Wohnungs-Netzwerk planen mit PowerLAN als 'Verlängerung' und VLANS

[Ole-Netz]

Ich versuche mein Heimnetz neu auszubauen. Mein altes war der erste Versuch mit APU2 (mit interner 2.4GHz WLAN Karte) und pfsense und einem Switch Zyxel GS1900-24E. Inzwischen ist es technisch veraltet und Support ist auch nicht mehr da. Da ich in einer Mietwohnung wohne, kann ich vom einem Ende der Wohnung mit dem Kabelanschluss nicht so einfach Catx Kabel/Glasfaser in das andere Ende der Wohnung legen. Daher habe ich PowerLAN mit Devolo Mesh Wifi 2 zum überbrücken derzeit.


Aktuell habe ich eine APU4C4 (gekauft zu Corona Zeiten, eigentlich auch obsolete, aber das ist ein andere Thread) mit OPNsense 26.1, ein Cisco SG200-08 (auch EOL) und ein Ubiquiti UniFi AP AC Lite mit OpenWrt 24.10 geflascht und ein Mini-Netz zum Testen aufgebaut, was so recht gut funktioniert. Ich konnte via WLAN im User VLAN Netz schon mal surfen



Später soll die APU2D4 mit pfsense rausfliegen, ersetzt durch die APU4C4. Der Zyxel GS1900 soll bleiben, den Cisco SG200 nehme ich nur zum testen.

Jetzt ist es etwas konkretes mit Anforderungen geplant. Kopfzerbrechen bereitet mir das PowerLAN, da hier mein „Arbeitszimmer“ und ein Kinderzimmer angeschlossen sind. VLAN scheinen die Dinger ja nicht zu unterstützen, wenn sie auch anscheinend die 802.1Q Frames unverändert durchlassen, was ich so gelesen habe. OpenWRT scheint jedoch nicht darauf so einfach zu gehen (bin mir nicht schlüssig bzgl. first-class-citizen). An meinem PC sollte ich das Netz administrieren können, was dann ja wohl über eine spezielle Firewall und der MAC gehen könnte. Der Schul-PC aus dem Kinder Zimmer wäre dann in einem anderen User/Office LAN. Aber was ist mit der PS5. Meine Kids wollen auch gegeneinander/miteinander spielen, daher ist ein eigenes Gamer-(V)LAN wohl auch sinnvoll. Und da bin ich wieder mit dem PowerLAN …

Was ich mir bisher so vorgestellt habe:

Parent	VLAN ID	Interface	Name	Netzwerk	Devices like …	WLAN	LAN Cable
lagg0	1​	LAGG0_VLAN 1 (MGMT)	MGMT_LAN	192.168.5.0/24	Webinterface Switch/OPNsense/OpenWRT		x​
lagg0	10​	LAGG0_VLAN 10 (USER)	USER_LAN	192.168.10.0/24			x​
lagg0	20​	LAGG0_VLAN 20 (USER)	USER_NET	192.168.20.0/24		x​
lagg0	30​	LAGG0_VLAN 30 (IoT)	IOT_NET	192.168.30.0/24		x​
lagg0	40​	LAGG0_VLAN 40 (GUEST)	GUEST_NET	192.168.40.0/24		x​
lagg0	50​	LAGG0_VLAN 50 (GAME)	GAMING_NET	192.168.50.0/24	Kid’s PS5	x​	x​
lagg0	80​	LAGG0_VLAN80 (Server)	SRV_LAN	192.168.80.0/24	Internal Server (NAS etc.)		x​
lagg0	90​	LAGG0_VLAN90 (DMZ)	DMZ_LAN	192.168.90.0/24	WAN Server		x​

So wie ich das verstanden habe, muss bei FreeBSD/OPNsense der LAGG alle VLANs nehmen, ein Mix aus Tagged/Untagged geht nicht. Damit ist auch das MGMT_LAN tagged. Das „klassische“ LAN mit den Web Konfig-UI wollte ich als Fail-Safe auf igb0 an der OPNsense lassen. Ich habe mich schon oft genug dort ausgesperrt. Der Switch muss es dann also „richten“.

Wie würdet Ihr das nun lösen?

 

[Besser]

Richtig coole Ausarbeitung, aber ich möchte dich soweit schonmal vorwarnen :
Allem Anschein nach sieht das Forum hier größtenteils - genauso wie ich - PowerLAN sehr skeptisch gegenüber. Um nicht zu sagen, feindlich Und ich find das nicht verkehrt.

Die flachen Cat6 von z.B. Schwaiger eigenen sich für viele Fußleisteninstallationen. Hast du dir die schonmal angeschaut?
Alles andere was du da machst und planst find ich superb

 

[the other]

Moinsen,
ich habe hier vor einigen Jahren mit pfsense (statt opnsense, aber egal) auf einem Apu Board begonnen. Das lief auch gut, wie bei dir...
Du planst jetzt:

Später soll die APU2D4 mit pfsense rausfliegen, ersetzt durch die APU4C4. Der Zyxel GS1900 soll bleiben, den Cisco SG200 nehme ich nur zum testen.

Dazu kurz angemerkt: der offizielle support ist vorbei...für den Betrieb von Apu mal überdenken, denn die sind afaik EoL. Schau hier dazu: https://forum.heimnetz.de/threads/pfsense-communityedition-release-candidate-2-8.6853/.

Auch der cisco ist EoL. Hier habe ich auch 2 der kleinen cisco SG (250 und 350) laufen, trotzt eol. Als Router aber würde ich dir da doch eher etwas aktuelleres ans Herz legen (protectli, oder statt APU diese: https://www.ipu-system.de/).

Die sind nicht so alt, etwas potenter und daher ggf etwas besser geeignet.

PowerLAN (nie selber genutzt) ist wohl eher bäh und igitt, ja. Ein eigenes VLAN für die Kids (da dann auch zum Zocken) biete sich imho eh an.

 

[the other]

Moinsen,
nur noch ein, zwei ganz kleine Anmerkungen zu deinem VLAN Plan:
"best practice" ist es eigentlich bei tagged VLANs (also nach IEEE 802.1Q) soweit ich weiß, dass das VLAN 1 komplett frei bleibt von eigenem Traffic. Warum? Hier laufen meist die "internen" netzwerkbezogenen Kommunikationen zwischen den Geräten, das sollte frei bleiben von eigenem Datenverkehr (ist aber sicherlich im Homelab etwas zu relativieren ).

Ich habe mir für den Zugriff auf die jeweiligen Anmeldeseiten (firewall, switch) ein eigenen VLAN angelegt, da sind dann die Zugänge je drüber möglich für Konfiguration usw (sowohl per http /https als auch ssh). Mein VLAN 1 ist daher komplett "leer". Da der cisco das bietet, habe ich hier auch das native VLAN (nicht dasselbe wie das default VLAN bei cisco) in ein "Nirvana"-VLAN gelegt...sollte sich mal jemand einfach so mit LAN Kabel an einer Wanddose hier zu schaffen machen, dann landet das Gerät in VLAN 666 (der virtuellen Hölle, keine Verbindung nach nirgendwo). Das kann aber der etwas einfacherer Zyxel switch nicht soweit mir bekannt (meiner hier jedenfalls nicht)...ist aber ebenfalls im Homelab reine Spielerei, wenn du mich fragst).

Das hier:

So wie ich das verstanden habe, muss bei FreeBSD/OPNsense der LAGG alle VLANs nehmen, ein Mix aus Tagged/Untagged geht nicht. Damit ist auch das MGMT_LAN tagged.

verstehe ich erstmal so nicht...ein LAGG wird doch in der Theorie einfach wie ein "normales" Interface behandelt, sollte dann also auch tagged / untagged können. Denn bei tagged VLANs braucht es doch immer das eine Transport VLAN (default VLAN, meist VLAN 1, das dann eben untagged zum Router / anderen switch übertragen wird, während die anderen (produktiven) VLANs dann ja dort tagged sind. Untagged ja dann je nur an den Access Ports die direkten Verbindungen zu den (meist nicht selbst VLAN-fähigen) Geräten (PC, NAS).
Oder habe ich da was falsch verstanden?

Zu dem Bild im ANhang noch gefragt:
TRUNK zu deinem PC (zwischen switch und PC)....warum? Ich hätte da jetzt eher ganz normal einen Access Port eingerichtet (untagged oder (kann ubuntu ja) ggf auch tagged...
Um mich nicht auszusperren habe ich ebenfalls a) eine anti-lockout rule für MEINEN PC auf dem Interface fürs Heimnetz (mit den VLANs) und zusätzlich ein (sonst nicht benutztes) IF am pfsense host selber so eningerichtet, dass ich da immer dran komme. Der pfsense client steht eh verschlossen im Netzwerkschrank. Kommt also sonst keiner einfach so dran.

Hier ist einfach alles via tagged VLANs eingerichtet. Ach, eine Frage noch: angenommen, PowerLAN fällt als Idee weg...wofür der openWRT extra Router?

 

[Cephalopod]

Daher habe ich PowerLAN mit Devolo Mesh Wifi 2 zum überbrücken derzeit.

Sorry, aber damit verhunzt du dir dein komplettes, an und für sich sehr ordentliches Setup.
Dann doch lieber versuchen mit WLAN Richtfunkantennen zu testen.
Goldstandard ist das Kabel.