ich schaue mir gerade die Reihe von Zero to Hero pfSense an. Sehr gut gemacht und es macht spaß dem zu folgen.
Gleichzeitig kommen aber auch viele Fragen auf die ich mir selber nur schwer beantworten kann.
Momentane Situation:
Ich nutze Glasfaser von der Telekom. Die Telekom hat mir eine Modem hingestellt und dahinter kommt eine FritzBox.
Die Fritzbox macht WLAN und befeuert 3 Repeater.
Im ganze Haus liegen einige LAN-Buchen und deshalb habe ich ein Switch mit 24 Port, die sind fast alle voll.
Mittlerweile kommen auch einige IoT Geräte über das WLAN an.
Das sorgt dafür, dass die Web Oberfläche der Fritzbox fast unbrauchbar wird. Ständige Abstürze und Timeouts bringen mich zur Verzweiflung.
Jetzt sehe ich mir diese Videoreihe an und träume von einer deutlichen besseren Lösung.
Gerne würde ich mir die empfohlenen Hardware N305 holen mit 16GB RAM und einer 250 GB SSD.
Der Anschluss und die Einrichtung scheint mir erstmal klar zu sein.
Jetzt kommen aber auch schon einige Fragezeichen.
Gerne würde ich meine IoT Geräte von meinem „normalen“ Netzwerk trennen.
Genau so wie die POE-Kameras würde ich auch gerne über ein eigenes Netzwerk bedienen.
Brauche ich jetzt für jedes WLAN (Also WLAN IoT, WLAN normal und WLAN Gast) einen eigenen WLAN AP (einen eignen FritzRepeater) und für meine normales LAN und das Kamera LAN ein eigenen Switch?
Oder kann ich über VLANs das ganze auch anders lösen?
Zusätzlich kommt die Frage auf, kann meine NAS gleichzeitig als Storage für den Laptop dienen und als Storage für die Kameras, obwohl diese in unterschiedlichen VLANs liegt?
Ich würde mich sehr über etwas Unterstützung freuen. Würde mich freuen einiges dazulernen und basteln zu können.
Du brauchst in erster Linie mal WLAN-AP’s, die mehrere WLAN-SSID aussenden können, da fallen die Fritzbox-Repeater schon mal raus ( z.b. Unifi oder TP-Link Omada )
Wenn du mehrere WLAN-SSID’s nutzen willst, brauchst du auch eine Netzwerktrennung, in den Fall dann eben per VLAN.
Klar kannst die NAS aus unterschiedlichen VLANs nutzen, dazu musst du eben den Zugriff aus den VLAN auf die NAS per Firewall-Regeln erlauben
Dann bestell ich mal ein paar Unifi APs und probiere es mal aus. Die genauen Firewall Regel sind mir noch nicht klar, aber etwas schmerz beim ausprobieren muss auch sein.
Die AP’s alleine reichen nicht.
Die braucht auf jeden Fall schon mal einen Netzwerk-Controller von Unifi, im einfachsten Fall als Softwarelösung, z.b. als VM auf Proxmox oder RasPi um die AP’s zu konfigurieren.
Das VLAN ist einfach nur ein virtuelles LAN, was durch einen Tag nach dem Ethernet-Header gekennzeichnet wird.
Ein entsprechender Switch teilt das dann wieder auf, so wie es konfiguriert ist.
Aber ausprobieren und rumbasteln ist immer am besten, da lernt man am meisten.
Klar geht auch so, ist die Frage, was dann mehr Sinn macht - Bond für mehr Bandbreite, oder trennen und je ein Interface in beide VLAN.
Version zwei macht in meinen Augen mehr Sinn, wenn es dann mal mehr als 2 VLAN’s werden
Klar kannst das, aber das macht aber die ganze Konfiguration nur unübersicht und fehleranfällig.
Entweder machst ein BOND und legst das in eine VLAN und regelst den Traffic dann auf der Firewall - wozu die ja auch da ist.
Oder brichts das Bond auf, hast zwei Interface in jedem VLAN eines.
Meine Ansicht: Wenn, das mache es richtig:
BOND in eine VLAN rein
Traffic-Regelung per Firewall-Regeln
Wenn dumm läuft, baust du dir mit der NAS noch einen Router zwischen den VLAN ein, dann kannst die Netzwerktrennung auf ganz sein lassen.
Von welchem Gerät redest du jetzt? Vom NAS und da einen Bond oder von dem Mini-FW-PC mit pfSense?
Weil auf der pfSense ist ein Bond eigentlich genau dafür da, viele VLANs drüber zu schieben.
Ich habe jetzt die Hardware geliefert bekommen und starte mit der Einrichtung.
Aber gleich beim WAN mit PPPoE wird es schon schwer.
Ich habe Glasfaser von der Telekom hier liegen und von der Telekom ein Glasfasermodem. Bisher habe ich dann eine Fritzbox dahinter geschaltet und möchte jetzt auf das pfSense wechseln.
Ich habe soweit im WAN alles eingetragen und wenn ich die Oberfläche richtig interpretiere auch eine erfolgreiche Anmeldung.
Ich habe auch verstanden ein VLAN7 auf WAN zu legen.
Anscheinend bekomme ich auch IP aber im Gateway steht ich bin offline und habe ein Paketloss von 100%.
Habt Ihr eine Idee was ich noch tuen kann.
Ein pass Screens meiner Einstellungen und auch des PPP Logs.
Und noch etwas sticht mir ins Auge. Warum tauchen bei dir unter Status / Gatewaysdie LAN’s (v4 und v6) als default Gateways auf? So kann das doch nicht funktionieren. Default Gateway ist das oder sind die WAN’s (WAN_PPPoE und WAN_DHCP6).
Genau über diese Beiträge bin auch schon gestolpert und habe es genau so eingeben.
In den PPP Logs bekomme ich auch den Hinweis, dass die Anmeldung erfolgreich gelaufen ist.
Bisher hast du WAN-IPv6 noch nicht konfiguriert. Das default Gateway muss das (oder die) WAN-Gateways sein. Wo oder wie du das verstellt hast kann ich nicht sehen, das zeigen die Bildschrimfotos vor dir nicht an. Default Gateway bedeute aber, es ist das Gateway, über das aller IP-Trafic geleitet wird, der nicht lokal einem Netz oder einer statischen Route zugeordnet werden kann. Mit anderen Worten sämtlicher IP-Trafic der ins Internet geroute werden soll. So wie das bei dir ist würde nun ein einfacher Ping an 8.8.8.8 (Googles DNS) ans LAN-Interface mit der Adresse 192.168.1.1 geleitet werden, wo aber kein Internet anliegt, das ist ja am WAN zu finden.
Es sollte klar sein, dass das so nicht geht. Nichts verlässt dein LAN, nichts geht ins WAN.
Aber an welcher Stelle du nun diesen kapitalen Fehler in deine Konfiguratiion eingebaut hast kann ich mit den Infos die ich hier von dir bekommen habe nicht sehen.
Du musst das WAN folgendermaßen konfigurieren: Physisches Interface → VLAN7 → PPPoE auf das VLAN7
Aber mit dem WAN_GW hat @The_eagle recht. Das musst du unter der GW-Tabelle auf WAN_PPPOE umstellen und bei IPv6 (solange nicht konfiguriert) erstmal auf None.
