Hallo zusammen,
als Anstoß von Dennis seinem Video: https://www.youtube.com/watch?v=Ej1dmSkPzNo
(Es ist mein erster Beitrag in dem Forum, vielleicht ist es daher noch für andere interessant)
Als Antwort auf sein erste Frage:
Das geht aktuell nicht via GUI. Die GUI ist limitierend.
Im Backend läuft jedoch ein beschnittenes FRR Package (Nur OSPFv2, kein OSPFv3 für IPv6).
Du gehst folgender maßen vor:
SSH auf dein Gateway.
Und dann:
vtysh
conf
router ospf
network [dein tunnel interface zb 10.255.255.0/30] area [LALAL]
interface [dein tunnel interface zb wgclt1 wgclt2]
ip ospf weight 1
ip ospf dead-interval 40
exit
exit
write
Gewichtung und Intervalle nach deiner Anforderung anpassen.
Weitere interfaces und networks hinzufügen bei Bedarf. FRR erkennt hierbei automatisch den Interface Type (z.B. PTP)
(In der vtysh console bleiben)
show running-config
show ip ospf neighbor
show ip ospf route
ggf. clear ip ospf process machen, falls er nicht will
Das ganze hält bis zu einem Update oder Neustart.
Site to Site VPNs über Wireguard, würde ich persönlich nie über WG Client machen. Das bringt einen entscheidenen Nachteil:
Das WGClient Interface landet für Incoming Traffic in der „Internet“ Chain für die Firewall Regeln. D.h., wenn du von Hetzner auf deine lokalen Netzwerke zugreifen möchtest, sind bei „Internet In“ zusätzlich zu den „Lan Out“ Regeln erforderlich. Das ist nicht sauber.
Wie das mit der ZBF FW aussieht, kann ich allerdings nicht sagen. Ich nutze das noch nicht, finde es noch zu Buggy.
Auf deine zweite Frage:
So wie du es gelöst hast, würde ich es auch machen. Ich würde allerdings noch explizit STP auf den betroffenen Switch Ports deaktivieren. Das kann in diesem Fall nur für Probleme sorgen und spammt unnötig STP Messages in deinen Traffic rein.
Ich kenne allerdings auch keine andere saubere Lösung. GGf. könnte man die vorhandene Bridge für das VLAN, die Interfaces für das jeweilige ETH reinmachen und etwas rumspielen. Solange solche Themen gut dokumentiert sind, spricht aus meiner Sicht nichts dagegen. Ich denke im Enterprise Segment werden auch andere Vendors eingesetzt mit anderen Technologien.
Beste Grüße