OPNsense Forum
International Forums => German - Deutsch => Topic started by: webkonto on January 10, 2024, 10:28:22 am
-
Hallo!
Ich habe die letzten vier Stunden mittels google oder im Forum gesucht und viele viele Postings durchgelesen, aber irgendwie war mein Problem nicht mit dabei, es ist wahrscheinlich einfach, aber ich komme nicht drauf.
Aufbau:
TPLink DSL Router (192.168.1.1) als "Modem" ins WAN
|
| Port 1, VLAN 99
Netgear 308E ("managed")
|
| Port 2: VLAN 10 (untagged)
|
| Port 3: VLAN 20 (untagged)
|
| Port 8: VLAN 1 (trunk, tagged)
Netgear 308e:
vier VLANS:
1 (alle Posts untagged)
10 (2U & 8T) 2 ist untagged, 8 ist tagged
20 (3U & 8T)
99 (1U & 8T)
Zugehörigkeiten:
1 VLAN 99
2 VLAN 10
3 VLAN 20
8 VLAN 1
Im Port 1 steckt ein Kabel zum TPLink Router (WAN Ausgang)
Im Port 2 steckt ein Kabel zum Laptop (testmaschine)
im Port 3 steckt zunächst nicht
im Port 8 steckt ein Thin Client 920er mit OPNsense (fritsch installiert bzw. Factory Reset)4GB Ram, 8GB ssd, 1 NIC (also nicht wie üblich zwischen Switch und WAN)
Zuordnung:
WAN: VLAN99
LAN: VLAN10 (DHCP aktiv, 192.168.10.1, Range .100-.150)
OPT1: VLAN20 (das sollte der Knackpunkt sein) DHCP aktiv 192.168.20.1, Range .100-.150
Firewall Regeln:
any für alle VLAN Netze (10,20)
NAT:
keine Änderungen
Jetzt das Problem:
Gesteckt wie oben (Laptop in Port 2 VLAN10) alles super: IP 192.168.10.100, Internet vom Laptop geht, Ping geht, Tracert geht, Ping auf .1 geht
Jetzt wird umgesteckt, Laptop is port 3 (VLAN20):
- Laptop bekommt die IP 192.168.20.100 (ok)
- Ping geht auf 8.8.8.8 (langsam 2-6sek pro Hop) zumindest bis außerhalb meines Netzes, dann breche ich ab
- tracert geht auf 8.8.8.8 (langsam) zumindest bis außerhalb meines Netzes, dann breche ich ab
- Ping auf 192.168.20.1 geht nicht (!)
- Kein Internet (über Browser)
Kochrezept ist:
https://blogoverflow.de/index.php?option=com_content&view=article&id=57:opnsense-installation-auf-einem-single-nic-device-mit-vlans&catid=14&Itemid=102
Hat jemand eine Idee? Fehlen noch infos?
-
Das können natürlich verschiedenste Ursachen sein.
1. Der TP-Link Router spannt ein eigenes Netz auf, welches du als Transfernetz verwendest, WAN hängt darin.
Was macht der Router wenn er aus dem LAN IP-Adressen sieht, die nicht Teil dieses Transfernetzes sind?
Aber das kann man nur beantworten, wenn man auch weiß, was mit Outbound NAT ist:
2. OPNsense macht automatic NAT. Die automatischen Regeln stehen auf Firewall -> NAT -> Outbound. Sind da alle LANs (VLAN 10,20) aufgeführt?
3. Was bedeutet, dein Traceroute endet "außerhalb des Netzes". Vor oder hinter dem TPLink Router und wenn dahinter, wo?
Folgende Punkte würde ich abarbeiten um sicherzugehen:
* Outbound NAT auf Manuell oder Hybrid -> Sicherstellen, dass für jedes LAN eine Regel existiert. Falls der TP Link keine extra Routen erlaubt
ODER
* Outbound NAT komplett ausschalten und - falls der TP-Link das kann - für alle LANs eine Route über die OPNSense einrichten.
* Sicherstellen, dass Private Networks nicht geblockt sind (auf der jeweiligen Schnittstellen-Seite)
Viel Erfolg.
-
OK, der Blocker "private Netzwerke" war im WAN aktiviert. Das habe ich raus geschmissen, jetzt habe ich auch im VLAN20 Internet. Passt, danke.
Dennoch finde ich immer noch seltsam, dass im Netz 192.168.10 ein ping auf .1 geht, im Netz 192.168.20 aber nicht. Ich kann z.B. die OPNsense-Gui im 10er Netz unter .1 erreichen, im 20er Netz aber nicht. Irgend etwas stimmt also noch nicht....
Bei statischen Routing hätte ich keine Ahnung, was ich da eingeben müsste.
Es gibt: Zielnetz (wäre das 192.168.20.1 mit mask 32?)
Subnetz Maske: 32??
Gateway: ??? 192.168.1.109 (das wäre die Adresse von OPNsense vom 192.168.1er Netz?
Muss ich mal nachlesen....
Im Outbound NAT scheint jedes Netz erwähnt zu sein (LAN = VLAN10, und VLAN20) sind drin...
-
FWregeln für LAN und OPT1?
-
Jetzt klappt es. Problem war wie folgt:
"Blockiere private Netze" in WAN war aktiviert, das habe ich deaktiviert.
Ich hatte nach der Installation das erste VLAN per promt erstellt und wohl beim VLAN20 bei der Eingabe
"Enter the Optional interface 1 name or "a" for auto detection" OPT1 eingegeben statt es leer zu lassen. Ich habe jetzt per GUI VLAN30 und VLAN40 eingegeben, alles läuft wie geschmiert mit NETGEAR 308E..
Ich werde das System jetzt nochmal factory reseten und alles neu aufsetzen, hoffe, dass es dann noch geht ;-)
Passt super, vielen Dank!
-
Sehr gut, viel Erfolg.
Bzgl. Routen:
Der TP Link sollte eine Regel haben
192.168.20.0/24 via/gateway 192.168.20.1
Keine Ahnung wie genau das geht. Manchmal muss man auch statt der .0 eine .1 angeben, weil es sonst nicht als Adresse erkannt wird. Keine Ahnung, ob das bei TP Link so ist.
Ohne Routen braucht man NAT - vielleicht ist das bei dir auch schon an.
-
Danke für den Tip! Ich probiere es mal aus, aber mein 4-Port NUC ist schon in Deutschland, ich setze es dann auf der "richtigen" Hardware nochmal komplett auf und da ist der Pferdefuß mit der einen Netzwerkkarte dann hinfällig....
Danke für deine Tips in jedem Fall!
-
Danke für den Tip! Ich probiere es mal aus, aber mein 4-Port NUC ist schon in Deutschland, ich setze es dann auf der "richtigen" Hardware nochmal komplett auf und da ist der Pferdefuß mit der einen Netzwerkkarte dann hinfällig....
Danke für deine Tips in jedem Fall!
Wo hast du einen Intel NUC mit 4 x NIC gefunden, ich habe immer nur welche mit 2 x NIC gefundenen?
Gesendet von iPhone mit Tapatalk Pro
-
Sorry, unscharfe Bezeichnung von mir. Habe diese Hardware gekauft:
https://www.aliexpress.com/item/1005005668388451.html
mit 4x Intel i225 Chipsatz für die NICs. Das habe ich "Intel NUC" genannt, ist natürlich ein China-Clon. Habe mich etwas im Prozessor vertan und den N100 bestellt, naja, besser zuviel als zuwenig...
Ich habe es (wegen Verzollungsgrenze von 150€) ohne Speicher und SSD bestellt und hier ein Corsair VENGEANCE SODIMM DDR5 RAM 16GB 4800 (50€) + 256GB M.2 SSD von Samsung (20€) dazu bestellt, so dass ich gesamt auf ca. 220€ gekommen bin.
Meine Kinder kaufen Legosets für das Doppelte... Da darf ich das auch mal....