Ich bin dieser Anleitung gefolgt:
https://homenetworkguy.com/how-to/set-up-a-fully-functioning-home-network-using-opnsense/
Das war großartig, bis ich bei der Switch-Konfiguration für die VLANs mit getaggten und ungetaggten Ports nicht mehr weiterkam.
Meine mögliche VLAN-Konfiguration sieht wie folgt aus:
| VLAN | IP | NIC-Anschluss | Switch-Port | Markiert | Unmarkiert | Anmerkungen |
|---|---|---|---|---|---|---|
| LAN | 192.168.1.1 | 0 | 1 | N | Y | Dedizierter LAN-Verwaltungsport |
| BENUTZER | 192.168.10.1 | 1 | 2 | Y | N | Kann auf alle anderen VLANs zugreifen |
| GAST | 192.168.20.1 | 3 | 3 | Y | N | Alle unbekannten Geräte sollten hierher geroutet werden. Hat keinen Zugriff auf andere VLANs |
| Internet der Dinge | 192.168.30.1 | 3 | 3 | Y | N | Hat keinen Zugriff auf andere VLANs |
| IPCAM | 192.168.40.1 | 3 | 3 | Y | N | Kein Internetzugang. Kann auf USER für NAS zugreifen |
| ARBEITEN | 192.168.50.1 | 2 | 4 | Y | N | Hat keinen Zugriff auf andere VLANs |
Soll ich den WAP (meinen alten Router) zu Port 5 des Switches hinzufügen, der ebenfalls markiert wäre, da er VLAN-Verkehr erwarten würde?
Wenn ein unbekanntes Gerät an den Switch angeschlossen wird, wird es standardmäßig auf LAN umgeleitet? Wenn die MAC-Adresse bekannt ist, wird es an das zugehörige VLAN weitergeleitet?
Antwort1
Wenn ein unbekanntes Gerät an den Switch angeschlossen wird, wird standardmäßig LAN verwendet?
Es wird standardmäßig das VLAN verwendet, das als „untagged“ zugewiesen ist.an diesem Port.
(Wenn Ihr Switch über separate „PVID“-Einstellungen verfügt, dann Paketegesendetvom Gerät gesendet und vom Switch empfangen wird, wird standardmäßig das VLAN verwendet, das als PVID für diesen Port festgelegt wurde. Für den ordnungsgemäßen Betrieb sollte die PVID jedes Ports jedochstetsstimmt mit dem unmarkierten VLAN dieses Ports überein.)
Wenn die MAC-Adresse bekannt ist, wird sie an das zugehörige VLAN weitergeleitet?
Nein, so funktioniert es überhaupt nicht. Ihre VLAN-Zuweisung istnichtbasierend auf der MAC-Adresse, noch darauf, dass die Geräte im Allgemeinen "bekannt" sind 1 . Normalerweise werden 802.1Q-VLANs statisch Switch-Ports zugewiesen undbeliebigEin an einen bestimmten Switch-Port angeschlossenes Gerät gelangt immer in dieselben VLANs.
OpnSense kann die VLAN-Zuweisung nicht beeinflussen. Es kann lediglich die Vergabe einer IP-Adresse an ein „in diesem VLAN unbekanntes“ Gerät komplett ablehnen. Wenn Ihr WLAN-Zugangspunkt Ihren Toaster beispielsweise in das „USER“-VLAN statt in das „IOT“-VLAN einfügt, können Sie OpnSense zwar dazu bringen, die Vergabe eines DHCP-Leases zu verweigern, Sie können es jedoch nicht dazu bringen, das Gerät in das „IOT“-VLAN zu verschieben.
1 Obwohl die MAC-basierte VLAN-Zuweisungtechnischdurchaus möglich, diese Funktion finden Sie nur bei Switches und APs, die eher auf der „Enterprise“-Seite liegen, z. B. in der TP-Link JetStream/Omada-Serie – normalerweise als Teil von 802.1X (auch bekannt als „WPA-Enterprise“ für Wi-Fi). Sicherlich nicht im TL-SG108E, der höchstens statische 802.1Q-Tag-basierte VLANs unterstützt.
Ich bin mit getaggten und ungetaggten Ports überfordert.
"Tagged" und "Untagged" gelten nicht für Ports. Stattdessen gelten sie fürjedes VLANan jedem Port – Sie hätten nicht nur eine einzelne Spalte wie in Ihrem Beispiel; Sie hätten eineMatrixdas beschreibt, welche Ports welche VLANs markiert haben. Das gleiche VLAN kann (und normalerweiseWille) auf dem OpnSense-Port „markiert“, auf einem anderen Port jedoch „unkmarkiert“ sein.
(Denken Sie daran, dass der Sinn des „Tagging“ darin besteht, einem einzelnen Port – wie dem, der zu Ihrem OpnSense-System führt – zu ermöglichen, mehrere VLANs gleichzeitig zu übertragen. Allerdings müssen Geräte das Tagging verstehen, daher ist es normalerweise die Aufgabe des Switches, getaggte VLANs von OpnSense zu empfangen und sie alsunmarkiertan den anderen Ports.)
Die Hälfte Ihrer Tabelle ist also sinnvoll, die andere Hälfte jedoch nicht. Sie benötigen zwei separate Tabellen: eine, dienurdie Zuweisungen von VLAN-IDs zu IP-Subnetzen (und möglicherweise zu OpnSense-Schnittstellen) und eine zweite Tabelle, die VLAN-Zuweisungen zu Switch-Ports beschreibt. Beispiel:
| Schnittstelle | VLAN-ID | IP | Anmerkungen |
|---|---|---|---|
| LAN | 1 | 192.168.1.1/24 | Dedizierter LAN-Verwaltungsport |
| BENUTZER | 2 | 192.168.10.1/24 | Kann auf alle anderen VLANs zugreifen |
| GAST | 3 | 192.168.20.1/24 | Hat keinen Zugriff auf andere VLANs |
| Internet der Dinge | 4 | 192.168.30.1/24 | Hat keinen Zugriff auf andere VLANs |
| IPCAM | 5 | 192.168.40.1/24 | Kein Internetzugang. Kann auf USER für NAS zugreifen |
| ARBEITEN | 6 | 192.168.50.1/24 | Hat keinen Zugriff auf andere VLANs |
Und:
| Port wechseln | VLAN 1 (LAN) |
VLAN 2 (Benutzer) |
VLAN 3 (GAST) |
VLAN 4 (IOT) |
VLAN 5 (IPCAM) |
VLAN 6 (ARBEIT) |
|---|---|---|---|---|---|---|
| 1 (OpnSense) | Unmarkiert | Markiert | Markiert | Markiert | Markiert | Markiert |
| 2 (Windows-PC) | - | Unmarkiert | – | – | – | - |
| 4 (IP-Kamera) | - | - | - | - | Unmarkiert | - |
| 5 (billiges generisches AP) | - | - | Unmarkiert | - | - | - |
| 6 (Multi-SSID-AP) | Unmarkiert | Markiert | Markiert | Markiert | - | - |
In diesem Beispiel sind die einzigen Ports, die über "getaggte" VLANs verfügen, diejenigen, die zu Geräten führen, dieverstehengetaggte VLANs (und diese können als vertrauenswürdig eingestuft werden). Alle anderen erhalten nur ein einziges ungetaggtes VLAN (auch als „Access Port“ bezeichnet).
Beispielsweise versteht OpnSense 802.1Q VLAN-Tags – jede „VLAN“-Schnittstelle entspricht einem Tag; dasselbe gilt für jedes Linux-Gerät. Andererseits können Windows-PCs getaggte VLANs im Allgemeinen nicht gut verarbeiten (es sei denn, sie führen Hyper-V aus).oderhaben eine Netzwerkkarte der „Serverklasse“ mit ihren schicken Treibern).
Wenn Ihr Switch eine „PVID“-Einstellung hat, muss die PVID jedes Ports mit der ID des ungetaggten VLAN auf diesem Port übereinstimmen, um Symmetrie zwischen gesendeten und empfangenen Paketen zu gewährleisten. (Wenn der Switch Pakete ohne VLAN-Tag empfängt, geht er davon aus, dass sie zum „PVID“-VLAN gehören – genau das Gegenteil vom Senden von Paketen aus dem „ungetaggten“ VLAN.)