28
Smarthome Heimnetzwerk absichern
Hallo.
Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache...
Überischthalber zur Hardware:
Vorhanden:
Modem
APU4D4
Cisco SG250X-24P
Mikrotik cAP ac
Ein Synology NAS
mehrere Netzwerkkameras
Laptops und einen StandPc
Drucker und einige Smarthome Produkte (Siemens Home Connect Küchengeräte, Nuki, ekey Uno, Alexa, AppleTV, FireTV)
Habe noch ein Linksys WRT1200 herumliegen.
Einen "Server" mit Proxmox wo verschiedene VM's laufen sollen, ioBroker, Raspberrymatic, OpenMediaVault.
Ich hab mal schnell ein Diagramm zusammen geklopft.
Von extern würde ich gerne via VPN zugreifen. (Wireguard, OpenVPN???).
Wie würdet ihr das Netzwerk sicher aufbauen?
Welche Geräte würdet ihr in verschiedene VLans aufteilen?
Ich mach mir gerade gedanken wie ich meine neue Wohnung sicher mache...
Überischthalber zur Hardware:
Vorhanden:
Modem
APU4D4
Cisco SG250X-24P
Mikrotik cAP ac
Ein Synology NAS
mehrere Netzwerkkameras
Laptops und einen StandPc
Drucker und einige Smarthome Produkte (Siemens Home Connect Küchengeräte, Nuki, ekey Uno, Alexa, AppleTV, FireTV)
Habe noch ein Linksys WRT1200 herumliegen.
Einen "Server" mit Proxmox wo verschiedene VM's laufen sollen, ioBroker, Raspberrymatic, OpenMediaVault.
Ich hab mal schnell ein Diagramm zusammen geklopft.
Von extern würde ich gerne via VPN zugreifen. (Wireguard, OpenVPN???).
Wie würdet ihr das Netzwerk sicher aufbauen?
Welche Geräte würdet ihr in verschiedene VLans aufteilen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 658264
Url: https://administrator.de/contentid/658264
Ausgedruckt am: 17.11.2024 um 19:11 Uhr
28 Kommentare
Neuester Kommentar
Wie würdet ihr das Netzwerk sicher aufbauen?
- pfSense auf das APU4
- Netzwerk in VLANs segmentieren
- Wasserdichtes Regelwerk zw. den VLANs bzw. Internet installieren
- Fertisch
OPNsense auf das APU4D4
- Netzwerk segmentieren in VLANs
- Suricata einschalten (IDS/IPS)
- WireGuard installieren
- Wireguard konfigurieren
- Ruleset erstellen
Fertig ist die Hexerei und Du hast alles was du benötigst um dein Netzwerk abzusichern.
- Netzwerk segmentieren in VLANs
- Suricata einschalten (IDS/IPS)
- WireGuard installieren
- Wireguard konfigurieren
- Ruleset erstellen
Fertig ist die Hexerei und Du hast alles was du benötigst um dein Netzwerk abzusichern.
Bin/war eigentlich auch überzeugter von pfSense.
Wie würdest du die VLAN sementieren. Weil im Prinzip muss der ganze Smarthome Quatsch ja untereinander (ioBroker auf Proxmox) ja kommunizieren.
Ich würde es so versuchen:
Ein Gäste Wifi (VLAN)
Eines für die NAS (Ist nur für Backup von Proxmox und deren VM's, und ev. als DVR)
Proxmos (ioBroker. Rasperrymatic) kommuniziert mit eigentlich fast allem: Kameras, Handy, Nuki, Homematic IP)
nur die Raspberry Pi's mit Kodi kommunizieren mit (Proxmox/OMV)
Hab lange gesucht was für mich passen würde. Hab dann aber an der Firewall leider sparen müssen :/
Wie würdest du die VLAN sementieren. Weil im Prinzip muss der ganze Smarthome Quatsch ja untereinander (ioBroker auf Proxmox) ja kommunizieren.
Ich würde es so versuchen:
Ein Gäste Wifi (VLAN)
Eines für die NAS (Ist nur für Backup von Proxmox und deren VM's, und ev. als DVR)
Proxmos (ioBroker. Rasperrymatic) kommuniziert mit eigentlich fast allem: Kameras, Handy, Nuki, Homematic IP)
nur die Raspberry Pi's mit Kodi kommunizieren mit (Proxmox/OMV)
Hab lange gesucht was für mich passen würde. Hab dann aber an der Firewall leider sparen müssen :/
Suricata/Snort hab ich nur mal angelesen. Ist mir noch zu heavy... bin noch in der Bauphase. Muss schnell einen funktionierenten "Notbetrieb" hinbekommen.... Sonst ist die größte DIE FRAU ;)
Wireguard oder OpenVPN (was ist "sicher" und besser?) Habe gelesen das WG performanter ist.
Habt ihr vl. Tuturials was Ruleset gestalltung angeht?
Wireguard oder OpenVPN (was ist "sicher" und besser?) Habe gelesen das WG performanter ist.
Habt ihr vl. Tuturials was Ruleset gestalltung angeht?
Ob pfSense oder OPNsesne ist reine Geschmacksache und wie weit man pfSense noch traut. Für mich ein NoGo was die machen.
- Proxmox ist nur der Hypervisor und der sollte mit VLAN ohne Probleme klarkommen.
(Proxmox VLAN -> https://forum.proxmox.com/threads/proxmox-opnsense-vlan.60602/
- VLAN Segmentierung ist einfach und es gibt zig guten Anleitungen dazu die man mit Google findet.
- Microsgementierung wenns dann auf App Ebene geht ist auch ganz Sexy. Kann auf den ersten Blick jedes deiner vorhanden Geräte händeln.
- WireGuard ist unschlagbar was die Performance und Sicherheit angeht.
- OpenVPN ist ein lahmes Pferd im Vergleich.
- Proxmox ist nur der Hypervisor und der sollte mit VLAN ohne Probleme klarkommen.
(Proxmox VLAN -> https://forum.proxmox.com/threads/proxmox-opnsense-vlan.60602/
- VLAN Segmentierung ist einfach und es gibt zig guten Anleitungen dazu die man mit Google findet.
- Microsgementierung wenns dann auf App Ebene geht ist auch ganz Sexy. Kann auf den ersten Blick jedes deiner vorhanden Geräte händeln.
- WireGuard ist unschlagbar was die Performance und Sicherheit angeht.
- OpenVPN ist ein lahmes Pferd im Vergleich.
Hab mich Hauptsächlich mit pfSense auseinander gesetzt. Als ich dann die Abspaltung mitbekommen habe mit pfSense + hab ich mich erstmal mit OPNsense beschäftigt. Aber ich hab noch bis Juni Zeit eine Entscheidung zu treffen 😅
Ich würde für die Smarthome Geschichten jeweils eine eigene SSID/Vlan am cAP ac erstellen.
z.B:
VLAN 10 (Trusted Geräte)
VLAN 20 (Nuki)
VLAN 30 (Siemens Home Connect)
VLAN 40 (Gäste Wifi)
Versteh aber nicht ganz wie ich dann eine halbwegs sichere Verbindung zwischen ioBroker und den oberen VLAN’s bekommen soll.
Die Geräte müssen untereinander über die Adapter kommunizieren 🤷🏽♂️
Oder geh ich einen falschen Weg?
Ich würde für die Smarthome Geschichten jeweils eine eigene SSID/Vlan am cAP ac erstellen.
z.B:
VLAN 10 (Trusted Geräte)
VLAN 20 (Nuki)
VLAN 30 (Siemens Home Connect)
VLAN 40 (Gäste Wifi)
Versteh aber nicht ganz wie ich dann eine halbwegs sichere Verbindung zwischen ioBroker und den oberen VLAN’s bekommen soll.
Die Geräte müssen untereinander über die Adapter kommunizieren 🤷🏽♂️
Oder geh ich einen falschen Weg?
Hallo,
Du solltest testen, ob die Anwendungen in gerouteten Netzwerken zurechtkommen. Das ist für webseitenbasierte Bedienoberflächen gegeben. Aber insbesondere Apps haben sich aber Zickig, wenn irgendwelche Discoveryprotokolle verwendet werden. Beispiel Sonos. Da braucht man einen multicast-proxy Dienst auf dem Router.
Ich komme mit der OPNSense gut klar, ist ein europäisches Produkt. Andere hier
halten deren Codebasis aber für noch nicht ausreichend gereift.
Grüße
lcer
Du solltest testen, ob die Anwendungen in gerouteten Netzwerken zurechtkommen. Das ist für webseitenbasierte Bedienoberflächen gegeben. Aber insbesondere Apps haben sich aber Zickig, wenn irgendwelche Discoveryprotokolle verwendet werden. Beispiel Sonos. Da braucht man einen multicast-proxy Dienst auf dem Router.
Ich komme mit der OPNSense gut klar, ist ein europäisches Produkt. Andere hier
halten deren Codebasis aber für noch nicht ausreichend gereift.Grüße
lcer
Andere hier face-smile halten deren Codebasis aber für noch nicht ausreichend gereift.
Solange der aber auf z.B. einer APU Hardware bootet und nur 2 Interfaces statt 4 erkennt (auch nach 4 oder 5 Bootversuchen), eine pfSense aber gleich beim ersten Booten die 4 Interfaces auf Anhieb erkennt, dann hinterlässt sowas schon gehörige Bauchschmerzen was den Code anbetrifft und ob man sowas in den Produktivbetrieb übernehmen soll.... face-smile halten deren Codebasis aber für noch nicht ausreichend gereift.Zitat von @aqui:
Das ist nachvollziehbar.Andere hier halten deren Codebasis aber für noch nicht ausreichend gereift.
Solange der aber auf z.B. einer APU Hardware bootet und nur 2 Interfaces statt 4 erkennt (auch nach 4 oder 5 Bootversuchen), eine pfSense aber gleich beim ersten Booten die 4 Interfaces auf Anhieb erkennt, dann hinterlässt sowas schon gehörige Bauchschmerzen was den Code anbetrifft und ob man sowas in den Produktivbetrieb übernehmen soll.... halten deren Codebasis aber für noch nicht ausreichend gereift.grüße
lcer
Zitat von @aqui:
Andere hier face-smile halten deren Codebasis aber für noch nicht ausreichend gereift.
Solange der aber auf z.B. einer APU Hardware bootet und nur 2 Interfaces statt 4 erkennt (auch nach 4 oder 5 Bootversuchen), eine pfSense aber gleich beim ersten Booten die 4 Interfaces auf Anhieb erkennt, dann hinterlässt sowas schon gehörige Bauchschmerzen was den Code anbetrifft und ob man sowas in den Produktivbetrieb übernehmen soll.... face-smile halten deren Codebasis aber für noch nicht ausreichend gereift.Keine Ahnung wovon du schreibst, OPNsense auf einem apu4d4 Board installiert und dies ohne ein Problem alles funktionierend. Alle 4 Ports sind erkannt und können genutzt werden. Auch das Failover auf das 4G Modem funktioniert ohne das geringste Problem.
Dies direkt nach der Installation
Frage mich was du für Fake News verbreitest nur weil du das Produkt nicht magst.
Du ziehst ganz falsche Schlüsse. Mit nicht mögen hat das nicht das Geringste zu tun. Gerade die Neugierde auf das Produkt und die EU fokussierte Entwicklercommunity war Antrieb eines optionalen Wechsels.
Ich will nicht ausschliessen das das Board einen an der Waffel hatte war ein gebrauchtes. Aber dann frag ich mich warum der pfSense Boot Stick reproduzierbar alles erkannt hat, der OPNsense Boot Stick aber immer reproduzierbar nur 3 Interface.
Übrigens passierte das gleiche bei einem älteren APU2 Board...auch da nur 2 Interface erkannt statt 3. Beide Boards mit aktuellstem BIOS.
Ist auch ein halbes Jahr her...gut möglich das der Code da verbessert wurde. Zeit mal wieder einen neuen OPNsense Boot Stick zu erstellen !
Aber zurück zum Thread hier...
Ich will nicht ausschliessen das das Board einen an der Waffel hatte war ein gebrauchtes. Aber dann frag ich mich warum der pfSense Boot Stick reproduzierbar alles erkannt hat, der OPNsense Boot Stick aber immer reproduzierbar nur 3 Interface.
Übrigens passierte das gleiche bei einem älteren APU2 Board...auch da nur 2 Interface erkannt statt 3. Beide Boards mit aktuellstem BIOS.
Ist auch ein halbes Jahr her...gut möglich das der Code da verbessert wurde. Zeit mal wieder einen neuen OPNsense Boot Stick zu erstellen !
Aber zurück zum Thread hier...
Hab mich ungesehen und hab was passendes auf Lawrence Systems YT Channel gefunden
https://youtu.be/HW9mUrF1ZgU
https://youtu.be/HW9mUrF1ZgU
Da bin ich wieder das Layer 8 Problem :D
Ich werd nicht ganz Schlau:
Im moment würde ich mein Netzwerk so in etwa aufbauen wollen....
1. Was ich nicht ganz verstehe ist das native VLAN 1.
Wo "hängt" eigentlich die pfSense dann? 192.168.10.1 also in VLAN10? Oder ich frag mal so, wo sollte die genau sein?
2. Da ja alle VLAN an igb1 gehen denke, ich das die pfSense (APU4D4) aufgrund von VLAN30, 40 ziemlich am Limit sein wird.
Macht es Sinn igb2 als extra Trunk zu verwenden? Hab zwar ein SG250X-24P aber es geht ja alles über igb1, oder denk ich falsch?
Ich werd nicht ganz Schlau:
Im moment würde ich mein Netzwerk so in etwa aufbauen wollen....
1. Was ich nicht ganz verstehe ist das native VLAN 1.
Wo "hängt" eigentlich die pfSense dann? 192.168.10.1 also in VLAN10? Oder ich frag mal so, wo sollte die genau sein?
2. Da ja alle VLAN an igb1 gehen denke, ich das die pfSense (APU4D4) aufgrund von VLAN30, 40 ziemlich am Limit sein wird.
Macht es Sinn igb2 als extra Trunk zu verwenden? Hab zwar ein SG250X-24P aber es geht ja alles über igb1, oder denk ich falsch?
1.)
Das native VLAN oder PVID VLAN ist immer das was an einem Tagged Uplink immer untagged übertragen wird. Alles was die pfSense von ihrem physischen Interfaces sendet kommt immer UNtagged !
Alle pfSense VLAN Interfaces die z.B. auf das physische LAN Interface gebunden sind kommen immer getagged mit ihrer VLAN ID.
Wenn dein Cisco Uplink also 1U, 30T, 40T anzeigt auf dem pfSense Port dann liegt das physische LAN Interface mit seinem IP Netz in VLAN 1. Bzw. VLANs 30 und 40 kommen dann Tagged aus dem LAN Port zum Switch und werden mit ihren Tags dann entsprechend geforwardet.
Zur VLAN Logik siehe auch HIER.
Eigentlich doch ganz einfach...
2.)
Das Traffic Limit ist immer die Summe allen Traffics aller VLAN pro Zeiteinheit die an dem physischen Interface empfangen wird.
Wenn das PVID VLAN (1) und 30 und 40 aus dem Beispiel oben jeweils mit 500 Mbit Traffic senden ist der Port natürlich überbucht, das ist klar. Das ist dann aber schon der Switchport selber, denn der kann ja auch nur physisch 1 Gig forwarden. Dann müsstest du schon den 10G Port des Switches nutzen um die pfSense damit "omne armed" anzubinden.
Ausgehender Traffic kann ja nie mehr als 1Gig sein weil die pfSense (und auch der Switch) physisch nicht mehr senden kann. Jedenfalls an einem 1 Gig Port.
Du machst ja leider keinerlei Angabe zu den erwarteten Voluminas...können wir also auch nur raten...
Oder eben "Fat Pipe" mit 10G....
Andere Alternative ist du machst den Inter VLAN Traffic direkt auch deinem SG250X, routest also im Layer 3 Mode im Switch und nutzt die pfSense rein nur für den Outbound Traffic ins Internet. Damit hast du dann keinerlei Hindernisse mehr was das IP Forwarding angeht.
Wie so ein Layer 3 Design aussieht kannst du HIER sehen !
Ggf. wäre die Option dann bei hohem internen Traffic Volumen besser. Mit dem 250er hast du auch ACLs um den VLAN Vergehr zu regeln. Allerdings sind ACL nicht stateful was aber in einem heimnetz tolerabel ist.
Entscheidung was und wie liegt also bei dir !
Das native VLAN oder PVID VLAN ist immer das was an einem Tagged Uplink immer untagged übertragen wird. Alles was die pfSense von ihrem physischen Interfaces sendet kommt immer UNtagged !
Alle pfSense VLAN Interfaces die z.B. auf das physische LAN Interface gebunden sind kommen immer getagged mit ihrer VLAN ID.
Wenn dein Cisco Uplink also 1U, 30T, 40T anzeigt auf dem pfSense Port dann liegt das physische LAN Interface mit seinem IP Netz in VLAN 1. Bzw. VLANs 30 und 40 kommen dann Tagged aus dem LAN Port zum Switch und werden mit ihren Tags dann entsprechend geforwardet.
Zur VLAN Logik siehe auch HIER.
Eigentlich doch ganz einfach...
2.)
aufgrund von VLAN30, 40 ziemlich am Limit sein wird.
WAS für eine Art "Limit" meinst du ??Das Traffic Limit ist immer die Summe allen Traffics aller VLAN pro Zeiteinheit die an dem physischen Interface empfangen wird.
Wenn das PVID VLAN (1) und 30 und 40 aus dem Beispiel oben jeweils mit 500 Mbit Traffic senden ist der Port natürlich überbucht, das ist klar. Das ist dann aber schon der Switchport selber, denn der kann ja auch nur physisch 1 Gig forwarden. Dann müsstest du schon den 10G Port des Switches nutzen um die pfSense damit "omne armed" anzubinden.
Ausgehender Traffic kann ja nie mehr als 1Gig sein weil die pfSense (und auch der Switch) physisch nicht mehr senden kann. Jedenfalls an einem 1 Gig Port.
Du machst ja leider keinerlei Angabe zu den erwarteten Voluminas...können wir also auch nur raten...
Macht es Sinn igb2 als extra Trunk zu verwenden?
Ja, das macht in jedem Falle Sinn wenn es sehr viel Inter VLAN Routing Traffic gibt der über 1G liegt ! Damit verteilt sich der Traffic auf 2 Links und wird erheblich entzerrt wenn man die 2 Ports zu einem LACP LAG zusammenfasst. Auf Switchseite dann natürlich auch.Oder eben "Fat Pipe" mit 10G....
Andere Alternative ist du machst den Inter VLAN Traffic direkt auch deinem SG250X, routest also im Layer 3 Mode im Switch und nutzt die pfSense rein nur für den Outbound Traffic ins Internet. Damit hast du dann keinerlei Hindernisse mehr was das IP Forwarding angeht.
Wie so ein Layer 3 Design aussieht kannst du HIER sehen !
Ggf. wäre die Option dann bei hohem internen Traffic Volumen besser. Mit dem 250er hast du auch ACLs um den VLAN Vergehr zu regeln. Allerdings sind ACL nicht stateful was aber in einem heimnetz tolerabel ist.
Entscheidung was und wie liegt also bei dir !
Irgendwie versteh ich es ja aber mir geht’s speziell um das „Management LAN (die pfSense, SG250X)“, einmal lese ich ja soll im PVID hängen, dann wieder nein.
Was ist am Sichersten? Die pfSense im VLAN 10 zu hängen, sprich mein main LAN wo nur Trusted Geräte sind (Rechner, NAS, Proxmox)?
Würde gern Wissen wie ich es sicher Separiere, speziell die pfSense.
WAN Anschluss ist nur ein 300/30 Mbit vorgesehen.
Im Multimedia VLAN30 habe ich zwei Fernsehgeräte und ein Server, also laufen maximal 2 Service parallel.
2x 4k Stream oder 2x TV Headend (DVB-C) oder Apple TV mit Netflix und co…
Muss aber anmerken das der FAF* hier sehr wichtig ist….Hier darf nichts ruckeln 😉
Im Kamera VLAN40 hängen 3 Netzwerkkameras mit Main & Substream 3x1080P.
Ich kann leider keine genauen Up/Down Stream Angaben machen, weil ich ca. 2500km von Zuhause entfernt bin, bis Juni.
Sprich das Ganze ist daweil alles sehr Theoretisch, aber ich muss Vorplanen… Wenn ich dann zum Netzwerk einrichten 3 Wochen brauche, uiuiui….ich sag nur FAF!
Da aber die Videoüberwachung nur Lokal läuft macht es Sinn diese am L3 Switch zu „routen“, richtig?
Muss dann Quasi ein extra VLAN für den Transfer Richtung pfSense einrichten (default route)??
Also ist dann VLAN40 nicht im TRUNK dabei? Sondern ein zusätzliches um meine Produktiven VLANs nicht zu stören?
In Zukunft kann sein das noch ein Webservice gehostet werden soll. Deswegen wollte ich mir eigentlich igb2 freihalten. (DMZ) und diesen direkt auf einen Freien NIC am Proxmox Server anbinden. Wie soll ich das am besten umsetzen?
Die Alternative hatte ich auch im Kopf, aber ich habe ein PROXMOX Host laufen mit verschiedenen VMs
VLAN10 VM Home Assistant
VLAN30 Open Media Vault
VLAN40 Microsoft mit BlueIris DVR
und dann soll noch ein Webservice laufen (DMZ)
und ein paar Test VM/LXC Container
Ich will die FW Rules komfortables verwalten…
Hoffe es ist irgendwie verständlich…
*Frauen Akzeptanz Faktor
Was ist am Sichersten? Die pfSense im VLAN 10 zu hängen, sprich mein main LAN wo nur Trusted Geräte sind (Rechner, NAS, Proxmox)?
Würde gern Wissen wie ich es sicher Separiere, speziell die pfSense.
WAN Anschluss ist nur ein 300/30 Mbit vorgesehen.
Im Multimedia VLAN30 habe ich zwei Fernsehgeräte und ein Server, also laufen maximal 2 Service parallel.
2x 4k Stream oder 2x TV Headend (DVB-C) oder Apple TV mit Netflix und co…
Muss aber anmerken das der FAF* hier sehr wichtig ist….Hier darf nichts ruckeln 😉
Im Kamera VLAN40 hängen 3 Netzwerkkameras mit Main & Substream 3x1080P.
Ich kann leider keine genauen Up/Down Stream Angaben machen, weil ich ca. 2500km von Zuhause entfernt bin, bis Juni.
Sprich das Ganze ist daweil alles sehr Theoretisch, aber ich muss Vorplanen… Wenn ich dann zum Netzwerk einrichten 3 Wochen brauche, uiuiui….ich sag nur FAF!
Da aber die Videoüberwachung nur Lokal läuft macht es Sinn diese am L3 Switch zu „routen“, richtig?
Muss dann Quasi ein extra VLAN für den Transfer Richtung pfSense einrichten (default route)??
Also ist dann VLAN40 nicht im TRUNK dabei? Sondern ein zusätzliches um meine Produktiven VLANs nicht zu stören?
In Zukunft kann sein das noch ein Webservice gehostet werden soll. Deswegen wollte ich mir eigentlich igb2 freihalten. (DMZ) und diesen direkt auf einen Freien NIC am Proxmox Server anbinden. Wie soll ich das am besten umsetzen?
Die Alternative hatte ich auch im Kopf, aber ich habe ein PROXMOX Host laufen mit verschiedenen VMs
VLAN10 VM Home Assistant
VLAN30 Open Media Vault
VLAN40 Microsoft mit BlueIris DVR
und dann soll noch ein Webservice laufen (DMZ)
und ein paar Test VM/LXC Container
Ich will die FW Rules komfortables verwalten…
Hoffe es ist irgendwie verständlich…
*Frauen Akzeptanz Faktor
aber mir geht’s speziell um das „Management LAN
Der Nachteil vom Default VLAN 1 ist das dort alle nicht zugewiesenen Ports liegen. Legt man das Management VLAN da rein ist über jeden nicht zugewiesenen Port Mgmt Zugang möglich. Deshalb ist das nicht so ideal und man nimmt dann meist ein dediziertes VLAN was man dann über entsprechende Regelwerke absichert.
Hab jetzt mal mein Netzwerk Skizziert
Meine fragen:
- 1. Macht es Sinn en2 vom APU Board extra als DMZ zu benutzen? (Dort laufen 2 Mini Webservices welche ich irgendwann mal via Reverse Proxy erreichen will)
- 2. Die Grünen VLANs 20+30 sollen nur am L3 (unabhängig) geswitched werden, und für Updates/Download über mein Transfernetz geroutet werden. Hab default route und statische route richtig eingestellt?
- 3. Bekommen bei der Konfiguration die Endgeräte vom DHCP-Server der pfSense IP's zugewiesen, oder muss ich das irgendwie "forwarden"?
- 4. Habt ihr Vorschläge wo ich etwas verbessern kann?
2.)
Nein, die Default Route am Switch ist falsch. Richtig ist 0.0.0.0/0 Gateway: 192.168.120.1
Was du da eingegeben hast ist eine Netzwerk Route aber keine Default Route ! (Siehe auch Layer_3_Tutorial)
3.)
Wenn die Interfaces tagged auf der pfSense liegen ja. Wenn der Switch routet nein. DHCP ist immer ein Layer 2 Verfahren ! Weisst du auch selber...
Nein, die Default Route am Switch ist falsch. Richtig ist 0.0.0.0/0 Gateway: 192.168.120.1
Was du da eingegeben hast ist eine Netzwerk Route aber keine Default Route ! (Siehe auch Layer_3_Tutorial)
3.)
Wenn die Interfaces tagged auf der pfSense liegen ja. Wenn der Switch routet nein. DHCP ist immer ein Layer 2 Verfahren ! Weisst du auch selber...
Dachte ich kann mit 192.168.0.0 den Bereich "eingrenzen". Habs jetzt verstanden
Kann ich parallel zum Transfernetz (Internet), Tagged VLAN20+30 auf der pfSense Konfigurieren und den als Zentralen DHCP Server verwenden (Switching macht trotzdem der L3 Switch)?
Sonst muss ich auf der NAS ein extra DHCP Server anwerfen
Und hast du oder noch jemand ne Idee wie ich das mit dem Webserver (extra Physikalische DMZ, oder via VLAN) anstelle, was wäre best practice?
Kann ich parallel zum Transfernetz (Internet), Tagged VLAN20+30 auf der pfSense Konfigurieren und den als Zentralen DHCP Server verwenden (Switching macht trotzdem der L3 Switch)?
Sonst muss ich auf der NAS ein extra DHCP Server anwerfen
Und hast du oder noch jemand ne Idee wie ich das mit dem Webserver (extra Physikalische DMZ, oder via VLAN) anstelle, was wäre best practice?
Dachte ich kann mit 192.168.0.0 den Bereich "eingrenzen".
Ist natürlich auch richtig ! Routet dann aber wie man schon an der Route sehen kann einzig nur alle 192.168.0.0er Netze und nix anderes. Von einer "Default" Route die alles routen soll kann man dann natürlich nicht mehr sprechen, klar. Wenn du nur die 192.168er Netze routen willst ist das dann aber absolut OK.und den als Zentralen DHCP Server verwenden
Theoretisch würde das gehen. Auf dem Switch könntest du DHCP Relay konfigurieren und alle DHCP Requests dann forwarden. Aaaaber....M.E. supportet der pfSense DHCP Server NICHT das Eintragen mehrere Scopes. Musst du aber ggf. mal ausprobieren ob das klappt.
was wäre best practice?
Best practise ist natürlich immer eine DMZ. Ob die aber über ein physisches Interface oder ein VLAN Interface angebunden wird ist dabei vollkommen Wumpe.Fazit: LAG mit den 2 Ports und das DMZ Interface über ein VLAN Interface realisieren, fertisch.
1
also doch nicht so falsch :P
In zwei Monaten kann ich dann loslegen mit dem Aufbau, werde dann den Thread gerne Aktualisieren...
Sehr gut. Ist mir sogar lieber, somit bleibt mir der eth NIC erhalten
Habe jetzt gerade in Wien einen SG300-24PP sehr Günstig geschossen, 10Gb ist mir vorerst nicht so wichtig.
Freu mich schon auf das Projekt
Danke nochmal, aqui
In zwei Monaten kann ich dann loslegen mit dem Aufbau, werde dann den Thread gerne Aktualisieren...
Sehr gut. Ist mir sogar lieber, somit bleibt mir der eth NIC erhalten
Habe jetzt gerade in Wien einen SG300-24PP sehr Günstig geschossen, 10Gb ist mir vorerst nicht so wichtig.
Freu mich schon auf das Projekt
Danke nochmal, aqui
Hab jetzt mal zum Testen auf einer VM pfSense laufen.
Zu meiner frage:
MGNT Netz mit folgenden Geräten:
Jetzt hab ich meine VLAN's erstellt und wollte VLAN100 (MGNT) mit der IP 192.168.100.1 zuweisen (error, siehe Bild)
Muss ich 192.168.100.1 als GW angeben und der pfSense 192.168.100.2 zuweisen? Oder denk ich gerade falsch?
Wie löse ich das am besten?
MGNT Netz mit folgenden Geräten:
- 192.168.100.1 pfSense
- 192.168.100.2 SG300
- 192.168.100.3 cAP ac
- 192.168.100.4 Proxmox
Jetzt hab ich meine VLAN's erstellt und wollte VLAN100 (MGNT) mit der IP 192.168.100.1 zuweisen (error, siehe Bild)
Wie löse ich das am besten?
Irgendwo gibt eine IP Adressbereichs Überschneidung auf deinen zahllosen Interfaces.
Mit Sicherheit hast du das .100.0 /24er Netz doppelt vergeben sonst würde er nicht meckern.
Irgendwo also eine falsche IP Adresse eingegeben oder eine falsche Subnetzmaske. Ganz sicher ein Tippfehler.
Betroffen ist das native LAN Interface em1 (Default VLAN) und das VLAN Subinterface em1.100 dort, die haben gleiche IP Adressen bzw. Netze konfiguriert.
Da solltest du also nochmal die Brille aufsetzen und genau hinsehen bei den beiden !
Mit Sicherheit hast du das .100.0 /24er Netz doppelt vergeben sonst würde er nicht meckern.
Irgendwo also eine falsche IP Adresse eingegeben oder eine falsche Subnetzmaske. Ganz sicher ein Tippfehler.
Betroffen ist das native LAN Interface em1 (Default VLAN) und das VLAN Subinterface em1.100 dort, die haben gleiche IP Adressen bzw. Netze konfiguriert.
Da solltest du also nochmal die Brille aufsetzen und genau hinsehen bei den beiden !
1
Guten Morgen.
Jup das ist richtig, ich will ja die pfSense auf 192.168.100.1 haben....
Irgendwie seh ich den Wald vor lauter Bäumen nicht :/
So hätte ich es gern
em0 = WAN
em1 = LAG
em2 = LAG
em3 = DMZ
Kann ich die pfSense vorerst auf em3 verlegen, em1+em2 LAG erstellen und dann wieder retour auf das LAG mit der pfSense?
Finde nichts wo ich die IP des webConfigurators ändern könnte?
Jup das ist richtig, ich will ja die pfSense auf 192.168.100.1 haben....
Irgendwie seh ich den Wald vor lauter Bäumen nicht :/
So hätte ich es gern
em0 = WAN
em1 = LAG
em2 = LAG
em3 = DMZ
- Ich will das die pfSense auf 192.168.100.1 ist (Sprich im VLAN 100)
- LAG erstellen geht ja nicht weil em1 (im moment LAN ist)
Kann ich die pfSense vorerst auf em3 verlegen, em1+em2 LAG erstellen und dann wieder retour auf das LAG mit der pfSense?
Finde nichts wo ich die IP des webConfigurators ändern könnte?
ich will ja die pfSense auf 192.168.100.1 haben....
Etwas sinnfreie Aussage, denn was sollen wir damit anfangen... An welchem Interface denn ?? Du hast ja 12 Stück davon und folglich kannst du die pfSense an 12 möglichen Stellen mit der .100.0 /24 konfigurieren ! Da müssen auch wir jetzt in die Kristallkugel sehen....
Und wie du ja selber weisst müssen IP Netze immer einzigartig sein in einem Netzwerk.
Nur so viel...
em1 und em1.100 haben vermutlich fehlerhaft das gleiche IP Netz von dir konfiguriert ?! Das mag kein IP basiertes Endgerät auf der ganzen Welt weil doppelte IP Adressen fundamental gegen TCP/IP Standards verstoßen. Solche Binsenweisheiten kennst du ja ganz sicher auch selber ?!
Auf einem musst du das also entfernen oder auf etwas anderes wie .101.0 umstellen sonst kann es ja nicht gehen.
Kann ich die pfSense vorerst auf em3 verlegen, em1+em2 LAG erstellen und dann wieder retour auf das LAG mit der pfSense?
Das würde natürlich auch gehen und wäre vermutlich die intelligenteste Variante !
PVID: 1
LAG em1+2 VLAN10: LAN
LAG em1+2 VLAN20: Multimedia
LAG em1+2 VLAN30: DVR
LAG em1+2 VLAN40: Smarthome
LAG em1+2 VLAN50: IOTcloud
LAG em1+2 VLAN99: Transfernetz
LAG em1+2 VLAN100: MGNT <- Hier sollen SG300 (100.2), cAP ac (100.3), und die pfSense mit 192.168.100.1 liegen
em3 VLAN150: DMZ
LAG em1+2 VLAN200: WLANPrivat
LAG em1+2 VLAN210: WLANGäste
Ich hab es jetzt so verstanden:
Das mit LAG erstellen haut ja nicht hin weil em1 automatisch LAN ist....
Das kommt wenn ich von .100.1 auf 101.1 ändern will
LAG em1+2 VLAN10: LAN
LAG em1+2 VLAN20: Multimedia
LAG em1+2 VLAN30: DVR
LAG em1+2 VLAN40: Smarthome
LAG em1+2 VLAN50: IOTcloud
LAG em1+2 VLAN99: Transfernetz
LAG em1+2 VLAN100: MGNT <- Hier sollen SG300 (100.2), cAP ac (100.3), und die pfSense mit 192.168.100.1 liegen
em3 VLAN150: DMZ
LAG em1+2 VLAN200: WLANPrivat
LAG em1+2 VLAN210: WLANGäste
Ich hab es jetzt so verstanden:
- Die pfSense wirft Automatisch nach der Installation den webConfigurator auf em1 LAN mit der IP 192.168.1.1
Das mit LAG erstellen haut ja nicht hin weil em1 automatisch LAN ist....
Das kommt wenn ich von .100.1 auf 101.1 ändern will
Vermutlich gehst du unlogisch und falsch vor bei der Erstellung des LAGs
Das sind deine ToDos:
Immer erst die physische Port Zurordnung und LAG bilden dann erst zum Schluss die IP Adressierung ! Eigentlich doch ganz einfach und logisch.
Das sind deine ToDos:
- Konfig Port ist dein em3 Port. Dort hast du deinen Konfig PC dran
- em1 und em2 schmeisst du komplett mit "Delete" aus dem Assignment raus
- Jetzt gehst du unter das LAG Setup, markierst em1 und em2 als LAG Interfaces und bildest den LACP LAG
- Im Assignment nimmst du den LAG Port nun wieder mit "+Add" auf
- Klickst ihn an und setzt den Namen und die IP Adresse
- Dann generierst du deine VLAN Subinterfaces auf dem LAG Port als Parent Port
Immer erst die physische Port Zurordnung und LAG bilden dann erst zum Schluss die IP Adressierung ! Eigentlich doch ganz einfach und logisch.
