3
Verständnisfrage zum Management-VLAN
Hallo zusammen.
Ich möchte mir mein privates Netzwerk mit VLANs für verschiedene Zwecke aufteilen.
Habe jetzt sehr viel gelesen, und scheitere dennoch bereits ganz am Anfang. Bitte helft mir mal auf die Sprünge zum grundsätzlichen Setup der Geräte.
Ich habe hier:
Meine Frage dreht sich insbesondere um die Verwaltung der Geräte, und wie ich diese in ein Management-VLAN rein bekomme.
Aktuelles Setup ist noch ohne VLAN, und mit statischen IPs:
Der PC hängt zwischen Modem und Switch. Die Netzwerkkarte für die Verbindung zum Modem habe ich mit PCIe pass-through direkt an die OPNsense übergeben.
Hier funktioniert fast alles. Ich komme lediglich auf das Web-Interface des Modems nicht drauf.
Frage 1: Kann ich das mit einer Konfiguration in der OPNsense erledigen? - Oder muss ich ein zweites Kabel zum Modem ziehen, weil jenseits des WAN-Interface keine 192.168.*.* Adressen mehr zulässig sind?
So, aber nun kommt der spanndere Teil mit den VLANs, an dem ich scheitere.
Soweit ich nun gelesen/verstanden habe, arbeitet der Switch ja im Auslieferzustand mit dem VLAN1 auf allen Ports. Dieses solle aber besser nicht genutzt werden, weil wegen unsicher(er)?!
Ich habe zwei VLAN eingerichtet in der OPNsense (10, 20). DHCPv4 konfiguriert für die Netze 192.168.10.1/24 und 192.168.20.1/24.
Proxmox hat die VLANs auch konfiguriert. Die angelegten Container haben nun eine IP zugewiesen und können sich erst dann anpingen, wenn ich das in OPNsense erlaube. Passt also soweit zwischen Proxmox und der Firewall.
Aber meine große Frage 2 lautet: Welche statischen IPs nutze ich für diese Geräte selbst?
Müssen diese eine IP aus dem Adressbereich des VLANs (z.B 10) bekommen? (also z.B. 192.168.10.50 für Proxmox, 192.168.10.1 für die OPNsense etc?)
Ich habe hier rum probiert, aber ich verliere dann die Verbindung zu dem Web-Interface des Switches.
Es kommt also vermutlich auf die richtige Reihenfolge an, wie ich das ganze konfiguriere. Und genau dazu habe ich nichts finden können, was mich hier weiter bringt.
Danke sehr und viele Grüße,
Marcus
Ich möchte mir mein privates Netzwerk mit VLANs für verschiedene Zwecke aufteilen.
Habe jetzt sehr viel gelesen, und scheitere dennoch bereits ganz am Anfang. Bitte helft mir mal auf die Sprünge zum grundsätzlichen Setup der Geräte.
Ich habe hier:
- Zyxel VMG-1312-30A (als Modem)
- PC mit 4 NICs. Darauf läuft OPNsense in einer virtuellen Maschine auf Proxmox
- Zyxel GS1900-24EP Switch
- Zyxel NWA110ax Access Port (über PoE angeschlossen).
Meine Frage dreht sich insbesondere um die Verwaltung der Geräte, und wie ich diese in ein Management-VLAN rein bekomme.
Aktuelles Setup ist noch ohne VLAN, und mit statischen IPs:
- OPNsense: 192.168.1.1
- Modem: 192.168.1.5
- Switch: 192.168.1.10
- AP: 192.168.1.20
- Proxmox-Host: 192.168.1.50
Der PC hängt zwischen Modem und Switch. Die Netzwerkkarte für die Verbindung zum Modem habe ich mit PCIe pass-through direkt an die OPNsense übergeben.
Hier funktioniert fast alles. Ich komme lediglich auf das Web-Interface des Modems nicht drauf.
Frage 1: Kann ich das mit einer Konfiguration in der OPNsense erledigen? - Oder muss ich ein zweites Kabel zum Modem ziehen, weil jenseits des WAN-Interface keine 192.168.*.* Adressen mehr zulässig sind?
So, aber nun kommt der spanndere Teil mit den VLANs, an dem ich scheitere.
Soweit ich nun gelesen/verstanden habe, arbeitet der Switch ja im Auslieferzustand mit dem VLAN1 auf allen Ports. Dieses solle aber besser nicht genutzt werden, weil wegen unsicher(er)?!
Ich habe zwei VLAN eingerichtet in der OPNsense (10, 20). DHCPv4 konfiguriert für die Netze 192.168.10.1/24 und 192.168.20.1/24.
Proxmox hat die VLANs auch konfiguriert. Die angelegten Container haben nun eine IP zugewiesen und können sich erst dann anpingen, wenn ich das in OPNsense erlaube. Passt also soweit zwischen Proxmox und der Firewall.
Aber meine große Frage 2 lautet: Welche statischen IPs nutze ich für diese Geräte selbst?
Müssen diese eine IP aus dem Adressbereich des VLANs (z.B 10) bekommen? (also z.B. 192.168.10.50 für Proxmox, 192.168.10.1 für die OPNsense etc?)
Ich habe hier rum probiert, aber ich verliere dann die Verbindung zu dem Web-Interface des Switches.
Es kommt also vermutlich auf die richtige Reihenfolge an, wie ich das ganze konfiguriere. Und genau dazu habe ich nichts finden können, was mich hier weiter bringt.
Danke sehr und viele Grüße,
Marcus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3098976785
Url: https://administrator.de/contentid/3098976785
Ausgedruckt am: 25.11.2024 um 08:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo Marcus,
fürs VLAN gibt es das sensationelle Tutorial des Kollegen @aqui!
VLAN1 finde ich OK. Die Sicherheit kommt eh aus dem (regulierten) Portzugriff. Es gibt einige Hardware, die kann Management nur auf VLAN1. Z.B. die kleinen Zyxel-Switche GS1200. Gerade am Anfang würde ich den Standard lassen.
Wenn die Geräte das können (also darunter erreichbar bleiben), kannst Du aber natürlich auch jedes andere VLAN nehmen.
Kannst also (theoretisch) die 192.168.1.0/24 lassen. Ich würde etwas weniger verbreitetes nehmen. Aber auch das kannst Du easy später ändern.
Wichtig: Am Anfang steht ein (durchdachter und verstandener) Netzwerkplan. Bringt richtig was.
Viel Erfolg!
Viele Grüße, commodity
fürs VLAN gibt es das sensationelle Tutorial des Kollegen @aqui!
VLAN1 finde ich OK. Die Sicherheit kommt eh aus dem (regulierten) Portzugriff. Es gibt einige Hardware, die kann Management nur auf VLAN1. Z.B. die kleinen Zyxel-Switche GS1200. Gerade am Anfang würde ich den Standard lassen.
Wenn die Geräte das können (also darunter erreichbar bleiben), kannst Du aber natürlich auch jedes andere VLAN nehmen.
Aber meine große Frage 2 lautet: Welche statischen IPs nutze ich für diese Geräte selbst?
Die, die Du im VLAN1 verwendest. Ich würde eh nur ganz wenig statisch machen. DHCP-Reservation administriert sich einfach besser. Insbesondere wenn man am Netzwerk noch rumbaut.Kannst also (theoretisch) die 192.168.1.0/24 lassen. Ich würde etwas weniger verbreitetes nehmen. Aber auch das kannst Du easy später ändern.
Wichtig: Am Anfang steht ein (durchdachter und verstandener) Netzwerkplan. Bringt richtig was.
Viel Erfolg!
Viele Grüße, commodity
1
Hallo,
Es gibt kein Modem auf diesen Planeten welches eine IP Addresse benötigt, darüber reden tut usw. Laut Zyxel gibt es z.B. VMG-1312-B Serie, Wireless N VDSL 4-Port Gateway mit USB. Ist aber auch ein MODEM, aber nicht nur ein MODEM. https://en.wikipedia.org/wiki/Modem
Gruß,
Peter
Es gibt kein Modem auf diesen Planeten welches eine IP Addresse benötigt, darüber reden tut usw. Laut Zyxel gibt es z.B. VMG-1312-B Serie, Wireless N VDSL 4-Port Gateway mit USB. Ist aber auch ein MODEM, aber nicht nur ein MODEM. https://en.wikipedia.org/wiki/Modem
* Modem: 192.168.1.5
Dein Gateway, dein MODEM spricht kein TCPIP?Oder muss ich ein zweites Kabel zum Modem ziehen, weil jenseits des WAN-Interface keine 192.168.*.* Adressen mehr zulässig sind?
Dann würdest du ja deine OPNSense überbrücken bzw. Arbeitslos machen. Und bedenke, wenn alle deine Freunde in Verschiedene Städte wohnen, alle haben als Addresse Herberstrasse in 12345 Herbersdorf, welcher Postbote weiss dann wenn du meinst? Interne IP Netz 192.168.0.0/24 am LAN Port und Extern (Aus sicht der OPNSense) am WAN Port Ebenfalls? Wie soll dann Routing funktionieren? https://de.wikipedia.org/wiki/RoutingDieses solle aber besser nicht genutzt werden, weil wegen unsicher(er)?!
Erläutere unsicher(er). Ansonsten ist es Blödsinn. Und VLAN macht alles nur Komplizierter und aufwendiger, hat aber ansonsten nichts mit Sicherheit zu tun. 10 LAN Kabel zu 10 geräten mit 10 verschiedene IP Netze ist genauso unsicher wie vLAN und 10 IP Kreise alleine. Erst die Konfiguration von Router, Firewalls etc. bringt Sicherheit egal ob 10 LAN Kabel oder ein Kabel mit 10 vLANs.192.168.10.20.1/24.
IPv5 gibt es eher nicht bis auf das Internet Stream Protocol ST (Expermental) https://en.wikipedia.org/wiki/Internet_Stream_Protocol Die 10 oder 20 ist hier über. Du meinst wohl 192.168.20.0/24?Gruß,
Peter
Hallo zusammen,
sorry für meine falsche Ausdrucksweise, ich mache das nicht hauptberuflich.
Also, das Zyxel Klötzchen ist zuerst mal ein Gateway, und dann konfiguriere ich es über das WFE zu einem "nur noch Modem" um.
Mir war einfach nicht klar, dass ich in dieser Sekunde dann das Gerät verliere und es nicht mehr erreichbar ist.
Z.B. habe ich in den Einstellungen des "nur noch Modems" das Tagging für VLAN7 für das Telekom Netz gemacht.
Wenn ich aber nicht mehr an das WFE Ran komme, dann sollte ich das wohl lieber da ausbauen und diesen Tag in der OPNsense setzen lassen. (Den Teil fand ich nicht, daher baute ich es im "nur noch Modem" ein.
IPv5 Adresse ist korrigiert, das war ein Typo.
Grüße, Marcus
sorry für meine falsche Ausdrucksweise, ich mache das nicht hauptberuflich.
Also, das Zyxel Klötzchen ist zuerst mal ein Gateway, und dann konfiguriere ich es über das WFE zu einem "nur noch Modem" um.
Mir war einfach nicht klar, dass ich in dieser Sekunde dann das Gerät verliere und es nicht mehr erreichbar ist.
Z.B. habe ich in den Einstellungen des "nur noch Modems" das Tagging für VLAN7 für das Telekom Netz gemacht.
Wenn ich aber nicht mehr an das WFE Ran komme, dann sollte ich das wohl lieber da ausbauen und diesen Tag in der OPNsense setzen lassen. (Den Teil fand ich nicht, daher baute ich es im "nur noch Modem" ein.
IPv5 Adresse ist korrigiert, das war ein Typo.
Grüße, Marcus
