5
Private Isolated VLANS mit PFSense
Guten Tag zusammen,
vielleicht kann mir jemand die Frage schnell beantworten:
Wir haben eine vSphere Umgebung in welcher auf einem distributed Switch einige VM's hängen, dessen Traffic ich gerne auf Layer2 untereinander abschirmen möchte. Dazu habe ich den distributed Switch mit VLAN1000 im Promiscuous Mode konfiguriert und VLAN 1001 als Isolated/Private angelegt.
Soweit so gut. Nun sind ja von der VMWare seite die Maschinen gegeneinander Isoliert.
Klar ist mir ebenfalls, dass ich um ein isoliertes VLAN zu betreiben einen Switch bzw eine Hardware brauche, welche dieses unterstützt. Zwischen dem virtuellem Switch und dem Internet hängt bislang eine PFSense Firewall. Nach div. Versuchen und gedankelichen Ansätzen habe ich allerdings einen Knoten im Kopf und bekomme den Isolierten Traffic auf der PFSense nicht wieder aufgelöst. Kann PFSense überhaupt damit um? Oder komme ich um einen weiteren Switch nicht rum?
Danke für eure Antworten
vielleicht kann mir jemand die Frage schnell beantworten:
Wir haben eine vSphere Umgebung in welcher auf einem distributed Switch einige VM's hängen, dessen Traffic ich gerne auf Layer2 untereinander abschirmen möchte. Dazu habe ich den distributed Switch mit VLAN1000 im Promiscuous Mode konfiguriert und VLAN 1001 als Isolated/Private angelegt.
Soweit so gut. Nun sind ja von der VMWare seite die Maschinen gegeneinander Isoliert.
Klar ist mir ebenfalls, dass ich um ein isoliertes VLAN zu betreiben einen Switch bzw eine Hardware brauche, welche dieses unterstützt. Zwischen dem virtuellem Switch und dem Internet hängt bislang eine PFSense Firewall. Nach div. Versuchen und gedankelichen Ansätzen habe ich allerdings einen Knoten im Kopf und bekomme den Isolierten Traffic auf der PFSense nicht wieder aufgelöst. Kann PFSense überhaupt damit um? Oder komme ich um einen weiteren Switch nicht rum?
Danke für eure Antworten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 247705
Url: https://administrator.de/contentid/247705
Printed on: April 25, 2024 at 21:04 o'clock
5 Comments
Latest comment
Das ist keine Frage der pfSende sondern deines Switches. Ein isolated VLAN blockt alle Broad- und Multicasts zu den Teilnehnemerports und damit auch ARP Requests was dann eine Kommunikation der Teilnehmer untereinander unmöglich macht. Der tiefere Sinn von Private VLANs um Teilnehmer Kommunikation untereinander sicher zu unterbinden.
Soweit so gut... In einem P-VLAN definiert man aber immer einen oder mehrere Uplink Ports wo eben Broadcast normal gesendet werden und über die das P-VLAN kommuniziert. Muss ja auch so sein wenn man aus diesem P-VLAN kommunizieren will und muss.
An diesen definierten Uplink Ports hängt dann ein Router oder Uplink Switch...bei dir dann die pfSense.
So einfach ist das...
Soweit so gut... In einem P-VLAN definiert man aber immer einen oder mehrere Uplink Ports wo eben Broadcast normal gesendet werden und über die das P-VLAN kommuniziert. Muss ja auch so sein wenn man aus diesem P-VLAN kommunizieren will und muss.
An diesen definierten Uplink Ports hängt dann ein Router oder Uplink Switch...bei dir dann die pfSense.
So einfach ist das...
Hallo Aqui, danke zunächst für deine Antwort. Nur noch um es genau zu vestehen, zeichne ich es kurz auf ;)
ESXi Server mit VMs an einem distributed Switch (Pvlan /1000/1001) ------------------>Switch------------------->PFSense
Also hat der ESXi ganz einfach gesagt von seinem distributed Switch einen Uplink auf einen Switch auf dem auch die anderen Hosts hängen.Von dort aus geht es auf die PFSense.
Also muss ich ja auf dem Switch entsprechend auch die VLANS konfigurieren. Ohne diesen Switch Ginge es ja nicht oder? ESXi Uplink(physikalisch) auf PFSense meine ich.
ESXi Server mit VMs an einem distributed Switch (Pvlan /1000/1001) ------------------>Switch------------------->PFSense
Also hat der ESXi ganz einfach gesagt von seinem distributed Switch einen Uplink auf einen Switch auf dem auch die anderen Hosts hängen.Von dort aus geht es auf die PFSense.
Also muss ich ja auf dem Switch entsprechend auch die VLANS konfigurieren. Ohne diesen Switch Ginge es ja nicht oder? ESXi Uplink(physikalisch) auf PFSense meine ich.
Klingt etwas verwirrend was du schreibst. Ich versuchs nochmal.. 
Die definierst erstmal auf deinem Switch das PVLAN und weisst dem PVLAN die Userports zu.
Dan definierst du in dem PVLAN die Uplink Ports. Das sind die Ports in denen das PVLAN KEIN Broad- und Multicast Blocking macht, sprich also die Ports über die die User (die nicht untereinander kommunizieren können) mit gewollten Endgeräten kommunizieren wie z.B. bei dir der Server und die pfSense.
Liegt zwischen dem PVLAN Switch und dem Endgerät (hier der pfSense) noch einweiterer Switch musst du natürlich aufpassen das du hier nur die Uplinks durchreichst. Das kann dann ein VLAN sein mit der gleichen PVLAN ID aber eben als normales VLAN definiert.
Logischerweise musst du hier aufpassen das du dort keine Userports hast, denn sonst kontergarierst du dein PVLAN.
Idealerweise tagged man die Uplinks die man damit durchreicht um so eine gewisse Sicherheit zu haben gegen untagged Traffic.
ESXi Uplink physikalisch auf die pfSense geht auch, denn die pfSense versteht ja auch tagged_Traffic nur irgendwo hast du ja auch deine Enduserports dran, oder ? Das wird ja auch irgendwie ein physischer Switch sein.
Die definierst erstmal auf deinem Switch das PVLAN und weisst dem PVLAN die Userports zu.
Dan definierst du in dem PVLAN die Uplink Ports. Das sind die Ports in denen das PVLAN KEIN Broad- und Multicast Blocking macht, sprich also die Ports über die die User (die nicht untereinander kommunizieren können) mit gewollten Endgeräten kommunizieren wie z.B. bei dir der Server und die pfSense.
Liegt zwischen dem PVLAN Switch und dem Endgerät (hier der pfSense) noch einweiterer Switch musst du natürlich aufpassen das du hier nur die Uplinks durchreichst. Das kann dann ein VLAN sein mit der gleichen PVLAN ID aber eben als normales VLAN definiert.
Logischerweise musst du hier aufpassen das du dort keine Userports hast, denn sonst kontergarierst du dein PVLAN.
Idealerweise tagged man die Uplinks die man damit durchreicht um so eine gewisse Sicherheit zu haben gegen untagged Traffic.
ESXi Uplink physikalisch auf die pfSense geht auch, denn die pfSense versteht ja auch tagged_Traffic nur irgendwo hast du ja auch deine Enduserports dran, oder ? Das wird ja auch irgendwie ein physischer Switch sein.
Jetzt wurde es verstanden... bedankt ;)
ESXi Uplink auf die PFSense war physikalisch, allerdings musste ich eh einen switch setzen wegen dem zweiten Host. Der muss ja auch irgendwie mit der Außenwelt kommunizieren ;)
Nach innen gibt es keine Ports, das ist ein System, wo einige VM's laufen, wo Kunden ihre Software und ihr Projekt testen können(Von außen). Aber es gibt ja immer wieder Bösewichte, die gerne mal alles ausprobieren und Schnüffeln, wer sich da sonst sonst noch so auf einem Kanal mit ihnen unterhält. Darum wollte ich die Kommunikation unter den VM's auf jeden Fall sicher unterbinden. Sind zwar keine brisanten Daten, aber muss trotzdem nicht sein.
Danke für die Hilfe
ESXi Uplink auf die PFSense war physikalisch, allerdings musste ich eh einen switch setzen wegen dem zweiten Host. Der muss ja auch irgendwie mit der Außenwelt kommunizieren ;)
Nach innen gibt es keine Ports, das ist ein System, wo einige VM's laufen, wo Kunden ihre Software und ihr Projekt testen können(Von außen). Aber es gibt ja immer wieder Bösewichte, die gerne mal alles ausprobieren und Schnüffeln, wer sich da sonst sonst noch so auf einem Kanal mit ihnen unterhält. Darum wollte ich die Kommunikation unter den VM's auf jeden Fall sicher unterbinden. Sind zwar keine brisanten Daten, aber muss trotzdem nicht sein.
Danke für die Hilfe
Immer gerne wieder...
