OPNsense Forum
International Forums => German - Deutsch => Topic started by: kampfia on January 01, 2024, 09:46:59 pm
-
Hallo zusammen,
ich habe folgendes Problem.
Derzeitig beziehe ich 2 IPv4 Subnetze.
1x Geroutet Netz (Bsp. 25.0.0.0/26 mit dem Gateway 25.0.0.1/26)
1x Welches über ein Transfernetz kommt
Transfernetz: 100.0.0.0/30, Gateway 10.0.0.1/30, OPnsense 10.0.0.2/30
Das Netz was über das Transfernetz kommt: 30.0.0.0/24
--- Die IP's sind nur sinn bildlich ---
Also das geroutet Netz 25.XXX läuft Problemlos die IP's kommen soweit der Opnsense an.
Jetzt besteht das Problem, das ich nicht genau weiß wie ich das Transfernetz annehmen und dann den Traffic von dem 30.XXX über das Transfernetz schieben kann. Dabei soll die OPnsense im 30.XXX dann als Gateway fungieren. Sprich Server XYZ hinter der Opnsense hat IP 30.0.0.5 und als Gateway 30.0.0.1 (Opnsense)
Probiert habe ich folgendes:
Ich habe jeweils für das Transfernetz (100.XXX) und das 30.XXX ein VLAN angelegt. Dazu habe ich dann Interfaces angelegt. Dem Transfernetz habe ich dann das Gateway zugewiesen (100.0.0.1/30), so und da beginnt das erste Probleme, so nach ca. 5 Minuten geht mein Opnsense down. Da er jetzt auch noch anfängt den Traffic von dem 25.XXX über das Gateway von der 100.XXX zuschieben, disable ich das Gateway vom Transfernetz wieder geht alles wie vorher. Dazu kommt noch trotzdem ist sowohl die Transfernetz IP als auch das 30.XXX nicht erreichbar von außen (WAN), über LAN lässt es sich pingen. (ICMP für WAN ist freigeschaltet)
--Interfaces--
--- TRANSFER ---
(https://i.postimg.cc/T18LW7Sh/chrome-c-MB738l7-N4.png)
--- Welches empfangen werden soll ---
(https://i.postimg.cc/RVL6NTTV/chrome-PBeo7x-Nzks.png)
Gateway:
(https://i.postimg.cc/cLTn5cK5/chrome-6-Kwjtgwh2-I.png)
(https://i.postimg.cc/90G4PP5b/chrome-fmk-NUxk-Dj6.png)
Vielen Dank für jede hilfe!
Beste Grüße
Daniel
-
Kannst du mal bitte einen grafischen netzwerkplan erstellen und bitte Screenshot vom outbound nat
Gesendet von iPhone mit Tapatalk Pro
-
Klar mache ich @micneu
Vielleicht ist es jetzt schon einfach zu erklären. Das Problem beginnt da, wenn ich das Transfernetz anlege das ich dann nicht das GW des RZ erreichen kann via ICMP, das aber möglich sein soll.
(https://i.postimg.cc/26FvX9zM/Netzwerk.png)
Outbound-NAT
(https://i.postimg.cc/L8Xc9Gwk/chrome-9cy-MXnond2.png)
-
Sorry, ich blicke es immer noch nicht ganz- welchen Sinn hat das Transfernetzwerk bzw. wer verwendet IP-Adressen aus diesem Bereich?
-
Transfernetz wird benötigt damit das Netz nicht als L2 zu uns kommt sondern auf der L3 ebene.
Sprich wenn wir das Netz ohne Transfernetz bekommen müsste unser RZ Anbieter uns ein Gateway bereitstellen.
Sprich: 30.0.0.1 wäre vom RZ das Gateway
Wenn er es aber anhand es Transfernetzes an uns übertragt können wir unsere Opnsense als Gateway einsetzten.
Sprich: 30.0.0.1 ist dann die Opnsense von uns (Gateway)
Transfernetz dient bloß dafür das jeder weiß über welchen weg er gehen muss und wir wo wir den Traffic der auf unsere Gateway 30.0.0.1 (Opnsense) geht "weiterleiten" können.
-
Hmmm...
also hast Du zwei Netze auf dem WAN?25er und 100er? Und Dein lokales Netz (30er) soll nur über das 100er rausgehen?
Wofür wird dann das 25er Netz gebraucht?
Ansonsten für das 30er ein Source-Routing auf dem LAN Interface einrichten, das den Traffic von dem 30er Netz nur über das 100er Gateway leitet.
Anmerkung: Die OPNSense macht aber ein NAT, das ist Dir klar? D.h. die 30er IPs werden im 100er Netz nicht einzeln erkennbar sein.
Hilft das schonmal?
/KNEBB
-
Das 30er Netz ist ein Public Netz, also alle 3 sind ganz normale Public IP Subnetzte. So etwas 45.0.0.0/24 und co. nur das ich hier Bsp. Netze nenne damit ich die Originalen IP's nicht veröffentlich ;)
Das 30er Netz ist eins welche wir über RIPE beziehen und unser RZ für uns über einen AS an uns durch Routet anhand eines Transfernetzes, die anderen beinen Netze beziehen wir direkt vom RZ.
Im Grunde ist das normales L3 Routing das heißt am ende sollte auch über das 100er Netz erkennbar sein welche IP nach außen geht, daher L3 und nicht L2. L2 wäre dann das was du meinst. Bin leider auch nicht 100% im Thema.
Um NAT soll es dabei nicht gehen sondern halt ein klassisches L3 Routing eines IP Subnet
Naja am ende ist das 25 für Interne dinge genutzt also eigene Webseite, Firewall und co.
Das 30er wird dann für Services für Kunden genutzt.
Anders dargestellt ist die Opnsense dann ein traceroute "hop" wie jeder andere "hop" bei einem Traceroute auch.
Das Schema basiert halt darauf das die Firewall wie am ende bei einem normalen RZ Gateway als letzter zustellpunkt vor dem Server fungiert ohne das wir selber eine BGP Session aufbauen & Handeln müssen.
Ja, generell geht es ja darum ist das so machbar? Ein bisschen Testen hat mich schon näher gebracht wie es etwas aussehen könnte, aber ich/wir kommen noch nicht auf den trichter wie es richtig geht und vielleicht hat jemand erfahrung mit L3 Routing über die Opnsense mit einem Transfernetz oder eine Idee wie man das anstellen kann
-
Wo ist denn eigentlich dein Problem? Du legst die eine Adresse des /30 auf WAN und eine Defaultroute zur anderen, denn das ist ja der Router deines Uplinks.
Eine Adresse des /24 packst du auf ein anderes Interface. Diese ist dann der Defaultgateway für alle deine Server in dem /24, die über dieses Interface versorgt werden. Weshalb sollte man das /24 auf WAN legen? Du willst doch routen?
Dann NAT aus und einfach Firewall-Regeln nach Belieben.
So funktioniert "Internet" und "Firewall" eigentlich. Ich glaub langsam, dass überall nur noch Büchsen rumstehen, die NAT machen, lässt viele viel zu kompliziert denken.
Transfernetz außen - Produktionsnetz innen - Firewall dazwischen. Völlig einfach ;)
-
Genau das ist der Plan, obwohl wir unser Internes Netz über NAT betreiben. Ich sehe grade den Fehler ja es ist falsch eingezeichnet in der Zeichnung.
Ich erkläre es mal anders:
Das WAN hat aktuell zwei Netze.
1x (Betriebsservices) 25.0.0.0/26 (Layer 2)
1x (Transfernetz) 100.0.0.0/30 (Layer 2)
Auf dem LAN Port:
1x div Interne 10.0.0.0/8
1x 30.0.0.0/24
Das Problem jetzt wenn wir das Gateway für das Transfernetz einrichten geht entweder das 25.0.0.0/26 oder 100.0.0.0/30
Aktuell habe ich dann das Standard Gateway für 25.0.0.0/26 auf eine höhere Prio gesetzt damit unsere FW nicht down geht. Jetzt geht aber halt 100.0.0.0/30 nicht mehr, jeden falls können wir das Gateway 100.0.0.1 nicht per ICMP mehr erreichen und im Log kommt folgende Meldung:
"1 2024-01-02 12:37:27,903305 Deciso_00:d7:e7 Broadcast ARP 42 Who has XXX.217? Tell XXX.218"
.217 <- Gateway des RZ
.218 <- Die FW IP
-
Frag den Provider, ob er die Netze auf zwei unterschiedliche VLANs legen kann, dann ist es sauber getrennt. Es muss aber auch mit Alias-Adressen funktionieren, das krieg ich nur jetzt um die Uhrzeit nicht mehr gepeilt. Ich guck dann morgen nochmal rein.
-
Das normale Netz kommt ohne VLAN tag und das Transfernetz über den TAG 10, aber auch das hilft leider nicht.
-
Also sind das zwei WAN Interfaces - logisch gesehen? Du hast also de facto ein Multi-WAN setup. Guck dir die Doku dazu mal an. Hast du reply-to ausgeschaltet?
-
Ja das reply-to ist ausgeschaltet.
Bei dem L3 Netz da muss als GW doch dann die lokale IP des Transit Netzes rein oder die GW des Datacenters?
-
Die des Gegenüber natürlich. Gateways sind immer "andere", niemals Adressen auf dem eigenen System. Alles, was lokal verbunden ist, kann ja schon geroutet werden.
-
Hallo,
ich sehe das wie folgt:
Es gibt zwei WAN-Netze.
Ob das "Transfer" heißt, ist in dieser Betrachtung unerheblich, da alles im Internet eine Sammlung von Transfernetzen ist.
Die L2-Information ist ebenso zu vernachlässigen, wenn die VLAN-IDs dann zueinander passend konfiguriert sind.
Jeweils das gegenüberliegende Interface gilt es zu pingen.
Funktioniert das?
Danach Mulit-WAN und destination NAT und source NAT.
Oder?
Morris