# OPNsense VLANs: Segmentierung & 802.1Q Deep Dive

TL;DR / Management Summary Ein flaches Netzwerk ist ein Sicherheitsrisiko. Wir nutzen VLANs (Virtual LANs) nach dem Standard IEEE 802.1Q, um ein einzelnes physisches Kabel in hunderte logische Netzwerke zu unterteilen. Ein Senior Admin nutzt OPNsense als “Router-on-a-Stick” oder in Kombination mit einem L3-Switch, um Traffic zwischen Servern, IoT-Geräten und Gästen strikt zu isolieren und zu filtern.

# 1. Einführung & Architektur

Die Kunst des Tagging.

Normalerweise sind Pakete auf einem Kabel “nackt”. Bei VLANs bekommt jedes Paket einen 4-Byte Header mit der VLAN ID (1-4094).

# Komponenten

# Architektur-Übersicht (Mermaid)

graph TD
    FW[OPNsense Firewall] ---|Trunk: VLAN 10, 20, 30| SW[L2 Managed Switch]
    SW ---|Access: VLAN 10| PC[Office PC]
    SW ---|Access: VLAN 20| IOT[Smart Camera]
    SW ---|Access: VLAN 30| GUEST[Guest WiFi]
    
    subgraph "Logic Separation"
    PC <-.->|Blocked by FW| IOT
    PC <-->|Allowed by FW| GUEST
    end

# 2. Einrichtung in der Praxis

Vom physikalischen Interface zum VLAN-Glied.

# Schritt 1: VLAN Interface erstellen

Interfaces -> Other Types -> VLAN.

# Schritt 2: Zuweisung und Aktivierung

Interfaces -> Assignments.

  1. Wählen Sie das neue Device vlan0.1 on vtnet1 aus.
  2. Geben Sie ihm einen Namen (z.B. IOT_NET).
  3. Weisen Sie eine IP zu (z.B. 10.0.20.1/24).

# Schritt 3: DHCP und Firewall

Vergessen Sie nicht, für das neue VLAN einen DHCP-Pool (Artikel 577) und eine “Allow”-Regel (Artikel 553) anzulegen, sonst kommt niemand raus.

# 3. Deep Dive: Inter-VLAN Routing

Der Kontrolleur an der Grenze.

Standardmäßig blockiert OPNsense jeglichen Traffic zwischen VLANs. Dies ist der größte Vorteil gegenüber einem Layer-3 Switch.

# 4. Day-2 Operations: VLANs in Proxmox

Virtualisierung meets Segmentierung.

Wenn OPNsense eine VM auf Proxmox ist:

  1. Die Proxmox-Bridge (vmbr0) muss VLAN Aware sein.
  2. Weisen Sie der OPNsense-VM die Bridge zu, aber lassen Sie das VLAN-Feld in Proxmox leer (Trunk-Mode).
  3. Die OPNsense-VM erledigt das Tagging intern.

# 5. Troubleshooting & “War Stories”

Wenn die Pakete das falsche Etikett haben.

# Top 3 Fehlerbilder

  1. Symptom: Clients im VLAN bekommen keine IP vom DHCP.

    • Ursache: Der Switch-Port ist nicht als “Trunk” konfiguriert oder das VLAN ist am Switch nicht angelegt.
    • Lösung: show vlan am Switch prüfen.

  2. Symptom: “VLAN Leakage” - Traffic landet im falschen Netz.

    • Ursache: Falsches Native VLAN (PVID) am Switch-Port.
    • Lösung: PVID muss mit dem untagged Management-VLAN der Firewall übereinstimmen.

  3. Symptom: Massive CPU-Last auf der Firewall bei Datei-Transfers zwischen VLANs.

    • Ursache: OPNsense muss jedes Paket auspacken, prüfen und wieder einpacken (Routing-Overhead).
    • Lösung: Hochlast-Verbindungen (z.B. Backup-Traffic) auf einen L3-Switch auslagern oder 10G NICs nutzen.

# “War Story”: Der “Hidden” Broadcast-Sturm

Ein Admin konfigurierte zwei VLANs auf dem gleichen physischen Switch, verband aber versehentlich einen alten, unmanaged Switch mit zwei Kabeln an beide VLAN-Ports. Das Ergebnis: Ein Loop über zwei logische Netze hinweg. Da die Firewall in beiden Netzen als Gateway fungierte, versuchte sie, den Broadcast-Sturm zu routen. Die OPNsense-CPU ging auf 100%, das gesamte Firmennetz stand still. Lehre: Aktivieren Sie STP (Spanning Tree Protocol) auf Ihren Managed Switches, auch wenn Sie nur VLANs nutzen!

# 6. Monitoring & Alerting

Sichtbarkeit im Tunnel.

# Reporting pro VLAN

Unter Reporting -> Insight können Sie den Traffic nach Interfaces filtern.

# 7. Fazit & Empfehlung

VLANs sind das mächtigste Werkzeug zur Netzwerkkontrolle.

# Anhang: Cheatsheet

Aufgabe Pfad / Befehl
VLAN anlegen Interfaces -> Other Types -> VLAN
VLAN Status (Shell) ifconfig vlan0
ARP pro VLAN arp -a -i vlan0.10
Paket-Capture Diagnostics -> Packet Capture (Interface wählen)

# Referenzen