OPNsense Forum
International Forums => German - Deutsch => Topic started by: Swen1977 on January 28, 2024, 12:19:39 pm
-
Hallo zusammen,
ich brauche mal Hilfe um meinen Knoten im N00b-Kopf zu lösen.
Ich möchte hinter meiner FB7590 eine OPNsense in einer Proxmox VM betreiben um dahinter verschiedene Bereiche per VLAN zu trennen(Videoüberwachung/IoT(ioBroker)/Clients) so das nichts unerlaubt nachhause telefoniert aber ich im Bedarfsfall von Aussen per VPN zugreifen kann(Video/IoT).
Ich erhoffte mir mit den Videos von Daniel Medic u.a. es idiotensicher hin zu bekommen, aber es rechnete wohl keiner mit mir :o
Ich komme nicht ins Internet über LAN->WAN, sobald ich die Fritzbox aus dem 24-Switch ziehe.
Und sobald ich meinen PC direkt an den LAN von OPNsense stecke kann ich auch nicht mehr auf die OPNsense Oberfläche zugreifen obwohl er mir per DHCP eine IP zuweist aus dem erlaubten Bereich( die FB macht DHCP -.178.200 und die OPNsense auf LAN darf von .178.215-245. Der LAN hat eine feste IP .178.40 und der WAN .178.41 auch.
NAT ist in der OPNsense deaktiviert und Unbound DNS aktiviert.
Die Firewall-Rules habe ich von Daniel Medic übernommen.
Ich weiß einfach nicht was ich übersehe oder falsch gemacht habe... Ich bin allerdings auch kein Netzwerkspezialist sondern krame mich normalerweise durch YT und Ggl aber hier ist irgendwie Ende :-\
Hier erstmal mein grober Netzwerküberblick, kleine Geräte (FireTV usw.) habe ich mal weg gelassen außer den Magenta Receiver weil der ja wohl ein Spezialfall wird lt. Internetaussagen.
(https://forum.opnsense.org/index.php?action=dlattach;topic=38393.0;attach=32606;image)
Ich hoffe es ist so verständlich und nachvollziehbar, ein paar Screenshots reiche ich noch nach.
Ob ich das alles so Richtig gemacht habe, weiß ich auch nicht wirklich ::)
Ping in verschiedene Richtungen
(https://forum.opnsense.org/index.php?action=dlattach;topic=38393.0;attach=32608;image)
Traceroute
(https://forum.opnsense.org/index.php?action=dlattach;topic=38393.0;attach=32610;image)
Vielen Dank!
Gruß
Swen
-
Hier noch ein Bild vom Dashboard und der DHCP Zuweisung von OPNsense an meinen PC per Direktverbindung.
-
Hallo
Der LAN hat eine feste IP .178.40 und der WAN .178.41 auch.
Das ist der Fehler. OPNsense ist vom Konzept her darauf ausgelegt, dass WAN und LAN in unterschiedlichen Netzwerkbereichen liegen. Nimm für das LAN z.b. .180.1 oder 10.1. Und vermeide .179.1, denn das ist das Gast-Netz der FB.
Für die VLANs vermeide die ID 1, denn manche Hersteller verwenden diese als Default.
Gruß KH
-
Danke für Deine Antwort.
Ich werde das morgen mal ausprobieren, das WAN an der FB und im LAN bzw. PC direkt auf .180.xxx einstellen.
Ich hatte gehofft, das ich einfach im 178er bleiben kann weil ich so viel zum Umstellen habe da ich meist fixe IPs vergeben habe :-\
Die VLAN Nummerierung im Bild nutze ich so natürlich nicht, hatte einfach nur "durchgezählt" ;D
-
OPNsense ist vom Konzept her darauf ausgelegt, dass WAN und LAN in unterschiedlichen Netzwerkbereichen liegen.
Nicht OPNsense. Jedes System in diesem Universum, das IP spricht, muss zwingend unterschiedliche Netzwerke für jedes aktive Interface benutzen.
Dass man z.B. einen Laptop gleichzeitig per Kabel und WLAN in dasselbe Netz hängen kann, widerspricht dem nicht, weil die Desktop-Betriebssysteme die Interfaces priorisieren und einfach nur eines davon benutzen.
Ein Interface - ein Netz - und umgekehrt.
-
Moin zusammen,
ich weiß nicht ob ich es mir zu einfach gemacht habe.
Zum testen habe ich den WAN der OPNsense nun mal ins Gast-LAN .179 der FB gehangen weil es ja ein anderer IP-Bereich ist und der OPNsense-LAN ist halt mit dem Rest .178 verbunden.
Aber an der Problematik hat sich leider nichts geändert.
Ich habe aktuell keine weiteren NICs eingerichtet und auch keine VLANs, ich will erstmal nur von LAN nach WAN ins Internet aber irgendwie bin ich da zu dämlich zu ::)
-
Hier mal noch ein Ping vom PC aus und die Firewall Rules.
-
Und die WAN Rules, welche Automatisch erstellt wurden.
-
Wenn Du die OpnSense hinter die Fritzbox stellst, werden Firewall-Regeln allein wohl kaum ausreichen, da brauchst Du entweder Outbound NAT (Stichwort: Doppel-NAT) oder explizite Routen zu Deinem LAN auf der Fritzbox.
-
Wenn Du die OpnSense hinter die Fritzbox stellst, werden Firewall-Regeln allein wohl kaum ausreichen, da brauchst Du entweder Outbound NAT (Stichwort: Doppel-NAT) oder explizite Routen zu Deinem LAN auf der Fritzbox.
Deswegen hatte ich das NAT in der OPNsense abgeschaltet wie in einem Video von Daniel Medic gezeigt wurde.
-
Wenn Du die OpnSense hinter die Fritzbox stellst, werden Firewall-Regeln allein wohl kaum ausreichen, da brauchst Du entweder Outbound NAT (Stichwort: Doppel-NAT) oder explizite Routen zu Deinem LAN auf der Fritzbox.
Deswegen hatte ich das NAT in der OPNsense abgeschaltet wie in einem Video von Daniel Medic gezeigt wurde.
Und hast Du also in der Fritzbox die Route auf Dein OpnSense-LAN gesetzt (https://fritzhelp.avm.de/help/de/FRITZ-Box-7590/avm/021/hilfe_iproute)? Ob das mit einem Gast-LAN überhaupt geht, bezweifele ich.
-
Moin zusammen,
ich weiß nicht ob ich es mir zu einfach gemacht habe.
Zum testen habe ich den WAN der OPNsense nun mal ins Gast-LAN .179 der FB gehangen weil es ja ein anderer IP-Bereich ist und der OPNsense-LAN ist halt mit dem Rest .178 verbunden.
Aber an der Problematik hat sich leider nichts geändert.
Ich habe aktuell keine weiteren NICs eingerichtet und auch keine VLANs, ich will erstmal nur von LAN nach WAN ins Internet aber irgendwie bin ich da zu dämlich zu ::)
Das ändert aber ja nichts daran, dass die FRITZBOX weiterhin das alte Netz mit der .178 KENNT und das auch bei sich lokal behandelt. So funktioniert Netzwerk. Du kannst dann nicht einfach das WAN der OPNsense in das Gastnetz mit .179.x schieben und dahinter dann doch wieder .178 reden. Wenn dann auch noch NAT AUSgeschaltet ist, dann quasseln über die Leitung plötzlich Geräte die aus .178.x kommen, via .179.x die Fritzbox erreichen und dann ins Netz gehen. Wenn aber die Antwort kommt will die Fritte das LOKAL zustellen, da SIE das .178.x Netz besitzt. Das wird sie nie wieder an deine OPNsense weiterrouten, weil sie gar nicht weiß, dass es da hin soll.
Du schießt dir absichtlich mit Pfeil und Bogen in jedes Knie und versuchst zu laufen ;)
Jetzt stell doch einfach hinter der OPNsense mal ein anderes Netz ein - z.B. 172.20.1.0/24 und klemm das WAN der OPNsense wieder ganz normal an die Fritte und nicht an das Gastnetz - dort gelten nämlich Sonderregeln und Beschränkungen, die man im Normalfall nicht haben will. Und dann lass einfach den DHCP der Sense den Rest erledigen. Warum willst du auf Krampf die Geräte im 192.168.178.x Netz behalten? Wenn du hinterher eh in deiner Sense mehrere VLANs erstellen willst, haben diese eh alle eigene Netze, spätestens dann ist es eh vorbei mit dem FB bekannten 192.168.er und dann macht es keinerlei Sinn mehr auf Krampf mit den alten Adressen rumzulaufen.
Vor allem wenn du danach noch weitere Netze einplanst, plane deinen zukünftigen Adressbereich groß genug und sauber ein, dass du jedem VLAN ein /24er geben kannst und das Ganze dann noch schön in einer großen Maske (ggf. ein /20 oder /19) adressieren kannst.
Also bspw.
neues LAN: 172.20.0.0/24
IoT Zeugs: 172.20.1.0/24
VoIP Geraffel: 172.20.2.0/24
Medienkram: 172.20.3.0/24
usw.
bis 172.20.7.0/24 oder .15.0/24
je nachdem wie viele Netze du brauchst. Wenn dir jetzt 4 einfallen - nimm 8 (/21), wenn dir jetzt schon 6-7 einfallen - nimm 16 (/20). Dann kannst du bei bspw. VPNs das auch sehr einfach mit einer einzigen Route adressieren und musst dann nicht zig verschiedene IP Bereiche freigeben, weil du wild Adressen vergeben hast. Einmal ordentlich durchplanen ist halb gewonnen :)
Cheers
\jens
-
Jetzt stell doch einfach hinter der OPNsense mal ein anderes Netz ein - z.B. 172.20.1.0/24 und klemm das WAN der OPNsense wieder ganz normal an die Fritte und nicht an das Gastnetz - dort gelten nämlich Sonderregeln und Beschränkungen, die man im Normalfall nicht haben will. Und dann lass einfach den DHCP der Sense den Rest erledigen. Warum willst du auf Krampf die Geräte im 192.168.178.x Netz behalten? Wenn du hinterher eh in deiner Sense mehrere VLANs erstellen willst, haben diese eh alle eigene Netze, spätestens dann ist es eh vorbei mit dem FB bekannten 192.168.er und dann macht es keinerlei Sinn mehr auf Krampf mit den alten Adressen rumzulaufen.
Da kann ich dir nur beipflichten - was der TE gebaut hat ist zum testen usw. einfach nur Mist und macht es nur unnötig kompliziert.
Ich habs damals genauso gemacht:
- OPNSense mit WAN-Interface in der LAN der Fritzbox ( bzw. Unifi-UDMPro damals ) gehangen und der OPNSense ne feste IP aus dem LAN gegeben ( als WAN-IP sozusagen )
- hinter der OPNSense ganz normal per Wizard die LAN-Konfig gemacht mit einem neuen Netz und mein MacBook dann in diese Netz reingehangen und dann damit konfiguriert und getestet und rumgespiellt.
Das hat einwandfrei funktioniert, ohne irgentwelche Krücken wie NAT abschalten usw.
Ich hab so meine komplette OPNsense-Konfiguration aufgebaut und getestet, inkl. VLAN, DHCP-Server, FW-Regeln usw. - dem MacBook dann ne VLAN-Id gegeben und schon konnte ich die VLAN's testen.
-
Vielen Dank für Eure Erklärungen. :)
Dann werde ich in den sauren Apfel beißen müssen und mein Netzwerk überarbeiten.
Mir grauts davor, weil ich zu 95% fixe IPs vergeben habe bei rund 75 Geräten und auch bei dem IoT Zeug in ioBroker Änderungen vornehmen muss :o
Ich erstelle mir gerade schon Listen, was ich wo zuordnen muss/möchte :D
Wenn ich es dann umgesetzt habe, melde ich mich mit Erfolg oder frage wegen Misserfolg ;D
-
> Mir grauts davor, weil ich zu 95% fixe IPs vergeben habe bei rund 75 Geräten und auch bei dem IoT Zeug in ioBroker Änderungen vornehmen muss :o
a) Warum?
b) Warum keine DHCP Reservierungen? Gerade bei dem IoT Rempel wenn man da mal was neu flashen muss, will man ja schon, dass das ohne irgendwelche Konfiguration nicht gerade in nen IP Konflikt reinhämmert und daher das sauber im DHCP hinterlegen? Würde ich zumindest so machen wenn es schon fixe IPs sein müssen. Ich kenne da IObroker nicht, aber meinen Tasmotas im Homeassistant ist die IP egal, die werden eh via MQTT reingeholt und haben über diese ID interne Zuordnungen. Die IP unter der die funken ist da egal.
Ansonsten sich einfach die Frage stellen WOFÜR brauche ich ggf. ne statische IP außer "das hat man mal so gemacht"?
Ich habe da effektiv kaum mehr Gründe, das nicht einfach irgendwo dynamisch per DHCP vergeben zu lassen und gerade mit Auge auf IPv6 machen statische Zuordnungen oder Reservierungen mit DHCP kaum noch Sinn.
Cheers :)
-
Ich fange das mal so an wie Tuxtom007 mit Lappi und so :)
a) Keine Ahnung
b) Keine Ahnung
Ich bin damals in das Netzwerkzeugs so rein gerutscht und habe es so beibehalten mit den fixen IPs.
MQTT nutze ich auch u.a. für Tasmota, aber da muss ich auch überall dann den Server ändern.
Ich muss mich da wohl auch mal etwas neu sortieren, aber so wusste ich halt anhand der IP welches Gerät es ist.
Für mich wars einfacher von der Übersicht her.
-
> MQTT nutze ich auch u.a. für Tasmota, aber da muss ich auch überall dann den Server ändern.
Ah MQTTserver setting. Wenn du damit rumspielen möchtest als Hinweis: Es gibt für Ansible eine Klasse für ansible-tasmota mit der man Deployments da sehr einfach automatisieren kann. Ein Aufruf und man hat direkt mal für drei Dutzend Geräte so ein Setting geändert :)
https://github.com/tobias-richter/ansible-tasmota/
Davon ab, kenne und fühle ich. Hatte ich ganz ganz früher auch mal eingetrichtert bekommen mit lustigen Bereichen (10-20 sind Server, 20-50 Clients, etc.) die heute alle nicht mehr klappen und gerade wenn man mit CIDR Bereichen rumspielt ganz übel sind wenn man alle mal per Maske greifen möchte.
Wenn dus daher jetzt eh neu designest, direkt mal schön mit weißer Fläche anfangen, genug IPs und Subnetze reservieren, kleinen Plan in Tabellentool (oder du hast was Schickes wie Netbox oder ein IPAM) erstellen/einpflegen und dann entsprechend DHCP und Co nutzen, dann hast dus in Zukunft um ein Vielfaches leichter :) Und dabei kannst du ja trotzdem Bereiche Schaffen die du dir merken kannst ohne bspw. CIDR Bereiche zu ignorieren, die du dann in Regeln bspw. sinnvoll nutzen kannst.
Wenn du bspw. deine IoT Clients nicht in .101-.119 packst, sondern die eben sauber ab .97 bis .126 setzt (und vllt. dann einfach die ersten frei lässt) hast du die noch genauso einfach im Kopf, aber kannst mit nem einfachen x.y.z.96/27 alle Geräte auf einmal in dem CIDR Block mitnehmen, filtern, routen, sonstwas machen.
Genauso bei DHCP Bereichen. Je nachdem ob du deine Firewall oben oder unten ins Netz packst (ich bin ja .1 als GW Nutzender - also unten) kann man eben das erste /28er oder /27er Segment leer lassen und hat dann noch eines frei für ein paar einzelne statische Clients und sagt dann ab .65 fängt DHCP an und geht bis .190. Das sind dann die mittleren beiden /26er eines /24 für DHCP genutzt, das erste /26er zerschnitten in Netzwerk und statische IPs und das letzte /26 ist noch frei für wasauchimmer.
So planen wir bspw. bei Kunden das Netzdesign bzw. die Netzwerkarchitektur vor und versuchen das sinnvoll abzudecken. Denn dadurch wird später auch in Regeln - selbst wenn man natürlich Aliase hat - das Leben leichter. Gerade wenn dann Teilbereiche per VPN erreichbar sein müssen.
Cheers :)
-
mit lustigen Bereichen (10-20 sind Server, 20-50 Clients, etc.)
;D So halt ...
kann man eben das erste /28er oder /27er Segment leer lassen und hat dann noch eines frei für ein paar einzelne statische Clients und sagt dann ab .65 fängt DHCP an und geht bis .190. Das sind dann die mittleren beiden /26er eines /24 für DHCP genutzt, das erste /26er zerschnitten in Netzwerk und statische IPs und das letzte /26 ist noch frei für wasauchimmer.
Kannst Du mir das etwas näher erklären? Ich bin da total ahnungslos mit dem Subnetting. Ich bin da jetzt mal drüber gestolpert und weiß nun das /24 eigentlich 255.255.255.0 ist und fühle mich da in die diskrete TTL-Welt zurück versetzt. :o Mir erschließt sich das nur noch nicht so richtig :-[
Das mit dem ansible-Tasmota kommt mal auch meine andere ToDo Liste ;)
-
> Kannst Du mir das etwas näher erklären? Ich bin da total ahnungslos mit dem Subnetting. Ich bin da jetzt mal drüber gestolpert und weiß nun das /24 eigentlich 255.255.255.0 ist und fühle mich da in die diskrete TTL-Welt zurück versetzt. :o Mir erschließt sich das nur noch nicht so richtig :-[
Am Einfachsten klaust du dir einen Subnet Calculator. Entweder auf der Console (ich hab das in meiner WSL2 miniVM direkt drin auf der ich arbeite) oder einfach als graphisches Tool wie https://www.calculator.net/ip-subnet-calculator.html
Das Prinzip ist aber einfach. Wir sind mal wieder bei MATHE-MANN - denn alles in der IT ist ja verrückt nach 2er-Potenzen. Darum gibts ja auch 256 Hosts in so einem /24er Subnetz.
IPv4 Adressen sind 32bittig. Darum gibt /32 auch exakt eine IPv4 also genau einen Host an. Das kannst du als 10.20.30.145/32 oder als 10.20.30.145 mit Subnet Mask 255.255.255.255 schreiben. Die Maske invertiert dabei die Bits und gibt wie ne Schablone an, was austauschbar ist (also im Subnetz existieren darf) und was nicht. Eine volle Maske von 32 Bits (alles 255 bzw. /32) sagt also "GENAU DAS DA!".
Bei /24 fehlen die hinteren 8 Bit -> 32-8=24. Damit sind alle 8 Bit adressierbar in einem Netz, ergo 2^8=256 Hosts. Jetzt müssen da noch 2 abgezogen werden wegen Netzadresse (.0) und Broadcast (.255) weil das halt IPv4 so braucht aber bleiben 254 Hosts über.
Subnetting/Supernetting adressiert das Ganze wie mit einer Subnet Maske, nur wird die Maske eben in Bits abgekürzt.
Annahme: Dein LAN wäre 172.22.2.0/24 - also 255.255.255.0. Dann hast du in diesem LAN die 254 Adressen zur Verfügung. Jetzt packst du da auf die .1 deine Firewall als Default GW. Damit dir da aber keiner reinfunkt, wenn du später vielleicht mal was ausbauen willst (bspw. 2. Firewall und Cluster) lässt du ein paar Adressen frei.
Jetzt kann man old school hergehen und einfach 10er Schritte oder sowas machen. Geht. Kollidiert aber eben hart mit der IT und ihren 2^x Adressierungen. Darum schaut man sich kleinere Subnetze an:
/24 = 255.255.255.0 => 2^8 = 256 Hosts
/25 = 255.255.255.128 => 2^7 = 128 Hosts
/26 = 255.255.255.192 => 2^6 = 64 Hosts
/27 = 255.255.255.224 => 2^5 = 32 Hosts
...
Na? Verstehst dus? Mit jedem Bit mehr, dass die Maske adressiert, halbiert sich die Anzahl der Hosts. Weil du eine Zweierpotenz weniger hast. Jedes Bit mehr in der Maske wird von den 32 Bits abgezogen, die man adressieren kann, also schrumpfen die Anzahl der Hosts auf die Hälfte. Bis man nur noch 4, 2, 1 Adressen hat.
Der Witz ist jetzt mit diesen 2^x artigen Grenzen zu arbeiten, statt einfache Dezimalgrenzen zu nehmen. Also sowas wie
Wenn du bspw. deine IoT Clients nicht in .101-.119 packst, sondern die eben sauber ab .97 bis .126 setzt (und vllt. dann einfach die ersten frei lässt) hast du die noch genauso einfach im Kopf, aber kannst mit nem einfachen x.y.z.96/27 alle Geräte auf einmal in dem CIDR Block mitnehmen, filtern, routen, sonstwas machen.
Siehe: https://www.calculator.net/ip-subnet-calculator.html?cclass=any&csubnet=27&cip=172.22.2.96&ctype=ipv4&x=Calculate
Eine /27er Maske adressiert 32 IPs, davon 30 Hosts (weil wir 2 abziehen müssen). Man braucht dabei das Netz nicht mit /27 wirklich zu konfigurieren, darum geht es gar nicht.
Du adressierst einfach dein IOT Netz bspw. mit /24, aber deine DHCP Reservierungen für die Geräte packst du z.B. alle in einen Bereich, den du eben mit /28 oder /27 oder sogar /26 greifen kannst. Dafür gibts wie oben gezeigt schöne Tools die dir das dann auch grafisch anzeigen können. Denn nicht immer kann man einfach sagen, ich will mit /27 einfach 32 Hosts adressieren startend ab X, das klappt nicht, denn die Netzgrenzen sind fix damit sie auf die Bits passen. Die /27er Bereiche gehen also bspw. alle von 0-31, 32-63, 64-95, 96-127 etc. etc. - du kannst nicht einfach .16/27 sagen und von 16-48 wollen - das passt in die Bitmaske nicht rein. Bits sind eben fies ;)
Aber wenn man das ein wenig durchspielt, bekommt man da Ordnung hinein und hat dann den Vorteil z.B. in einer Regel direkt 172.22.2.96/27 schreiben zu können und damit hast du auf einmal gleich alle IOT Geräte erwischt statt einen Alias mit allen einzelnen IPs zu brauchen. Das spart dann Zeit und Nerven. Und im Zweifelsfall einfach nen größeren Bereich wählen damit du Platz hast oder einen wählen, der vergrößert werden kann, bei dem die NetzIP also auch die StartIP für einen größeren Bereich wäre. Bei /27 wären das bspw. 0, 64, 128 und 192 weil dort die /26er Netze anfangen würden. Wenn du sowas dann berücksichtigst oder frei lässt, kannst du Bereiche auch später vergrößern und dann einfach auf /26 in den Regeln abändern. Auf den Geräten ist es durch DHCP eh egal, die sind ja alle im großen /24er aber du nutzt die kleinen Masken eben geschickt für Routing oder Regelwerk und das kann man mit etwas Übung dann eben hinbekommen ;)
Cheers
-
a) Warum?
b) Warum keine DHCP Reservierungen? Gerade bei dem IoT Rempel wenn man da mal was neu flashen muss, will man ja schon, dass das ohne irgendwelche Konfiguration nicht gerade in nen IP Konflikt reinhämmert und daher das sauber im DHCP hinterlegen? Würde ich zumindest so machen wenn es schon fixe IPs sein müssen. Ich kenne da IObroker nicht, aber meinen Tasmotas im Homeassistant ist die IP egal, die werden eh via MQTT reingeholt und haben über diese ID interne Zuordnungen. Die IP unter der die funken ist da egal.
Eben, da kann ich JeGr nir beipflichten.
Feste IP's in den Geräte eintragen ist ziemlicher Mist, erlebe ich immer wieder. Da ändern Leute ihre DNS-Einstellungen, weil die z.b. nen PiHole nutzen wollen und schon geht im Netz nichts mehr, weil die vergessen, den Pihole als DNS dann in alle Geräte einzutragen.
Mache das per DHCP-Reservation, das funktioniert bei der OPNSense einwandfrei - ich mache nichts anderes bei mir über VLANs
Ziehe dir die Liste der MacAdresse aus der FritzBox raus und dann ist es ne reine Fleissaufgaben die dann in der OPNSense als DHCP-Reservation in den einzelnen VLAN direkt richtig mit IP-Adresse, MAC und Hostnamen einzutragen.
-
Hi zusammen und erstmal vielen Dank für Eure Hilfe und auch Deine Geduld und Ausführlichkeit(vorallem wegen der Netzwerkgrundlagen im OPNsense-Forum) @JeGr :)
Mal gucken, ob ich das richtig verstanden habe.
Wenn ich mich der Maske bediene zum Organisieren kann ich aus dem Bereich
192.168.178.0 - 255(1-254) Teilbereiche erstellen (0-31/32-63/...usw.) welche ich getrennt
voneinander aber Zeitgleich nutzen kann in dem ich einfach 192.168.178.0/27 (1-30);192.168.178.32/27(33-62); usw. angebe?
Und durch diese Unterteilung kann ich dann in OPNsense die Teilereiche durch die Maske besser Routen/Filtern mittels Firewall-Regeln?
Du adressierst einfach dein IOT Netz bspw. mit /24, aber deine DHCP Reservierungen für die Geräte packst du z.B. alle in einen Bereich, den du eben mit /28 oder /27 oder sogar /26 greifen kannst.
Wie das funktioniert verstehe ich nicht, in dem /24er Netz ein /27er Netz erstellen?
Erstelle ich das /24er unter Schnittstelle und das /27er dann irgendwo im DHCP Bereich oder sogar in den Firewall-Regeln?
Ich muss mir Sonntag die Einstellmöglichkeiten der OPNsense mal genauer ansehen, immerhin bin ich Online mit dem Laptop über die OPNsense zur Fritzbox wie Tuxtom007 es gemacht hat :)
Aktuell habe ich den Pihole einfach in die Fritzbox eingetragen, alle Clients nutzen ja die Fritzbox als DNS-Server. In OPNsense war ich mal am überlegen das Adguard später zu nutzen ???
Die MAC-Adressen habe ich schon alle in Excel ;D
Einen schönen Abend und schönes Wochenende wünsche ich
-
Wenn ich mich der Maske bediene zum Organisieren kann ich aus dem Bereich
192.168.178.0 - 255(1-254) Teilbereiche erstellen (0-31/32-63/...usw.) welche ich getrennt
voneinander aber Zeitgleich nutzen kann in dem ich einfach 192.168.178.0/27 (1-30);192.168.178.32/27(33-62); usw. angebe?
......
Aktuell habe ich den Pihole einfach in die Fritzbox eingetragen, alle Clients nutzen ja die Fritzbox als DNS-Server. In OPNsense war ich mal am überlegen das Adguard später zu nutzen ???
Die MAC-Adressen habe ich schon alle in Excel ;D
Ja, kann man mit den IP-Netzen so machen, ich persönlich finde das unübersichtlich und zu kompliziert.
Ich würde eher den weg gehen, VLAN's einzurichten und jedem davon sein eigenen /24 Netz geben, so hab ich das überall bisher gemacht.
Dann hast ein VLAN(x) z.b. für IoT mit 192.168(x).0/24 , wobei (x), dann z.b. 10 ist undn dann am einfachsten gleich der VLAN-ID ist. Aus dem Bereich nimmst die untere Hälfte für DHCP-Reservierung, die obere Hälfte für DHCP-Vergabe.
Dann das nächste VLAN20 mit 192.168.20.0/24 für Kids, wieder obere Hälfte DHCP, untere Hälfte der IP's für Reservation.
( die Bereiche kann ja selber bestimmen, ob dir evtl. ein kleiner DHCP-Bereich reicht, ich hab z.b. nur 240 bis 250 für DHCP, da ich ausschlielich mit DHCP-Reservation arbeite.
Einzige Ausnahme ist das Gäste-VLAN, das hat nur DHCP
Mit den VLAN kannst du dann - meiner Meinung nach - wesentlich übersichtlicher Arbeiten und deine Firewall-Regeln bauen.
Mein Tip, nutze die Funkion der Aliase um dort z.b. einen Alias für gleiche Geräte anzulegen, die eh die selben Rechte bekommen.
Beispiel: Aliase "Drucker_IPs", packst alle IP-Adressen der Drucker rein und in den Firewall-Regeln für den Druckerzugriff aus anderen VLAN ist der Aliase dann deine Zieladresse.
Bekommst nen weiteren Drucker, packst du den nur in den Aliase rein und schon ist der allen FW-Regeln aktualisiert, die den Aliase nutzen.
Oder ein Aliase bei mir "ESP_IPs", da sind alle Mikrocontroller drin, die ich habe und die z.b. per MQTT-Protokoll an mein Smarthomeserver sprechen müssen, der in einem andere VLAN hängt.
Das ist der Grund, warum ich DHCP-Reservierungen nutze.
AdGuard auf der OPNSense: nutze ich länger schon, läuft super gut, vor allem funktioniert der auch direkt mit IPV6 ohne das ich Klimmzüge machen muss, meinen PiHole ( die ich vorher hatte ) feste IPv6-Adressen geben zu müssen.
Als Upstream nutze ich dann noch Unbound auf der OPNSense, der dann die lokalen Adressen auflösst.
-
Moin,
ich nochmal ganz kurz...
Muss ich was beachten, wenn ich die WAN-IP von DHCP auf Fest einstelle?
Sobald ich die IP (unvergeben lt. Fritzbox (254 weil unten alles belegt ist :o )) vergebe bin ich mit OPNsense ohne Internetzugang... Gehe ich auf DHCP zurück, bin ich wieder Online.
Noch eine Frage, falls Ihr das wisst. Ich möchte später gerne VLANs auf meinen Unifi AP AC Pro und 1x Lite nutzen.
Benötige ich dazu die UDM/Gateway oder reicht die Network Application welche ich auf meiner Synology im Container laufen habe und mein Zyxel Switch GS1900?
Ich nehme heute nochmal Anlauf mit dem Umstellen der IPs. Am Sonntag habe ich mir mein Videoüberwachungsnetzwerk zerschossen und musste mangels Zeit noch mal alles auf die alten IPs umstellen weil mit dem DHCP usw. irgendwas nicht passte. Einige Kameras bekamen keine IP obwohl ich alle auf DHCP umgestellt habe.
-
> Noch eine Frage, falls Ihr das wisst. Ich möchte später gerne VLANs auf meinen Unifi AP AC Pro und 1x Lite nutzen.
Benötige ich dazu die UDM/Gateway oder reicht die Network Application welche ich auf meiner Synology im Container laufen habe und mein Zyxel Switch GS1900?
Niemand braucht eine UDM ;) Controller reicht für APs aus, wenn du kein Roaming zwischen den APs bräuchtest bzw. einen AP hättest, müsstest du nichtmal den Controller haben. Inzwischen kann man die Dinger auch ohne Controller (nur die APs) einrichten und betreiben.
> Muss ich was beachten, wenn ich die WAN-IP von DHCP auf Fest einstelle?
Dass die Daten korrekt sind. Also Gateway - die Fritte - und deine IP. Aber die Fritte kann sich da sehr dumm anstellen, daher würde ich in deren Heimnetz Bereich erstmal die OPNsense jetzt löschen die da drin ist, die taucht da gern automagisch auf. Weglöschen wo die MAC der Sense auftaucht, abstecken und dann auf statisch konfigurieren und neu anstecken, damit die Fritte nicht denkt das Gerät hätte noch ne alte IP oder es zwingt auf die andere IP zu gehen. Sonst setzt die nen fixen ARP Eintrag.