Waar VLAN instellen voor Pfsense router VM op VMware NUC?

zondag 27 augustus 2017 16:31

Acties:

Topicstarter

Mijn vraag is waar ik nu eigenlijk de VLAN's zou moeten instellen als ik een Pfsense VM met 1 NIC als thuisrouter zou willen gebruiken.

Relevante software en hardware die ik gebruik:

Pfsense
VMware 6.5
Netgear ProSAFE GS105

Er zijn dus 3 mogelijke plekken waar je VLAN's zou kunnen instellen:

in VMware op de virtuele netwerken
in Pfsense op de interfaces WAN en LAN
op de Netgear Managed Switch
volgens mij was er nog een 4e mogelijkheid, maar even vergeten

Dat mijn download vanaf het WAN maar 500mbit vanwege het gebrek aan 2e interface zie ik niet als groot probleem. LAN traffic gaat volgens mij niet via de router, dus dat zou gewoon 1gbit moeten blijven.

De Pfsense WAN & LAN interface zouden moeten aangesloten op dezelfde VMware vSwitch, aangezien er maar 1 uplink is.

Waar zou ik de VLAN configuratie moeten instellen? Alleen op de managed switch zou niet gaan, aangezien er ook VM's (LAN) draaien op de NUC met dezelfde uplink.

zondag 27 augustus 2017 16:36

Acties:

TommieW

Numa numa.

In ESXi moet je bij Networking, onder Port Groups voor ieder VLAN een group aanmaken. Vervolgens kan je aan je pfSense VM meerdere netwerkadapters maken die ieder weer in een ander VLAN hangen.

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 17 Pro Max - Macbook Pro 16" M1 Pro

zondag 27 augustus 2017 16:43

Acties:

chronoz

Topicstarter

Dus ik dien 2 port groups LAN en WAN aan te maken met een VLAN-id en diezelfde nummers gebruiken op de managed switch?

En VLAN-tagging in Pfsense is niet nodig, omdat het verkeer toch over verschillende interfaces/port groups gaat voor de Pfsense VM?

zondag 27 augustus 2017 16:54

Acties:

Vorkie

Je start op de managed switch
VLAN 10 - Intern (optioneel)
VLAN 20 - Guest
VLAN 30 - DMZ
VLAN 40 - ISP

Poort x PVID 40 (deze is voor internet, dus default VLAN waar untagged pakketjes op binnenkomen)
Poort y tag je VLAN 10,20,30,40 en plaats je in je NUC.

Daarna naar vSphere, daar heb je al 1 vswitch0 waarschijnlijk.

Nu maak je 4 poortgroepen aan;
Portgroup Intern - VLAN 10 op vswitch0 (optioneel)
Portgroup Guest - VLAN 20 op vswitch0
Portgroup DMZ - VLAN 30 op vswitch0
Portgroup ISP - VLAN 40 op vswitch0

Aan PFsense hang je vervolgens 3/ 4 NICS, waar de ISP NIC op VLAN40 een ext ip adres krijg van je modem.

Binnen PFSense maak je vervolgens de bijbehorende interfaces aan (DMZ, Guest, Intern) en daar gebruik je elk een eigen subnet voor

[ Voor 14% gewijzigd door Vorkie op 27-08-2017 16:56 ]

zondag 27 augustus 2017 17:26

Acties:

ThinkPad

Ik heb bijna dezelfde setup (Intel NUC met ESXi en pfSense) en regel de VLANs in ESXi.
Heb ook geprobeerd om ze in pfSense in te stellen, maar die zag ze niet o.i.d., kreeg het niet werkend. Heb nu gewoon meerdere netwerkkaarten in aan de pfSense VM gehangen en elke netwerkkaart hang in z'n eigen VLAN (vSwitch). In pfSense hoef je vervolgens niks met VLANs te doen, daar is hij zich niet 'bewust' van.

Werkt al een paar maanden als een trein, erg fijn als homerouter als je pfSense eenmaal onder de knie hebt.

[ Voor 9% gewijzigd door ThinkPad op 27-08-2017 17:27 ]

zondag 27 augustus 2017 17:42

Acties:

chronoz

Topicstarter

Vorkie schreef op zondag 27 augustus 2017 @ 16:54:
...

Super, bedankt voor het uitgebreide antwoord.

Ik probeer het gelijk als ik thuis ben!

ThinkPadd schreef op zondag 27 augustus 2017 @ 17:26:
Ik heb bijna dezelfde setup (Intel NUC met ESXi en pfSense) en regel de VLANs in ESXi.
Heb ook geprobeerd om ze in pfSense in te stellen, maar die zag ze niet o.i.d., kreeg het niet werkend. Heb nu gewoon meerdere netwerkkaarten in aan de pfSense VM gehangen en elke netwerkkaart hang in z'n eigen VLAN (vSwitch). In pfSense hoef je vervolgens niks met VLANs te doen, daar is hij zich niet 'bewust' van.

Werkt al een paar maanden als een trein, erg fijn als homerouter als je pfSense eenmaal onder de knie hebt.

Hoe voeg je dan een extra netwerkkaart toe aan een NUC? USB naar Ethernet klinkt zo slecht, al is dat misschien ook beter geworden sinds USB 3 en 3.1.

Of draai je inmiddels Pfsense op een andere machine?

Pfsense gebruik ik al een tijdje, ik vind het echt super inderdaad.

zondag 27 augustus 2017 18:00

Acties:

ThinkPad

Extra netwerkkaart is niet nodig als je een managed switch gebruikt!

Over de netwerkkaart van de NUC krijg ik alle VLANs binnen, ik laat dan de virtuele netwerkkaart van de pfSense VM gewoon naar het juiste VLAN luisteren en that's it

zondag 27 augustus 2017 18:25

Acties:

Vorkie

ThinkPadd schreef op zondag 27 augustus 2017 @ 18:00:
Extra netwerkkaart is niet nodig als je een managed switch gebruikt!

Over de netwerkkaart van de NUC krijg ik alle VLANs binnen, ik laat dan de virtuele netwerkkaart van de pfSense VM gewoon naar het juiste VLAN luisteren en that's it

En tag je WAN VLAN alleen op de noodzakelijke poorten

Dus in dit geval naar het modem en naar de NUC, anders krijg je een hele boel ARP over je netwerk heen.

en @chronoz als je dan gelijk alle clients ook in VLAN's wil hebben, zoals ik het zeg is VLAN 10 het interne LAN, deze zou je dan op alle client poorten kunnen instellen als PVID / default VLAN / untagged, zo gebruik je geen VLAN1 meer.

Wil je bijvoorbeeld een guest WIFI maken, zorg je ervoor dat je wifi accesspoint VLAN 10 en VLAN 20, krijgt, dat zou in geval van VLAN10 default, + vlan 20 tagged worden.

zondag 27 augustus 2017 18:26

Acties:

chronoz

Topicstarter

ThinkPadd schreef op zondag 27 augustus 2017 @ 18:00:
Extra netwerkkaart is niet nodig als je een managed switch gebruikt!

Over de netwerkkaart van de NUC krijg ik alle VLANs binnen, ik laat dan de virtuele netwerkkaart van de pfSense VM gewoon naar het juiste VLAN luisteren en that's it

Ah, je bedoelt natuurlijk virtuele netwerkkaarten (network interfaces) op je Pfsense VM.

maandag 28 augustus 2017 12:41

Acties:

ThinkPad

En, gelukt?

maandag 28 augustus 2017 13:23

Acties:

chronoz

Topicstarter

Ik ben nu bij mijn ouders en pas woensdag weer thuis.

donderdag 31 augustus 2017 09:16

Acties:

Vorkie

@chronoz ondertussen is het donderdag

los dat je Macbook niet op volle snelheid wilt werken, is dit ondertussen ook gelukt?

donderdag 31 augustus 2017 12:30

Acties:

chronoz

Topicstarter

Ik moet nu gaan, maar ik ga het bij thuiskomst iets later vanmiddag proberen.

Ik denk dat niet dat het een permanente oplossing wordt, maar zal het zeker proberen. Zou ook goede les kunnen zijn wat meer praktijkkennis over VLAN's te krijgen.

donderdag 31 augustus 2017 19:32

Acties:

chronoz

Topicstarter

Afbeeldingslocatie: https://i.imgur.com/bclTmgdl.png

Poort 1: Ziggo modem
Poort 2: NUC
Poorten 3,4,5: De rest

VMware port groups:

Afbeeldingslocatie: https://i.imgur.com/6EZYUkFl.png

Virtual Switches:

Afbeeldingslocatie: https://i.imgur.com/xnQaN1hl.png

Pfsense VM - nog niet geboot en geconfigureerd:

Afbeeldingslocatie: https://i.imgur.com/iWk4cstl.png

VMKernel NIC: http://i.imgur.com/eDPnjPH.png

Het begint wel een beetje complex te worden, ook omdat ik me niet herinner de uplink aan LANvSwitch gekoppeld te hebben, misschien even ontkoppelen van vCenter voor de zekerheid.

Feedback zou welkom zijn voordat ik Pfsense configureer, want ik heb nog niet zoveel vertrouwen in mijn homelab set-up.

[ Voor 64% gewijzigd door chronoz op 31-08-2017 20:14 ]

Vraag

Alle reacties