Pfsense Lan adapter als Switch?!?

[Toby-ch]

Hallo zusammen
Ich Habe mich doch für Pfsense entschieden.
Hardware:
HP Pro Desk 600 G1 SSF
CPU Intel i5 4590
Ram 8GB
SSD 120GB
zusätzlicher Landadapter: Delock PCI-E 4x Intel i350 Chipset Datenblatt
Mit 4 zusätzlichen Ports. Vom system wird sie auch erkannt.
Nur wie konfiguriere ich dies nun, das die Ports über den selben DHCP laufen.
Die restlichen 3 kann ich einzel konfigurieren mit einem anderen DCHP, dies möchte ich nicht alle 3 sollten über den selben DCHP laufen....

Besten dank für eure Hilfe..

 

[Raijin]

Eventuell geht das gar nicht. 4 LAN-Ports ist nicht gleichbedeutend mit 4-Port-Switch. Ein Switch benötigt explizit aktive Komponenten, die eben das tun was ein Switch tut. Sind diese nicht vorhanden, kann man nur über das Betriebssystem die Ports bridgen. Das hat allerdings einen entscheidenden Nachteil: Niedrigere Performance. Wenn das Betriebssystem bridged, muss es gewissermaßen in Software switchen und das klappt je nach Leistung des Systems eben nicht mit vollen 1 Gbit/s auf allen Ports.

PfSense ist ein Firewall-/Routing-OS. Auch wenn man es von Fritzbox und Co gewöhnt ist, dass da gleich ein 4-Port-Switch integriert ist, kann man das getrost in die Ecke der All-In-One-Geräte stellen. Ein(e) dedizierte Firewall/Router hat x separate Schnittstellen, an denen jeweils ein eigenes Netzwerk hängt. Die Verteilung der Netzwerke wird dahinter über einen 08/15 oder ggfs auch über einen (smart)managed Switch geregelt, nicht jedoch von der Firewall selbst.

 

[BFF]

@Toby-ch
Das koennte vielleicht gehen, wenn Du die Ports zu einen "Trunk" verbindest.
Musst mal nachlesen in der Doku zu pfsense.

Was willst Du eigentlich erreichen? Einen Switch einsparen?

BFF

 

[Sebbi]

Einen Switch einsparen?

Da wäre er mit nen echten managementbaren Switch besser beraten ... verbraucht weniger Strom und entsprechend schnell. Außerdem besser zu konfigurieren.

 

[RalphS]

Wie ist das Teil denn angebunden?
Zunächst ist erstmal jeweils "in"-Port und ein "out"-Port zwingend.
Mit DMZ wären's dann drei (in, out, dmz).

Kommen die vier Ports also irgendwie dazu? Oder hat die FW-Maschine diese vier Ports insgesamt?

Ich geh mal davon aus, daß

• OUT am Internet hängt
• IN am LAN hängt
• evtl NAS in der DMZ hängt

in welchem Fall

• Ein Port draufgeht für OUT, Internet ist eh die langsamste Verbindung, die anliegt
• Ein Port draufgeht für DMZ, wenn Du in irgendeiner Form Zugriffe aus dem Internet erlauben willst. Einen passenden Switch brauchst Du, wenn da mehr als ein Gerät in die DMZ gesteckt werden soll.
• zu fragen ist, wie groß das Datenaufkommen am IN-Port wird. Eventuell kann da ein Linkaggregat sinnvoll sein. Dann würdest Du zwei (mit DMZ) oder alle drei Ports (ohne DMZ) mit einem Switch verbinden (welcher Link Aggregation in Loadbalance-Konfiguration versteht) und da dann die LAN-Geräte hängen.

Jetzt kenn ich PFSense nicht, aber möglicherweise kann man da einen Managementport einrichten, über den die FW verwaltbar sein soll. Das wäre dann der vierte Port, welcher entweder direkt mit dem "Verwalt-PC" verbunden wird oder, wenn es noch andere "Management Ports" irgendwo geben sollte, noch nen Switch dran und da dann die Management Ports damit verbinden (=> Management Netzwerk). Dieses darf dann natürlich keinen Zugriff auf irgendwas kriegen, weder auf die anderen Clients noch aufs Internet.

 

[Toby-ch]

@Sebbi
Ja eigentlich war es die Idee... Die Netgate Boxen haben ja auch mehr als zwei Ports ? Nja ich möchte eigentlich auch VLANś machen und da könnte ich theoretisch mein Homlab an einen einzigen Port hängen. Und die Sache ist vom Haupt lan getrennt. Ich glaube ich mache einmal Zeichnungen wie ich es mir vorgestellt habe, und wie ich es jetzt umsetze...

@RalphS
Hier ein Foto vom Bios:

I217-LM ist der Onboard Adapter.
Die i350-T4 ist die zusätzliche Lankarte.
Und einen von den ist „ LAN“

 

[Raijin]

Wenn man ausreichend separate LAN-Schnittstellen an der Firewall hat, benötigt man dort keine VLANs, sondern kann diese dann erst in den folgenden Switches / Access Points bilden. VLANs benötigt man am Router/Firewall nur dann, wenn eben nicht genug separate Schnittstellen zur Verfügung stehen oder nicht ausreichend verkabelt wurde und man so gezwungenermaßen mehrere Subnetze über ein und dasselbe Kabel laufen lassen muss --> VLANs.

Eine übliche Hardware-Firewall mit pfSense und Co hat in der Regel nur 3 LAN-Schnittstellen. 1x WAN, 1x LAN und 1x DMZ/Gast. Ein Switch ist in so einer Konfguration in der Firewall selbst nicht vorgesehen, da es sich um eine (semi)professionelle Firewall handelt und die ist per Definition das Gegenteil von einer eierlegenden Wollmilchsau wie ein Heimrouter mit Switch, WLAN-AP, Medienserver, Telefonanlage, Druckerserver und und und.

Sofern sich die besagte LAN-Karte mit 4 Ports also nicht explizit als Switch konfigurieren lässt und dafür die entsprechende Hardware an Bord hat, hast du nun also eine pfSense-Firewall mit 5 Schnittstellen, 1x onboard und 4x auf der separaten LAN-Karte. Damit kannst du also das besagte Standard-Szenario mit 1x WAN, 1x LAN, 1x DMZ/Gast bedienen sowie zwei zusätzliche Netzwerke erstellen wie zB 1x Büro und 1x IoT.

Es mag sein, dass pfSense auch die Möglichkeit bietet, mehrere Schnittstellen zu einer Bridge zusammenzufügen. Dazu kenne ich mich speziell mit pfSense leider zu wenig aus, möglich wäre es aber grundsätzlich. Wie oben beschrieben kann das aber massiven Einfluss auf die Performance haben, da das gewissermaßen nur ein fake-Switch ist, wenn man das so ausdrücken möchte. Bei einem Hardware-Switch gehen die Daten direkt von einem Port zum anderen, in Hardware. Das heißt, dass zB eine Fritzbox gar nicht merkt wer mit wem über ihren internen Switch redet bzw. was dort beredet wird. Werden die Ports hingegen gebridged, werden die Pakete aktiv vom Betriebssystem von einem Port zum anderen geschaufelt, in Software => lahm.

Nur mal so: Es ist daher gar nicht so unüblich, dass professionelle Router/Firewalls sogar 8 separate LAN-Schnittstellen haben, die nicht geswitcht sind. Switchen ist Aufgabe der nachfolgenden Switches.

 

[Toby-ch]

@Raijin
Danke für deine ausführliche Antwort
Der ist meinem "baugleich" ( 1 Lan Port mehr) SG-5100 with TNSR Business
Ich vermute einmal PFsense verwaltet Onboard und zusätzliche Karten anders.
Ich erstelle mal eine Zeichnung wie ich es gerne umsetzten möchte...

 

[Toby-ch]

So nun habe ich mal meine Lan Grob gezeichnet...

Erläuterung:
OPT1 Klar ist ein 2. DHCP in einem anderen Adressbereich.
LAN : ich weis der Adressebreich ist zu gross wird angepasst. War gedacht um zu sortieren klappte aber nicht
? Ja das wäre mein WLAN hängt jetzt direkt am Router-Switch. dies werde ich vermutlich Umpatchen, alles andere wird zu aufwändig, den ich muss vom WLAN zugriff auf alle Clients ua. auch meine Synology haben.
PIHole der wäre auch noch bereit, theoretisch würde ich den im No DHCP Bereich einbinden also LAN: 192.168.0.1/ Wlan 192.168.0.2 ) dieser würde beim PFSENSE den DNS 1/2 darstellen. wen dies so geht.

Welche Pakete müssen noch installiert werden, bzw welche zusätzlichen Pakete sind zu empfehlen ?

 

[Sebbi]

also ganz ehrlich, alles was über OPT1 läuft, solltest du mit festen IPs machen, DHCP macht da wenig sinn, da das offensichtlich Server sein sollen, die sollten nicht per DHCP arbeiten.

außerdem kannst du bei dieser Konfig Perfomence Probleme bei der PFSense erwarten.

ich weiß nicht inwieweit die Cisco SG200 konfiguriertbar sind, aber wenn dann würde ich den oberen (HOM LAB) mit der PFSense verbinden (eigener IP Bereich) und über diesen ins 0er und 132er routen. Dazu den dann mit dem SG200-2 direkt verbinden. Die Duale verbindung zwischen SG200-1 und SG200-2 macht auch irgendwie keinen Sinn, da du zu PFSene auch keinen Duallink oder schnellere Verbindung hast.


Bitte einmal eine genaue Erläuterung machen, was du ganz genau haben willst, gerade bei dem ?.
Wie soll was auf anderes Zeug zugreifen können, was soll im einen DMZ und oder vom Internet aus erreichbar sein usw.
Zeichne deine Synology, am besten erstelle am besten eine Liste aller festen Netzwerkgeräte mit den oben genannten Anforderungen

BeispielSchema:

Server1 - Netzwerk x - Rolle - Von außen erreichbar sein ja/nein - etc -

 

[Toby-ch]

@Sebbi
Ja ich merke gerade das es so wie ich es vorgestellt habe nicht geht. OPT1 läuft nicht mit DHCP

außerdem kannst du bei dieser Konfig Performance Probleme bei der PFSense erwarten.

In wie fern ?

Server1 - Netzwerk x - Rolle - Von außen erreichbar sein ja/nein - etc -

Das ist nicht das Problem das mache ich über VPN oder via Synology Quick connect.

Mein Ziel war eigentlich von Anfang an ein zwei getrennte Netzte Homlab und HomeLan,
Jedoch beides Via VPN erreichbar. dies ist jedoch schlicht und einfach nicht möglich.

Um Ordnung zu schaffen finde ich die Adress Pools im DHCP noch gut. nur wie setzte ich das UM
BSP:
POOL Server:
192.168.0.10 - 192.168.0.20
Wie mache ich das in dieses Pool alle Synology boxen rein kommen ?

Das was ich eigentlich möchte ist das:

Das nennt sich Subnet VLAN
Quelle: Handbuch Switch S 80
Ich denke ein neuer Switch ist notwendig.

 

[Sebbi]

Wie mache ich das in dieses Pool alle Synology boxen rein kommen ?

Weise den Pool die MAC Adressen zu - aber wie gesagt, ich halte das für sinnlos, denn alle ortsfesten Geräte im Netzwerk außer Clients sollten eine Feste IP bekommen, Alleine schon aufgrund der Fehlervermeidung falls mal ein Server die IP wechselt und das zu Fehlern führt.

Jedoch beides Via VPN erreichbar.

Bitte genauer erleutern, normal sollte es möglich sein.

Mehr dazu später Gute Nacht erstmal

 

[Sebbi]

Das was ich eigentlich möchte ist das:

ok wenn ich das richtig verstanden habe willst du einfach den einzelenen IP Bereichen unterschiedliche QoS Tags zuweisen lassen damit gewisser Traffic in deinen Netzwerk bevorzugt behandelt wird?

weil ansonsten bräuchtest du den ganzen Quark nämlich gar nicht sondern könntest das ganze per einfachen Routing erledigen das Trennen der Netzwerke ohne VLANs etc

 

[Toby-ch]

@es geht nicht nur um die Geschwindigkeit, es geht auch um Abgrenzung mit den VLAN das HomLab muss nicht mit meinen NAS Boxen kommunizieren können, die Clients jedoch schon.
Eigentlich stammt das Bild aus dem Handbuch dieses Switches: Zyxel GS1920-48v2
leider habe ich gesehen Nacht den falschen Link eingefügt ,
Nja eine Strom Ersparnis wäre auch noch da:
Neu 40 Watt, alt 3x 30 Watt = 90Watt.
Ich möchte einfach nicht wieder etwas kaufen was dann nicht so funktioniert... „Lancom“

 

[Sebbi]

@es geht nicht nur um die Geschwindigkeit, es geht auch um Abgrenzung mit den VLAN das HomLab muss nicht mit meinen NAS Boxen kommunizieren können, die Clients jedoch schon.

dann kannst du das ganze aber wesentlich einfacher haben, natürlich managentbarer Switch mit Router Funktionen und genug Ports vorausgesetzt

Anordnung von PiHole mal angepasst, damit dieser wenn die die PFsense weiter nutzen willst mit geschützt ist

Aufbau:

Auf dem Switch Routen konfigurieren zum PiHole für die Jeweiligen Netze, aber nicht ins jeweils andere, schon können die untereinander nicht mehr kommunizieren, außer natürlich die IPs werden geändert. Feste IPs im HomeLab Bereich, für die anderen konfigurierst du DHCP
Die 2 Clients mit 2 NICs, die mit den HomeLab komunizieren sollen vergibst du natürlich auch auf der 2. NIC die IPs aus dem HomeLab bereich.

Das wäre die einfachst Variante ohne Sicherheit, aber damit erreichst du das was du willst, das HomeLab nicht mit den NAS / Clients so einfach kommunizieren kann.


Erweitert geht es, wenn du jeden Port auf dem Switch ein gewisses Netzwerk zuweisen kannst, so das wenn du einen Client aus den anderen Netz da ansteckst, auf dem Port keine Kommunikation möglich ist und auch der DHCP keine IPs auf diesen Ports vergibt sondern und auf denen, die für das Client Netzwerk vorgesehen sind

VLANs ansich brauchst du nur, wenn über ein Kabel dann mehrere Netzwerke laufen sollen.

 

[Toby-ch]

Switch mit Router Funktionen und genug Ports vorausgesetzt

Es sind. 48 Ports und die LGA meiner NAS Boxen stelle ich gerade in frage, dies bringt nur bei viel Traffic und von mehreren Clients Gleichheit was, ansonsten ist es nur lan Port Verschwendung.

 

[Sebbi]

Frage LGA = Link Aggregation? dann bitte LAG abkürzen

aber zum Thema Link Aggregation, das bringt nur war, wenn du keine Einbrüche auf ca. 60 MB/s hinnehmen kannst, wenn ein anderer Client mal auch daten davon anfordert oder mehrere Clients lange Zeit Daten von und auf das gleiche NAS schieben / lesen.

Für einfaches Media Streamen sollte ein Link (1 Gbps) für bis zu 8 Clients gleichzeitig bei HD Material reichen, wichtiger ist da ob die Platten das verteilte gleichzeitige Lesen dann auch schnell genug hinbekommen.