OPNsense Forum
International Forums => German - Deutsch => Topic started by: gerhard on January 24, 2018, 10:16:20 am
-
Guten Tag zusammen,
ich setzte OPNsense als virtuelle Maschine ein und habe 2 Netzwerkadapter hinzugefügt. Eins hängt im Unternehmensnetzwerk und ist bei OPNsense als WAN Netzwerk angegeben. Das zweiter Interface soll das "GästeWlan" sein und wird durch ein VLAN getrennt. Die Verbindung über das VLAN funktioniert einwandfrei sodass ich auch schon DHCP aktivieren konnte. Nun möchte ich von dem Gäste Netzwerk natürlich ins Internet. Ich habe zum testen alle Firewall Regeln schonmal erlaubt.
LAN:
IPv4 * * * * *
WAN:
IPv4 * * * * *
Ich kann Adressen im Unternehemensnetzwerk (WAN) schonmal ereichen nur weiter komme ich nicht. Ich kenne mich leider nicht gut genug mit NAT aus oder mit dem Upstream Gateway. Ich glaube hier fehlt mir eine Einstellung. Kann mir hier jemand helfen?
-
Wo soll dann der Sinn des "Gäste Netzwerks" sein?
Oder willst du das Netzwerk nur erweitern?
Ist das nur dein Wunsch oder will das auch das Unternehmen?
NAT sollte eigentlich, wenn du nichts daran geändert hast auch so schon funktionieren.
Ist evtl. nur das DNS auf die Unternehmens DNS begrenzt.
Kannst du 8.8.8.8 anpingen? (aber auch das könnte natürlich auch im "Upstream Gateway" begrenzt sein.
Wenn es tatsächlich nur eine Erweiterung ist, wäre ein AP ohne Routing sicher einfacher.
Wenn es ein echtes Gäste(W)Lan werden soll. Dann würde ich den Zugriff auf die Unternehmensnetze verhindern.
Ist am einfachsten in der LAN Regel Destination auf nicht Unternehmensnetz zu ändern.
Wenn es mehrere interne Netze gibt mach einen Alias dafür und verwende den.
-
Wofür um Gottes Willen sollte man eine "allow all" Regel auf dem WAN Interface brauchen?
Vermutlich ist dein "Firmennetzwerk" auch mit privaten IPs (NAT), weiß dass denn, welche Netze hinter deiner opensense liegen?
-
Mir stellt sich auch die Frage, was Du denn genau erreichen möchtest. :o
Ich gehe einfach mal davon aus, dass es in der Firma bereits eine Firewall gibt. Warum dann nicht darüber ein GästeWLAN einrichten?
Und wenn man schon eine 2. Firewalllösung einsetzten will (warum?), sollte man die 2. Firewall auf jedem Fall unabhängig vom Firmen-LAN ins Internet bringen. Entweder per Anschluss auf einem eigenen LAN-Port oder per vLAN.
Gruß
Dirk
PS: Es gibt AP die einen eigenen Gastzungang bieten für wenig Geld (z.B. Ubiquitu).
-
was ich am Ende aufgebaut haben möchte ist ein seperates Netzwerk für die Gäste im Unternehmen!
Ich habe die Firewall auf alles erlaubt eingestellt um auszuschließen dass es an der Firewall liegt!
Ja es gibt möglichkeiten das über unsere Unternehmensfirewall zu machen. Kostet aber Geld.
Ja es gibt möglichkeiten das über Accesspoints zu regeln. Kostet aber Geld. Opnsense ist kostenlos.
-
Eine allow any any auf dem WAN (!) braucht's niemals. Niemals. Nie.
Welche Netze liegen wo an? Wie ist das WAN interface an der opensense konfiguriert? Wie das LAN interface?
Ohne den Aufbau des Netzes zu kennen, kann da niemand auch nur raten, was wo warum nicht funktioniert...
-
Ja es gibt möglichkeiten das über unsere Unternehmensfirewall zu machen. Kostet aber Geld.
Ja es gibt möglichkeiten das über Accesspoints zu regeln. Kostet aber Geld. Opnsense ist kostenlos.
Ist Deine Arbeitszeit auch kostenlos!? ;)
Ja, eine Lösung über die Unternehmensfirewall mag Geld kosten, aber dafür muss man Alles auch nur an einer Stelle administrieren (z.B. Filterlisten).
Wenn es aber Partout eine OPNsense sein soll, würde ich die keinesfalls als normalen Client im Firmennetz laufen lassen. Ich würde an der Unternehmensfirewall ein eigenes Interface einrichten (lassen) an dem die OPNsense dann hängt. Das kann man ja auch per vLAN realisieren, wenn es nicht genügend LAN-Porst an der Unternehmensfirewall gibt.
-
Da bin ich bei Dirk, wenn man schon Gäste aussortieren will macht das wenig Sinn den ganzen Kram dann noch quer durchs ganze eigene _PRIVATE_ LAN der Firma zu schippern. Deshalb hat und nutzt man VLANs um solche Netze separat von anderen zu halten. Und dann verhält sich auch das Routing wesentlich simpler und überschaubarer.
>> Ja es gibt möglichkeiten das über unsere Unternehmensfirewall zu machen. Kostet aber Geld.
>> Ja es gibt möglichkeiten das über Accesspoints zu regeln. Kostet aber Geld. Opnsense ist kostenlos.
> Ist Deine Arbeitszeit auch kostenlos!? ;)
Sauberes und sicheres Routing im eigenen Netz - unbezahlbar ::)
-
Natürlich koste ich auch Geld aber die Unternehmenspolitik denkt etwas anders als wir. Ich halte es selbst für viel sinnvoller das mit unsere Firewall zu lösen. Es könnte so einfach sein...
So jetzt nochmal zu dem Aufbau meiner ganzen Umgebung:
Die Accesspoints haben 2 SSID´s
1# Intern
2# Guest
Die Guestssid ist in einem VLAN
OPNsesne ist bei mir eine virtuelle Maschine und hat 2 Netzwerkinterfaces:
1# Intern
2# Guest
das Guest Netzwerkinterface ist im gleichen VLAN wie die SSID
Hier habe ich also eine getrennte Umgebung durch VLAN geschaffen. Das Guestinterface hat einen DHCP Server bekommen. Ich verbinde mich mit der SSID und bekomme auch eine DHCP Adresse. Die zwei Interfaces der OPNsense kann ich auch anpingen sowie das Gateway des Internen Netzwerkinterfaces welches auch der Router der Firma ist. Jetzt komme ich nur nicht ins Internet. Ich vermute das es eine bestimmte NAT-Konfiguration oder das Upstreamgateway ist.
Da es eine Testumgebung momentan ist habe ich um irgendwelche Probleme zu verhindern die Firewall auf all allow gestellt. Mir ist natürlich bewusst, dass man soetwas nicht macht. Bringt ja nichts wenn man ein Haus ohne Tür hat ;D
-
Natürlich koste ich auch Geld aber die Unternehmenspolitik denkt etwas anders als wir. Ich halte es selbst für viel sinnvoller das mit unsere Firewall zu lösen. Es könnte so einfach sein...
Muss man dann eben hinnehmen. ???
OPNsesne ist bei mir eine virtuelle Maschine und hat 2 Netzwerkinterfaces:
1# Intern
2# Guest
Hmm,
evtl solltes Du die Interfaces nach Ihrer Funktion benennen und konfigurieren.
Ich würde zumindest 3 Interfaces in der OPNsense einrichten und so benennen!
1. WAN
Hängt als Client in Eurem bestehenden Netzwerk und leitet den NW-Traffic an eure FW weiter (z.B. DHCP).
2. LAN
Darüber konfigurierst Du Deine OPNsense. Das kann bzw. sollte also auch ein eigenes VLAN sein damit nur Du bzw. berechtige Personen auf die Konfiguration der OPNsense zugreifen können.
3. GastWLAN
Daran hängt Dein AP für die Gäste (VLAN)
Wenn Deine OPNsense so einerichtet wird sollte das mit dem Internet problemlos funktionieren. Hab hier mal testweise meine private OPNsense ins Firmennetzwerk gehängt um etwas damit spielen zu können. Hat genau so wie oben beschrieben funktioniert!
Gruß
Dirk
-
funktioniert jetzt. ich habe ein gateway vertauscht und es die ganze zeit nicht gesehen :/