OPNsense Forum
International Forums => German - Deutsch => Topic started by: Micky on August 20, 2016, 09:19:21 pm
-
Guten Abend liebe Forengemeinde,
ich beschäftige mich seit kurzem erst mit OPNsense, daher tauchen bei mir immer wieder mal Fragen auf, wo ich etwas Unterstützung benötigen würde. Aktuell habe ich hier ein APU2C4 Board mit OPNsense 16.7-amd64. Die Installation hat geklappt auch das Zuweisen der Netzwerkeinstellungen per Nullmodemkabel ist bereits erledigt. Ich kann mittlerweise die Web-GUI von OPNsense erreichen. Bisher hängt die APU per LAN Kabel an einem normalen Ethernet-Anschluss der FritzBox. Nun bräuchte ich etwas Unterstützung von euch. Mein Setup schaut derzeit so aus:
Internet --> Splitter - FritzBox 7050 (xxx.xxx.xxx.1) - FritzBox7270 (xxx.xxx.xxx.10) - Clients...
Die FritzBox 7050 dient zur Einwahl und stellt per Skript div. Dienste wie WakeOnCall zur Verfügung (WLAN wurde hier deaktiviert). Da die 7050 eine schlechte WLAN Abdeckung hatte wurde zusätzlich etwas weiter weg eine FritzBox 7270v3 eingerichtet, welche als WLAN Router dient. Die beiden FritzBoxen sind per LAN Kabel verbunden. Als Gateway und DNS ist überall die Fritzbox 7050 eingerichtet. Ich kann leider auf die 7050 nicht verzichten, da das alte OS der Fritzbox noch diverse Anpassungen zuließ, welche unter den aktuellen Betriebssystemen leider nicht mehr möglich sind.
Die OPNsense würde ich nun nach meinem Verständnis zwischen die beiden FritzBoxen setzen. Nun ein paar Fragen ;-)
Wäre das prinzipell korrekt?
ibg0 ist bei mir der LAN Port (xxx.xxx.xxx.5) --> Netzwerkkabel zur FritzBox 7270v3 ?
ibg1 ist bei mir der WAN Port (DHCP) --> Netzwerkkabel zur FritzBox 7050 ?
Diese Konfiguration habe ich jetzt testweise mal angestöpselt, ich bekam aber keine Verbindung nach aussen... Könnt ihr mir hier ein wenig zur Hand gehen?
Ist die Grundkonfiguration von OPNsense schaut in der Praxis als Start einsetzbar oder gibt es einige Einstellungen die jeder Newbie erstmal setzen sollte?
Vielen Dank im voraus und Grüße
Micky
-
Moin Micky,
schwierig zu beantworten. Ein klassischer Aufbau wäre
Internet -- Splitter -- FB7050 -- [igb1]opnsense[igb0] -- Switch -- alle Clients und FB7270(im reinen WLAN Accesspoint Modus).
Damit sicherst Du Dein Netzwerk gegen eventuelle Schwachstelle der FB7050. Die opnsense konfigurierst Du als DHCP, DNS und NTP Server für all Deine Clients im LAN. Die FB7270 ist als "WLAN Bridge" der Anschluss für Deine WLAN Clients, natürlich ohne routing, DHCP Server ...
Ich vermute, dass Du damit allerdings auch die Gründe für das Behalten der FB7050 zunichte machst, denn die opnsense läßt nichts in LAN, soll sie ja auch nicht.
Hilft Dir das?
Gruß,
Uwe
-
Hallo Uwe,
vielen Dank für deine Unterstützung. Ich werde heut abend mal die FritzBox 7050 auf reinen Modembetrieb umstellen und dann die OPNsense dazwischen setzen. WAN Schnittstelle der OPNsense steht auf DHCP (habe keine feste IP vom Provider) und die FritzBox 7270v3 dann an die LAN Schnittstelle (192.168.178.5).
Wenn ich OPNsense vernünftig integrieren kann, werde ich deinem Vorschlag folgen und DNS/DHCP/NTP über OPNsense abwickeln lassen.
Die Ports, welche für WakeOnCall auf der 7050 benötigt werden, könnte ich ja dann freigeben und ggfs forwarden. Zumindest seh ich dann dank OPNsense schonmal was rein/raus geht.
Werde danach berichten, ob ich schonmal ne Verbindung herstellen kann. Bisher konnte ich noch keine WAN Verbindung mit OPNsense herstellen. Beim Klick auf "Nach Aktualisierungen suchen" erhalte ich immer eine Fehlermeldung --> "Repository Problem". Vermute also, dass ich bisher noch keine WAN Verbindung habe.
Danke und Grüße
MickY
-
Moin,
Du kannst für die ersten Versuche die FB ruhig als Router vor der opnsense lassen, ich meine, dass manche FBs ein bisschen zickig im Modembetrieb sein können.
Als Test, ob Du mit der opnsense on-line gehen kannst, nimmst Du die Diagnose Menüs der opnsense (musst ein bisschen stöbern) oder einen PC am LAN der Sense. Vorausgesetzt, die FB übergibt der opnsense per DHCP die notwendigen Infos (IP, GW,...).
Das "Wakeoncall" ist ein anderes (späteres) Thema, denke ich. Ich vermute, Du meinst WOL. Soweit ich weiß, werden da "magic packets" verwendet, das habe ich aber noch nie benutzt, also entsprechende forward Regeln eingerichtet.
LG
-
Hallo Uwe,
irgendwo ist bei mir der Wurm drin, vielleicht hast du ja eine Idee?
Habe die opnsense direkt hinter die FritzBox 7050 gehongen, welche ja die Verbindung ins WWW herstellt. Die Schnittstellen sind folgendermaßen konfiguriert:
WAN > 192.168.178.4 / 24 mit UpstreamGateway 192.168.178.1
LAN > 192.168.178.5
FritzBox7050 (Modem/Router): 192.168.178.1
FritzBox 7270v3 (WLAN Router) 192.168.178.10
Zusätzliche habe ich für je LAN+WAN eine Rule angelegt, dass any to any erlaubt ist... Wenn ich nun ein Client per LAN-Kabel an das LAN Interface hänge bekomme ich keinerlei Verbindung (weder per ping, noch per ssh) zur opnsense, geschweige denn ins WAN. Wenn ich den Client per Ethernet-Kabel an die LAN Schnittstelle hänge kann ich die opnsense erreichen.
Die Häkchen bei "Blockiere Private bzw. Obond Netzwerke" habe ich bei der WAN und auch bei der LAN Schnittstelle erstmal entfernt. Ich versuche nun erstmal einen Weg zu finden überhaupt erstmal mit einem Client per LAN-Kabel eine funktionierende WAN Verbindung über die opnsense zu bekommen.
Hast du einen Tipp für mich, wo ich weitersuchen muss?
Grüße M.
-
irgendwo ist bei mir der Wurm drin
Haha, der war gut.
WAN > 192.168.178.4 / 24 mit UpstreamGateway 192.168.178.1
LAN > 192.168.178.5
Micky,
falls das oben kein Tipfehler war, hast Du auf der opnsense LAN und WAN mit IP Adressen aus dem identischen subnet versehen. Das geht nicht. Mein Tipp ist, lesen, lesen, lesen. Alles was Du über die Funktionsweise von Firewalls, Routern, IP-Netzwerken im Allgemeinen finden kannst. Guter Einstieg ist die Wikipedia.
Versteh mich bitte nicht falsch, das soll nicht klugschei***ich rüberkommen. Das Thema ist einfach zu komplex (und am Ende für Dein LAN zu gefährlich) um es mal eben mit ein bisschen Forumunterstützung in den Griff zu bekommen.
LG
Wurmloch
-
hihi, frecher Wurm :D.
Du hast auf alle Fälle recht, ich muss und möchte mich noch wesentlich intensiver mit OPNsense und dem Thema Firewall beschäftigen. Bisher lerne ich getreu nach dem Motto try and error ;)
Ich werde mir mal ein paar Quellen suchen um mehr Hintegrundwissen zu erhalten. Falls du den ein oder anderen Link hast, habe ich immer ein offenes Ohr.
Vielen Dank für deine Inputs,
ich melde mich wenn ich ein paar Grundlagen drauf hab und über konkrete Probleme stolpere.
LG Micky
-
Alles klar, finde ich sehr gut!
Ich beobachte diesen Thread und bekomme es mit, wenn Du was schreibst. Falls ich gute Links finde, schreibe ich sie hier rein.
Good luck
Uwe
-
Guten Morgen Uwe,
an dieser Stelle mal ein aktueller Status meinerseits:
-opnsense ist in meinem Netzwerk integriert (zwischen FB7050 u. 72270)
-Verteilung von IP Adressen per DHCP und DNS Abfragen funktionieren
-alle Clients (WLAN/LAN) haben Zugriff auf das www
-Portweiterleitung (zu meinem openvpn server) funktioniert
--> damit habe ich mal eine funktionierende Grundkonfiguration und sehe schon mal was kommt rein und was geht raus...
--> als Nächstes versuche ich mal die Kommunikation der einzelnen Clients nach aussen mit Hilfe der Firewall-Regeln auf das Wesentliche zu reduzieren
Eine WLAN Karte werde ich noch nachrüsten, dann kann ich div. Einstellungen seperat auf OPT1 testen, ohne dass die anderen Clients beinträchtigt werden.
Getreu nach dem Motto mühsam ernährt sich das Eichhörnchen kämpfe ich mich Step f. Step voran ;-)
Grüße Micky
-
Gibt es Empfehlungen eurerseits?
aktuell habe ich die beiden Alternativen:
http://varia-store.com/Hardware/MiniPCI-Express-Karten/Compex-WLE200NX-a-b-g-n-miniPCI-Express-Radio-Card::3140.html
http://varia-store.com/Hardware/MiniPCI-Karten/SR71-E-Hi-Power-802-11a-b-g-n-miniPCI-E-Modul-UBNT::1305.html
Meines Wissens sollten beiden mit der apu2 in Verbindung mit opnsense funktionieren. Gibt es eine Möglichkeit dass 2,4gh und das 5,0 ghz WLAN gleichzeitig zu betreiben?
-
Moin Micky,
ich kaufe immer hier:
https://www.apu-board.de/produkte/compexwle200nx.html (https://www.apu-board.de/produkte/compexwle200nx.html)
Wenn Du Herrn Federle anrufst oder eine Mail schreibst, bekommst Du eine kompetente Antwort. Die Beschreibung der Compex sieht nach parallelem Betrieb von 2.4 + 5 GHz aus, aber sicher bin ich nicht. Also besser nachfragen.
Zu Multiwan werde ich die nächsten Abende wieder Zeit haben und weiter einsteigen...
LG
-
Hallo Uwe,
danke für die Info und deine alternative Bezugsmöglichkeit. Bzgl. dem WLAN Adapter meinte ich, dass ich das 2,4 + 5GHz WLAN gern gleichzeitig aufspannen wollte, dies scheint aber bei beiden WLAN Karten nicht zu klappen. Entweder es wird das 2,4 Ghz oder das 5Ghz WLAN Netz aufgespannt...
Im nächsten Step würde ich gern Filterregeln anlegen, sodass z.B. die Handy´s vom Nachwuchs bestimmte Internetseiten nicht mehr aufrufen können. Anschließend wäre dann auch mal eine zeitliche Beschränkung von diversen Seiten (z.B.Facebook nur 15:00 - 18:00) geplant. Kann ich das normal im Bereich der Firewall lösen und brauche ich hier Squid oder ähnliches?
Zudem habe ich gesehen, dass Benachrichtigungen per Growl möglich sind. Wie schaut es alternativ mit PushOver aus? Ist hier ein Plugin oder ähnliches verfügbar?
Grüße M.
-
Micky,
ich habe Herrn Federle gefragt und die Antwort ist "nein". Die compex kann nur entweder/oder. Schade, sonst hätte ich meine APU um WLAN erweitert. So bleibe ich bei dem AP im LAN.
-
Hallo Uwe,
danke für´s nachfragen. Hab heut die Compex erhalten und eingebauert. WLAN Hotspot mit Gästenetzwerk läuft bereits / CapitivePortal ebenfalls mal angetestet, läuft. Beide Frequenzen laufen wie gesagt nicht parallel, also entweder 2,4 oder 5,0. Trotzdem danke für deine Mühen.
Grüße Micky