Messages

Guten Morgen zusammen,

ich erlaube mir mal, auf diesem etwas älteren Thema "aufzusetzen", weils inhaltlich hier her gehört.

Ich bin gerade dabei mein Netzwerk auf neue Füße zu stellen. Dazu hätte ich an euch die Frage, wie ihr es in euren Netzen macht, was die Trennung angeht.

Wenn ich mal von der "Client" - Seite komme, gibt es folgende Dinge, die da so rumschwirren und ein wenig strukturiert werden sollten:

- Smart TV
- Shield
- Receiver
- Sonos
- TK-Anlage (Fritz via SIP)
- NAS
- Smartphones
- Laptops
- Staubsaugerroboter
-???

Die ersten vier würde ich über ein "Entertainment" VLAN gruppieren. Am liebsten im Nachgang gezielt für die Source-IPs (IP im internen Netz) nur URLs / Ports nach außen freigeben und zwar für jeden Client einzeln.

Bsp. :

192.168.50.3 (SmartTV) - - > URLs + Ports vom Hersteller - - > allow

Hier werde ich mich vermutlich tot administrieren, wie seht ihr das? Und vor allem, wie löst ihr es? Any Any allow und dann eher unerwünschtes blockieren?

Schmeißt ihr das ganze Entertainment Zeug in ein Netz? Zugang dann sowohl per LAN als auch WLAN

Ansonsten würde ich noch ein VLAN anlegen für TK, NAS, Interne Clients, Guest, Default & Smarthome. Wobei der Staubsaugerroboter eine gefühlte Sonderstellung hat und noch mal extra separiert gehört. Habt ihr sowas auch? Dann denk ich mir aber wiederum, mein Smartphone ist auch von einem fernöstlichen Hersteller und schwirrt dann bei den internen Clients rum, was bringts dann überhaupt.

Ihr seht, ich tue mich schwer eine gute Lösung zu finden. Mehr Schutz und Struktur ohne sich tot zu administrieren, das wäre das angestrebte Ziel.

Ich bin unendlich Dankbar für Tips und Erfahrungen.

Gruß
Ric


Gesendet von meinem LYA-L29 mit Tapatalk

Coole Sache :)

Weiterhin gutes Gelingen!

Gruß Ric

Da ist noch ein Switch dazwischen, hab die Grafik aktualisiert.    :-)

Ok.

Ich überlege nur, ob der LTE-Router dazwischen spuckt. Aber wir befinden uns ja im gleichen Netz und Du kommst nicht von "Außen", daher ist NAT/PAT bzw. Portforwarding ja Quatsch.

Schau Dir mal die Einstellung im Link an ;)

Code Select Expand

Advanced Options - disable reply-to

Hilft das?

Gruß Ric

Vielleicht hilft das:

https://www.andysblog.de/opnsense-zugriff-auf-das-web-interface-ueber-wan

Den LTE Router hab ich nur der Vollständigkeit halber erwähnt. Ich will ja vom Client 192.168.231.10 auf OPNsense zugreifen und das geht ja nicht!

Hab ich schon verstanden.

Die OPNSense hat ja nur einen WAN-Port, oder? Und da hängt schätzungsweise der LTE-Router dran, oder? Und an diesem LTE-Router hängt dann der Client, oder?

Bei Dir macht also der LTE-Router die Einwahl und alles. Er ist auch das Gateway für das 231er Netz, korrekt? Dann müsstest Du wahrscheinlich hier ein Portforwarding (80 & 22) auf die 231.5 einrichten.

Ist das ne FritzBox (LTE Router)? Ist die Konfig so gewollt? Sonst könntest Du ja auch probieren, den LTE Router zu einem reinen Modem zu "kastrieren" und die Sense die Einwahl machen zu lassen. So hast Du doppeltes NATing, was zu vielerlei Problemen führen kann.

Gruß Ric

Wo genau "hängst" Du denn dran? Dann habe ich es vermutlich falsch verstanden. Dachte Du hängst am WAN-Interface und willst aufs Webinterface im LAN. Hast Du sowohl LAN als auch WAN mit DHCP konfiguriert?

Gruß Ric

Hi Luma,

fehlt vielleicht die eingehende Regel auf dem LAN Interface (Port 80 & 443)?

Gruß
Ric

Hallo zusammen,

hat jemand von euch zufällig einen Link zu einem brauchbaren Tutorial, bei dem die Inbetriebnahme für ein "erweitertes" Heimnetz - sprich Installation, Ersteinrichtung, Konfiguration von Netzen (VLANs), Konfiguration des Internetzugangs per PPPoE und Zugriffsregelung über Firewallregeln für die verschiedenen Netzsegmente - einmal von Beginn an durchgängig bis zur laufenden Umgebung erklärt ist?

Gibt es sowas?

Vielen Dank für eure Hilfe!

Gruß
Ric   

> Ich erhoffe mir einfach das die Dinge funktionieren wie angegeben. Mehr nicht.

Was funktioniert denn nicht wie (und vor allem wo) angegeben?

--> Siehe hier: https://forum.opnsense.org/index.php?topic=10078.0

Thread kann dann m.E.n. zu.

Gruß
Ric

Hallo JeGr,

> Erstmal eine kleine Bitte: Satzzeichen sind keine Rudeltiere. Ein ? reicht vollauf ;) Sich textuell zu echauffieren bringt auch niemand weiter also immer mit der Ruhe :)

Die Satzzeichen dienten der Unterstreichung meiner Verwirrung, hier ging es nicht darum mich "textuell zu echauffieren" (sehr eloquent). Zudem habe ich irgendwann einmal gelernt, dass das ausschließliche Verwenden von Großbuchstaben in der chatiquette dem echauffieren am nächsten kommt.

Wie auch immer...

Nochmal zum Thema "Gateway".

Bedient man sich dem orangen Info-Button ("i"), links neben dem Begriff "Gateway", so heißt es hier:

"Standardmäßig wird die IP dieser Schnittstelle der Firewall als Gateway verwendet. Geben Sie einen alternativen Gateway hier an, falls sie nicht der korrekte Gateway für Ihr Netzwerk ist. Geben Sie "none" für keine Gatewayzuweisung an."



Das ist auch der Grund, warum ich schlichtweg verwirrt bin. Denn dieser Logik nach müsste es ja funktionieren, wie ich es verstanden habe, oder irre ich mich? Und ein Drama ist das nicht, hab ich auch nie behauptet... Does just not work as designed. Daher hier die Rückmeldung dazu.

Bei allem anderen will ich auch gar nicht widersprechen, also das man auch einmal kein Gateway mitgeben möchte, da wäre dann ja "none" zu setzen (siehe Info).

Gut, ich schreibe einfach eins rein. Vielleicht hilft es ja dem ein oder anderen, falls sich noch jemand wundert.

Zu guter letzt sei auch noch einmal gesagt, das OPNSense eine tolle Sache ist, ein Dank also an die Entwickler!!!! (ich erlaube mir vier Ausrufezeichen)

Mein Beitrag möge bitte als konstruktive Kritik, wenn man das überhaupt so bezeichnen kann, verstanden werden, ich stelle hier weder das Produkt in Frage, noch möchte ich es schlecht machen. Mir fallen schlichtweg Dinge auf, die, zumindest aus meiner Warte, nicht so umgesetzte sind, wie augenscheinlich beschrieben. Vielleicht hilft das ja auch weiteren Personen.

Gruß
Ric

Hey,

also ich kann dir bestätigen, dass die Dinge "wie angegeben funktionieren". Sogar ziemlich gut und meiner persönlichen Meinung nach weitaus besser als bei vielen kommerziellen Produkten :-)
Du hättest das ganze auch komplettt von Cisco o.ä. kaufen können. Dann hättest du eine katastrophal zu konfigurierende ASA und die gleichen Probleme. Nur das du ganze Stange mehr Kohle losgeworden wärst.
Bei mir ist im ersten Anlauf mit den VLANs auch nicht alles 100%ig rund gelaufen, das lag aber nicht an der OPN. Daher habe ich dich mehrfach auf die beiden Syntax-Variationen bei Ubiquity aufmerksam gemacht.

MFG Wayne

All right.

So wirklich Plug & Play is das nicht mit OPNSense, he?!

Wer hat behauptet dass OPNSense Plug & Play ist, speziell bei einer VLAN Konfig?

Genau diese Antwort hab ich erwartet. So war es auch nicht gemeint...

Ich erhoffe mir einfach das die Dinge funktionieren wie angegeben. Mehr nicht.

Das sowas nicht mit einfachem anschließen funzt is mir klar.


Gesendet von meinem FRD-L09 mit Tapatalk

Hallo zusammen,

nach meinem ersten, missglückten Anlauf in die Welt von OPNSense einzusteigen, die mich viel Zeit und Nerven gekostet hat, nun ein zweiter Versuch.

Glücklicherweise hat das, was beim ersten Mal nicht funktioniert hat, warum auch immer das der Fall war, nun auf Anhieb funktioniert. Es ging dabei um DHCP-Leases auf untagged Ports an einem angeschlossenen Switch. Wollte einfach partout nicht. Gut jetzt gehts.

Nun zu meinem neuen Problem. Das DHCP-Lease wird nun sauber übergeben und ich bekomme tatsächlich aus dem richtigen Subnetz ein Lease. Was allerdings fehlt, ist das Defaultgateway.

Ich lasse das Feld leer, da ich möchte, das die Inerface-IP als DG gesetzt wird, allerdings passiert das nicht. Es geht nur, wenn ich etwas beim Feld "Gateway" eintrage?!?!??!

Was soll das schon wieder?

Das Ganze wird / wurde wohl hier schon einmal behandelt, allerdings ist mir nicht klar, was ich machen soll?!

-- > https://forum.opnsense.org/index.php?topic=6229.0

Dazu die Frage, ob der BUG in Version 18.7 immer noch besteht?


Bin für jede Hilfe dankbar!!!!

Vielleicht hat auch jemand eine gute Anleitung für die ganze OPNSense-Geschichte. Einrichtung von VLANs, richtiges setzen von Regeln. Die normale Doku hat m.M.n. hier Lücken.

Danke Euch!

Gruß
Ric

Der Thread kann zu.

Hab nach längerer "Frustphase" noch einmal von vorne angefangen.

Jetzt funzt das....

Scheint als wäre im Hintergrund irgend etwas böse verbogen gewesen.

Habe natürlich jetzt andere Probleme, aber dafür mach ich einen eigenen, neuen Thread auf.

So wirklich Plug & Play is das nicht mit OPNSense, he?!