Einrichtung von VLAN mit KVM/pfSense/TP-Link EAP220/Netgear GS108E

(C) 107er BLOG

Unser Netzwerk zu Hause soll ein VLAN bekommen, um vorrangig ein Gäste WLAN zu bekommen, und damit ich mich in die Materie von VLANs einarbeite. Hier meine Erfahrungen beim Einrichten …

Aufbau

Netzwerk

Hier eine kurze Beschreibung des physischen Aufbaus unseres Netzwerks.

  • Firewall: pfSense, läuft als VM Guest auf einem UBUNTU Server
  • Switch: 2x Netgear GS108E V3
  • Access Point: 1x TP-Link EAP220

VLAN

Hier eine Übersicht über den geplanten VLAN Aufbau in der Endstufe. Es soll 4 VLANs geben

  • VLAN MAIN, ID 10
    Unsere Laptops, PCs, NAS, Server, Mobile Phones und Tablets sollen hier zu finden sein.
    IP: 192.168.0.0
    Internet Access, soll alle anderen VLANs erreichen
  • VLAN MEDIA, ID 20 (noch nicht realisiert)
    Ist vorallem für die Streaming Clients gedacht.
    IP: 192.168.1.0
    Internet Access,  Zugriff auf andere Devices im MEDIA-VLAN und soll Synology Server erreichen
  • VLAN IOT, ID 30 (noch nicht realisiert)
    Ist für die bereits vorhandenen Steckdosen gedacht, und für weitere IOT Devices die in der Zukunft vielleicht noch dazu kommen werden.
    IP: 192.168.10.0
    Internet Access, Zugriff auf andere Geräte im IOT-VLAN
  • VLAN GUEST, ID 40
    Ist für unsere Gäste gedacht, die ins Internet wollen, aber keinen Zugriff auf die restliche Infrastruktur brauchen.
    IP: 192.168.11.0
    Internet Access

KVM konfigurieren

Mit KVM gibt es keine Probleme. Bei mir hat die VM von pfsense 2 virtuelle Netzwerkkarten, die auf 2 physische Netzwerkkarten gebridged sind.

  • virtuelle WAN-Netzwerkkarte:
  • virtuelle LAN-Netzwerkkarte:

Firewall pfSense konfigurieren

VLAN erstellen

Auf der Firewall pfSense ein VLAN einzurichten ist kein großes Problem. Dazu gibt es unzählige ToDo’s, die man auf Google finden kann. Hier eine grobe Beschreibung:

  1. Interfaces -> Assign -> VLAN
  2. ADD – Button
    • Parent Interface: LAN Interface auswählen
    • VLAN-Tag: je nach Wunsch, zb. 10
    • Description: Beschreibung
  3. Interfaces -> Assign -> Interface Assignments
    1. Available network ports: VLAN auswählen
    2. ADD – Button
  4. Hinzugefügtes VLAN auswählen (Namen klicken)
    • Enabled: True
    • Decription: Name vergeben
    • IPv4 Type: Static IP
    • IPv4 Address: IP Adresse für den Gateway im VLAN vergeben, bei mir im VLAN Media 192.168.1.100
    • Mask auf 24 stellen, sonst ist kein DHCP möglich

DHCP einrichten

Unter dem Service „DHCP Server“ ist für jedes angelegte und aktivierte VLAN ein TAB hinzugekommen. Sollte das VLAN fehlen, obwohl es aktiviert ist, dann schauen, ob unter Mask 24 eingetragen ist. Unter den VLAN TAB müssen folgende Daten eingetragen werden, damit DHCP  funktioniert

  • Enabled: True
  • IP-Adressbereich eintragen der zum Verteilen vorgesehen ist.
    Range: 192.168.1.110 – 192.168.1.190
  • DNS eintragen: 192.168.1.100
  • Gateway eintragen: 192.168.1.100

Firewall Rules anlegen

  • Protocol IPv4 *,  Allow,any, any, any,any,any -> damit sollte DHCP funktioniert
  • Protocol IPv4 TCP/UDP, Allow,any, any, any,any,any -> damit sollte der Zugriff auf das Gateway/DNS/Netzerk und ggf. Internet möglich ist.
  • Protocol IPv4 *, Block,Source VLAN,any, Destination VLAN,any,any -> um Devices den Zugriff auf andere VLANs zu unterbinden.

Switch Netgear GS108E konfigurieren

Je nachdem, in welches VLAN das angehängte Device soll, muss die VLANID eingetragen werden. Folgende Ports müssen mit „all“ gekennzeichnet werden:

  • Port zum Host Server
  • Port zum Synology NAS
  • Port zum Access Point
  • Port zum 2ten Netgear GS108E

Access Point TP-Link EAP220 konfigurieren

Über die Einrichtung des TP-Link EAP220 und die Probleme, die ich gehabt habe, möchte ich auf den Eintrag Ehrfahrung bei der Einrichtung und Abdeckung des TP-Link EAP220 verweisen, und kann dort nachgelesen werden.

UDP Broadcast zwischen VLANs

Trotz mehrere Versuche habe ich das leider nicht geschafft. Eine Verbindung über die Panasonic App auf meine ALLPlay Geräte vom Haupt-VLAN ins MEDIA-VLAN war leider nicht möglich. Und um meine Stereo Anlage zu steuern immer das WLAN zu wechseln war mir dann doch zu mühsam. Deswegen sind die VLANs für IOT, MEDIA noch nicht realisiert.

Probleme

Client bekommt von DHCP keine IP-Adresse zugewiesen

Das Problem bei mir war, dass ich den Port am Switch zum Host-Server nicht mit VLANID „all“ markiert habe. Deshalb wurde der Server und damit der DHCP Service für das VLAN nicht erreicht.

DHCP funktioniert, aber Ping mit Gateway nicht möglich, kein Internet.

Das Problem scheint gewesen zu sein, dass pfSense bei Protocol „any“ einen extra Eintrag für TCP/UDP braucht. Legt man auch dafür eine Firewall-Rule an, dann kann man das Gateway pingen und hat Internet.

 

Alle Angaben ohne Gewähr!

 

Einen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.


*


70 + = 73