Das Forum wurde aktualisiert. Wurde höchste Zeit. Wenn etwas nicht funktioniert, bitte gerne hier jederzeit melden.
(Das "alte Design" kommt wieder, wird ne Weile brauchen!)

Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Alles zum Thema vSphere 6.5, ESXi 6.5 und vCenter Server.

Moderatoren: irix, continuum, Dayworker, Tschoergez

Member
Beiträge: 31
Registriert: 30.09.2016, 10:06

Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon BigChris1337 » 12.07.2017, 17:02

Hallo,
eigentlich dachte ich, ich habe mein Netzwerk wenigstens halbwegs im Griff mit meinem ESXi auf einem Dell T20 mit Intel 340-T4 Karte als Herzstück. Das scheint aber nicht der Fall zu sein.
Ich habe gesehen, dass ich alle Portgruppen wohl über eine Nic geleitet habe, wahrscheinlich habe ich noch mehr "Klinken" im System, weil ich es wohl nicht kapiert habe. In wirklichkeit scheint in meiner pfSense nichts so zu sein, wie ich es in meinem Kopf dachte :(

Als erste Virtuelle Maschine habe ich also eine pfSense bei mir. Die soll auch alle 4 Netzwerkkarten bekommen und diese dann verwalten.
Dazu hätte ich 4 Virtuelle Switche erstellt und denen Farben gegen: Rot (WAN), Grün(LAN), Orange(DMZ), Blau(VLANS)
Dann hätte ich 4 Portgruppen erstellt und diese die gleichen Farben gegeben und mit den gleichnamigen Switchen verbunden.
Und den Switchen dann jeweils eine NIC als Uplink.

Anschließend würde ich der pfSense jeweils ein Anschluss von jeder Portgruppe geben und dann dort beginnen mein Netz weiter aufzupsannen.

Ist das dann zum starten so richtig oder habe ich wirklich noch gar nichts verstanden? :(
Brauche ich eigentlich einen eigenen Anschluss für das Management? Ich hatte das bisher über die Onboardkarte gemacht, kann ich die auch abschalten?
Benötigen die vswitche unterschiedliche VLAN-ID? Sind die vswitche sonst mit der VLAN-ID:0 verbunden?

Also, falls jemand viel Geduld hat, würde ich mich freuen wenn es mir noch mal erklärt wird.
Gerade bin ich ziemlich deprimiert :cry:

Experte
Beiträge: 1736
Registriert: 23.02.2012, 12:26

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon ~thc » 12.07.2017, 18:03

Möglicherweise hast du einiges falsch interpretiert ;) .

Bevor wir in die Details gehen: Was genau willst du mit einer virtuellen pfSense auf vier physischen NICs erreichen? Soll sie für die physischen Maschinen "draußen" das Netzwerk regeln? Wie passen da dann noch andere VMs ins Netzwerk?

Member
Beiträge: 31
Registriert: 30.09.2016, 10:06

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon BigChris1337 » 12.07.2017, 19:43

Erst einmal vielen Dank für die Antwort und dass du nicht lachend weggelaufen bist...

Das ist ein bisschen aus der Historie gewachsen, ich hatte mal eine einzelne Maschine für meine Firewall und mehrere physikalische Maschinen und dachte als ich mit den Dell T20 geholt habe, das portierst du mal eben in den ESXi, so schwer kann das ja nicht sein...

Also folgendes habe ich vor, habe ich mir vorgestellt:

Ich brauche und möchte ein paar getrennte Netze. Ich muss das rote Netz (WAN, kommt von meiner Fritzbox) verteilen (an meine Firewall und an den geschäftlichen Rechner) und dann die privaten LAN Netze aufspannen.
Das habe ich mir so gedacht, dass ich das rote Netz in die pfSense gebe und eine Netwerkkarte für die DMZ, eine Netzwerkkarte für das (hochsicherheits) LAN und eine Netzwerkkarte für VLANs mache.
Ich habe mir das so vorgestellt. dass ich dann jeweils ein paar Ports meiner Switche durch die pfSense managen lasse, aber auch weitere virtuelle Maschinen intern "anschliessen" kann. Mittlerweile gibt es auch keinen physischen Rechner mehr in der DMZ weil das der Dell mit erledigt.

Folgendes plane ich momentan:
a) Virtuelle Maschinen:
1. pfSense
2. Debian Server in der DMZ
3. Ubuntu Server im LAN
4. unRaid Server mit zwei Netzen, einmal LAN (private Daten) einmal DMZ (temporärer FTP)

b) Physikalische Maschinen
1. einen pysikalischen Debian Server auf einem Cubietruck oder Raspberry als management Rechner (zum durchstarten des ESXi z.B.)
2. Meinen diestlichen Rechne
3. Kodi Rechner
4. diverse Laptops und Smartdevices

c) Verteilung von WLAN mit Ubiquiti APs

Folgende Netze möchte ich gerne haben:
WAN (klar :) )
DMZ
Freifunk (momentan als Router, soll auch auch mal in der virtuellen Maschine laufen)
ein Netz für Smart-Geräte (nur WAN Zugriff)
ein Netz für Mediengeräte (Medianserver., Kodi-Clients)
ein LAN für private Daten (hohe Sicherheit)

Zwei Switche habe ich dazu, einen im Dachgeschoss und einen im Erdgeschoss. An jedem Swich hängt ein Ubiquiti AC-Lite. Die Switche sind per VLANs (Tagged) verbunden.

So habe ich mir das gedacht.
Kann mir geholfen werden ? :roll:

Experte
Beiträge: 1736
Registriert: 23.02.2012, 12:26

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon ~thc » 12.07.2017, 20:30

Zur Klärung, keine Klugscheisserei: deine pSwitches sind nicht per VLAN verbunden, sondern per (Ubiquiti AC-Lite?) Uplink und darüber werden dann ein oder mehrere VLANs transportiert.

Du hast 5 physiche Netzwerkports (?).
Der WAN-Uplink verbraucht einen Netzwerkport exklusiv.
Deine DMZ kann intern ohne Uplink ausgeführt werden.
Du konzeptionierst im Prinzip vier VLANs: Passt.

Vorschlag:

FritzBox -> vmnic0 -> vSwitch "WAN" (VLAN-ID 0) -> pfSense WAN
vSwitch "DMZ" (VLAN-ID 0) -> unRAID, Debian, pfSense DMZ
pSwitch VLAN 5 -> vmnic1 -> vSwitch "Smart" (VLAN-ID: 5) -> pfSense VLAN
pSwitch VLAN 4 -> vmnic2 -> vSwitch "Freifunk" (VLAN-ID: 4) -> pfSense VLAN
pSwitch VLAN 11 -> vmnic3 -> vSwitch "Media" (VLAN-ID: 11) -> pfSense VLAN
pSwitch VLAN 1 -> vmnic4 -> vSwitch "LAN" (VLAN-ID: 1) -> pfSense LAN, Ubuntu, unRAID, vmk0 (Management)

Member
Beiträge: 31
Registriert: 30.09.2016, 10:06

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon BigChris1337 » 12.07.2017, 21:39

Zur Klärung, keine Klugscheisserei: deine pSwitches sind nicht per VLAN verbunden, sondern per (Ubiquiti AC-Lite?) Uplink und darüber werden dann ein oder mehrere VLANs transportiert.

Nein. Die beiden Switche sind am Port 1 über Ethernet miteinander verbunden. Die Ubiquiti AC-Lite laufen nur als AP' s.

Du hast 5 physiche Netzwerkports (?).

Ja

Vielen Dank schon mal. Wenn ich dann später doch noch eine physische Maschine in die DMZ hängen möchte bekomme ich ein Problem, oder? Ich bin mir aber auch nicht sicher, ob das in absehbarer Zeit vorkommen könnte.

Ich habe keine direkte Verbindung von der FritzBox zum Dell. Also müsste ich dann so was machen?
Friz-Box --> pSwich_EG VLAN x untagged --> Tagged x an Port 1 zum pSwitch_DG --> Port y VLAN x untagged --> vmnic0 ->pfsense WAN

Das Freifunk-Netz muss ja eigentlich erst mal nicht durch die pfSense. Der Freifunk Router ist ja am pSwitch DG angeschlossen in einem eigenen VLAN welches auf die Ubiquiti geht. (Momentan VLAN_500). Das brauche ich eigentlich erst an der pfSense wenn ich einen offloader als VM laufen lasse. Oder eigentlich muss das nie durch die pfSense, oder? Das Freifunk müsste doch komplett getrennt nebenher laufen, oder irre ich mich?

Die VLAN-IDs von den Ports der pSwitche und der jeweiligen vSwitche sollten also gleich sein?

Was ich noch nicht so ganz verstehe bei der Aufstellung von Dir, die pfSense bekommt dann 6 Netzwerkkarten zugeteilt, also von jedem vSwitch eine Verbindung?

Wenn ich in Zukunft noch mehr Netze benötige (ich überlege den Kindern eigene Netz zu geben), wie gehe ich denn dann vor? Dann müsste ich ja noch mehr VLANs aufspannen, die über eine der Netzwerkkarten mit raus geht. Ok, meine Tochter ist erst 4, aber wie würde das dann gehen? Sagen wir, ich brauche noch ein Netz Kind1 und Kind 2?

Auf jeden Fall schon mal vielen herzlichen Dank, ich glaube ein bisschen Licht ist ins komplette dunkle schon gekommen.
:)

Experte
Beiträge: 1736
Registriert: 23.02.2012, 12:26

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon ~thc » 13.07.2017, 07:37

Ich muss noch etwas nachschieben: In meinem Vorschlag sprach ich von "vSwitch mit VLAN-ID X" - das ist natürlich falsch. Ein vSwitch hat keine VLAN-ID - sondern die VM-Port-Gruppe. Also bitte im Geiste durch "vSwitch/PG mit VLAN X" ersetzen.

BigChris1337 hat geschrieben:Nein. Die beiden Switche sind am Port 1 über Ethernet miteinander verbunden. Die Ubiquiti AC-Lite laufen nur als AP' s.

Dann versuche bitte, dich möglichst präzise auszudrücken. Dein Setup ist extrem komplex und für Außenstehende wie mich nicht vorhersehbar.

BigChris1337 hat geschrieben:Wenn ich dann später doch noch eine physische Maschine in die DMZ hängen möchte bekomme ich ein Problem, oder? Ich bin mir aber auch nicht sicher, ob das in absehbarer Zeit vorkommen könnte.

Ja - denn die DMZ wäre dann nur intern.

BigChris1337 hat geschrieben:Ich habe keine direkte Verbindung von der FritzBox zum Dell. Also müsste ich dann so was machen?
Friz-Box --> pSwich_EG VLAN x untagged --> Tagged x an Port 1 zum pSwitch_DG --> Port y VLAN x untagged --> vmnic0 ->pfsense WAN

Wichtig dabei ist, dass dein pSwitch-pSwitch-Uplink auch untagged Pakete befördern muss.

BigChris1337 hat geschrieben:Das Freifunk-Netz muss ja eigentlich erst mal nicht durch die pfSense. Der Freifunk Router ist ja am pSwitch DG angeschlossen in einem eigenen VLAN welches auf die Ubiquiti geht.

Das Freifunk-Netz muss also nicht auf die Fritz-Box? Welche Rolle spielt denn in diesem Zusammenhang diese "Ubiquiti"?

BigChris1337 hat geschrieben:Die VLAN-IDs von den Ports der pSwitche und der jeweiligen vSwitche sollten also gleich sein?

Portgroups (s.o.) - ja. Sonst kommt halt kein Paket durch...

BigChris1337 hat geschrieben:Was ich noch nicht so ganz verstehe bei der Aufstellung von Dir, die pfSense bekommt dann 6 Netzwerkkarten zugeteilt, also von jedem vSwitch eine Verbindung?

Ja, denn ich hatte angenommen, dass dein WAN exklusiv über die Fritz-Box läuft (Siehe meine Frage zur Ubiquiti).

BigChris1337 hat geschrieben:Wenn ich in Zukunft noch mehr Netze benötige (ich überlege den Kindern eigene Netz zu geben), wie gehe ich denn dann vor? Dann müsste ich ja noch mehr VLANs aufspannen, die über eine der Netzwerkkarten mit raus geht. Ok, meine Tochter ist erst 4, aber wie würde das dann gehen? Sagen wir, ich brauche noch ein Netz Kind1 und Kind 2?

Ja - das müsstest du. Dann musst du mehrere Portgruppen mit unterschiedlichen VLAN-IDs an einen vSwitch mit Uplink hängen und dem pSwitch-Port dieses Uplinks sagen, dass dort mehrere VLANs drüber laufen.

Member
Beiträge: 31
Registriert: 30.09.2016, 10:06

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon BigChris1337 » 13.07.2017, 10:59

Vielleicht sollte ich noch mal eine Zeichnung machen, ich bin wahrscheinlich nicht so geschickt im Erklären.
Ich versuche es noch mal zu erklären.

FritzBox --> pSwitch_EG Untagged VLAN_100 Port x, von Tagged VLAN_100 Port 1 --> pSwitch_DG Port 1 Tagged VLAN_100, Port 2,3,4 Untagged VLAN 100 --> pfSense WAN, Freifunk_Router_WAN, VPN-Client Dienstrechner

Freifunk Router LAN --> pSwitch Untagged VLAN 500 (Port 5), Tagged VLAN500(Port 1,6) --> Ubiquit_DG, pSwitch_EG --> pSwitch_EG --> Ubiquiti_EG

So bekommen die Ubiquiti meine Vlans. Ist das verständlich?

Experte
Beiträge: 1736
Registriert: 23.02.2012, 12:26

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon ~thc » 13.07.2017, 12:44

Der Fritz-Box-Anschluss ist klar.
Die Access Points beziehen ihr internet vom Freifunk? Du hast also 2 x WAN?
Was bedeutet "pSwitch Untagged VLAN 500 (Port 5), Tagged VLAN500(Port 1,6)"? Hat der Freifunk-Router drei LAN-Anschlüsse?
Was bedeutet "pSwitch_EG Untagged VLAN_100 Port x, von Tagged VLAN_100 Port 1"?

Member
Beiträge: 31
Registriert: 30.09.2016, 10:06

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon BigChris1337 » 13.07.2017, 13:34

Hm - ich drücke mich schlecht aus - sorry!

Die Accesspoints hängen an einem Port der Tagged ist, und erhalten so einmal VLAN 500 (das Freifunk) und VLAN 200 (das LAN). Vielleicht sind das auch keine VLANs wie du sie verstehst? Kann auch sein, dass ich das alles bisher nicht kapiert habe.

Nehmen wir mal einen Switch, der pSwitch_DG. In dem habe ich VLAN_ID 200 und 500 definiert. 200 war mein LAN und 500 das Freifunk.Dann habe ich einen LAN Port vom Freifunk Router mit einem untagged Port aus ID500 verbunden. Der Accesspoint hing dann auf einen Port der Tagged die IDs 500 und 200 hatte. So hat das funktioniert. Der Accesspoints hat dann zwei SSID ausgestrahlt, einmal mit ID500 und einmal mit ID200.


Ich denke ich verstehe einiges gar nicht, vielen Dank für deine Geduld.


Ich habe gerade versucht das Netz neu aufzubauen und bin schon beim ersten Schritt kläglich gescheitert. Was ich gemacht habe:

Auf dem ESXi Host habe ich einen vSwitch LAN angelegt und eine Portgruppe LAN mit der VLAN-ID2 an vSwitch LAN. Dem vSwitch habe ich den Uplink vmnic4 gegeben. Das ich den richtigen pysikalischen Port erwische, habe ich an der Konsole getestet. (Status UP).
Dann habe ich der pfSense die "Netzwerkkarte LAN" gegeben und die Adresse 10.10.2.1/24 zugewiesen (kontrolliert über die MAC Adresse das ich die richtige Karte erwische). Den pysikalischen Port der Netzwerkkarte habe ich an meinen pSwitch Port 24 angeschlossen. Port 23 und 24 am pSwitch habe ich als Untagged VLAN-ID2 definiert. Wenn ich nun meinen Laptop am Port 23 hänge, erreiche ich aber die pfSense nicht. Warum geht das nicht? Wo habe ich schon wieder einen denkfehler? Die pfSense bekommt noch nichts davon mit das sie in einem VLAN ist., oder?

Nun habe ich komplett mein Netz lahm gelegt :(

Experte
Beiträge: 1736
Registriert: 23.02.2012, 12:26

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon ~thc » 13.07.2017, 14:47

Ah - da kommt Licht ins Dunkel. Die Ubiquitis sind voll VLAN-fähig und können mehrere WLANs aufspannen. Das ist im SOHO-Bereich eher ungewöhnlich.

1. Was ist Untagged VLAN? Damit kann man an einem Switch Gruppen von physischen Ports in verschiedene VLANs unterteilen. Die Geräte können nicht VLAN-fähig sein. Der pSwitch stempelt die VLAN-ID auf das eingehende Paket und am ausgehenden Port entfernt er alle Tags wieder. Uplinks zu einem anderen Switch sind nur in jeweils einem der untagged VLANs möglich.

2. Was ist Tagged VLAN? Damit kann man Switch-Kaskaden-übergreifend VLANs definieren. Die Geräte müssen selbst VLAN-fähig sein und Tags vergeben bzw. annehmen. Der pSwitch kontrolliert, ob alle Pakete an den physischen Ports die korrekten VLAN-IDs tragen und verwirft falsche. Uplinks zwischen mehreren VLANs sind möglich.

Ein Sonderfall ist der Umstand, wenn ein Port Tagged VLAN und Pakete ohne VLAN-ID transportieren soll - da muss man bei den Switchen, die mir geläufig sind, die VLAN-ID 0 zusätzlich vergeben.

In deinem geschilderten Fall sendest du von deinem PC ein Ping-Paket an den Port 23. Der klebt (Untagged) die ID 2 drauf. Am Port 24 angekommen, entfernt der Switch die VLAN-ID 2 wieder - und der vSwitch sagt: Hat keine VLAN-ID 2 - verworfen.

Member
Beiträge: 31
Registriert: 30.09.2016, 10:06

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon BigChris1337 » 13.07.2017, 15:15

Vielen Dank für deine Erklärungen, die ich versuche zu verstehen und umzusetzen.

Ich habe die Konfiguration nun so geändert, dass Port 24 am pSwitch T(agged) ist und Port 23 U(ntagged). Der pfSense habe ich gesagt, dass die Schnittstelle VLAN_ID2 nutzen soll. Nun kann ich auch die Verbindung zur pfSense herstellen. :)

Dann müsste das nun so stimmen, oder? Ich werde heute wahrscheinlich nicht dazu kommen noch mehr zu machen. Vielleicht am Abend. Melde mich aber wieder, wie der Stand der Dinge ist.

Noch mal ein dickes Dankeschön so weit. Ich würde dir ein paar Bier ausgeben?

Experte
Beiträge: 1736
Registriert: 23.02.2012, 12:26

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon ~thc » 13.07.2017, 15:50

O.K. - wenn es funktioniert. Die aus meiner Sicht saubere Lösung ist, deiner Netzwerkkarte im PC die VLAN-ID 2 zu geben und beide pSwitch-Ports Tagged auf ID 2 laufen zu lassen.

Ein vSwitch mit VLAN-ID 1 bis 4094 setzt und entfernt die Tags selbst - deine VM muss keine VLAN-ID setzen.

EDIT: Ich habe mal die asymmetrische Verwendung von Tagged und Untagged nachrecherchiert. Da ist es faktisch vom Switch und von der Firmware abhängig, ob so etwas funktioniert. Es gibt auch Switche, die intern alle VLAN-IDs entfernen, bei denen funktioniert dein Verfahren nicht.

Member
Beiträge: 31
Registriert: 30.09.2016, 10:06

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon BigChris1337 » 13.07.2017, 19:53

Klar, das könnte ich im Falle meines Linuxrechners wohl machen.
Aber wie würde ich dann z. B. mein FireTv anbinden oder meinen Receiver? Die unterstützen VLAN Zuweisung glaube ich nicht.

Experte
Beiträge: 1736
Registriert: 23.02.2012, 12:26

Re: Ich glaube ich habe noch nichts verstanden - benötige Hilfe bei Netzwerk

Beitragvon ~thc » 14.07.2017, 07:29

Du kannst, wie du durch deine Versuche festgestellt hast, ein nicht-VLAN-fähiges Gerät durch einen Untagged Port am Switch in ein Tagged VLAN aufnehmen. Das ist aber nicht so gedacht und birgt die Gefahr, dass es durch ein Firmware-Update oder Switchwechsel irgendwann dann nicht mehr geht...


Zurück zu „vSphere 6.5“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast