OpenWRT, VLAN-Konfiguration

wasdenn

Enthusiast
Thread Starter
Mitglied seit
26.03.2006
Beiträge
519
Guten Morgen miteinander

Ich möchte meinen OpenWRT Router (TP-Link Archer C2600) durch eine pfSense ersetzen. Der OpenWRT Router soll ausschliesslich als Switch und Access Point fungieren.

Ein zusätzlicher managed Switch ist meiner Meinung nach nicht zwingend notwendig, da ausschliesslich zwei Geräte per Kabel mit dem Switch verbunden sind.

Zwischen der pfSense und dem OpenWRT-AP möchte ich nur ein Kabel verwenden, d.h. ich möchte mit einem VLAN-Trunk arbeiten und zwei VLANs definieren (LAN und IOT). Der Aufbau sieht ungefähr wie folgt aus:

Network.drawio.png


DNS und DHCP erledigt die pfSense, zumindest den DHCP-Dienst würde ich auf dem OpenWRT-AP deaktivieren.

Nun bin ich mir leider nicht ganz sicher, wie ich den Switch auf dem OpenWRT-AP konfigurieren muss. Aktuell verwende ich einen speziellen Build von OpenWRT, bei welchem kein DSA aktiv ist. Als reiner Access Point ist dieser Build jedoch nicht zwingend notwendig. D.h., ich würde die offizielle Version von OpenWRT einspielen (Version 23.05.3). Ob in dieser Version DSA aktiv ist oder nicht, kann ich aktuell noch nicht sagen.

Im Spoiler ist eine Konfiguration aufgeführt, die meiner Meinung nach dem oben aufgeführten Setup entspricht. Ein Port wird als Trunk-Port definiert mit den beiden VLANs 10 und 20. Die restlichen drei Ports sind Access Ports (untagged) im VLAN 10. Das iot-Interface verfügt über keine IP-Adresse. Es handelt sich hierbei ausschliesslich um eine Layer-2-Erweiterung. Hat jemand von euch einen ähnlichen Aufbau im Einsatz und könnte derjenige die unten aufgeführte Konfiguration auf ihre Korrektheit überprüfen?

Vielen Dank für eure Antworten.

Viele Grüsse

with DSA:

config device
option name 'br-lan'
option type 'bridge'
list ports 'lan0'
list ports 'lan1'
list ports 'lan2'
list ports 'lan3'

config bridge-vlan
option device 'br-lan'
option vlan '10'
list ports 'lan0:t'
list ports 'lan1:u*'
list ports 'lan2:u*'
list ports 'lan3:u*'

config bridge-vlan
option device 'br-lan'
option vlan '20'
list ports 'lan0:t'

config interface 'lan'
option proto 'static'
option device 'br-lan.10'
option ipaddr '192.168.10.2'
option netmask '255.255.255.0'
option gateway '192.168.10.1'

config interface 'iot'
option proto 'none'
option device 'br-lan.20'

with swconfig:

config device
option name 'br-lan'
option type 'bridge'
list ports 'eth1.10'

config device
option type 'bridge'
option name 'br-iot'
list ports 'eth1.20'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '10'
option vid '10'
option ports '0t 1 2 3 4t'
option description 'lan'

config switch_vlan
option device 'switch0'
option vlan '20'
option ports '0t 4t'
option description 'iot'
option vid '20'

config interface 'lan'
option device 'br-lan'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.10.2'
option gateway '192.168.10.1'

config interface 'iot'
option proto 'none'
option device 'br-iot'


General settings:
--> disable DHCP (IPv4 and IPv6)
--> DNS-Server: Main Router
--> create the wireless networks and assign them to the corresponding interfaces
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Guten Tag

Zur Info: Ich konnte diese Konfiguration erfolgreich an einem alten TP-Link Router (TL-WDR4300) testen:

config device
option name 'br-lan'
option type 'bridge'
list ports 'eth1.10'

config device
option type 'bridge'
option name 'br-iot'
list ports 'eth1.20'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '10'
option vid '10'
option ports '0t 1 2 3 4t'
option description 'lan'

config switch_vlan
option device 'switch0'
option vlan '20'
option ports '0t 4t'
option description 'iot'
option vid '20'

config interface 'lan'
option device 'br-lan'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.10.2'
option gateway '192.168.10.1'

config interface 'iot'
option proto 'none'
option device 'br-iot'

Mit dieser Konfiguration stehen mir nur noch zwei Interfaces (lan und iot) zur Verfügung. Die wan-Schnittstellen habe ich gelöscht. DHCP (v4 und v6) konnte ich direkt über das Webinterface deaktivieren.

Ich denke, dass ich diese Konfiguration auch auf dem C2600 so anwenden kann.

Nun möchte ich mir gerne eine entsprechende Hardware für die pfSense Firewall kaufen. Auf Amazon habe ich mir mal folgendes Gerät herausgesucht:


Die Auswahl ist auf Amazon jedoch riesig, keine Ahnung, welche Hardware am geeignetsten ist. Diese Hardware scheint zum Beispiel neuer zu sein:


Vielen Dank für eure Antworten.

Viele Grüsse


EDIT:

Bei einem Online-Shop bei uns in der Schweiz (digitec.ch) bin ich noch auf folgendes Gerät gestossen:


Verbaut sind zwei Intel Netzwerkkarten (i226). Aktuell tendieren ich sehr stark zu diesem Shuttle.

Eine 'doofe' Frage bzgl. der Netzwerkkarte und pfSene hätte ich noch: ich kann schon davon ausgehen, dass die pfSense VLAN-tagging auf diesem Shuttle unterstützt oder? ^^
 
Zuletzt bearbeitet:
Geht alles, Unterschiede gibt es bei Anzahl der Netzwerk Ports und Massenspeicher.

Um die Entscheidungsfindung zu erschweren werfe ich mal dieses Produkt in den Raum:

Ich finde mehr Netzwerkports grade für Firewall geschichten immer sehr praktisch, weil man dann z.B. einen zusätzlichen Management Port konfigurieren kann, wo man *immer* mit drauf kommt, egal welche VLANs etc.

Überigens als Spielvariante: Proxmox drauf, und dann *sense als VM laufen lassen. Da ist dann noch Luft für weitere Instanzen wie pihole etc.
 
Guten Morgen Supaman

Vielen Dank für deine Antwort. Den HUNSN mit dem N100 ziehe ich ebenfalls in Betracht. Die zusätzlichen Netzwerkanschlüsse sind sicherlich sinnvoll.

Weshalb ich eher zum Shuttle tendiere ist die Tatsache, dass ich das Gerät bei uns in der Schweiz bestellen kann (Stichwort: Garantie, Support, etc.) und ich noch eine 256 SSD herumliegen habe (Samsung 840 Pro), die ich weiterverwenden könnte (das Shuttle unterstützt den Einbau einer 2.5" SSD).

Proxmox habe ich mir auch überlegt, aber bei dem Gerät soll es sich tatsächlich nur um eine Firewall handeln. Für DNS-Blocking verwende ich NextDNS, was OOTB auf der pfSense funktioniert.

Längerfristig werde ich wohl mein Synology NAS durch einen stromsparenden TrueNAS-Server austauschen, aber ein Proxmox Server ist aktuell nicht vorgesehen.

Viele Grüsse
 
Die CPU ist jetzt nicht der burner, es kommt drauf an, was Du damit machen willst.
OpenWRT zieht nicht viel Leistung, das läuft auch auf Hardware die nochmal deutlich langsamer unterwegs ist.

Ich habe Proxmox mal auf einem über 10 Jahre alten Shutte installiert: irgend so sein Celeron mit 1,1 Ghz, 1 Kern 2 Threads... läuft und das GUi war auch noch flüssig. Eine VM installieren dauerte etwas länger, die üblichen Linux basierten Instanzen (*sense, Debian ohne GUI) funktionierte.
 
Auf diesem Shuttle soll ausschliesslich pfSense laufen. Mein Internetanschluss (1 Gbit/s) soll mit dem Router natürlich ausgereizt werden. Ansonsten soll auf der pfSense nur noch Wireguard laufen.

Der Gebrauchte kostet mich 150 Euro, der Neue 300 Euro.

Viele Grüsse
 
Der alte ist keine 150 mehr wert, das Ding ist ist 5-7 Jahre alt.

Entweder den neuen, oder eine China Box.
 
Guten Abend miteinander

Ich habe mir nun den Shuttle DL30N bestellt. :)

Beim Arbeitsspeicher bin ich mir noch unsicher. Offiziell unterstützt der Shuttle nur 16GB. Ich gehe davon aus, dass der folgende Arbeitsspeicher ebenfalls funktionieren sollte: https://www.digitec.ch/de/s1/produc...x-32gb-4800-mhz-ddr5-ram-so-dimm-ram-21229138.

Der N100 ist als reine pfSense overkill. Aus diesem Grund möchte ich nun doch Proxmox einsetzen und ggf. weitere virtuelle Maschinen auf dem Shuttle laufen lassen. Habe Proxmox am Wochenende als virtuelle Maschine getestet und komme mit der Oberfläche sehr gut zurecht.

Die oben aufgeführte Grafik habe ich aktualisiert. Diese sieht aktuell wie folgt aus:

Network.drawio.png

Was sagt ihr? Ist der Aufbau einigermassen sinnvoll und so umsetzbar? Für das Hauptnetzwerk habe ich mir bewusst das VLAN 1 herausgesucht, damit ich den Shuttle direkt an einen unmanaged Switch anschliessen kann.

Eine 2.5" SSD habe ich noch übrig. Zu einem späteren Zeitpunkt kann der Rechner um eine M.2 erweitert werden.

Ich weiss, es ist nicht viel. Jeder fängt mal klein an. ^^

Vielen Dank für eure Antworten.

Viele Grüsse
 
Zuletzt bearbeitet:
Sieht soweit brauchbar aus.

Der Shutte hat mit Sicherheit 1x m2 SSD und 1x 2,5". Also mit 2 Datenträgern bestücken, Proxmox Backup Server als VM installieren und interne Backups laufen lassen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh