Hilfe bei VLANs - Konfigurations- und Verständnisfragen

i-B4se

Urgestein
Thread Starter
Mitglied seit
30.07.2007
Beiträge
1.314
Ort
nähe Köln
Moinsen,

da ich mit VLANs noch nicht gearbeitet habe, benötige ich etwas Unterstützung.

Aktuell haben alle Geräte „192.168.178.XXX“ und sind quasi miteinander verbunden. Funktioniert auch und bisher gibt es keine Probleme. Was mir nicht gefällt, aber geduldet wurde, ist das selbst die SmartHome-Geräte, Gäste usw. im gleichen Netz wie der Server und andere Dinge sind.

Da wir bald in unser Eigenheim ziehen, wollte ich das etwas trennen.
Was ist aktuell vorhanden:
  • Mehrere PCs
  • 2x Unraid-Server (Main + Backup)
  • 1x Dell R210II auf dem pfSense läuft
  • 2x Switch TP-Link TL-SG3428X v1.0
  • 1x POW-Switch TP-Link TL-SG2210P
  • 2x AP TP-Link EAP620 HD
  • Verschiedene Mobilgeräte
  • Viele SmartHome-Produkte (Shelly, Hue, Nukki, Tablets zur Steuerung, usw.)
Wie geht man sowas am besten an?

Z.b. läuft HomeAssistant als VM auf dem Unraid-Server und soll in einem anderen VLAN wie der Server laufen, aber dennoch möchte ich die GUI per IP von meinem PC – wieder anderes VLAN – aufrufen können.

Die ganzen SmartHome-Produkte sollten ebenfalls ein eigenes VLAN bekommen, damit diese nur selten oder gar nicht im Internet sind, aber dennoch sollten diese bei HomeAssistant auffindbar sein, damit diese gesteuert werden können.

Lässt man alles die pfSense machen, sprich VLANs einrichten und dann per Rules alles reglementieren oder wird sowas bei den Switchs eingestellt?

Wenn es bei der Sense gemacht wird, ist folgende Vorgehensweise richtig?
  • VLANs einrichten – Lan als Schnittstelle und dann quasi Durchnummerieren
  • Schnittstelle aktivieren, IP vergeben, DHCP-Bereich einstellen
  • Bei den Regeln bestimmte Netzwerke (andere VLANs) ausschließen oder bestimmt Geräte untereinander kommunizieren lassen
  • Den Vorgang für andere VLANs wiederholen.
Muss das auch an den Switches eingestellt werden oder switchen die weiter fröhlich vor sich hin.

Wie stelle ich das an den Endgeräten ein?
Mal angenommen mein PC ist im VLAN10 – feste IP in Win vergeben (10.20.10.95) - und jetzt kommt ein anderer und verbindet sich mit dem Switch oder WLAN.
Woher weiß das ganze Konstrukt welche IP dieser bekommen soll?
Wird das dann am Switch/AP festgelegt, sprich jedes unbekannte Gerät ist erstmal im VLAN300 (192.168.178.XXX)?
Was passiert, wenn dieser einfach händisch die IP für das VLAN10 eingibt und somit Zugriff auf Dinge hat, worauf er eigentlich kein Zugriff haben sollte? Wie wird sowas unterbunden?

Ich hoffe ich versteht mich ein wenig und könnt mir helfen 😊
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wie geht man sowas am besten an?

Z.b. läuft HomeAssistant als VM auf dem Unraid-Server und soll in einem anderen VLAN wie der Server laufen, aber dennoch möchte ich die GUI per IP von meinem PC – wieder anderes VLAN – aufrufen können.

Die ganzen SmartHome-Produkte sollten ebenfalls ein eigenes VLAN bekommen, damit diese nur selten oder gar nicht im Internet sind, aber dennoch sollten diese bei HomeAssistant auffindbar sein, damit diese gesteuert werden können.

Lässt man alles die pfSense machen, sprich VLANs einrichten und dann per Rules alles reglementieren oder wird sowas bei den Switchs eingestellt?
...in unraid aktivierst Du die auch VLANs in den Netzwerkeinstellungen.
Du bekommst dann, zur originären Bridge "br0" je VLAN-ID eine eigene Bridge, zB br0.10, br0.20.
Deine VMs und Docker hängst Du dann in die Bridge ein, die zum jeweiligen VLAN gehört.

Beachte, dass Datenverkehr ziwschen zwei verschiedenen VLANs, auch bei Dockern oder VMs auf unraid über die pfsense geroutet werden müssen.
Deine pfsense braucht für so einen Fall also genug Bumms und die Anbindung von unRaid zur pfsense auch.
Beitrag automatisch zusammengeführt:

@i-B4se ...und natürlich ist der Link aus der unraid Bridge für die br0.xx gefüllt mit tagged traffic...also muss ein Port eines Switches/oder pfsense zum unraid ein trunk-port sein.
Der Bridge-Port br0 ist/bleibt untagged...die PVID am Trunk-Port des Switches muss das richten.
 
Zuletzt bearbeitet:
Wenn ich in der Sense "VLAN10" einrichte und am Switch das Profil "VLAN10" erstelle und diesem z.b. den Port 15 zuweise dann ist quasi schon alles eingerichtet.
Alle unbelegten Ports sollten erstmal mit "VLAN300" als default eingerichtet werden und somit weiß der Switch und die Sense das dies ein Gast ist und bekommt per DHCP eine 192.168.178.XXX, richtig?

Ob deine APs VLAN können habe ich nicht geguckt, ist aber eine Voraussetzung, um bei IoT Ordnung einkehren zu lassen.
Laut Spezifikationen ist VLAN-Mapping/Management möglich.
..in unraid aktivierst Du die auch VLANs in den Netzwerkeinstellungen.
Du bekommst dann, zur originären Bridge "br0" je VLAN-ID eine eigene Bridge, zB br0.10, br0.20.
Deine VMs und Docker hängst Du dann in die Bridge ein, die zum jeweiligen VLAN gehört.
Das ist bei mir, wenn auch nur mit den einfach IPs, sowieso schon. Alle Docker + VMs laufen per br0 und nicht per Bridge. Sonst würde ich bei den ganzen Ports etc. kein überblick mehr haben und kann so mit der Sense gewisse Einschränkungen konfigurieren.

Beachte, dass Datenverkehr ziwschen zwei verschiedenen VLANs, auch bei Dockern oder VMs auf unraid über die pfsense geroutet werden müssen.
Deine pfsense braucht für so einen Fall also genug Bumms und die Anbindung von unRaid zur pfsense auch.
Was heißt "Bumms"
Die Sense hat ein Xeon E31220 mit 4 Kernen und 8GB Ram.
Dort soll noch eine 10Gbe Karte verbaut werden die dann mit dem Switch und Unraid verbunden wird. Aber aktuell ist erstmal die Sense per 1Gbe und der Unraid mit 2x 1Gbe per bound.
 
Das ist bei mir, wenn auch nur mit den einfach IPs, sowieso schon. Alle Docker + VMs laufen per br0 und nicht per Bridge. Sonst würde ich bei den ganzen Ports etc. kein überblick mehr haben und kann so mit der Sense gewisse Einschränkungen konfigurieren.
Ah, also hast Di die IP-Segmente schom errichtet?
Beachte, dass dann alle Netze in einem LAN/L2 sind....und das der unraid host natürlich routet.
Kennt ein Docker/VM auf 192.168.10.xx einen Docker/VM auf 192.168.300,xx kann der diesen erreichen...phne das die pfsense das mitbekommt....unraid hat eine Routinbg tabelle aber keine Firewall aktiv.
Nur die VLANs sorgen dafür, dass die auch in der Bridge separiert sind.

Wenn, dann richtig...also VLANs aktivieren

Was heißt "Bumms"
Die Sense hat ein Xeon E31220 mit 4 Kernen und 8GB Ram.
Dort soll noch eine 10Gbe Karte verbaut werden die dann mit dem Switch und Unraid verbunden wird. Aber aktuell ist erstmal die Sense per 1Gbe und der Unraid mit 2x 1Gbe per bound.
Na das sollte er schaffen...ist ja kein J1900 ;-)
Um 10G ohne NAT zu routen sollte der 2 Kernchen schon heiss machen...kannst ja dann mal probieren, mit 2 Dockern in verschiedenen VLANs.
 
Ich würde auch die Fritzbox vor die pfSense setzen, im Bridge-Mode oder, wenn das nicht geht, als Router-Kaskade mit deaktiviertem WiFi. Dann ist die pfSense der einzige Node, der im 192.168.178.XXX Netz ist.
Aktuell kann ich sowas nicht mache, da ich auf den Speedport Pro Plus (Hybrid) angewiesen bin und der besitzt kein Bridge Mode. Im Haus werde ich auf Modem only wechseln.

Ich werde das alles hier mal testen und ausprobieren.

Danke euch schon mal
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh