newbie1
14.05.2021
view4867
view13
0
Goto Top

Verständnisfrage pfSense mit Fritzbox, VLAN und Switch

gelöstFrageNetzwerke
Hallo,

ich bin kurz davor mir eine pfSense einzurichten via ISO-Image auf einem alten PC.

Vorhaben:
Fritzbox -> pfSense -> Switch -> Endgeräte

Was ich so rausgelesen habe, hat die pfSense zwei Ports (WAN und LAN).
Mit dem WAN gehe ich zur Fritzbox mit dem LAN gehe ich zum Switch.

Meine Fritzbox hat die IP 192.168.178.1 dann müsste der WAN-Port die 192.168.178.2 bekommen.
Der LAN-Port hat laut pfSense Dokumentation bei der Auslieferung die 192.168.1.1 auf der LAN-Seite, diese kann ich ja in eine mir beliebige IP-Adresse auswählen!
Vorteilhaft wäre hier das Klasse A (10.0.0.0/8) oder Klasse B (172.16.0.0/12) Netz.

Wenn ich bspw. der pfSense LAN den IP-Bereich 10.0.0.1/24 zuweise.
Welche IP bekommt der Switch?
VLAN 2: Home => kann ich dem VLAN 10.0.1.0/24 zuweisen?
VLAN 3: Guest => kann ich dem VLAN 10.0.2.0/24 zuweisen?
VLAN 4: Accesspoint => kann ich dem VLAN 10.0.3.0/24 zuweisen? (eigenes VLAN weil ich 4 Stück habe. Keller, EG, OG, DG)

Ist dies so praktikabel oder sollte man das lieber anders gesatlten?

Wäre für Eure Unterstützung sehr dankbar.
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 666753

Url: https://administrator.de/contentid/666753

Ausgedruckt am: 23.11.2024 um 03:11 Uhr

13 Kommentare
Neuester Kommentar
Goto Top
Inf1d3l
Inf1d3l 15.05.2021 um 09:02:27 Uhr
Goto Top
Der Switch bekommt eine 10.0.1.x, damit du ihn aus dem LAN verwalten kannst. Ein eigenes VLAN für die APs ist nicht notwendig. Stattdessen kommen sie ins LAN und das Gast-VLAN wird getagged an sie durchgereicht.

Das was du vorhast, lässt sich auch mit Fritzbox + Mesh lösen, ohne pfsense und Switch.
radiogugu
radiogugu 15.05.2021 aktualisiert um 11:04:30 Uhr
Goto Top
Hallo.

Leider machst du keine Aussage darüber welche Art Switch du vorliegen hast.
Wer ist denn dein Access Point? Wenn die Fritzbox, dann ist das Konstrukt eh etwas ungeschickt.

Denn wenn es gar keine VLAN Funktionalität besitzt, dann kannst du dir die PFsense sparen und erledigst dein Vorhaben, wie Kollege @luci0815 es ja schon vorschlug.

Gruß
Marc
aqui
aqui 15.05.2021 aktualisiert um 12:33:15 Uhr
Goto Top
Was ich so rausgelesen habe, hat die pfSense zwei Ports (WAN und LAN).
Sie kann auch 5 oder 10 Ports haben. Es ist rein abhängig von der Anzahl der Netzwerk Karten die man verwenden.
Nutzt man VLAN kann man mit einer physischen Netzwerkkarte sogar 4095 virtuelle Netzwerkkarten nutzen.
Meine Fritzbox hat die IP 192.168.178.1
Wie Millionen andere auch... face-wink
dann müsste der WAN-Port die 192.168.178.2 bekommen.
Richtig. Oder auch die 192.168.178.254 wenn du die IP "am anderen Ende" nutzen willst !
Alles Wichtige in so einem Firewall Kaskaden Setup mit einem NAT Router davor erklärt dieses_Tutorial.
Vorteilhaft wäre hier das Klasse A (10.0.0.0/8) oder Klasse B (172.16.0.0/12) Netz.
Du lebst scheinbar noch in der tiefsten Netzwerk Steinzeit. "Klassen" gibt es schon seit fast 30 Jahren nicht mehr ! Zeit also endlich einmal aus deinem IP Address Neandertal zu steigen und Fell und Keule abzulegen und sich zu rasieren !
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Welche IP bekommt der Switch?
Genau so wie du es beschrieben hast. Du hast bei den RFC 1918 IP Adressen komplett freie Wahl wie du das gestaltest. Aus Einfachheits- und Übersichtsgründen hat es sich eingebürgert die VLAN ID kosmetisch ins 3te Byte zu codieren bei einem 24er IPv4 Prefix wie du es oben schon richtig gemacht hast. Erleichtert das Adressierungsleben ! face-wink
Alles andere erklärt dir wie immer das hiesige VLAN Tutorial bis ins Detail:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Du musst allerdings entscheiden oder du ein reines Layer 2 Design umsetzt oder ein Layer 3 Design wie HIER beschrieben !
  • Layer 2 Konzept = Switch macht nur Layer 2, hat nur eine einzige IP im Management VLAN, VLAN IP Adressen liegen immer auf der Firewall
  • Layer 3 Konzept = Switch macht Layer 3 und routet zw. den VLANs, Firewall ist mit reinem Transfer Netz angebunden und regelt Internet Zugang
Welches Konezpt du umsetzt hängt vom Switch und deinen Anforderungen ab und wie Kollege @radiogugu schon sagst gibts da ja leider keinerlei weitere Infos von dir. face-sad
NixVerstehen
NixVerstehen 15.05.2021 aktualisiert um 20:38:32 Uhr
Goto Top
Vorteilhaft wäre hier das Klasse A (10.0.0.0/8) oder Klasse B (172.16.0.0/12) Netz.

Vergiß bitte die historischen Netzklassen. Die Einteilung in Klasse A, B und C gibt es seit ca. 1993 nicht mehr.
Die privaten Netzbereiche natürlich schon noch. Aber hier wird dir sicher je VLAN wie von dir beschrieben ein 24er-Netz reichen.

Die Frage nach dem verwendeten Switch, wie von @radiogugu beschrieben, stellt sich natürlich. Mit einem Layer3-Switch, also einem Switch mit Routing-Funktionalität brauchst du die pfSense tatsächlich nicht.

Da würde der Switch dann an der Fritzbox hängen und zwischen Fritzbox und Switch erstellst du ein Transfernetz. Dann hat die Fritte z.B. die 192.168.178.1 und der Switch die z.B. 192.168.178.254 an dem Port, der mit der Fritte verbunden ist. Weiter bekommt der Switch für jedes VLAN, das du erstellst, eine IP aus diesem VLAN. Er steht also mit jeweils einem Bein in jedem Netz. Das Inter-VLAN-Routing übernimmt dann der Switch und alles, was ins Internet geht, routet der Switch über das Transfernetz 192.168.178.0 zur Fritte und dann ins Internet.
Auf der Fritte musst du dann aber für den Rückweg in die VLANs statische Routen anlegen.

Ich hatte noch nie eine pfSense in Händen, aber soweit ich weiß, geht das Ganze geht natürlich auch damit und einem Layer2-Switch. Aber dann
musst du die VLANs auf der pfSense anlegen. Alles was zwischen deinen VLANs hin und her geht, wandert dann auf der Leitung zur pfSense und auf dem selben Draht wieder zurück. Performancetechnisch ist das eher suboptimal.

Gruß NV

Edit: Hey, @aqui war schneller. Schön das er wieder da ist.
newbie1
newbie1 15.05.2021 um 21:20:29 Uhr
Goto Top
Hallo Luci0815,

Vielen Dank für deine Rückinfo.

Fritzbox und Mesh, kann man das über verschiedene Stockwerke realisieren?

Was ich so rausgelesen habe, ist pfSense ja eine Softwarefirewall, wo ich (hoffe ich) auch bestimmte Ports einschränken oder sperren kann.
Denke hier an Sperrzeiten für meine Kids. face-wink
newbie1
newbie1 15.05.2021 um 21:26:44 Uhr
Goto Top
Hallo radiogugu,

wir stehen kurz vor dem Umzug in ein Mietshaus.
Und da wollte ich anfragen wie man fdas am besten bewerkstelligt. Bitte nachfragen wenn etwas unklar ist, da ich nicht genau weiss wie man hier so fragt, das man einen auch richtig versteht.

Leider machst du keine Aussage darüber welche Art Switch du vorliegen hast.
Ich bin noch in der Findungsphase. Enteder Netgear M4100 oder ein Ubiquiti US-16-150W.

Wer ist denn dein Access Point? Wenn die Fritzbox, dann ist das Konstrukt eh etwas ungeschickt.
Aktuell habe ich eine Fritzbox von der Telekom.
newbie1
newbie1 15.05.2021 um 21:34:50 Uhr
Goto Top
Hallo aqui,

schonmal vielen Dank für deine Unterstützung. face-smile

Was ich so rausgelesen habe, hat die pfSense zwei Ports (WAN und LAN).
Sie kann auch 5 oder 10 Ports haben. Es ist rein abhängig von der Anzahl der Netzwerk Karten die man verwenden.
Nutzt man VLAN kann man mit einer physischen Netzwerkkarte sogar 4095 virtuelle Netzwerkkarten nutzen.
Ich habe einen alten Towerpc und habe diesem 3 weitere Netzwerkkarten eingebaut. Somit hätte ich ja mit der onBoardkarte - vier Netzwerkkarten zur Verfügung.
Da geht dann eine zum Router (aktuell Fritzbox), eine zum Switch (aktuell LevelOne) und die anderen zwei gehen dann getaggt (wen es mehr als ein VLAN ist) oder ungetaggt (wenn es nur ein VLAN ist) an den Switch.


Meine Fritzbox hat die IP 192.168.178.1 
Wie Millionen andere auch...
face-wink

Vorteilhaft wäre hier das Klasse A (10.0.0.0/8) oder Klasse B (172.16.0.0/12) Netz.
Du lebst scheinbar noch in der tiefsten Netzwerk Steinzeit. "Klassen" gibt es schon seit fast 30 Jahren nicht mehr ! Zeit also endlich einmal aus deinem IP Address Neandertal zu steigen und Fell und Keule abzulegen und sich zu rasieren !  
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Upps face-sad


dann müsste der WAN-Port die 192.168.178.2 bekommen.
Richtig. Oder auch die 192.168.178.254 wenn du die IP "am anderen Ende" nutzen willst !  
Alles Wichtige in so einem Firewall Kaskaden Setup mit einem NAT Router davor erklärt dieses_Tutorial.
Danke für die Info
Inf1d3l
Inf1d3l 15.05.2021 aktualisiert um 23:02:16 Uhr
Goto Top
Auf der Fritzbox kannst du verschiedene Zugangsprofile anlegen: https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publicati ...

Beispiel: https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/014/hilfe_kinders ...

Mesh: https://avm.de/mesh/
heart1
aqui
aqui 16.05.2021 aktualisiert um 12:07:00 Uhr
Goto Top
Somit hätte ich ja mit der onBoardkarte - vier Netzwerkkarten zur Verfügung.
Absolut richtig !
Mit VLAN_Technologie sogar 4095 Interfaces noch dazu. face-wink
und die anderen zwei gehen dann getaggt
Jein. Bei einem Tagging Interface reicht ja eins aus, weil du ALLE getaggten VLANs ja über einen Port anschliesst. Siehe Tutorial oben ! Lesen und verstehen...
Was du natürlich machen kannst, und auch sinnvoll ist, ist die 2 Port zu einem LACP LAG (Link Aggregation, Trunk) zusammenzufassen und die so mit doppelter Bandbreite auf dem Switch zu terminieren.
Dann machen "2" Ports durchaus Sinn. So sähe dann sowas in der Praxis aus:

pflag
heart1
newbie1
newbie1 16.05.2021 um 13:16:09 Uhr
Goto Top
Hallo aqui,

danke für deine ausführliche und verständliche Erklärung. face-smile

Somit hätte ich ja mit der onBoardkarte - vier Netzwerkkarten zur Verfügung.
Absolut richtig !
Mit VLAN_Technologie sogar 4095 Interfaces noch dazu.
Ich habe es mir schon durchgelesen und verarbeitet. Meines erachtens nach habe ich es auch verstanden. face-wink

und die anderen zwei gehen dann getaggt
Jein. Bei einem Tagging Interface reicht ja eins aus, weil du ALLE getaggten VLANs ja über einen Port anschliesst. Siehe Tutorial oben ! Lesen und verstehen...
Was du natürlich machen kannst, und auch sinnvoll ist, ist die 2 Port zu einem LACP LAG (Link Aggregation, Trunk) zusammenzufassen und die so mit doppelter Bandbreite auf dem Switch zu terminieren.
Das macht Sinn und leuchtet ein. face-wink

Könnte man dann nicht auch folgende Konstellation hernehmen? Wenn ich bspw. deine schematische Darstellung nutze:
Towerpc Netzwerkkarte 1 => pfSense WAN => Fritzbox 192.168.178.x/24
Towerpc Netzwerkkarte 2+3 => pfSense LACP LAG (Link Aggregation, Trunk mit allen VLANs) => Switch 172.16.1.x/24
Towerpc Netzwerkkarte 4 => pfSense LAN (wird als Managementport und Fallbackport genutzt)
aqui
aqui 16.05.2021 um 14:54:02 Uhr
Goto Top
Ja natürlich. Das ist sogar sehr sinnvoll das so zu machen ! 👍
heart1
newbie1
newbie1 16.05.2021 aktualisiert um 21:30:40 Uhr
Goto Top
Ja natürlich. Das ist sogar sehr sinnvoll das so zu machen ! 👍
Besten Dank. face-smile

Jetzt habe ich doch noch eine Frage. face-sad
Netzwerkkarte 2+3 sind jetzt LAGG0 und diese wurden auch aktiviert.
Benötigt dieser LAG-Port auf der pfSense, der nur 2 Interfaces bündelt und dann die VLANs taggt an den Switch übergibt eine IP-Adresse?
Ich meine nicht, aber ich fühle mich da gerade etwas ratlos. face-sad

VLANs wurden wie folgt angelegt:
Interfaces => VLANs => VLAN Interfaces angelegt mit Interface LAGG0

VLANs dem LAG-Port zugewiesen:
Interfaces => Interface Assignments => ebenfalls mit Netzwerk port LAGG= hinzugefügt.

IP-Adressen der VLANs:
VLAN1 = 172.16.1.0/24
VLAN10 = 172.16.10.0/24
VLAN20 = 172.16.20.0/24

Ist dies in Ordnung oder wäre hier ein andere IP-Adressbereich besser?
aqui
Lösung aqui 17.05.2021 um 08:38:48 Uhr
Goto Top
Benötigt dieser LAG-Port auf der pfSense, der nur 2 Interfaces bündelt und dann die VLANs taggt an den Switch übergibt eine IP-Adresse?
Ja, in jedem Falle.
Du musst in den Interface Assignments dieses Interface mit "Add" hinzufügen nachdem es als LAGG erstellt wurde und es bekommt dann eine IP Adresse wie ein physisches Interface.
Die Link Aggregation darunter ist ein reines Layer 2 Feature. Deshalb dürfen die beiden LAG Member Interfaces dort keine IP Adresse oder irgendwelche anderen Konfigs (VLANs etc.) haben !! Man kann die Member Interfaces sogar auch aus dem Assignement rausnehmen. Ob man das macht oder nicht ist eine kosmetische Geschmacksfrage.
Aus Layer 3 sicht ist das LAGG Interface das IP Interface. Die Verteilung auf Mac Adress Basis macht die LAGG Funktion darunter automatisch.
Ist dies in Ordnung oder wäre hier ein andere IP-Adressbereich besser?
Das ist so in Ordnung. Ob ein anderer IP Adressebereich für dich ggf. besser ist musst DU selber entscheiden. DU bist der Administrator ! Wir können hier ja (noch) keine Gedanken lesen ! Der gesamte RFC 1918 IP Bereich an privaten IPs steht dir bereit zur freien Verfügung. face-wink
heart1
gelöstFrageNetzwerke
Mehr von newbie1newbie1Meldung Windows Sicherheit das Firewall und Defender deaktiviert sindnewbie1 - 1 Kommentarnewbie1Panasonic Toughbook CF-54 MK1newbie1newbie1UniFi Switch 16 mit VLANnewbie1 - 24 Kommentarenewbie1Verständnisfrage pfSensenewbie1 - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare