QNAP Uplink und Nachträglich VLAN Taggings aktivieren

    Hallo zusammen.


    Ich hab mir jetzt mal die Arbeit angetan und zuhause ein VLAN-Konzept angefangen umzusetzen.

    Bislang war alles was ich an IT habe ohne VLAN Logik hinter der Fritzbox/Switches geparkt.

    Seit ein paar Wochen hab ich ne netgate 2100 Appliance (pfsense+). Die Managed Switches (Ubiquiti Edgemax) hatte ich davor schon.

    Nun Stelle ich grade um auf insgesamt 4 VLANs.

    - Default LAN (war bis jetzt das einzig Existente mit allem drin was ich habe)

    - DMZ IoT (ähnlich wie Gast nur ohne internet Drossel)

    - DMZ WLAN/LAN (soll das neue Default werden. Zugang zur QNAP usw. nur noch durch die Firewall und auch nur das, was ich erlaube)

    - DMZ Gast (+ GastWLAN, darf überhaupt nix außer gedrosseltes Internet)



    Das Default LAN (VLAN 0/1) soll nur noch für Management übrig bleiben und alles andere auf die 3 DMZen verteilt werden. Mit Management meine ich zB.: Config UIs der Infrastruktur wie Switches, QNAP-Desktop, QNAP SSH usw.


    Ich bin bei der Umsetzung schon recht weit fortgeschritten. Jetzt muss ich die QNAP noch VLAN-Ready bekommen. Die Management Dinge sollen so bleiben wie sie sind. Aber ich hätte gerne gewissen Container, sowie VMs auf die entsprechenden VLANs verteilt. Nur wie mach ich das. Auf meinen Default vSwitch 3 find ich dazu keine Einstellung. Und wenn ich das auf dem LACP Bond machen will meckert er, dass dadurch mein vSwitch 3 disconnected wird. Hab keinen Bock mich hier auszusperren :huh:.


    Gibts da irgendein "best practice"?

    Was hast Du denn alles auf Deinem QNAP?


    Ich habe verstanden, dass Du einen virtuellen Switch hast.

    Wieviele Netzwerk-Interfaces hast Du?


    Edit: Okay, ich hätte auch TVS-672X googlen können (hab ich nun gemacht).


    Als wir haben 2x 1 GBit/s und 1x 10 GBit/s.

    Damit würde ich so vorgehen...


    Erste 1 GBit/s-Karte ohne VLAN konfigurieren und auf dem Switch auf einen untagged VLAN 1 Port stecken... das ist ab jetzt unsere Management und Fallback Netzwerkkarte.


    10 GBit/s-Karte und die zweite 1 GBit/s-Karte zu einem Fail-over-Team ("Active-Backup" in QNAP-Sprech). Sowie das Team fertig ist, in den VLAN-Modus schalten und nun für alle VLANs, die Du haben willst Subinterfaces anlegen.


    In nächsten Schritt legst Du noch so viel virtuelle Switche auf dem QNAP an, wie Du brauchst.

    Erste 1 Gbit/s-Karte als "Management-Karte" bleibt für sich allein.

    Die VLAN-Subinterfaces des "Active-Backup" werden dann den Switchen zu geordnet.


    Du könntest z.B. die folgenden Switche anlegen "DMZ IoT-Switch", "DMZ Gast-Switch" und "DMZ LAN/WAN-Switch", den Switchen dann jeweils das passende VLAN-Subinterface zuordnen.

    Die Switch-Ports für die beiden Netzwerk-Karten im "Active-Backup" musst Du als "Trunk" definieren, die alle diese VLANs als tagged VLAN anliefern. Auf dem Trunk braucht es kein untagged VLAN.

    Screenshot 2022-04-28 130942.png


    Damit hast Du erst einmal das, was Du möchtest.

    Durch das "Active-Backup" hast Du eine Sicherung, falls die 10G Verbindung mal hustet. Ideal steckt die 1 GBit/s-Ersatzverbindung auf einem anderen Switch! Eine Linkbündelung macht keinen großen Vorteil, 10+1G zu bündeln sieht meist auch kein Standard vor.


    Du könntest es nun noch weiter optimieren, in dem Du z.B. das Servicebinding des QNAP anpasst und die Magement Dienste (SSH, Telnet, usw.) nur auf der "Management-Netzwerkkarte" zulässt und die Filedienste (SMB, NFS, usw.) nur auf dem "DMZ LAN/WAN-Switch".

    5 Mal editiert, zuletzt von Barungar ()

    Gefällt mir 1

    Da laufen so 20 Container u 2-3 VMs.


    die QNAP hat 3 Interfaces. Zwei davon sind im Bond (LACP) zum Uplink-Switch (ubiquiti Edgemax 24 lite) verbunden. Das 3. Interface ist frei. Kann ich auch nicht verwenden, weil ich keine 3. Netzwerkdose frei habe.


    Aber hier, Bilder sagen mehr als 1000 Worte:

    pasted-from-clipboard.png


    Vergiss die pfsense VMs das ist nur ausgeschaltetes Spielzeug.



    Ansonsten habe ich insgesamt

    - 2 Managed Switches (EdgeMax)

    - ne netgate 2100 als Router/firewall

    - Ne Fritzbox 6890 LTE die nur als PPPoE Passthrough DSL Modem verwendet wird, da die Netgate kein eigenes Modem hat.


    Die Uplinkports zur QNAP sind derzeit noch nicht getagged, sonder noch statisch nativ im Defaut VLAN des Uplink Switches (EdgeMax).


    Ich will nun das die QNAP ihr management Gedöns im DefaultVLAN behält und somit nur von von mir bestimmten Geräten erreichbar sein - bestimmte Container und VMs aber auch in andere VLANs bereitstellen können. Ich habe zB.: nen VeeamBackupRepo-Server (VM), dessen Traffic ich nicht über die Firewall schießen möchte, da diese damit ziemlich sicher in die Knie gehen würde. Die soll somit nen Netzwerk-Fuß im neuen VLAN (LAN) haben, wo auch die zu sichernden Clients stehen.

    Ich habe zwischenzeitlich (siehe alten Post oben) einen Vorschlag bzw. eine Vorgehensweise vorgeschlagen.


    Wenn Du natürlich keine 10G Infrastruktur hast, dann macht es doch Sinn ein Link-Aggration anstatt eines "Actice Backup" einzusetzen.

    In dem Fall würde ich dann die 10G Karte für das "Netzwerk-Management" nehmen, weil die kann sicher nicht mit einer der 1G Karten gebündelt werden.


    Im Prinzip musst Du nun nur die 10G Karte als Netzwerk-Management einrichten. Anschließend die GUI über die Netzwerk-Management-Karte aufrufen.

    Dann den Link-Aggregat vom vorhandenen virtuellen Switch im QNAP lösen und das Link-Aggregat (über die drei Punkte in der Schnittstellen-Ansicht) in den VLAN-Modus nehmen. Anschließend die jeweiligen VLAN-Subinterfaces den gewünschten Switchen zuordnen, wie oben beschrieben.


    Screenshot 2022-04-28 131519.png

    Einmal editiert, zuletzt von Barungar ()

    Gefällt mir 1

    Barungar Danke schon mal für den Input. Das werd ich mir mal durch den Kopf gehen lassen.

    Ich hab das gestern etwas anders durch probiert (so wie ich es bei den Google-Recherchen gefunden habe) und mich gleich 2x komplett ausgesperrt, nach dem ich den Apply Button gedrückt hatte. Reset-Button lässt grüßen :D


    Momentan bin ich wieder beim Status Quo und muss die Fehlschläge und einhergehenden Stunden der Scherbenbeseitigung erst mal verdauen :o


    Ja es ist echt schade, dass ich den 10G Port nicht gescheit nutzen kann. Überlege mir wirklich nen kleinen 10G Switch anzuschaffen. Mein PC könnte wenigsten 2,5G nutzen. Andererseits... Auch schon wieder so ein "Haben-Will" ohne echten Mehrwert. Das Gbit Schnürchen wird eh bloß beim Backup saturiert.


    Zitat von Barungar

    weil die kann sicher nicht mit einer der 1G Karten gebündelt werden.

    Du wirst lachen, genau das habe ich seit Beginn so erfolgreich im Einsatz. War nicht ganz Absicht ... eher beim Machen so geworden und da es anstandslos funktionierte, keine Muße gehabt es zu ändern. Schön ists natürlich nicht.

    Zitat von blue_focus

    und mich gleich 2x komplett ausgesperrt,

    Deswegen erst eine Management-Karte definieren, auf die GUI der IP der Management-Karte wechseln und alle Umkonfigurieren der "produktiven Karten oder Aggregate" von da machen... und ich hab auch noch gewarnt... ;):P


    Zitat von blue_focus

    Ja es ist echt schade, dass ich den 10G Port nicht gescheit nutzen kann. Überlege mir wirklich nen kleinen 10G Switch anzuschaffen. Mein PC könnte wenigsten 2,5G nutzen. Andererseits... Auch schon wieder so ein "Haben-Will" ohne echten Mehrwert. Das Gbit Schnürchen wird eh bloß beim Backup saturiert.

    Würde ich jetzt nicht so sagen. Bei mir werkeln auch 10G-Karten und mein ganzer privater Netzwerk-Backbone (Verbindung zwischen den Switchen) läuft auf 10 bzw. 20 GBit/s. Das merkt man schon in der täglichen Arbeit und auch bei den Backups. Ich möchte nicht mehr langsamer als 10G haben und denke so langsam schon in Richtung 25 GBit/s-Links.

    Barungar Dank deiner super Doku oben läuft das jetzt :)


    Ein 1Gb Port ist nun im vorhandenen MGMT-Netz geblieben aus dem nun alles Rauswandern soll.

    Der 10Gb Port wird nun mit den entsprechenden DMZen getagged. Brauche da derzeit eh nur einen Tag.


    pasted-from-clipboard.png



    Boah 10/25Gbit hätte ich auch gern. Momentan hab ich da 2 Hürden.

    1. Gute L3 10G Switches sind jetzt kein Schnäppchen.

    2. Große Switches gibts in der Leistungsklasse leider nur mit den extrem nervig lauten Lüftern. Da das Netzwerk Rack neben mir steht, hab ich da keinen Spaß. Bin da echt empfindlich. Selbst die Pumpe meiner Custom-Wakü, die für die Allermeisten nicht hörbar ist nervt mich schon ab und zu.




    Barungar Nachtrag:


    Jetzt hab ich leider ein ganz Schräges Netzwerkverhalten, was sich leider recht simpel erklären lässt. Mein DMZ vSwitch hat ja auch einen Netzwerkfuß für CIFS usw. in meinem Client Netzwerk. Leider verwendet QTS diesen Fuß auch als Default Gateway in dieses Netz und umschifft dabei teilweise die Firewall. Das führt dann dazu, dass Pakete sich verrouten und Dienste die eigentlich nur auf der MGMT-NIC laufen "flappen". Also mal gehen mal nicht, Performance mies usw.

    Hast du ne Idee wie ich QTS dazubekomme diese Virtual IP in der Client DMZ NICHT zu verwenden?

    Per Static-Route gehts schon mal nicht, denn die System-Routing Table ist ja Read-Only und die einhergehende Default-Route hat ne Metric von 0 und wird daher praktisch immer verwendet.


    Mir ist das heute erst aufgefallen, weil ich mich gewundert habe, warum mein Grafana so elendiglich lahm ist.

    BTW: falls es auch mal wer braucht:

    Hab ne Lösung gefunden um dieses Problem hier zu umgehen und Container auch VLANTag-Aware zu machen.

    pasted-from-clipboard.png




    pasted-from-clipboard.png



    Einfach über die Shell ein Docker-Netzwerk anlegen mit dem driver "ipvlan" und auf das parent interface "qvs##" binden, welches den zuvor angelegten vSwitch darstellt, der mit dem virtuellen VLAN-Interface uplinked ist.


    Code
    docker network create -d ipvlan --subnet 192.168.101.0/24 --gateway 192.168.101.1 -o parent=qvs2 docker_iot
                        <driver>                                             <qvs2 -> vSwitch für mein IoT Netz> <docker_iot=Netzwerkname in Dockerumgebung>


    Frag mich warum QNAP das nicht über die UI kann. So schwer wäre das jetzt nicht zu implementieren.


    Übrigens nicht wundern: Unter "Network & virtual Switch" wird ein auf dieses Netzwerk gebundener Container nicht dargestellt. Funktionieren tut's aber trotzdem. :)