Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Ich habe mir ein bisschen Gedanken zu VLANs gemacht. Dabei ist folgende Aufstellung rausgekommen. Wahrscheinlich wäre weniger feingranular auch kein Problem, aber warum nicht.
Ich bastel noch an dem Gehäuse rum, weswegen ich noch keine Hardware hier habe, aber vorab das logisch zu durchsteigen, hilft bestimmt sehr.
Wenn ich es richtig verstehe, ist für jedes VLAN der opnsense router die .1 als Gateway, DNS-Server und DHCP-Server, daher habe ich die .1 nirgendwo vergeben. Wie man sieht, haben die meisten VLANs nur Zugriff zum WAN. Bloß die Clients aus dem Private VLAN sollen auf Geräte aus den anderen VLANs zugreifen können, um diese zu konfigurieren etc. außerdem sollen die Android Handys evtl. Lichtsteuerung machen können. Wenn ich es richtig verstehe, könnte man das ähnlich absichern, wie auch zum WAN hin, dass nur Pakete aus den anderen VLANs durchgelassen werden, die auch aus 19 oder 23 angefordert wurden, oder?
Code:
#VLANs
##Name ID Access
WAN/Fritzboxseite 13 No Access (VPN on opnsense router)
Management VLAN 17 Trunk
Private VLAN 19 13, 17, 31, 41
Android + AVR VLAN 23 13, 41
Guest WLAN VLAN 29 13
Printer VLAN 31 13
Entertainment VLAN 37 13
IoT VLAN 41 13
IP adress range 10.0.ID.0/24 DHCP range .100-199
##Device List
Device hostname IP
###WAN
Fritzbox 7590 fritz.box 192.168.199.1
###Management VLAN
opnsense router osmose 10.0.17.1
Mikrotik CRS326-24G-2S+RM switch1 10.0.17.2
Netgear GS108E switch2 10.0.17.3
Mikrotik WAP AC ap 10.0.17.4
###Private VLAN
Debian server gringotts 10.0.19.2
Synology NAS borg 10.0.19.3
HTPC libreELEC schauburg 10.0.19.4
Desktop booted to arch linux babel 10.0.19.5
Laptop 1 arch linux taschenrechner 10.0.19.6
Laptop 2 arch linux chandler 10.0.19.7
###Android + AVR VLAN
Smartphone 1 LOS - DHCP
Smartphone 2 stock Android - DHCP
Denon AVR - DHCP
###Guest WLAN VLAN
Kind of obvious - DHCP
###Printer WLAN
Canon Printer - 10.0.31.2
###Entertainment VLAN
Desktop booted to Windows 10 isengard DHCP
PS3 - DHCP
Ich gebs auf, Formatierung ist fürn Eimer, ich bin zu blöd dazu, sry.
Ich sag ja, ist evtl. ein bisschen übertrieben feingliederig, aber warum nicht. Ich hatte auch im Hinterkopf, dass Drucker gerne auch mal unsicher sind. Glaube das bezog sich auf WLAN Drucker, aber egal.
Für mich ist im Vorfeld wichtig, dass ich verstehe, was es braucht, um die VLANs zu spezifizieren und wie ich das Routing zwischen denen reallisiere, damit es auch was bringt. Ich habe zum Thema IoT gelesen, man solle ACL einrichten, damit das was nützt. Ob das was anderes als die Filterregeln ist, habe ich noch nicht rausgefunden.
ACL sind Filter, Filter sind auch nur Zugangslisten. Nur können ACLs oft (beim CRS326 nicht) in TCAMs "geladen" werden, damit bekommst du praktisch Linerate Performance trotz Firewalling.
ich muss das hier nochmal aufwärmen.
Was könnt ihr mir für Mikrotik Geräte empfehlen ? Ich war erst auf den Trip Unifi. Hab auch zwei Switch, nun sollte eigentlich der USG her aber hab mich irgendwie doch dagegen entschieden.
Welche Hardware könnt ihr empfehlen.
Im Moment sieht es so aus: Internet -> Fritzbox + WLAN + Switch unten -> Switch oben
Vorschlag?: Fritzbox + Mikrotik hEX S -> Mikrotik Switch? oben
Vlt. machst du für deine konkrete Anfrage noch mal nen eigenen Thread auf. Da bekommst du bestimmt spezifischere Hilfe.
Weil ich eh gerade schreibe. Mein Projekt liegt zur Zeit etwas im Dornröschenschlaf, weil ich immer noch mit der Einrichtung meines Servers beschäftigt bin. Sobald das abgehakt ist, geht es aber weiter.
Ich habe schon angefangen mein kleines Gehäuse zurecht zu modden. Die neuen Halterungsöffnungen für die Winkel zur umgedrehten Montage des Gehäuses sind fast fertig. Ich habe auf Arbeit ein paar Blechreste bekommen, um eine cleane Front- und Rückseite zu machen. Das ganze Ding werde ich dann mal kurz durch den Sandstrahler jagen und einfach mit Sprühdose lackieren.
Ich habe mich eigentlich ziemlich sicher für den 24er CRS als Switch und den wAP entschieden.
Ich habe nach Ewigkeiten meinen Server fertig und will als nächstes tatsächlich mal das Netzwerk angehen. Wenn ich Weihnachten im Lockdown sitzen sollte, vlt. dann. Ich habe aber noch mal akut ne Frage zum Thema PCIe und ob ich da was übersehe.
Ich löse vermutlich meinen HTPC auf. Da ist ein Asrock J4105-ITX drin. Das könnte ich dann theoretisch für meinen OpnSense Router nutzen. Eine Intel I340-T4 NIC habe ich schon seit Monaten hier liegen. Das Problem ist nur, das Asrock Board ohne B hat ja nur einen PCIe2 x1 Slot. Jetzt brauche ich eh ne Risercard, weil das Gehäuse, was ich mir umgebastelt habe nur 1,5HE hat, und es gibt ja so x1 auf x16 Riser. Die Frage ist, wird die Karte dann ausreichend mit Strom versorgt und reicht die Bandbreite dann auch? Die Karte hat vier Ports wovon einer WAN und zwei ins Netzwerk gehen. 4*Gbi/s sind ja 500MB/s. Das müsste ja genau reichen. Ich verstehe nur nicht, warum die Karte dann überhaupt x4 ist.
Evtl. geht auch ein einfacher x1 Riser, wo du dann hinten einfach die "Grenze" rausfeilst. So habe ich das für meine Quad NIC gemacht.
Auf jeden Fall würde ich nen festen Riser und keinen mit Kabel nehmen. So gibt der Slot auch noch halt.
Die Karte braucht <5W, damit liegt sie unter der Grenze von 6W bzw. 10W.
Warum die Karte x4 hat? Nun, was würde passieren, wenn man sie in einen PCIe 1.0 Slot baut?
Das ist ja ne Server-Karte und da geht Speed über alles.
Daher gibt es btw. kaum Karten die <x4 sind.
PS: Ich habe das damals mit nem Intel DN2800MT gemacht...
Feste gibt es halt echt wenige. Und ich bin mir nicht ganz sicher, nach welcher Norm die quergelegten Slots gemacht sind. In dem Gehäuse war ein Board mit PCI Slots. Die beiden Slits liegen direkt übereinander auf gleicher Höhe.
Wegen des Haltes mache ich mir gar keine Sorgen. Die Karte hält auch so alleine gut im Case. Die einzige Sorge ist, dass es nicht richtig funktioniert.
Aber wenn das geht und ich mein Board weiter nutzen kann dafür, dann habe ich bis auf den Riser alles.
Ich hab mir jetzt nen 90° 1x auf 1x Adapter bestellt, den ich aufdremeln muss. Bei den Kabeln gab es auch welche mit Schlitz, aber da gab es immer wieder Bewertungen zu schlecht verlöteren Adaptern, die schmoren oder Hardware beschädigen. Darauf kann ich verzichten. Bei Platine und Steckern kann man das besser kontrollieren.
Hab schon Anfang des Jahres nen abgewinkelten Stecker für USB 3 intern für die Tonne gekauft. Der Festplattenkäfig hatte den blockiert. Mit dem Stecker ging es dann mechanisch, aber ich musste mich dann wundern, dass meine Backups immer abbrachen. Daran war dann wohl das Kabel Schuld und es flog in den Eimer.
Gerade mal meinen HTPC auseinandergebaut und Hardware mal probeweise in mein gebasteltes Case gelegt.
Schöne Überraschung. Höhe des Risers passt perfekt, aber die Tiefe nicht. Die Slots sind wohl für den zweiten Slot ausgerichtet gewesen, fehlen ca. 2cm. Werde mir jetzt noch das hier bestellen https://www.amazon.de/dp/B003Y3M2DS...halspre03-21&ascsubtag=zFpJfaNCmWHYD2mOmArbJA.
Da wäre ich dann zwar mit Kabel doch preislich besser bekommen, aber wie gesagt, denen traue ich nicht wirklich. Hier kann ich mir die Lötstellen selber anschauen.
Ich grabe das noch mal aus und mache eventuell noch mal ne Kehrtwende.
Mein Router ist eigentlich fertig zusammen gebaut. Aber ich habe noch keinen Switch und AP gekauft. opnSense habe ich auch noch nicht installiert und getestet. Ich habe nämlich seit einiger Zeit echt wenig Zeit für den ganzen Technikkram. Ich habe im letzten Jahr ewig gebraucht, um meinen Selbstbau-Debian-Server fertig zu konfigurieren, weil ich mit Kind einfach zu nichts mehr komme ^^. Daher ist mittlerweile meine sonst vorhandene Motivation mich in komplizierte Configs einzuarbeiten mittlerweile etwas gesunken und ich stelle daher gerade auch meine WAhl mit Mikrotik Switch und WAP AC in Frage.
Ich habe noch mal die anfänglichen Posts durchgelesen und überdenke gerade noch mal, ob ich mir in meinen Server, der jetzt doch 24/7 läuft ein unifi docker einrichte und einen Unifi Switch für den Schrank, einen kleinen fürs Wohnzimmer und einen AP kaufe. Und ob ich mir damit das Leben vielleicht nicht eine ganze Ecke leichter mache. Vielleicht einen 16er POE Gen2 und einen Wifi6 LR. Und einen 8er fürs Wohnzimmer.
Der 16er hat ja mit SFP 18 Ports und ich brauche mit Link Aggregation und anderem Schnickschnack aktuell 9 Ports im Schrank und 5-6 Ports im Wohnzimmer. Wenn ich mal ne Wohnung mit kompletter Netzwerkverkabelung hätte wären es wohl 12-13 im Schrank. In einigen Jahren kommen bestimmt noch 2-3 Kabel dazu, aber das reicht wohl dann immer noch.
Freue mich über Feedback. Zieht sich schon ne ganze Weile, aber ich habe damals echt unterschätzt, wie solche Projekte plötzlich nur noch in Zeitlupe laufen, wenn man Kinder hat .
Ich bin fast fertig mit meinem Netzwerk.
Habe neben dem OPNsense Router jetzt einen Mikrotik CRS326 und einen CSS610. Als AP habe ich einen TP-Link EAP245 gekauft.
Die grundlegende Konfiguration habe ich fertig. Also VLANs, Unbound, DHCP und grundlegende FW-Regeln. Das einzige was nachhaltig nicht läuft ist, dass die Mikrotiks sich über meinen Trunk keine IP via DHCP holen. Habe schon zig Einstellungen ausprobiert. Aber zur Not geht das auch statisch.
IPv6 lass ich jetzt zum Anfang weg. Bekomme eh keine Adresse und da sind noch mal mehr offene Fragen
Ich schaue mal, dass ich morgen noch die Verkabelung abschließe und vorbereite und dann werde ich vermutlich nächste Woche die Migration machen. Das heißt die ganzen Geräte auf die neue Infrastruktur anpassen, was Netzwerkeinstellung angeht, die notwendigen Regeln für InterVLAN-Routing hinzufügen und Dienste, wie Samba etc. auf den Clients neu einrichten.
Danach habe ich dann noch Wireguard auf der Liste. Aber mangels Reisetätigkeit ist das auch nicht besonders priorisiert.
Irgendwann will ich dann zu Hause auch komplett DS einrichten und evtl. mich auch mit den erweiterten Sicherheitsmoglichkeiten beschäftigen, die OPNsense bietet. Aber das ist erst mal nicht konkret geplant.
Ich bin fast fertig mit meinem Netzwerk.
Habe neben dem OPNsense Router jetzt einen Mikrotik CRS326 und einen CSS610. Als AP habe ich einen TP-Link EAP245 gekauft.
Die grundlegende Konfiguration habe ich fertig. Also VLANs, Unbound, DHCP und grundlegende FW-Regeln. Das einzige was nachhaltig nicht läuft ist, dass die Mikrotiks sich über meinen Trunk keine IP via DHCP holen. Habe schon zig Einstellungen ausprobiert. Aber zur Not geht das auch statisch.
IPv6 lass ich jetzt zum Anfang weg. Bekomme eh keine Adresse und da sind noch mal mehr offene Fragen
Ich schaue mal, dass ich morgen noch die Verkabelung abschließe und vorbereite und dann werde ich vermutlich nächste Woche die Migration machen. Das heißt die ganzen Geräte auf die neue Infrastruktur anpassen, was Netzwerkeinstellung angeht, die notwendigen Regeln für InterVLAN-Routing hinzufügen und Dienste, wie Samba etc. auf den Clients neu einrichten.
Danach habe ich dann noch Wireguard auf der Liste. Aber mangels Reisetätigkeit ist das auch nicht besonders priorisiert.
Irgendwann will ich dann zu Hause auch komplett DS einrichten und evtl. mich auch mit den erweiterten Sicherheitsmoglichkeiten beschäftigen, die OPNsense bietet. Aber das ist erst mal nicht konkret geplant.
Das einzige was nachhaltig nicht läuft ist, dass die Mikrotiks sich über meinen Trunk keine IP via DHCP holen. Habe schon zig Einstellungen ausprobiert. Aber zur Not geht das auch statisch.
....mein RB4011 ist DHCP-Server....der CRS326 holt sich die IP über den SFP+ Link vom RB4011, der natürlich ein Trunk-Port ist....ebenso mein CSS610 über einen SFP+ Link, über den CRS326 hinweg ... ROS 6.47.9 (long term) ..... wo ist das Problem?
Ich habe auf dem CRS SWOS gebootet. Der CSS hat SWOS lite.
Die Verbindung zum Router ist ein LACP Trunk.
Die beiden Switche kriegen ums verrecken keine IP über DHCP. Ich habe im VLAN Tab schon alles mögliche probiert. Der AP hängt am CRS genau wie der CSS. Wenn ich für den Port des AP die richtigen settings wähle (strict oder enabled, any und default 17) dann bekommt der ohne Probleme sein DHCP. Für die beiden Switche geht das nicht.
...nur das wir vom Gleichen reden...ein Trunk Port ist ein Port in dem alle VLANs "erlaubt" /ge-tag-ged sind ... .mit einem LACP hat das nix zu tun...das wäre ein bond-Interface.
Dein Problem ist also eher das Bonding-Interface.
Bist Du sicher das alle Links im Bond auch funktionieren und für alle VLAN-trunks sind?
Ich nutze den CRS nicht mit SWOS...der CSS hat SWOS-Lite.
Im CRS habe ich den DHCP-Client auf der Bridge und die hat PVID=1 (mein "Management" LAN).
Im CSS nutze ich eh nur trunk ports (alle default VLAN-IDs = 1) ... und habe unter "System" - "allow from VLAN" keinen Eintrag...hast Du da denn die "17" drin oder die default ID auf 17 gestellt?
Im CRS habe ich auch ein Bonding Interface (4x1GB LACP) zum NAS und auch da haben DHCP-Clients keine Probleme auf den VLANs.
Ich habe mal ein paar Screenshots gemacht. Port 23-24 sind auf LACP active und gehen zum Router. Das funktioniert auch.
Der AP ist halt sowas wie ein reduzierter Trunk, weil ich nicht alle VLANs dort brauche, genauso beim zweiten Switch. Der AP bekommt seine IP tatsächlich über DHCP der CSS nicht. Einziger Unterschied ist das any. Setze ich das beim Switch aber auch auf any, erreiche ich den über den Browser gar nicht mehr.
Im OPNsense sind auf dieses LAGG Interface nur tagged VLANs zugewiesen und zwar alle, die es gibt und im CRS auch konfiguriert sind. Die haben alle DHCP.
Stecke ich übrigens den CRS an einem der unkonfigurierten Ports an den unbenutzten LAN Port des Routers, der auch DHCP hat. Bekommt der CRS eine IP zugewiesen.
Stecke ich übrigens den CRS an einem der unkonfigurierten Ports an den unbenutzten LAN Port des Routers, der auch DHCP hat. Bekommt der CRS eine IP zugewiesen.
Dann könntest Du als ersten einfachen Test z.B. einfach mal ein Endgerät (Laptop) fest auf ein VLAN konfigurieren und an den Trunk des OPNsense hängen. Dann sollte der DHCP dem Gerät eine IP aus dem entsprechenden VLAN verpassen. Also als ersten Schritt erstmal sicherstellen, dass es genau einen DHCP in den jeweiligen VLANs gibt.
Nö die OPNsense stellt DHCP auf allen VLANs bereit. Insbesondere im VLAN 17. Der AP bekommt dort per DHCP seine Adresse zugewiesen.
Beitrag automatisch zusammengeführt:
Ich habe unter System noch kein VLAN zur Konfig eingetragen, weil ich mich schon mal damit ausgesperrt habe und explizit ein Gerät aus nem anderen VLAN zur Config nutzen will. Keine Ahnung, ob das dann noch geht.
Die anderen Ports auch aus anderen VLANs holen sich alle die Adresse. Selbst bei Verbindung über WLAN klappt das schon mit der entsprechenden Zuweisung.
Übrigens sehe ich in der Host Tabelle des CRS, dass die MAC Adresse des CSS richtigerweise mit der ID 17 erkannt wird. DHCP holt der sich trotzdem nicht.
...und was passiert, wenn Du bei "allow from VLAN" nun die "17" einstellst?
Die Frage ist ja, wann im Boot-Prozes die PVID = "17" greift und wann der DHCP-Client startet....der DHCP-Client ist ja aus Sicht des eigenen Switch egress Richtung. Wenn das nicht getagged wird, hat es eben nicht die 17 und wird im pfsende der 0/1 zugeordnet....daher funzt es wahrscheinlich auch am "dummen" LAN-Port
Im SwoS kenn mich mich leider auch nicht aus....
Edit: obwohl das hier https://wiki.mikrotik.com/wiki/SwOS/CSS326#System sagt, dass dieser Paramezer nur für ingress, also für den Zugriff auf das Web-UI des Switch ist.
Was macht opensense bei untagged traffic auf dem Port, mit VLAN-17 Trunk und DHCP-Server?
Werde ich gleich mal an dem kleinen Switch ausprobieren. Die anderen Einstellungen passen aber? Oder muss ich daauch den untagged traffic erlauben, damit das klappt.
Beitrag automatisch zusammengeführt:
Zu deinem Edit:
So hatte ich diese Funktion auch verstanden.
Ich weiß nicht,was OPNsense damit macht. Das LACP Interface ist nicht weiter konfiguriert. Ich musste das aber aktivieren, damit alles geht, aber ich habe da kein Netzwerk drauf eingerichtet. Auch in der Firewall habe ich dafür nichts eingerichtet. Das müsste ziemlich tot sein.
Die VLANs sitzen auf diesem Interface drauf. Und die funktionieren eigentlich.
Die DHCP Anfrage vom Switch muss natürlich getaggt sein. Sonst läuft die in Leere. Ich weiß aber nicht, wie ich dem das verklickern kann. Bei dem CSS scheint es ja dann zu funktionieren. Und er wird als 17 getaggt.
Beitrag automatisch zusammengeführt:
Wow anscheinend hat das für den CSS funktioniert. Der hat jetzt ne IP bekommen. Ich werd mir noch eben auf dem CRS nen Port mit der 17 anlegen, als Rettung und dann versuchen das dort auch einzustellen.
Die Doku ist dann aber wirklich solala!
Beitrag automatisch zusammengeführt:
Ich werd nicht mehr, der Mist funktioniert jetzt auf beiden Switches ohne Probleme. Musste noch nicht mal rebooten und die haben sich sofort nach apply ihre IP geholt.
Vielen Dank. Dann kann ich den Krempel beruhigt hier vom Teststand abbauen und mit der richtigen Verkabelung anfangen.
Gibt es sonst noch was, was ich unbedingt einstellen sollte? Mit Port Isolation, RTSP, ACL etc. habe ich mich nicht weiter befasst. Nur das LAGG, und die VLANs habe ich explizit eingestellt.
Vielleicht werde ich die anderen Ports noch blocken und allow DHCP einschränken. Damit es etwas sicherer ist, aber zu Hause brauche ich das wohl eher nicht.
Wow anscheinend hat das für den CSS funktioniert. Der hat jetzt ne IP bekommen. Ich werd mir noch eben auf dem CRS nen Port mit der 17 anlegen, als Rettung und dann versuchen das dort auch einzustellen.
Die Doku ist dann aber wirklich solala!
Beitrag automatisch zusammengeführt:
Ich werd nicht mehr, der Mist funktioniert jetzt auf beiden Switches ohne Probleme. Musste noch nicht mal rebooten und die haben sich sofort nach apply ihre IP geholt.
Vielen Dank. Dann kann ich den Krempel beruhigt hier vom Teststand abbauen und mit der richtigen Verkabelung anfangen.
Gibt es sonst noch was, was ich unbedingt einstellen sollte? Mit Port Isolation, RTSP, ACL etc. habe ich mich nicht weiter befasst. Nur das LAGG, und die VLANs habe ich explizit eingestellt.
Vielleicht werde ich die anderen Ports noch blocken und allow DHCP einschränken. Damit es etwas sicherer ist, aber zu Hause brauche ich das wohl eher nicht.
So läuft eigentlich fast alles. Ein paar unerwartete Konfigprobleme an verschiedenen Stellen, aber das meiste geht. Was noch nicht fertig konfiguriert ist, passiert dann, wenn die Clients benutzt werden.
Ich hoffe mal, meine Idee für die Regeln war klug. Ich habe mir Aliase mit den MAC Adressen eingerichtet und die Regeln darüber gemacht Das sollte dann im Zweifel unabhängig von IPv4 IPv6 sein.
Eine frage habe ich noch. Wenn der OPNsense router ja jetzt hinter der Fritzbox als exposed host hängt, bekomme ich ja trotzdem eine private IP von der Fritzbox. Wenn ich jetzt mein DynDNS einrichten möchte, dann muss ich das wohl in der Fritzbox machen oder? Denn die OPNsense kennt die öffentliche IP ja gar nicht.
...käme auf den DynDNS an.
Es gibt da alle Varianten...manche erkennen, dass sie in einem NAT laufen und nehmen dann die IP, von welcher der Update-Service angestossen wird...entweder automagisch oder "auf Befehl"
Alternativ oder zusätzlich kannst Du in der Fritz auch myfritz aktivieren und hast eine fixe URL, für die Du die IP auflösen/herausbekommen kannst
Ach, ich hab eh noch ne eigene domain, die ich für nix nutze und gerade auch zu hause als lokale domain nutze. Am liebsten hätte ich das alles ganz unabhängig von der Fritzbox.
ich habe die Dinger auch dick...hatte gerade eine Begegnung der dritten Art, nach dem Update meiner Homebox 6591 auf FritzOS-7.21 durch VF.....leider bin ich auf die Kiste für die Telefonie angewiesen.
Habe aber dank zerotier die Port-Forwards komplett abgeschafft bzw. das exposed host thema.
Die Fritte macht NAT und basta....mein Router macht IP-Firewall ohne NAT
.
.
