OPNsense Bridge-Interface zur Nutzung mehrerer Netzwerk-Ports als Switch

Standardmäßig wird jedem physikalischen Netzwerk-Port der OPNsense Firewall ein eigenes logisches Interface zugewiesen. I.d.R. sieht das Ganze dann so aus:

eth0 -> WAN
eth1 -> LAN
eth2 -> OPT1
eth3 -> OPT2
etc.

Möchte man die o.g. eth1, eth2 und eth3 Ports im gleichen Netzwerk als Switch verwenden, lässt sich diese über ein entsprechend konfiguriertes Bridge-Interface einrichten.

Im folgenden Beispiel gehe ich davon aus, dass die 4 physikalischen Ports eingerichtet sind wie oben beschrieben. Falls nicht, müssen die zusätzlichen Netzwerk-Ports hinzugefügt werden mit Assignement Type none. Danach werden sie automatisch in OPNsense als OPT1 und OPT2 angezeigt.

Als ersten Schritt ändert man nun das Bridge-Filtering. Die Einstellungen der beiden Parameter bewirken, dass das Filtering nicht mehr auf Member-Interface-Ebene durchgeführt wird, sondern auf Bridge-Ebene, da i.d.R. zwischen den einzelnen Interfaces eines Switches kein Firewall-Filtering erfolgt (falls doch, kann die Änderung ausgelassen werden).
Die Einstellungen findet man im Menü unter System Settings Tunables.

net.link.pfil_member -> 0
net.link.pfil_bridge -> 1

Danach kann nun das Bridge Interface angelegt werden im Menü unter Interfaces Other Types Bridge. Als Bridge-Members werden die beiden freien Ports hinzugefügt. In meinem Beispiel benenne ich die Bridge als Software Switch. OPNsense vergibt automatisch einen internen Namen für die Bridge, in diesem Fall bridge0, weil ich noch keine andere Bridge konfiguriert habe.

Im nächsten Schritt ändert man das Assignent für das LAN Interface unter Interfaces Assignments auf das neu angelegte bridge0-Interface und verbindet das Netzwerk-Kabel mit einem der Interface-Member-Ports. Die Verbindung sollte von alleine wieder hochkommen, sicherheitshalber schadet es nicht, vorher eine Konsolenverbindung herzustellen, um sich nicht auszusperren.

Zum Schluss ändert man noch den Assigment Type des „alten“ LAN Ports auf none und fügt ihn in der Bridge Konfiguration der vorher angelegten bridge0 hinzu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.