Umstellung Interface LAN auf VLAN - Regelportierung?

F

Fidibus

Active member
Moin,
nun komme ich nicht mehr umhin, ich muss nun auch zu Hause VLAN's einführen.
Ich möchte dazu an der pfsense (protectli FW4C) das LAN Interface umkonfigurieren.
Nun habe ich auf dem LAN Interface ein Haufen Regeln aktiv.
Ich erwarte, dass es nach dem Konfigurieren der VLAN's unter dem LAN-IF keinen echten Zugriff mehr auf das Regelwerk des LAN-IF gibt oder gar eine Portierung des Regelwerks auf ein VLAN meiner Wahl geht.
Ich habe im Moment keine Vorstellung, wie das Umkonfigurieren ohne großen Aufwand machen kann.
Hat einer 'ne Idee?
 
Moinsen,
ich würde da zunächst gar nicht so viel umändern...
LAN belassen, dann die VLANs einrichten (LAN als tragendes Netz).
Für diese wirst du dann eh alles neu zurecht zerren müssen, da default Regel "alles blocken" gilt und du ja verkehr zwischen den VLANs mit Regeln individuell einrichten musst.

Sollte eigentlich alles recht gut umzusetzen sein.
 
Moin,
danke für deine aufmunternden Worte ;).
Ich interpretiere das mal so:
Wenn ich das IF LAN mit VLANs belege, bleibt erst einmal alles am Funktionieren, da LAN mit VLAN Id 1 als default und normal nicht unbedingt zu verwenden versehen wird?
Allle "zusätzlich" konfigurierten VLANs mit anderen Id's tauchen in der Firewall erst ein mal als leere IF auf?
Im DHCP können jeweils die vorgesehen Netzbereiche den VLAN-ID-IF's die IP-Adressen bereitstellen.
Dann ist klar, wie schrittweise migriert werden kann.
Für micht essentiell die Frage - ist das so, dass LAN funktional bleibt.
Irgendwann muss ich dann ja auch trunk konfigirieren oder ist das bereits mit dem Konfigurieren der VLANs "erledingt"?
 
Moinsen,
öhm, du "belegst" da eigentlich nicht LAN...
Vielmehr setzt du neue Interfaces an, davor eben die VLANs.
Alles unter Interfaces > VLANs. Dazu eben dann die neuen VLANs einem (idR dem LAN Interface) zuteilen.
Die VLANs "sitzen" dann auf dem LAN Interface (dies trägt die VLANs)...
Einfach mal die VLANs anlegen, dann Interface zuteilen und berichten, wenn es nicht gelingen mag. ;)
 
Zuletzt bearbeitet:
Moinsen,
ergänzend zu deinen Fragen:
Fidibus schrieb:
Allle "zusätzlich" konfigurierten VLANs mit anderen Id's tauchen in der Firewall erst ein mal als leere IF auf?
Zum Vergrößern anklicken....
Du legst erst die VLANs mit ID usw an, das hat zunächst nichts mit den Intefaces zu tun.
Sagen wir dein LAN ist auf ix0 Interface. Die VLANs sind angelegt. Jetzt weist du ein neues Interface zu als parentinterface eben mit ix0, legst da dann das jeweilige VLAN drauf und benennst es.

Fidibus schrieb:
Für micht essentiell die Frage - ist das so, dass LAN funktional bleibt.
Zum Vergrößern anklicken....
Ja, an dem Interface änderst du ja nix, du erstellst lediglich neue "opt1, 2, ..." Interfaces. Die allerdings musst du dann mit Regeln einrichten, denn default funktioniert nur auf dem LAN interface alles out of the box. Für weitere Interfaces gilt dagegen zunächst DENY ALL.

Und zum Trunk Port: das ist der Pfsense zunächst völlig egal. Das wird am switch eingestellt. :)
 
Moin,
danke, ich glaube meine Frage aus deinen Ausführungen beantwortet zu sehen.
Meine Befürchtung war, dass mit dem Zuweisen von VLANs auf das IF LAN genau das native LAN sozusagen weg ist.
Ich werde berichten!
 
Fidibus schrieb:
Wenn ich das IF LAN mit VLANs belege, bleibt erst einmal alles am Funktionieren, da LAN mit VLAN Id 1 als default und normal nicht unbedingt zu verwenden versehen wird?
Zum Vergrößern anklicken....
Das ist ja auch Sinn und Zweck von VLANs, ansonsten könntest Du ja auch alles über physikalische Netzwerk-Erweiterungen abbilden. So geht es primär darum, dass über eine "vorhandene" physikalische Infrastruktur diverses abgebildet werden kann. Meine Firewall privat hat z.B. nur 2 Ports (WAN+LAN). Auf dem LAN-Interface sind etliche VLANs. Teilen sich natürlich die maximale Geschwindigkeit des physikalischen Ports, insbesondere bei Traffic zwischen den einzelnen internen VLANs, was für mich privat aber vollkommen ausreicht.
 
Moinsen,
DAS
blurrrr schrieb:
Auf dem LAN-Interface sind etliche VLANs. Teilen sich natürlich die maximale Geschwindigkeit des physikalischen Ports, insbesondere bei Traffic zwischen den einzelnen internen VLANs,
Zum Vergrößern anklicken....
war für mich auch ein Grund, die pfsense hardware aufzurüsten. Der Trunk zum switch läuft jetzt auf 10 Gbit SPF+...
Hab ich schon gesagt, dass mein 2. Vorname "Overkill" lautet?
Hat zwar vorher bei 1 Gbit auch nie gestört, aber hey...haben statt brauchen und so.
🤪
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 161 (Mitglieder: 2, Gäste: 159)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.608
Beiträge
63.452
Mitglieder
6.852
Neuestes Mitglied
samzorn

Teilen

Zurück
Oben