Servere -> Switch <- Internet

OK, am ajuns la faza in care trebuie sa ma documentez mai bine despre retelistica. Pana acum nu am avut de-a face decat cu routere si a fost cat de cat simplu, adica m-am descurcat de unul singur.
Acum insa cred ca am nevoie de un switch, ceea ce pentru mine e un domeniu nou, am citit si m-am documentat dar tot am cateva nelamuriri.

Ce vreau sa fac:
Sa spunem ca am un cluster de servere (servicii) care se afla pe dispozitive hardware diferite (sau nu). Adica am un 2 raspberry Pi, un Intel Nuc i3, etc.
Pe aceste device-uri vreau sa rulez: pfSense (soft de "router" firewall+VPN Client), TVHeadend (server TV), etc.

Nu stiu daca le voi rula pe toate pe Nuc in masini virtuale (KVM) sau separat pe pi-uri si Nuc.
Problema e ca toate aceste device-uri au hardware un singur port de retea iar toate impreuna trebuie sa functioneze ca un "mare router" pentru restul retelei de clienti. Deci internetul intra in aceasta retea de "servicii" (servere) care distribuie mai departe catre reteaua de clienti ce au acestia nevoie (Internet, streaming, streaming OpenVPN).

La mine Internetul vine printr-un modem PPPoE deci e clar ca imediat dupa priza de internet trebuie sa am un router (in bridge mode probabil) care stie de asa ceva.

Dupa router-ul asta, din cate m-am documentat, ar trebui sa vina un switch.
Pe Switch trebuie sa creez 2 retele VLAN (desi toata lumea e conectata la acelasi switch), una pentru servere si alta pentru clienti (care vor fi deserviti si de un AP Wifi).
Tot traficul de net trebuie sa treaca prin pfSense (routerul "software" al retelei).

Problema e ca inteleg oarecum ce e aia routing si gateway-uri la nivel de router (Layer 3? IP-uri, etc) dar nu reusesc sa-mi fac o imagine la nivel de switch (Layer 2, MAC address? VLAN?).
Adica cum stiu clientii conectati in porturile VLAN2 de pe switch ca trebuie sa treaca prin pfSense din VLAN1 inainte sa se duca in internet sau la alti clienti? Si ce este si cum functioneaza tagging-ul (am senzatia ca are legatura).

Imi cer scuze daca intrebarile par confuze.

Edited by Cris007, 05 December 2016 - 10:53.

Traficul tagged ii trafic care ii etichetat cu un anumit VLAN. Traficul din VLAN2 ii tagged 2.

Ca sa configurezi VLAN-uri ai nevoie si de un switch care sa stie si tehnologia VLAN (nu toate au asa ceva).

Pentru comunicarea intre VLAN-uri, daca ai nevoie de asa ceva, ai nevoie de un router si de cel putin o legatura trunk. Practic prin VLAN iti imparti 1 reteaua fizica (switch + conexiuni) in mai multe retele virtuale separate intre ele (nu comunica intre ele).

LE: era bine de faceai o schema simpla in paint cu ce doresti

Edited by Bucifon, 05 December 2016 - 11:43.

Teoretic daca intelegi routing (Layer 3), ar trebui sa iti fie usor sa intelegi switching.
Ideal ar fi sa iti iei un switch cu management, chiar SH, de la un brand cat de cat de soi (Cisco, Allied Telesis, Juniper, etc) si sa iti pornesti reteaua de acolo.

Teoretic ti-ar trebui doua VLAN-uri, cu porturile impartite dupa nevoi.
Un port din switch il faci trunk si acolo legi device-ul router/firewall. Aici faci si legatura intre VLAN-uri plus poti face monitoring and shit.  
Iar pe router sa ai doua porturi de retea, unul duce catre internet, celalalt catre reteaua locala.

Atentie pe ce rulezi pfSense, ca mananca ceva resurse.
Ideal ar fi asa ceva, mai ales daca vei avea fantezii gen DMZ mai incolo, caz in care vei avea nevoie de inca un port de retea.

Depinde de traficul din reteaua respectiva ca daca foloseste un switch cu management poate face omul ce doreste cu ce are desi nu au jucariile alea cine stie ce putere. Pentru router nu e nevoie de 2x interfete de retea, poate folosi lejer una da'  buna. De preferat gigabit, banuiesc ca jucariile alea dispun de asa ceva. Si foloseste subinterfete plus vlan-utils (vlan-tools) pe pfsense sa isi faca un router on a stick. Traficul ajunge in router pe vlan X (eth0.X) si pleaca pe vlan Y (eth0.Y) catre internet. Eventual poate sa tranteasca si un vlan Z (eth0.Z) pentru acces inband la jucarii.

Deci la varianta in care rulez pfsense pe intel nuc (1 singur NIC gigabit), il conectez pe switch pe portul desemnat ca trunk? Iar restul reglez din pfsense? (desigur dupa ce am definit in switch care port e trunk si care e vlan1, vlan2)

Faza e (daca am inteles corect) ca pe trunk trebuie sa fie si portul din switch in care bag cablul cu internet.

O sa ma documentez mai bine ce e cu "trunk"-ul asta.
Si-am retinut idea cu schema grafica o sa fac una.

Asta mi se pare un tutorial bun pentru ce vreau sa fac cred: https://sdoconnell.n...all-on-a-stick/

Edited by Cris007, 05 December 2016 - 22:58.

Ideea e relativ simpla cu trunk-ul. VLAN-urile iti separa traficul intr-un switch, definind retele virtuale. Ca sa unesti retelele astea si sa le dai acces la internet tu in mod normal ar trebui sa conectezi fizic cate un port din fiecare VLAN la router, si separat, direct in router sa iti intre si WAN-ul. Folosind trunk tu efectiv muti cablurile alea in interiorul switch-ului. Astfel vei avea:
vlan 1: portul pe unde iti vine internetul si portul de trunk in care legi router-ul.
vlan 2 pana la cat ai nevoie - porturile pe care vrei sa le separi in retele virtuale separate, neuitand sa incluzi vlan-urile si in portul trunk.

Azi toata ziua m-am chinuit sa setez pfsense esxi 6.5
Situatia e cam asa:
[ https://i.imgur.com/sx1vJFE.png - Pentru incarcare in pagina (embed) Click aici ]

Totul e legat la un virtual switch cu 2 vlan-uri 99/10 care ies afara prin portul hardware vmnic0 care intra la randul sau intr-un switch tp-link, setat cu 2 vlan-uri 99(wan)/10(lan).
PC-ul de pe care fac webmanagement la esxi e conectat la acelasi switch tp-link pe partea de lan (VLAN10). Pot sa managuiesc fara probleme deci si serverul 192.168.1.10 si pc-ul sunt in acelasi LAN (192.168.1.x)

Problema e ca daca lansez pfsense in virtual machine pe server, isi seteaza ip 192.168.1.1 (vezi screenshot) dar nu e accesibil de nicaieri. Nu pot sa dau ping de nicaieri, nici din alt VM (ubuntu vezi in poza), nici de pe pc-ul care e legat la acelasi switch...
Nu pricep.

Probabil ca imi scapa ceva evident dar nu ma prind ce.

Mda, hai ca am dumirit-o: em0 in pfsense trebuia sa fie WAN-ul si em1-ul trebuia sa fie LAN. Le pusesem invers in VM (primul adaptor il setasem LAN si in pfsense ajungea em0).

[ https://i.imgur.com/0c1SEev.png - Pentru incarcare in pagina (embed) Click aici ]

Edited by Cris007, 10 December 2016 - 23:03.