp-link.de/products/details/cat-41_TL-SG108E.html kann es auch sofern du wahrscheinlich auf die Kosten schielst...
Zitat von @aqui:
Das APU Board könnte Gig im Wirespeed womit sich die Frage der Leistung vermutlich erledigt hat. Das hat allemal genug Power dafür.
Das APU Board könnte Gig im Wirespeed womit sich die Frage der Leistung vermutlich erledigt hat. Das hat allemal genug Power dafür.
Die weiter oben verlinkte Seite
https://www.firewallhardware.it/en/pfsense_selection_and_sizing.html
hatte ich anders interpretiert, deshalb die Frage nach Erfahrungswerten inbesondere in Hinblick auf VPN.
Da du das verwendete VPN Protokoll nicht weiter spezifizierst kann man auf diese Pauschalfrage auch nicht zielgerichtet antworten.
Bridge via OpenVPN. OK, die CPU kann AES-NI, aber ob's reicht?
sofern du wahrscheinlich auf die Kosten schielst...
Ja, ich muss (leider). Auf 'nen Fuffi mehr oder weniger kommts letztendlich nicht an, aber am Ende läppert es sich eben immer. Arbeitszeit gibt es ja auch schon gespendet ;)
Fragt sich wo die Daten herkommen. 30Mbps schafft ja schon ein popeliges ALIX Board. Die ct' hatte das vor Jahren mal getestet und da schaffte schon ein 2D13 85 Mbit im reinen Routing. Mit PPPoE 80 und PPPoE und NAT lagen so um die 65. Allemal ausreichend für damalige max. 16 Mbit bei ADSL+.
IPsec VPN kam immerhin noch auf 50-55 was aber an der embeddeten Crypto Hardware des ALIX lag.
Bridging ist so oder so immer der Todesstoß im VPN. Das willst du nicht wirklich machen, oder ??
Dann musst du beideitig den gesamten Broad- und Multicast Traffic der lokalen Netze über den Tunnel schieben. Kein Netzwerker macht heutzutage so einen Unsinn um wertvolle Bandbreite auf dem WAN unnütz zu verbrennen. Hier ist immer Routing angesagt üblicherweise.
TP Link oder NetGear tun sich nix. Da kannst du den Billigsten nehmen. Der TP hat aber den Vorteil das er 8 Ports hat. Der GS-105E nur 5. Bei gleichem oder nahezu gleichen Preis solltest du immer den TP Link nehmen.
Zumal der (und das ist ein weiterer gravierender Vorteil) ein Web GUI hat zum Konfigurieren, was der GS105E nicht hat.
Der GS105E benötigst zwingend eine dedizierte Software die rein nur auf Winblows rennt....ein gravierender Nachteil bei NetGear und wenn du mal Troubleshooten musst von Remote ! Bei TP bist du unabhängig, simpler Browser genügt !
IPsec VPN kam immerhin noch auf 50-55 was aber an der embeddeten Crypto Hardware des ALIX lag.
Bridging ist so oder so immer der Todesstoß im VPN. Das willst du nicht wirklich machen, oder ??
Dann musst du beideitig den gesamten Broad- und Multicast Traffic der lokalen Netze über den Tunnel schieben. Kein Netzwerker macht heutzutage so einen Unsinn um wertvolle Bandbreite auf dem WAN unnütz zu verbrennen. Hier ist immer Routing angesagt üblicherweise.
TP Link oder NetGear tun sich nix. Da kannst du den Billigsten nehmen. Der TP hat aber den Vorteil das er 8 Ports hat. Der GS-105E nur 5. Bei gleichem oder nahezu gleichen Preis solltest du immer den TP Link nehmen.
Zumal der (und das ist ein weiterer gravierender Vorteil) ein Web GUI hat zum Konfigurieren, was der GS105E nicht hat.
Der GS105E benötigst zwingend eine dedizierte Software die rein nur auf Winblows rennt....ein gravierender Nachteil bei NetGear und wenn du mal Troubleshooten musst von Remote ! Bei TP bist du unabhängig, simpler Browser genügt !
Ja, mir kamen die Angaben auf der Seite auch etwas knapp vor, insbesondere "10-300 Mbps: No less than 2.4 GHz CPU Quad Core" trieb die Sorgenfalten ins Gesicht - ich habe doch nur 'nen 1GHz Quad. Egal, das apu2c4 ist vorhanden. Mal sehen, wo ich damit am Ende lande.
Bridging ist so oder so immer der Todesstoß im VPN. Das willst du nicht wirklich machen, oder ??
Evtl. muss ich das. Es soll angeblich eine Fachanwendung geben, die über nichts anderes funktioniert. Mal wieder mit heißer Nadel gestrickter Software-Schrott... Aber das ist im Moment nur Hörensagen, ich werde mir das genauer ansehen.
Kein Netzwerker macht heutzutage so einen Unsinn
Ich würde es nach Möglichkeit auch vermeiden wollen.
Der GS105E benötigst zwingend eine dedizierte Software die rein nur auf Winblows rennt
Danke. Da bin ich mittlerweile auch schon drüber gestolpert. Macht nix, ich mag Netgear sowieso nicht, also raus aus der Liste.
Ich werde demnächst mal ein wenig mit einem Test-Setup rumspielen, sobald ich meine Tage nicht zu 80% im Auto verbringe.
Vielen Dank an alle für die bisherigen Beiträge, ich komme dann ggf. mit den kniffeligen Detailfragen wieder ;)
Wir sind gespannt...
