4
Netzkonzept - HomeLab - SG300 - Opnsense - Ist das so ok?
Hallo,
aktuell bin ich am überlegen wie mein Netzwerk aussehen soll. Bis letze Woche lief die Fritzbox als DSL Router und der SG300 als L3 Switch (dhcp, einfache routen). Nun ist der Hypervisor dazu gekommen und ich wollte Opnsense mal testen.
Hardware:
- Fritzbox
- SG300
- Hypervisor Proxmox mit G4560, 16GB ECC, SSD und 4 Nics wovon 1 NIC ins Mgmt (Vlan1) geht.
VMs:
-Opnsense
-Openmediavault (NAS)
- weitere geplant
Am Wochenende gings dann los. Als erstes habe ich am SG300 3 Ports als Trunk mit LACP konfiguriert und gehe damit in den Hypervisor.Dort die 3 NICS eingerichtet als OVS Bound der in die OVS Bridge geht. VM erstellt mit 2 NICs. Einem NIC fürs WAN habe ich auf dem Hypervisor den TAG des Vlan (Internet) mit der Fritzbox gegeben und der andere NIC benutzt dann das untaggt Vlan1 aus dem Trunk (als mgmt Port). In Opnsense habe ich dann die VLANs erstellt. DHCP für fast alle Vlans aktiviert. System DNS und NTP auf die Fritzbox gelegt und erstmal "alles Erlaubt" Regeln erstellt.
Rückbau:
Sg300:
- DHCP deaktiviert
- Routen gelöscht
Vom Client cmd tracert:
1. IP von der FW
2. IP von der Fritzbox
3. .. weitere IPs
Es funktioniert soweit alles. Trotzdem habe ich das Gefühl das ich etwas vergessen habe ?
Da ich aktuelle noch am testen bin wollte ich den Switch noch nicht auf L2 umstellen, darum weitere Fragen, u.a. zum Rückbau:
1a. Da ich in jedem Vlan den DHCP Server habe brauche ich im SG300 DHCP Relay, Option 82 und das Snooping nicht aktivieren?
1b. Einen Serververweis auf den externen DHCP Server muss unter DHCP Relay auch nicht eingetragen werden? (pro Vlan ein DHCP)
1c. Muss ich die Schnittstelle LAG unter Bindings als vertrauenswürdig konfigurieren? (DHCP Snooping Binding Database; DHCP Trusted Ports)
1d. Kann ich die IP-Bereichs Definitionen der VLANs löschen oder benötige ich diese noch für den aktuellen Betrieb?
2. Die Fritzbox kann ich trotz Eintrag im Opnsense SystemDNS nicht per Name auflösen. Woran kann das liegen?
3. Ich habe eine Testfile runtergeladen und die CPU Auslastung auf dem Hypervisor ist recht hoch. Hier muss ich sicherlich noch optimieren.
4. Ist das Konzept so ok?
aktuell bin ich am überlegen wie mein Netzwerk aussehen soll. Bis letze Woche lief die Fritzbox als DSL Router und der SG300 als L3 Switch (dhcp, einfache routen). Nun ist der Hypervisor dazu gekommen und ich wollte Opnsense mal testen.
Hardware:
- Fritzbox
- SG300
- Hypervisor Proxmox mit G4560, 16GB ECC, SSD und 4 Nics wovon 1 NIC ins Mgmt (Vlan1) geht.
VMs:
-Opnsense
-Openmediavault (NAS)
- weitere geplant
Am Wochenende gings dann los. Als erstes habe ich am SG300 3 Ports als Trunk mit LACP konfiguriert und gehe damit in den Hypervisor.Dort die 3 NICS eingerichtet als OVS Bound der in die OVS Bridge geht. VM erstellt mit 2 NICs. Einem NIC fürs WAN habe ich auf dem Hypervisor den TAG des Vlan (Internet) mit der Fritzbox gegeben und der andere NIC benutzt dann das untaggt Vlan1 aus dem Trunk (als mgmt Port). In Opnsense habe ich dann die VLANs erstellt. DHCP für fast alle Vlans aktiviert. System DNS und NTP auf die Fritzbox gelegt und erstmal "alles Erlaubt" Regeln erstellt.
Rückbau:
Sg300:
- DHCP deaktiviert
- Routen gelöscht
Vom Client cmd tracert:
1. IP von der FW
2. IP von der Fritzbox
3. .. weitere IPs
Es funktioniert soweit alles. Trotzdem habe ich das Gefühl das ich etwas vergessen habe ?
Da ich aktuelle noch am testen bin wollte ich den Switch noch nicht auf L2 umstellen, darum weitere Fragen, u.a. zum Rückbau:
1a. Da ich in jedem Vlan den DHCP Server habe brauche ich im SG300 DHCP Relay, Option 82 und das Snooping nicht aktivieren?
1b. Einen Serververweis auf den externen DHCP Server muss unter DHCP Relay auch nicht eingetragen werden? (pro Vlan ein DHCP)
1c. Muss ich die Schnittstelle LAG unter Bindings als vertrauenswürdig konfigurieren? (DHCP Snooping Binding Database; DHCP Trusted Ports)
1d. Kann ich die IP-Bereichs Definitionen der VLANs löschen oder benötige ich diese noch für den aktuellen Betrieb?
2. Die Fritzbox kann ich trotz Eintrag im Opnsense SystemDNS nicht per Name auflösen. Woran kann das liegen?
3. Ich habe eine Testfile runtergeladen und die CPU Auslastung auf dem Hypervisor ist recht hoch. Hier muss ich sicherlich noch optimieren.
4. Ist das Konzept so ok?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 373771
Url: https://administrator.de/contentid/373771
Printed on: April 19, 2024 at 20:04 o'clock
4 Comments
Latest comment
1a.)
Ja
1b.)
Ja. Wenn die FW DHCP in jedem VLAN spielt benötigst du logischerweise keinerlei DHCP Konfigs mehr.
1c.)
Kann man machen. Macht das netzwerk sicherer, da mit DHCP Snooping keine fremden DHCPs dir mehr dazwischenfunken können.
1d.)
Kannst du löschen
2.)
Nur den Hostnamen oder auch den kompletten Domain Namen. Bedenke das .local wegen mDNS Tabu ist !
3.)
Sehr wahrscheinlich...
4.)
Jein !
Knackpunkt ist das man niemals eine Firewall in einem Hypervisor betreiben sollte !
Das ist hier im Forum schon mehrfach diskutiert.
Zum einen ist es immer das Performance Problem, zum anderen die Sicherheit. Bricht dort mal jemand aus liegt ihm das Netzwerk zu Füßen.
Eine Firewall gehört deshalb IMMER auf ein dediziertes Blech wie z.B. ein APU:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Ja
1b.)
Ja. Wenn die FW DHCP in jedem VLAN spielt benötigst du logischerweise keinerlei DHCP Konfigs mehr.
1c.)
Kann man machen. Macht das netzwerk sicherer, da mit DHCP Snooping keine fremden DHCPs dir mehr dazwischenfunken können.
1d.)
Kannst du löschen
2.)
Nur den Hostnamen oder auch den kompletten Domain Namen. Bedenke das .local wegen mDNS Tabu ist !
3.)
Sehr wahrscheinlich...
4.)
Jein !
Knackpunkt ist das man niemals eine Firewall in einem Hypervisor betreiben sollte !
Das ist hier im Forum schon mehrfach diskutiert.
Zum einen ist es immer das Performance Problem, zum anderen die Sicherheit. Bricht dort mal jemand aus liegt ihm das Netzwerk zu Füßen.
Eine Firewall gehört deshalb IMMER auf ein dediziertes Blech wie z.B. ein APU:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
1
Zitat von @aqui:
Knackpunkt ist das man niemals eine Firewall in einem Hypervisor betreiben sollte !
Das ist hier im Forum schon mehrfach diskutiert.
Knackpunkt ist das man niemals eine Firewall in einem Hypervisor betreiben sollte !
Das ist hier im Forum schon mehrfach diskutiert.
Ahoi ...
Weitgehend konform mit @aqui ...
Der Punkt ob eine FW virtualisiert betrieben werden sollte ... ist durchaus ein kontovers geführter Dialog ...
Ich denke grundsätzlich kann man das machen ...
Allerdings lehren uns Spectre und co. das die CPU allein schon eine Gefahr darstellen kann ...
Ich würde eher an die praktischen Dinge denken wollen .. sofern die Schnittstellen lediglich virtualisert existieren spricht auf jeden Fall die Performance dagegen, zudem kollabiert das gesamte Netzwerk mit dem Ausfall des Hypervisors. Diesen Zustand würde ich zumindest vermeiden wollen ... selbst wenn es nur kurzfristig zur Wartung sein sollte.
Wen du mit mehreren VLAN's arbeitest ist es auch nicht performant alle auf der FW anzulegen ... in den meisten Umgebungen sollte es reichen den Weg ins Internet und spezielle Netzsegmente (DMZ) in der FW abzusichern ... der Rest läuft auf dem Switch deutlich besser.
Happy Day ...
1
Ausfallzeiten wären für mich ok. Zur Not spiele ich die alte Konfig vom SG300 wieder drauf. Verkabelung ist gleich geblieben.
Ich denke eine Option wäre halt die NICs komplett durchzureichen. (Sollte das Performance-Problem stark abmildern)
Alternativ??? Wie würdest du das Netz mit der oben genannten Hardware/VM aufbauen? Ich bin da aktuell Ideenlos.
Vlans:
1 Mgmt
10 Inet
20 DMZ
30 Servernetz
40 SatIP #dhcp
50 Drucker #dhcp
70 EG #dhcp
80 OG #dhcp
90 Gast #dhcp
EDIT: Schön ist es schon alles zentral zu haben.
Ich denke eine Option wäre halt die NICs komplett durchzureichen. (Sollte das Performance-Problem stark abmildern)
Alternativ??? Wie würdest du das Netz mit der oben genannten Hardware/VM aufbauen? Ich bin da aktuell Ideenlos.
Vlans:
1 Mgmt
10 Inet
20 DMZ
30 Servernetz
40 SatIP #dhcp
50 Drucker #dhcp
70 EG #dhcp
80 OG #dhcp
90 Gast #dhcp
EDIT: Schön ist es schon alles zentral zu haben.
So könnte man das machen.... Ist ja mehr oder minder Geschmackssache wie stark man segmentieren will.
