OPNsense Forum
International Forums => German - Deutsch => Topic started by: JohnD87 on August 16, 2018, 01:02:08 pm
-
Hallo zusammen,
ich hab hier einen WAN Zugang auf den vom Provider ein zusätzliches 29er Netz geroutet wird.
WAN IP: 217.xxx.xxx.254
GW IP: 217.xxx.xxx.253
Zusätzliches Netz:
213.xx.xx.72/29
GW: 213.xx.xx.73
Ich hatte früher mal pfsense im Einsatz und habe dort eine Konfiguration gehabt, bei der ein zweites LAN Netz über eine IP aus dem 29er Netz online gehen konnte.
Ich hab dafür einfach ein Interface mit der 213.xx.xx.73 angelegt und einen zweiten Router daran angeschlossen. Alle Clients hinter dem zweiten Router hatten dann die 213.xx.xx.75 als externe IP Adresse.
Jetzt hab ich versucht das gleiche mit OPNSense zu bauen. Die Clients kommen zwar ins Netz, haben aber wie die Clients auf LAN1 die 217.xxx.xxx.254 als externe IP Adresse.
Was muss ich denn tun damit die ich die 213.xx.xx.75 als externe IP Adresse verwenden kann?
Danke euch.
-
> ich hab hier einen WAN Zugang auf den vom Provider ein zusätzliches 29er Netz geroutet wird.
...
> 213.xx.xx.72/29
> GW: 213.xx.xx.73
Dann routet er das aber nicht, sondern legt es auf. Das ist suboptimal (freundlich ausgedrückt). Kannst du ggf. anfragen, ob er das nicht einfach auf die vorhandene Sense IP aus dem 217er Netz (.254) routen kann? Ist doch kompletter Unsinn aus dem /29er nochmal ne IP zu verschwenden anstatt es einfach zu routen.
Dann würdest du dir auch viel Zeit und Nerven sparen und bräuchtest auch keinen zweiten Router oder sonstwas.
-
Vielen Dank für deine Antwort.
Könntest du mir ganz kurz den technischen Unterschied erklären oder mir einen guten Link dazu schicken? Hab gerade gesucht, aber es nicht wirklich verstanden (oder mit den falschen Begriffen gesucht).
Der Support vom Provider ist extrem wechselhaft in Sachen Kompetenz und ich würde gerne genau verstehen was ich da von denen will.
Wäre sehr nett!
-
Was auch gehen würde, falls der Provider nicht mitspielt... Wäre eine IP aus dem Netz als VIP anzulegen und ein VLAN über die IP zu routen. Dadurch hast du den Traffic der über die IP aus dem neuen laufen soll, auch im internen Netz getrennt.
Dazu müssten aber deine Switches VLAN-fähig sein, um den VLAN-Tag an die OPNSense weiterzugeben...
Klar verbrauchst du dadurch kostbare IPs (Gateway, Firewall-Public-IP, Broadcast, Netzadresse), aber so würde es gehen...
Kann dein Provider nicht einfach dein bestehendes Netz auf ein nächst grösseres (/28) erweitern? ???
Das wär so ziemlich die einfachste Lösung...
-
Natürlich:
Legt dir dein Provider ein Netz auf (was er mit mindestens einem machen muss), dann bekommst du eine IP oder ein ganzes Netzsegment von ihm PLUS ein Gateway aus diesem Netz, das aber auf einem Gerät des Providers aufliegt.
In deinem Beispiel:
WAN IP: 217.xxx.xxx.254
GW IP: 217.xxx.xxx.253
Du hast also die .254 bekommen und der Provider hat selbst auf seinem Gerät die .253 konfiguriert. Du schickst die Daten als WAN Gateway zur .253 und fein.
Wäre dies jetzt bspw. ein /26er Netz gewesen, dann hätte der Provider sich vielleicht die .62 genommen und du hättest .1 bis .61 zur Verfügung gehabt. Das "Problemchen" dabei ist, dass der Provider hier eben selbst eine IP aus dem Netz hat. Möchtest du nun die Adressen von 1-61 hinter der Sense verwenden - bspw. in einer DMZ o.ä. - so kannst du das nur mit Funktionen wie BiNAT (1:1 NAT) oder Forwardings erreichen UND musst zusätzlich die IP auf der Sense bekannt machen (Alias IP), damit bei Anfragen an bspw. die .23 die Sense entsprechend sagt "Jap, das bin ich, gib her".
Anderer Fall: Wenn dir dein Provider den Beispiel Adressraum x.y.z.0/26 einfach weiterroutet auf die vorhandene IP die deine Sense eh schon hat (WAN IP: 217.xxx.xxx.254), also einen einfachen Route Eintrag bei sich vornimmt, dann
* Hat der Provider selbst keine IP aus dem Netzsegment "blockiert"
* Wird das Netz nicht VOR (auf WAN Seite) der Sense konfiguriert
* Du musst keine Alias IPs definieren, die IPs kommen durch das Routing eh auf dem WAN Interface an. Aliase werden nur gebraucht, wenn du IPs abgehend nutzen willst
* Du kannst den IP Range so oder auch kleiner gesplittet weiter routen oder direkt auf einer DMZ verwenden.
Hoffe das macht es etwas verständlicher.
Grüße
-
Ich glaube ja. Besten Dank schon mal.
Ich schau mal wie weit ich komme.