sickone
Goto Top

Private VLans mit dlink Switch dgs 1210-24 und pfsense

Guten Abend zusammen,

wohl eher eine Freitags Frage, zum Glück ist morgen ja schon Freitag face-smile.

Hier werkelt, dank aqui's pfsense und vlan tutorial, eine apu mit pfsense(tagged vlan uplinks vom switch zur pfsense) und ein dlink switch (dgs 1210) und beide verrichten hervorragend ihre Dienste.

Nun interessiert mich das Thema private VLans. Mein ziel ist es an mehreren ports (vorerst 2) jeweils einen raspi zu hängen und diese auf Layer2 Basis voneinander zu trennen um keine Kommunikation untereinander zu ermöglichen. Aktuell habe ich das so gelöst, indem jedes Gerät ein eigenes vlan auf der pfsense bekommen hat. Mit Private VLans sollte das ganze dann über ein vlan an der pfsense möglich sein, oder? Ich habe nun im Netz gesehen, dass man mit dem asymetric vlan "feature" bei dem dlink switch den Router für vlans weg lassen kann, was ja aber nicht mein Ziel ist. (http://forums.dlink.com/index.php?topic=66792.0)

Ist meine Denkweise in dieser Hinsicht korrekt? Falls ja, hat jemand solch ein Szenario mit diesem switch erstellt?

Falls ich Infos vergessen habe, gerne kurz Bescheid geben.

Danke im Voraus und viele Grüße.

Content-ID: 472016

Url: https://administrator.de/contentid/472016

Ausgedruckt am: 25.11.2024 um 05:11 Uhr

the-buccaneer
Lösung the-buccaneer 12.07.2019 um 10:19:49 Uhr
Goto Top
Moin!
also bei dem D_Link den ich im Einsatz habe, kann ich einstellen, ob die getaggten Ports geroutet werden oder abgetrennt bleiben. (Das ist ein manged Switch mit 24 Ports und PoE auf 12 Ports, Bezeichnung habe ich nicht im Kopf)
Man muss da halt immer achten, dass die VLANS auf dem Port, an dem die PfSense hängt, auch getaggt sind, so dass das bei der Sense ankommt.
Die Konfiguration fand ich frickelig und wenig selbsterklärend, aber es ging.

Beantwortet das deine Frage?

LG
Buc
SickOne
SickOne 12.07.2019 aktualisiert um 15:00:14 Uhr
Goto Top
Moin @the-buccaneer,

mir geht es generell darum, ob das was ich vorhabe mit der Hardware möglich? Hab jetzt von dem traffic segmentation feature gelesen und ich weiß nicht ganz womit ich mein Vorhaben umsetzen kann mit der gegebenem Hardware. Hab auch keine Doku von dlink diesbezüglich gefunden was private vlan angeht.

Grüße
aqui
Lösung aqui 12.07.2019 aktualisiert um 16:50:40 Uhr
Goto Top
Mit Private VLans sollte das ganze dann über ein vlan an der pfsense möglich sein, oder?
Ja, das ist richtig. Natürlch nur dann wenn dein D-Link Hobel das Feature Private oder Isolated VLANs supportet !! Nicht alle Billigswitches können das.
Das Handbuch oder Datenblatt ist wie immer dein Freund !
ftp://ftp.dlink.de/dgs/dgs-1210-24p/documentation/DGS-1210-24P_man_revD_4-10_all_en_20130723.pdf
Sieht man da aber mal hinen ist da kenerlei Rede von Private oder Isolated VLAN Support. face-sad
Sieht also so aus als ob die Gurke das gar nicht supportet.
Dann bleiben dir nur Mac Access Listen als Workaround.
ob das was ich vorhabe mit der Hardware möglich?
Wir haben ja für dich das Handbuch gelesen...und da steht nix. Also supportet der D-Link dieses Feature nicht. Scheinbar also falsche HW gekauft für das was du vorhast... face-sad
Asymetric VLAN ist großer Mist. Das ist eine Frickelei als Workaround für das fehlende Feature. Das macht es schlimmer als es ist.
SickOne
SickOne 12.07.2019 um 19:18:02 Uhr
Goto Top
Nabend Aqui,

danke für deine Antwort. Da ich mir eben nicht sicher war ob das das equivalent zum Private vlan ist, wollte ich auf Nummer sicher gehen da in dem von mir verlinkten Beitrag etwas davon steht (wobei es nur ein User forum ist und somit keine sichere Quelle).

Dann muss wohl irgendwann ein ordentlicher switch her, schade. Vielen Dank euch beiden bei der Aufklärung.

Schönes Wochenende und viele Grüße
aqui
Lösung aqui 12.07.2019 um 20:53:48 Uhr
Goto Top
Du kannst dir die Funktion auch "basteln" Mit Mac Adress Filter am Port als Workaround. Ist aber recht aufwändig und fraglich ob das der Mühe wert ist.
SickOne
SickOne 13.07.2019 um 08:45:44 Uhr
Goto Top
Ich werde deinen Ansatz mal versuchen und mich gleichzeitig nach einem switch mit dem Feature umschauen. Danke!
aqui
Lösung aqui 15.07.2019 um 11:11:11 Uhr
Goto Top
Gebrauchter Cisco Catalyst von eBay face-wink
sk
Lösung sk 15.07.2019 aktualisiert um 14:06:49 Uhr
Goto Top
Hallo,

Zitat von @SickOne:
Mein ziel ist es an mehreren ports (vorerst 2) jeweils einen raspi zu hängen und diese auf Layer2 Basis
voneinander zu trennen um keine Kommunikation untereinander zu ermöglichen.

ok


Zitat von @SickOne:
Aktuell habe ich das so gelöst, indem jedes Gerät ein eigenes vlan auf der pfsense bekommen hat.

Solange es um eine sehr begrenzte Anzahl Ports bzw. isolierte Geräte geht, würde ich Dir empfehlen, bei dieser Verfahrensweise zu bleiben. Man ist so einfach wesentlich flexibler für den Fall, dass man später fein reglementiert doch noch Traffic zwischen den zunächst isolierten Hosts zulassen möchte.


Zitat von @SickOne:
Mit Private VLans sollte das ganze dann über ein vlan an der pfsense möglich sein, oder?

Jain. Worum es Dir im Kern bei Deinem Wunsch "über ein vlan an der pfsense"? Geht es darum, an der pfSense nur ein (gemeinsames) IP-Interface und nur ein gemeinsames IP-Netz (für diese Aufgabe) zu haben oder auch darum, Switch-seitig mit nur einem VLAN für alle isolierten Hosts auszukommen? Ersteres ist bei allen PVLAN-Varianten gegeben. Letzteres hingegen nur bei "private VLAN Edge".

Womit wir beim Thema Terminologie wären: Der Terminus "private VLAN" ist ein reiner Marketingbegriff, der je nach Hersteller durchaus für unterschiedliche Funktionsumfänge stehen kann.
Cisco trifft beispielsweise folgende Unterscheidung:
a) "private VLAN Edge" (aka "Protected Ports")
b) "(community) private VLAN" - einschließlich des Spezialfalls "isolated private VLAN"

Anders als Typ b) ist Typ a) eine rein auf einen einzelnen Switch begrenzte Technologie. Sie ermöglicht es festzulegen, welche Ports innerhalb des gleiche VLANs miteinander kommunzieren können und welche nicht. Das geht bei den meisten Herstellern - ggf. in leicht unterschiedlicher Ausprägung und trägt häufig unterschiedliche Bezeichnungen. Meist heisst diese Funktion "Port Isolation" oder so ähnlich.
Dem Handbuch nach gibt es bei dem hier in Rede stehenden DLINK-Switch die Funktion "Traffic Segmentation". Siehe https://www.manualslib.com/manual/1167360/D-Link-Dgs-1210-16.html?page=7 ....
So wie ich die Fallgestaltung bisher verstanden habe, dürfte dieses Feature die Anforderungen des TO erfüllen. Fraglich ist nur, inwieweit eine parallele Nutzung dieses Features i.Vm. tagged VLANs nach 802.1q möglich (und im vorliegenden Fall erforderlich) ist. Sollte dies nicht möglich (aber erforderlich) sein, könnte man die vom DLINK ebenfalls unterstützten asymmetrische VLANs nutzen. Ein Anwendungsszenario und Konfigurationsbeispiel dazu sollte in der Onlinehilfe des DLINK-Switches enthalten sein - jedenfalls war dies früher so. Hab schon seit Jahren keine DLINKs mehr in den Händen gehabt.


Gruß
sk