Private Isolated VLANS mit PFSense
Guten Tag zusammen,
vielleicht kann mir jemand die Frage schnell beantworten:
Wir haben eine vSphere Umgebung in welcher auf einem distributed Switch einige VM's hängen, dessen Traffic ich gerne auf Layer2 untereinander abschirmen möchte. Dazu habe ich den distributed Switch mit VLAN1000 im Promiscuous Mode konfiguriert und VLAN 1001 als Isolated/Private angelegt.
Soweit so gut. Nun sind ja von der VMWare seite die Maschinen gegeneinander Isoliert.
Klar ist mir ebenfalls, dass ich um ein isoliertes VLAN zu betreiben einen Switch bzw eine Hardware brauche, welche dieses unterstützt. Zwischen dem virtuellem Switch und dem Internet hängt bislang eine PFSense Firewall. Nach div. Versuchen und gedankelichen Ansätzen habe ich allerdings einen Knoten im Kopf und bekomme den Isolierten Traffic auf der PFSense nicht wieder aufgelöst. Kann PFSense überhaupt damit um? Oder komme ich um einen weiteren Switch nicht rum?
Danke für eure Antworten
vielleicht kann mir jemand die Frage schnell beantworten:
Wir haben eine vSphere Umgebung in welcher auf einem distributed Switch einige VM's hängen, dessen Traffic ich gerne auf Layer2 untereinander abschirmen möchte. Dazu habe ich den distributed Switch mit VLAN1000 im Promiscuous Mode konfiguriert und VLAN 1001 als Isolated/Private angelegt.
Soweit so gut. Nun sind ja von der VMWare seite die Maschinen gegeneinander Isoliert.
Klar ist mir ebenfalls, dass ich um ein isoliertes VLAN zu betreiben einen Switch bzw eine Hardware brauche, welche dieses unterstützt. Zwischen dem virtuellem Switch und dem Internet hängt bislang eine PFSense Firewall. Nach div. Versuchen und gedankelichen Ansätzen habe ich allerdings einen Knoten im Kopf und bekomme den Isolierten Traffic auf der PFSense nicht wieder aufgelöst. Kann PFSense überhaupt damit um? Oder komme ich um einen weiteren Switch nicht rum?
Danke für eure Antworten
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 247705
Url: https://administrator.de/forum/private-isolated-vlans-mit-pfsense-247705.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
5 Kommentare
Neuester Kommentar
Das ist keine Frage der pfSende sondern deines Switches. Ein isolated VLAN blockt alle Broad- und Multicasts zu den Teilnehnemerports und damit auch ARP Requests was dann eine Kommunikation der Teilnehmer untereinander unmöglich macht. Der tiefere Sinn von Private VLANs um Teilnehmer Kommunikation untereinander sicher zu unterbinden.
Soweit so gut... In einem P-VLAN definiert man aber immer einen oder mehrere Uplink Ports wo eben Broadcast normal gesendet werden und über die das P-VLAN kommuniziert. Muss ja auch so sein wenn man aus diesem P-VLAN kommunizieren will und muss.
An diesen definierten Uplink Ports hängt dann ein Router oder Uplink Switch...bei dir dann die pfSense.
So einfach ist das...
Soweit so gut... In einem P-VLAN definiert man aber immer einen oder mehrere Uplink Ports wo eben Broadcast normal gesendet werden und über die das P-VLAN kommuniziert. Muss ja auch so sein wenn man aus diesem P-VLAN kommunizieren will und muss.
An diesen definierten Uplink Ports hängt dann ein Router oder Uplink Switch...bei dir dann die pfSense.
So einfach ist das...
Klingt etwas verwirrend was du schreibst. Ich versuchs nochmal..
Die definierst erstmal auf deinem Switch das PVLAN und weisst dem PVLAN die Userports zu.
Dan definierst du in dem PVLAN die Uplink Ports. Das sind die Ports in denen das PVLAN KEIN Broad- und Multicast Blocking macht, sprich also die Ports über die die User (die nicht untereinander kommunizieren können) mit gewollten Endgeräten kommunizieren wie z.B. bei dir der Server und die pfSense.
Liegt zwischen dem PVLAN Switch und dem Endgerät (hier der pfSense) noch einweiterer Switch musst du natürlich aufpassen das du hier nur die Uplinks durchreichst. Das kann dann ein VLAN sein mit der gleichen PVLAN ID aber eben als normales VLAN definiert.
Logischerweise musst du hier aufpassen das du dort keine Userports hast, denn sonst kontergarierst du dein PVLAN.
Idealerweise tagged man die Uplinks die man damit durchreicht um so eine gewisse Sicherheit zu haben gegen untagged Traffic.
ESXi Uplink physikalisch auf die pfSense geht auch, denn die pfSense versteht ja auch tagged_Traffic nur irgendwo hast du ja auch deine Enduserports dran, oder ? Das wird ja auch irgendwie ein physischer Switch sein.
Die definierst erstmal auf deinem Switch das PVLAN und weisst dem PVLAN die Userports zu.
Dan definierst du in dem PVLAN die Uplink Ports. Das sind die Ports in denen das PVLAN KEIN Broad- und Multicast Blocking macht, sprich also die Ports über die die User (die nicht untereinander kommunizieren können) mit gewollten Endgeräten kommunizieren wie z.B. bei dir der Server und die pfSense.
Liegt zwischen dem PVLAN Switch und dem Endgerät (hier der pfSense) noch einweiterer Switch musst du natürlich aufpassen das du hier nur die Uplinks durchreichst. Das kann dann ein VLAN sein mit der gleichen PVLAN ID aber eben als normales VLAN definiert.
Logischerweise musst du hier aufpassen das du dort keine Userports hast, denn sonst kontergarierst du dein PVLAN.
Idealerweise tagged man die Uplinks die man damit durchreicht um so eine gewisse Sicherheit zu haben gegen untagged Traffic.
ESXi Uplink physikalisch auf die pfSense geht auch, denn die pfSense versteht ja auch tagged_Traffic nur irgendwo hast du ja auch deine Enduserports dran, oder ? Das wird ja auch irgendwie ein physischer Switch sein.