Firewall Opensense hinter Switch routen?

[Swivel]

Hallo zusammen,

ich hoffe ich kann mein Problem einigermaßen beschreiben.
Habe einen Router im EG + Unifi Switch ( von da ab gehen dann die Wohnzimmergeräte z.b. Tv). Dann geht ein LAN Kabel nach oben wo noch ein Switch ist und dort hängt mein ESXi Server dran.
Nun wollte ich mir eigentlich einen Unifi USG holen, dass hätte ich dann bequem unten installieren können.
Möchte nun aber auf Opensense setzen um flexibel zu sein.

Zum Probieren/Einleben will ich es als VM betreiben.

Ist es nun möglich, die Geräte( TV) am ersten Switch über die Firewall (zweiter Switch) laufen zu lassen, die am 2 Switch hängt?

Nochmal der Aufbau:

Router -> Switch Unifi 1 ----> Switch Unifi 2 ---> Opensense
(Ich kann leider nur ein LAN Kabel von EG nach Oben verlegen)

Danke + Gruß
Swivel

 

[bytegetter]

Nimm einen VLAN-fähigen Switch, dann ist das alles kein Problem.

 

[Swivel]

ja könne sie ja.
Das mit VLAN's hatte ich mir schon gedacht.

Hab zwei NIC's im ESXi.
Ich erstelle also ein VLAN und setze alle Geräte dort hinein. Dann nehme ich das VLAN als Ausgang für Opensense? Und Eingang über den anderen NIC?

 

[martingo]

Oder anderes vlan

 

[Eye-Q]

Ja, prinzipiell ist das mit VLANs möglich, das ist für den Einstieg aber schon ziemlich komplex gewählt.

Prinzipiell müssten folgende Dinge eingerichtet werden:

• Auf beiden physikalischen Switches muss das selbe VLAN (z.B. VLAN 10) eingerichtet werden
• Auf Switch 1 müssen die Ports, die hinter der Opensense stehen sollen, mit Untagged VLAN 10 versehen werden
• Auf Switch 1 und 2 müssen die Ports, mit denen die beiden Switches untereinander verbunden sind, mit Tagged VLAN 10 versehen werden
• Auf Switch 2 muss der Port, an dem der VMWare-Host angeschlossen ist, mit Tagged VLAN 10 versehen werden
• Auf dem VMWare-Host muss ein neues virtuelles Netzwerk mit VLAN 10 eingerichtet werden, das am selben virtuellen Switch (und somit am selben physikalischen Port) hängt wie das normale Netzwerk
• Die Geräte, die hinter der Opensense stehen sollen, müssen in ein anderes Subnetz, also wenn dein normales LAN die 192.168.0.0/24 (Subnetzmaske 255.255.255.0) hat, kannst Du z.B. diesem Netzwerk die 192.168.1.0/24 geben; hier kann natürlich auch die Opensense als DHCP-Server fungieren, so dass die Geräte nicht unbedingt statische IP-Adressen bekommen müssen
• Die Opensense bekommt zwei virtuelle Netzwerkkarten: die "WAN"-Karte im normalen Netz (im obigen Beispiel z.B. die 192.168.0.2, wenn der Router die 192.168.0.1 hat), die "LAN"-Karte im VLAN (allerdings in der Opensense nicht getaggt, das macht das virtuelle Netzwerk auf dem VMWare-Host) mit 192.168.1.1

So hast Du zwei getrennte Netzwerke und der Netzwerkverkehr wird so wie Du es dir vorstellst vom TV über das VLAN zur "LAN"-Seite der Opensense geschickt, die den Verkehr dann über die "WAN"-Seite an den Router und somit in die große weite Welt schickt.

 

[hominidae]

...besser wäre es doch, wenn möglich 1-2NICs direkt an die OPNSense-VM durchzureichen und die VLANs dort einzurichten.
Wenn der Host vt-d kann und noch NICs frei sind bzw. nachgerüstet werden können...

 

[Eye-Q]

Ja, das könnte auch gemacht werden, aber dann wird die Opensense- und ESXi-Konfiguration meiner Meinung nach noch schwieriger und somit fehleranfälliger. Um einfach mal auszuprobieren, ob man damit klar kommt, ist das meiner Meinung nach Overkill. Wir sind hier ja auch nicht im Unternehmensumfeld, wo es so sicher wie nur irgendwie möglich werden soll, sondern im Privatumfeld, wo einfach geschaut werden soll, ob Opensense das richtige ist und ob überhaupt damit klar gekommen wird.