Big Picture zur kompletten Netzwerklandschaft?

Weiterentwicklung Dokumentation
, , , ,
1

Ich habe mal eine große Verständnisfrage. Ich bin immer noch beim Subnetting, WLAN, OPNSense, Gäste WLan usw.

Zuerst will ich mich mal für die Laaaange Einleitung entschuldigen. Das Big Picture ist ziemlich groß…

Irgendwie blicke ich bei den ganzen „schnipseln“ an Anleitungen nicht durch. Im Prinzip will ich eigentlich „nur“ folgende Anleitungen miteinander umsetzen:

https://docs.linuxmuster.net/de/v7.2/systemadministration/network/networksegmentation/networksegmentation.html#vlan-ids-und-gateway-ips

https://docs.linuxmuster.net/de/v7.2/systemadministration/openvpn/index.html

https://docs.linuxmuster.net/de/v7.2/external-services/unifiwlan/index.html

https://docs.linuxmuster.net/de/v7.2/external-services/nextcloud/index.html

Eines meiner Probleme ist, dass die Screenshots, VLANS und IP-Ranges sich in den einzelnen Anleitungen unterscheiden und nicht aufeinander aufbauen. Wahrscheinlich historisch gewachsen (und die Zeit fehlt - was ich verstehe, da es mir auch nicht anders geht - um die Infos ständig aktuell zu halten).

Mein Big Picture ist:

  • 3 VLANs für
    ** Server (1)
    ** LAN LuL (2)
    ** LAN SuS (3)
  • 2 WLANs für
    ** WLAN LuL (4)
    ** WLAN SuS (5)
  • ein WLAN für IT und Linbo (6)
  • ein Gäste-WLan (7)
  • 2 VPNs für
    ** VPN LuL (8)
    ** VPN SuS(9)
  • ein VPN für IT (10)
  • ein DMZ Netzwerk u.a. Nextcloud (Benötigt LDAPs und „Festplattenzugriff“ vom Linuxmuster Server), Relution, usw.

Um es nicht unnötig kompliziert zu machen, gehe ich in meinem Beispiel von durchnummerierten VLANs aus (in der Anleitung tw. 3, 5, 10, 20, 100, 200 …). Als IP Adresse nehme ich 10.x.0.0/16 ohne weitere Subnetze (in der Anleitung Raum 100, 200) - das x entspricht der VLAN ID

Meine Hardware ist ein CISCO L3 Switch SG300 28 mit POE, 3x Unifi Access Points und ein Server mit 4 Netzwerkkarten (3x Bond zum Switch, 1x 1x direkt ins Internet über Fritzbox).

Auf dem Server läuft Proxmox mit folgenden VMs:

  • Linuxmuster Server, NW VLAN 1, IP 10.1.0.1
  • OPNSense, NW VLAN 1 IP 10.1.0.254 + Internet Netzwerk
  • Unifi Controller, VLAN ? (Die Unifi APs bekommen dann am Switch die VLANs des Unifi Controller + die 4 WLAN VLANs?)
  • Nextcloud, VLAN? (Benötigt LDAPs und Fileshare)
  • Relution, VLAN? (Benötigt LDAPs)

Im Cisco sind die VLAN 1,2,3 konfiguriert, der Default Gateway im Cisco zeigt auf 10.1.0.254, in den Servern/Laptops/Rechner auf die 10.x.0.253 im jeweiligen VLAN. Internetzugriff funktioniert

Nun meine Verständnisfragen, die sind eigentlich für alle VLANs die gleichen:

  • Muss ich die VLANs WLAN LuL (4), WLAN SuS (5) …

  • Muss ich das VLAN WLAN Linbo (6)…

  • Muss ich das VLAN WLan Gast (7)…

  • … auch im Switch konfigurieren?

  • … in OPNSense als Netzwerkkarte eingerichtet?

  • … welche Infos sind in OPNSense sonst noch konfiguriert (Gateway, Routen, Portfreigaben, Portumleitungen, …)

  • … welche Infos sind im L3-Switch zu hinterlegen?

  • … Welche IP bekommt der Standard Gateway?

  • … Wie konfiguriere ich das in der Subnet.csv? (Muss das SETUP Flag gesetzt sein? Was bedeutet das überhaupt)

  • … Was muss ich manuell machen und was generiert „import-subnets“? (z.B. Routen in OPNSense)

  • Welche VLANs werden in OPNSense mit einer Netzwerkkarte (10.x.0.254) eingerichtet?

  • Welche VLANs sind im Switch bekannt?

  • Welche VLANs haben den Switch als Gateway und welche die OPNSense?

  • Brauche ich für die VPNs auch VLANs? Wie kann ich hier den Zugriff auf den Server erlauben und auf alle anderen Geräte nicht?

  • In welchem VLAN steht der Unifi Controller? Was ist mit dem Voucher Zugang für die Gäste? Wie gehe ich damit um?

  • Die Nextcloud kommt in die DMZ, das ist nirgends beschrieben, oder? Portumleitung 80+443 von WAN nach NC, und von NC nach LM-Server LDAPs und SAMBA?

  • Wenn ich die WLAN MAC-Adressen der Laptops über das Linbo WLAN schon in den clent.csv konfiguriert habe, wie mache ich das dann mit den produktiven WLANs? Nur über DHCP oder nur über OPNSense?

Es geht mir hier nicht um eine Klickanleitung, sondern um eine Sammlung der Metadaten. Möglichst Hersteller/Hardware neutral - sodass wir auf dieser Ebene alle vom gleichen reden :wink:

Ich wünsche mir - und wahrscheinlich auch ein paar Anderen, was mir auf der Suche im Forum so aufgefallen ist - wenn wir so ein großes Bild malen könnten und die groben Schritte / Metadaten dazupacken und von dort aus per Link zu den „kleinen“ Anleitungen kommen.

Wer kann den Nebel in meiner Glaskugel beseitigen?

Besten Dank für Deine Geduld, dass du dir das alles bis hier hin durchgelesen hast :wink:

Grüße
Thomas

2

Hallo Thomas,

ich werde mal ein paar Fragen beantworten.

„am Switch“? Du meisnt wohl „alle anderen Switches“ außer dem L3 Switch. Ja, das mußt du.
Am Ende ist jede Netzwerkbuchse „in“ einem VLAN.

Nein. Das Grüne Netz besteht dann am Ende aus mehreren Segmenten, aber diese Netzwerke und die dazugehörigen Routen werden beim
linuxmuster-import-subnets
in der OPNsense eingerichtet (und in der /etc/netplan/01-blabla.yaml auf dem Server)

da mußt du nichts einstellen, das macht der import. Danach kannst du nachschauen, was da alles steht :slight_smile:

… was soll ich sagen: das steht in der Anleitung exemplarisch für einzelne subnetze: so hab ich das bei mir auch (nach dieser Anleitung) eingerichtet. Bei mir gibt es „Computerräume“ und „Lehrerbereiche“.
Das Netzsegment für WLAN „in Grün“, also z.B. das linbo WLAN, habe ich genauso als „Computerraum“ eingerichtet.

… das steht nicht in der Anleitung?
Das Gateway ist immer die .254, außer im Serversubnet, da dort die OPNsense die .254 hat. Da hat der L3 Switch die .253
In allen anderen Subnetzen hat der L3 Switch die .254

ich weiß nciht, ob das SETUP Flag gesetzt werden muss: mein subnetze sind älter also die lmn7 und wurden migriert, deswegen sieht das bei mir so aus:

# server subnet definition
10.16.1.0/24;10.16.1.253;10.16.1.100;10.16.1.200;SETUP
# Subnet r100
10.17.100.0/24;10.17.100.254;10.17.100.200;10.17.100.230;MIGRATION;
# Subnet r101
10.17.101.0/24;10.17.101.254;10.17.101.200;10.17.101.230;MIGRATION;
# Subnet r102
10.17.102.0/24;10.17.102.254;10.17.102.200;10.17.102.230;MIGRATION;
# Subnet r103
10.17.103.0/24;10.17.103.254;10.17.103.200;10.17.103.230;MIGRATION;

du mußt die subnetze definieren in der subnets.csv am server, diese importieren, alle Switches mit dem VLANs konfigurieren und den L3 Switch korrekt einrichten.
… und ich mußte am Ende noch die NEtzwerkmasken in den Druckern korrigieren, weil die ihre IPs und damit auch ihre Netzwerkmaske, nicht per DHCP bekommen haben.
Ach so: natürlich mußt du auch deine devices.csv korrekt einrichten: jeder Client muss einem subnet über seine IP zugeordnet sein.

nur das serverVLAN

alle in allen, es sei den, du hast einen Gebäudeteil (Bereich hinter einem Switch), in dem du die VLANs X, Y und Z nicht brauchst: dann braucht der Switch auch nix von X, Y und Z wissen.

alle haben den L3 Switch als Gatway, also immer die .254, außer im ServerVLAN, da ist es die .253

ich mach nix mit VPNs.

der unifi steht im ServerVLAN (bei mir zumindest).
Das hat mit den Vouchern aber nix zu tun.
Die erstellst du auf dem unifi Controller. Das Handling der Weiterleitung an das Gästeportal erledigen die APS. Das Gästeportal liegt auf dem unifi Server: deswegen weiß der auch von allen Vouchern.

ich bin kein Freund von DMZs.
Hatte ich früher auch mal: war aber nie zufrieden damit.
In meinen Setups ist alles vor der OPNsense und hinter dem Internetrouter eine DMZ für mich: also warum nochmal extra eine aufmachen.
Meine Nextcloud steht also in Rot: vor der OPNsense. Für sie habe ich einzelne Ports frei gemacht.

warum den umleiten?
Egal: das hat nix mit subnetting zu tun: wäre also eine eigene Frage.

du meinst wohl die devices.csv
Ich verstehe den Begriff „produktive WLANs“ nicht. Gibt es auch unproduktive?
Erstmal mußt du verstehen: subnetting ist für Grün: nur das grüne Netzwerk wird gesubnettet: alle anderen Netzwerke (Blau, Rot und, wenn du magst auch Orange (DMZ)) bleiben was sie sind: einzelne Netzwerke.
Natürlich verteile ich auch die per VLANs über mein Nettzwerk.
An einer Dose für eine unifi AP kommt ja nicht nur das unifi subnet aus Grün an (untagged) sondern auch das Blaue VLAN (getagged): also ein Segment des grünen Subnettinges und ein „freies“ Netzwerk (Blau)

Generell: subnetting ist wirklich nichts, was man mal schnell macht.
Ich habe selbst damals etwa ein Jahr lang den kleinen Cisco L3 Switch Zuhause auf der Werkbank liegen gehabt mit einem Testserver, Testswitches und Testclients,bis ich mich Fit genug gefühlt habe, die DNA des Schulnetzwerkes um zu schreiben.
Man muss wirklich wissen, was man warum macht, sonst wird man keine Freude an der Umsetzung haben.

LG

Holger