In der Welt der Heimnetzwerke und kleinen Büros sehnen wir uns oft nach Kompaktheit, Effizienz und einer gewissen Ästhetik. Kabelsalat ist der Feind der organisierten Technik und limitierte Hardware-Ressourcen können kreative Lösungen erfordern. Stellen Sie sich vor, Sie haben eine leistungsstarke Firewall wie OpnSense oder pfSense, die Ihr Netzwerk schützt, aber Ihr Mini-PC-Gehäuse oder Ihr Appliance-Board bietet nur einen einzigen physischen Netzwerkport. Wie bekommen Sie dann sowohl Ihr Internet (WAN) als auch Ihr internes Netzwerk (LAN) über dieses eine Kabel? Die Antwort ist so elegant wie effektiv: WAN über VLAN.
Dieser Artikel beleuchtet, wie Sie mit einem einzigen LAN-Port und der Magie von VLANs (Virtual Local Area Networks) eine vollständige Trennung und gleichzeitig eine effiziente Verbindung zwischen Ihrem WAN und LAN herstellen können. Eine Lösung, die nicht nur Kabel spart, sondern auch ein hohes Maß an Flexibilität und Sicherheit bietet.
Warum eine Ein-Kabel-Lösung? Die Vorteile im Überblick
Die Idee, WAN und LAN über einen einzigen physikalischen Port zu führen, mag auf den ersten Blick ungewöhnlich erscheinen, bietet aber eine Reihe handfester Vorteile, die besonders in bestimmten Szenarien zum Tragen kommen:
-
Kompaktheit und Ästhetik: Weniger Kabel bedeuten weniger Chaos. Für Mini-PCs, lüfterlose Appliances oder elegante Rack-Installationen ist dies ein großer Pluspunkt. Eine einzige Ethernet-Verbindung zu Ihrem managed Switch sieht einfach aufgeräumter aus.
-
Ressourcenschonung: Wenn Ihre Firewall-Hardware nur einen oder zwei physische Netzwerkports bietet, ist diese Methode oft die einzige Möglichkeit, eine vollständige Trennung von WAN und LAN zu erreichen. Es spart den Kauf zusätzlicher Netzwerkadapter oder einer teureren Appliance mit mehr Ports.
-
Flexibilität: Einmal eingerichtet, können Sie Ihr Netzwerk einfach erweitern, indem Sie weitere VLANs für Gäste, IoT-Geräte oder Server hinzufügen, die alle über dasselbe physische Kabel zur Firewall gelangen.
-
Kostenersparnis: Weniger physikalische Ports bedeuten oft günstigere Hardware. Die Einsparungen beim Kauf der Firewall-Hardware können beträchtlich sein.
-
Einfachere Verkabelung: In vielen Haushalten oder kleinen Büros gibt es nur eine einzige Ethernet-Verbindung vom Router/Modem zu einem zentralen Switch. Diese Lösung nutzt diese Infrastruktur optimal aus, ohne dass zusätzliche Kabel verlegt werden müssen.
Grundlagen: Was ist VLAN und wie funktioniert es hier?
Bevor wir uns in die Konfiguration stürzen, lassen Sie uns kurz klären, was VLANs sind und wie sie in diesem Kontext funktionieren. Ein VLAN ermöglicht es Ihnen, ein einzelnes physisches Netzwerk in mehrere logische Netzwerke zu unterteilen. Stellen Sie es sich wie mehrere virtuelle Bahnen auf einer einzigen physischen Straße vor.
Jedes Datenpaket, das über ein VLAN gesendet wird, erhält einen speziellen „Tag” (einen numerischen Identifier, die VLAN-ID). Ein managed Switch ist in der Lage, diese Tags zu lesen und die Pakete entsprechend an die richtigen Ports weiterzuleiten oder von diesen zu empfangen. Ports können auf verschiedene Arten konfiguriert werden:
-
Access Port: Ein Port, der nur für ein bestimmtes VLAN konfiguriert ist und alle eingehenden Pakete automatisch mit der entsprechenden VLAN-ID taggt (und ausgehende Tags entfernt). Hier schließen Sie typischerweise Endgeräte oder Geräte an, die keine VLAN-Fähigkeit besitzen (z.B. Ihr PC, ein Modem).
-
Trunk Port: Ein Port, der mehrere VLANs tragen kann. Alle Pakete, die über einen Trunk Port gesendet werden, sind getaggt. Hier schließen Sie typischerweise Geräte an, die VLAN-fähig sind und die Tags selbst verwalten können (z.B. Ihre OpnSense/pfSense Firewall, andere Switches).
In unserem Szenario werden wir einen physikalischen Port auf Ihrer OpnSense/pfSense Firewall als Trunk Port konfigurieren. Dieser Port wird dann logisch in zwei oder mehr Sub-Interfaces unterteilt: eines für das WAN (z.B. VLAN ID 10) und eines für das LAN (z.B. VLAN ID 20). Der managed Switch wird die Aufgabe haben, die Pakete mit den entsprechenden Tags zu versehen und zu trennen, bevor sie die Firewall erreichen oder nachdem sie diese verlassen haben.
Voraussetzungen für Ihr Ein-Kabel-Setup
Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Dinge zur Hand haben:
-
Eine installierte Instanz von OpnSense oder pfSense auf Hardware mit mindestens einem freien physischen Netzwerkport (der für WAN und LAN verwendet werden soll).
-
Einen managed Switch, der IEEE 802.1Q VLANs unterstützt. Dies ist eine absolute Notwendigkeit, da ein unmanaged Switch keine VLAN-Tags verarbeiten kann.
-
Ihr Internet-Modem oder ONT (Optical Network Terminal).
-
Grundkenntnisse in der Netzwerkkonfiguration und dem Umgang mit Ihrer Firewall-Software.
-
Ein Backup Ihrer aktuellen Firewall-Konfiguration ist immer eine gute Idee!
Schritt-für-Schritt-Anleitung: Die Konfiguration
Wir gehen davon aus, dass Ihre OpnSense/pfSense Installation bereits Zugriff auf die Weboberfläche ermöglicht, wahrscheinlich über ein temporäres LAN-Interface oder über eine direkte Verbindung, bevor wir die Änderungen vornehmen.
1. Planung der VLANs
Definieren Sie die VLAN-IDs, die Sie verwenden möchten. Wählen Sie IDs, die nicht in Ihrem Netzwerkkontext anderweitig verwendet werden und nicht die Standard-ID 1 sind (obwohl 1 technisch möglich ist, ist es oft besser, sie zu vermeiden). Zum Beispiel:
-
WAN-VLAN: ID 10
-
LAN-VLAN: ID 20
-
Optional: Management-VLAN für den Switch: ID 99
2. Konfiguration des Managed Switches
Dies ist der kritischste Teil, da der Switch die physische Trennung herstellt. Die genauen Schritte variieren je nach Switch-Hersteller (z.B. UniFi, TP-Link Omada, Netgear ProSAFE, Cisco SG-Serie), aber das Prinzip ist dasselbe.
Beispielkonfiguration am Switch:
-
Port 1 (zum Modem/ONT): Konfigurieren Sie diesen als Access Port für das WAN-VLAN (ID 10). Hier werden alle Pakete, die zum Modem gehen, mit VLAN 10 getaggt und alle Pakete vom Modem kommen ohne Tag herein und werden dem VLAN 10 zugeordnet.
-
Port 2 (zur OpnSense/pfSense Firewall): Konfigurieren Sie diesen als Trunk Port (oder „Tagged Port” / „General Port”). Fügen Sie hier sowohl das WAN-VLAN (ID 10) als auch das LAN-VLAN (ID 20) als getaggte VLANs hinzu. Stellen Sie sicher, dass es für beide VLANs „tagged” ist und die PVID (Port VLAN ID) entweder auf ein ungenutztes VLAN oder auf das Management-VLAN (wenn Sie eines verwenden) eingestellt ist, falls es nicht explizit „Untagged” sein soll. In den meisten Fällen muss die PVID für diesen Port nicht auf ein spezifisches Data-VLAN gesetzt werden, da die Firewall erwartet, alle Daten getaggt zu empfangen.
-
Port 3-8 (für interne LAN-Geräte): Konfigurieren Sie diese als Access Ports für das LAN-VLAN (ID 20). Hier werden Ihre PCs, WLAN-Access Points etc. angeschlossen.
-
Optional: Wenn Sie ein Management-VLAN für Ihren Switch haben, stellen Sie sicher, dass der Port zur Firewall auch dieses VLAN als getaggtes VLAN führen kann, falls Sie den Switch von der Firewall aus managen möchten. Ansonsten können Sie einen der LAN-Ports für die Switch-Verwaltung verwenden.
WICHTIG: Speichern Sie die Konfiguration Ihres Switches, bevor Sie mit der Firewall fortfahren. Ein falsches Setup am Switch kann dazu führen, dass Sie den Zugriff verlieren.
3. Konfiguration der OpnSense/pfSense Firewall
Nachdem der Switch vorbereitet ist, konzentrieren wir uns auf die Firewall. Nehmen wir an, Ihr einziger physischer Port ist `igb0` (dies variiert je nach Hardware).
3.1. VLANs erstellen
-
OpnSense: Gehen Sie zu `Interfaces` -> `Other Types` -> `VLAN`. Klicken Sie auf `+Add`.
- Für WAN: `Parent Interface`: `igb0`, `VLAN Tag`: `10`, `Description`: `WAN_VLAN_10`.
- Für LAN: `Parent Interface`: `igb0`, `VLAN Tag`: `20`, `Description`: `LAN_VLAN_20`.
Klicken Sie auf `Save` und dann auf `Apply changes`.
-
pfSense: Gehen Sie zu `Interfaces` -> `VLANs`. Klicken Sie auf `+Add`.
- Für WAN: `Parent Interface`: `igb0`, `VLAN Tag`: `10`, `Description`: `WAN_VLAN_10`.
- Für LAN: `Parent Interface`: `igb0`, `VLAN Tag`: `20`, `Description`: `LAN_VLAN_20`.
Klicken Sie auf `Save`.
3.2. Interfaces zuweisen
Jetzt weisen wir diese neu erstellten virtuellen Interfaces als WAN und LAN zu.
-
OpnSense: Gehen Sie zu `Interfaces` -> `Assignments`.
- Suchen Sie nach Ihrem bereits existierenden LAN-Interface. Wenn es derzeit direkt auf `igb0` zugewiesen ist, müssen Sie es jetzt auf das `VLAN 20 on igb0` ändern. Dies kann zu einem kurzzeitigen Verbindungsabbruch führen.
- Klicken Sie auf `+Add new interface` (meistens als `OPT1`, `OPT2` etc. angezeigt). Wählen Sie für `Network port` das `VLAN 10 on igb0` aus. Klicken Sie auf `Save` und dann auf `Apply changes`.
-
pfSense: Gehen Sie zu `Interfaces` -> `Assignments`.
- Der aktuelle WAN-Port und LAN-Port sind wahrscheinlich physischen Interfaces zugewiesen.
- Für WAN: Wählen Sie in der Dropdown-Liste neben dem WAN-Interface das `VLAN 10 on igb0` aus.
- Für LAN: Wählen Sie in der Dropdown-Liste neben dem LAN-Interface das `VLAN 20 on igb0` aus.
- Klicken Sie auf `Save`.
WICHTIGER HINWEIS: Wenn Ihre Firewall nur einen Port hat, ist es wahrscheinlich, dass das ursprüngliche LAN-Interface dieses Ports auch die Verwaltungsoberfläche bereitstellt. Wenn Sie das LAN-Interface auf ein VLAN umstellen, verlieren Sie möglicherweise die Verbindung. Planen Sie dies sorgfältig oder verwenden Sie eine Konsole, um die Änderungen vorzunehmen.
3.3. Interfaces konfigurieren
Nachdem die VLANs zugewiesen wurden, müssen Sie sie als reguläre WAN- und LAN-Interfaces konfigurieren.
-
WAN (VLAN 10 on igb0):
- Aktivieren Sie das Interface (`Enable`).
- Konfigurieren Sie es entsprechend Ihrem Internetanbieter: `IPv4 Configuration Type` meist `DHCP` oder `PPPoE`.
- `Description`: `WAN_Internet`.
- Speichern Sie die Änderungen und wenden Sie sie an.
-
LAN (VLAN 20 on igb0):
- Aktivieren Sie das Interface (`Enable`).
- `IPv4 Configuration Type`: `Static IPv4`.
- `IPv4 Address`: Wählen Sie eine private IP-Adresse und Subnetzmaske für Ihr internes Netzwerk (z.B. `192.168.20.1/24`).
- `Description`: `LAN_Internal`.
- Stellen Sie sicher, dass ein DHCP-Server auf diesem Interface konfiguriert ist, damit Ihre Clients IPs erhalten.
- Speichern Sie die Änderungen und wenden Sie sie an.
3.4. Firewall-Regeln
Überprüfen Sie nach den Änderungen die Firewall-Regeln für WAN und LAN. Die Standardregeln in OpnSense/pfSense sind in der Regel ausreichend:
-
WAN-Regeln: Standardmäßig sollten alle eingehenden Verbindungen blockiert sein, außer solche, die zu einem Port-Forwarding gehören.
-
LAN-Regeln: Standardmäßig sollte der Zugriff auf das Internet und andere LAN-Subnetze erlaubt sein.
Insbesondere für das LAN-Interface sollten Sie eine Regel haben, die `IPv4 *` von `LAN net` zu `any` erlaubt, um den Internetzugriff für Ihre internen Geräte zu gewährleisten.
4. Testen und Feinjustieren
Nachdem Sie alle Änderungen vorgenommen haben, ist es Zeit für den Test:
-
Verbinden Sie Ihr Modem/ONT mit dem Switch-Port, den Sie für das WAN-VLAN (Port 1) konfiguriert haben.
-
Verbinden Sie den einzigen LAN-Port Ihrer OpnSense/pfSense Firewall mit dem Switch-Port, den Sie als Trunk Port (Port 2) konfiguriert haben.
-
Verbinden Sie einen Client-PC mit einem der Switch-Ports, die Sie für das LAN-VLAN (z.B. Port 3) konfiguriert haben.
-
Starten Sie alle Geräte neu (Modem, Switch, Firewall, Client-PC).
-
Überprüfen Sie auf Ihrem Client-PC, ob er eine IP-Adresse vom DHCP-Server Ihrer OpnSense/pfSense Firewall erhält (aus dem `192.168.20.0/24`-Bereich).
-
Versuchen Sie, das Internet von Ihrem Client-PC aus zu erreichen.
-
Überprüfen Sie in der Weboberfläche der Firewall unter `Interfaces` -> `Overview` (OpnSense) oder `Status` -> `Interfaces` (pfSense), ob das WAN-Interface eine IP-Adresse von Ihrem Provider erhalten hat.
Häufige Fallstricke und Tipps zur Fehlerbehebung
-
Falsche VLAN-IDs oder Tagging am Switch: Dies ist die häufigste Fehlerquelle. Überprüfen Sie dreifach, ob die VLAN-IDs an Firewall und Switch übereinstimmen und ob die Ports korrekt als Access (untagged) oder Trunk (tagged) konfiguriert sind.
-
Vergessene Firewall-Regeln: Auch wenn die Interfaces richtig konfiguriert sind, können fehlende Regeln den Datenverkehr blockieren. Überprüfen Sie, ob LAN-Geräte das Internet erreichen dürfen und ob die DNS-Auflösung funktioniert.
-
DHCP-Probleme: Wenn das WAN keine IP erhält, ist die Verbindung zum Modem fehlerhaft oder das Modem wurde nicht neu gestartet. Wenn LAN-Clients keine IP erhalten, prüfen Sie den DHCP-Server auf der Firewall.
-
Kabelproblem: Auch das einfachste Problem kann übersehen werden – ein defektes Kabel oder eine lockere Verbindung.
-
Initialer Konfigurationszugriff: Wenn Sie nach der Umstellung keinen Zugriff mehr auf die Firewall haben, müssen Sie eventuell eine direkte Verbindung zum Firewall-Port herstellen und die IP Ihres PCs manuell in das LAN-VLAN-Subnetz ändern, um die Verbindung wiederherzustellen, oder die Konsole verwenden.
Performance und Sicherheit: Sind Kompromisse nötig?
Die VLAN-Technologie ist in modernen Switches sehr effizient implementiert. Für typische Gigabit-Heimnetzwerke oder kleine Büros wird die Performance durch die Nutzung von VLANs auf einem einzigen Port nicht spürbar beeinträchtigt. Der Engpass ist in der Regel die Rechenleistung Ihrer Firewall selbst, nicht die Bandbreite des einzelnen physikalischen Ports, der VLANs trägt.
Aus Sicherheitssicht bieten VLANs eine robuste logische Trennung. Solange Ihr managed Switch korrekt konfiguriert ist und keine „VLAN Hopping”-Angriffe zulässt (was bei gut konfigurierten Switches kein Problem ist), ist die Trennung zwischen WAN und LAN genauso sicher wie bei physisch getrennten Ports. Die einzige Einschränkung ist, dass der Switch zu einem einzigen Fehlerpunkt wird; fällt er aus, verlieren Sie sowohl WAN als auch LAN. Dies ist jedoch ein allgemeines Risiko bei jeder Switch-basierten Netzwerkinfrastruktur.
Fazit: Mehr als nur ein Kabel
Die Implementierung von WAN über VLAN an Ihrer OpnSense oder pfSense Firewall mit nur einem einzigen physischen LAN-Port ist eine hervorragende Lösung für alle, die Kompaktheit, Effizienz und eine saubere Verkabelung schätzen. Es ist eine Demonstration, wie intelligente Netzwerkkonzepte die scheinbaren Einschränkungen der Hardware überwinden können.
Auch wenn die anfängliche Konfiguration ein wenig mehr Detailwissen erfordert, ist das Ergebnis ein robusteres, flexibleres und ästhetisch ansprechenderes Netzwerk. Wenn Sie also das nächste Mal vor der Herausforderung eines begrenzten Port-Angebots stehen, denken Sie an die elegante Ein-Kabel-Lösung und tauchen Sie ein in die Welt der VLANs. Ihr aufgeräumtes Netzwerk wird es Ihnen danken!