← Zurueck zu Enterprise Firewall
🔀
VLANs einrichten
Netzwerksegmentierung mit VLANs - Geraete trennen und Sicherheit erhoehen.
⏱️ 45 Minuten 📊 Fortgeschritten
🤔 Schritt 1: Was sind VLANs?
VLAN = Virtual Local Area Network. VLANs teilen ein physisches Netzwerk in mehrere logisch getrennte Netzwerke auf.
Ohne VLANs
🖥️ PC ──┐
📱 Phone ──┤── Switch ── Router ── Internet
📷 IoT ──┘
→ Alle Geraete im gleichen Netzwerk, sehen sich gegenseitig
Mit VLANs
🖥️ PC (VLAN 10) ──┐
📱 Phone (VLAN 20) ──┤── Switch ── OPNsense ── Internet
📷 IoT (VLAN 30) ──┘
→ Geraete getrennt, Firewall kontrolliert Traffic zwischen VLANs
💡
Vorteil
IoT-Geraete (Kameras, Smart Home) koennen nicht auf PCs zugreifen, selbst wenn sie kompromittiert werden.
Du entscheidest per Firewall-Regel, wer mit wem kommunizieren darf.
📋 Schritt 2: Voraussetzungen
Was du brauchst:
- Managed Switch: Muss 802.1Q VLAN-Tagging unterstuetzen
- OPNsense: Mit mindestens einem freien Interface oder VLAN-faehiger NIC
- Planung: Welche VLANs brauchst du?
Beispiel VLAN-Plan
| VLAN ID | Name | Subnetz | Zweck |
|---|---|---|---|
| 10 | Management | 10.0.10.0/24 | Server, Firewall-Zugriff |
| 20 | Trusted | 10.0.20.0/24 | PCs, Laptops |
| 30 | IoT | 10.0.30.0/24 | Smart Home, Kameras |
| 99 | Guest | 10.0.99.0/24 | Gaeste-WLAN |
⚠️
VLAN 1 vermeiden
VLAN 1 ist oft das Default/Native VLAN auf Switches. Nutze es nicht fuer produktiven Traffic -
waehle IDs ab 10 aufwaerts.
➕ Schritt 3: VLAN in OPNsense erstellen
- Interfaces → Other Types → VLAN
- Klicke auf „+"
- Fulle aus:
| Parent interface: | em1 (oder deine LAN-NIC) |
| VLAN tag: | 20 |
| VLAN priority: | 0 (Standard) |
| Description: | VLAN20_Trusted |
- Klicke „Save"
- Wiederhole fuer weitere VLANs (30, 99, etc.)
🔗 Schritt 4: VLAN als Interface zuweisen
- Interfaces → Assignments
- Unten bei „Available network ports":
- Waehle „vlan20 on em1 - VLAN20_Trusted"
- Klicke „+ Add"
- Neues Interface erscheint (z.B. OPT1)
- Klicke auf „OPT1" um es zu konfigurieren
Interface konfigurieren
| Enable: | ☑ Enable Interface |
| Description: | TRUSTED |
| IPv4 Configuration: | Static IPv4 |
| IPv4 Address: | 10.0.20.1 / 24 |
- Klicke „Save"
- Klicke „Apply Changes"
✅
Interface aktiv
Das VLAN-Interface hat jetzt die IP 10.0.20.1 und ist Gateway fuer das VLAN 20 Netzwerk.
📡 Schritt 5: DHCP fuer VLAN einrichten
- Services → DHCPv4 → TRUSTED (dein VLAN-Interface)
- Aktiviere: „Enable DHCP server on TRUSTED"
- Konfiguriere:
| Range from: | 10.0.20.100 |
| Range to: | 10.0.20.200 |
| DNS servers: | 10.0.20.1 |
| Gateway: | 10.0.20.1 |
- Klicke „Save"
🛡️ Schritt 6: Firewall-Regeln fuer VLANs
Wichtig: Neue Interfaces haben keine Default-Regeln!
🚨
Kein Traffic ohne Regeln
Anders als das LAN-Interface hat ein neues VLAN-Interface keine „Allow All" Regel.
Ohne Firewall-Regeln ist das VLAN komplett isoliert.
Beispiel-Regeln fuer VLAN 20 (Trusted):
| Action | Source | Dest | Port | Beschreibung |
|---|---|---|---|---|
| Pass | TRUSTED net | TRUSTED addr | 53 | DNS erlauben |
| Block | TRUSTED net | RFC1918 | * | Block private Netze |
| Pass | TRUSTED net | any | * | Internet erlauben |
Beispiel-Regeln fuer VLAN 30 (IoT - restriktiv):
| Action | Source | Dest | Port | Beschreibung |
|---|---|---|---|---|
| Pass | IOT net | IOT addr | 53 | DNS erlauben |
| Block | IOT net | RFC1918 | * | Kein Zugriff auf interne Netze |
| Pass | IOT net | any | 443,80 | Nur Web (Updates) |
💡
RFC1918 Alias
OPNsense hat einen eingebauten Alias fuer private IP-Bereiche (10.x, 172.16-31.x, 192.168.x).
Nutze ihn um Inter-VLAN-Traffic zu blockieren.
🔌 Schritt 7: Switch konfigurieren
Der Switch muss VLANs unterstuetzen und korrekt konfiguriert sein:
Trunk Port
Zur Firewall - traegt alle VLANs (getaggt)
Port 1 → OPNsense
Tagged: VLAN 10, 20, 30, 99
Tagged: VLAN 10, 20, 30, 99
Access Port
Fuer Endgeraete - ein VLAN (ungetaggt)
Port 5 → PC
Untagged: VLAN 20
(PVID: 20)
Untagged: VLAN 20
(PVID: 20)
Typische Switch-Konfiguration:
| Port | Geraet | VLAN Mode | VLANs |
|---|---|---|---|
| 1 | OPNsense | Trunk | 10,20,30,99 tagged |
| 2-4 | Server | Access | 10 untagged |
| 5-12 | PCs | Access | 20 untagged |
| 13-20 | IoT | Access | 30 untagged |
| 21-24 | Access Points | Trunk | 20,30,99 tagged |
⚠️
Switch-Management
Stelle sicher, dass du den Switch ueber VLAN 10 (Management) erreichst, bevor du alles umstellst!
Sonst sperrst du dich aus.
📶 Schritt 8: WLAN mit VLANs
Access Points koennen mehrere SSIDs auf verschiedene VLANs mappen:
| SSID | VLAN | Zweck |
|---|---|---|
| MeinNetz | 20 | Privat/Trusted |
| MeinNetz-IoT | 30 | Smart Home Geraete |
| MeinNetz-Gast | 99 | Gaeste |
Konfiguration am Access Point:
- Erstelle mehrere SSIDs/WLANs
- Weise jeder SSID ein VLAN zu (VLAN tagging)
- Verbinde AP mit Trunk-Port am Switch
💡
AP-Empfehlungen
UniFi, TP-Link Omada oder OpenWrt-faehige APs unterstuetzen Multi-SSID mit VLANs.
Consumer-Router meist nicht.
Haeufige Fragen
Geraete im VLAN bekommen keine IP
1) DHCP-Server fuer das VLAN aktiviert?
2) Interface in OPNsense enabled?
3) Switch-Port im richtigen VLAN (Access/Untagged)?
4) Trunk zum OPNsense korrekt (VLAN getaggt)?
Wie erlaube ich Zugriff von VLAN 20 auf einen Server in VLAN 10?
Erstelle eine Regel auf dem VLAN 20 Interface:
Pass - Source: VLAN20 net - Dest: 10.0.10.5 (Server-IP) - Port: z.B. 443
Die Regel muss VOR dem „Block RFC1918" stehen!
Brauche ich fuer jedes VLAN eine eigene NIC?
Nein! VLANs laufen alle ueber eine NIC (Trunk). OPNsense taggt/enttaggt automatisch.
Du brauchst nur genuegend Bandbreite auf dem Trunk-Port.
Kann ich VLANs auch auf dem WAN-Interface nutzen?
Ja, manche ISPs liefern Internet/IPTV/VoIP auf verschiedenen VLANs.
Konfiguration analog, aber auf dem WAN-Parent-Interface.