OPNsense Forum
International Forums => German - Deutsch => Topic started by: Imrazor on March 27, 2019, 04:39:17 pm
-
Hallo Leute,
wir haben im Büro eine OPNsense Firewall laufen, die unser Netzwerk zum Internet abschottet und diverse weitere Funktionen übernimmt.
So haben wir einen Port konfiguriert, der zu unserem normalen Netzwerk führt und auf dem per DHCP IP-Adressen aus dem Band 192.168.10.X verteilt werden. Ein weiterer Port führt zu einem zweiten LAN, auf dem per DHCP 192.168.15.X Adressen verteilt werden. Vom Subnetz 15 soll nichts ins 10er dürfen, umgekehrt schon. Das funktioniert soweit auch. Dieses LAN ist ein Installations-LAN, in dem Kundenrechner im Verbund installiert und konfiguriert werden.
Am Ende werden diese Kundenrechner jedoch mit x-beliebigen IP-Adressen versehen, so wie sie nach Auslieferung arbeiten sollen.
Jetzt meine Frage: Besteht irgendwie die Möglichkeit das Routing so zu konfigurieren, dass es egal ist, welche IP-Adressen im Installationsnetzwerk betrieben werden, aber man diese immer vom 192.168.10.X Netzwerk erreicht?
-
Moin,
ähhhhm ich bin ein wenig verwirrt...
Also LAN-A ist euer Admin-Netz - 192.168.10.X da stehen eure Workstations drin um auf LAN-B Install-Netz
- 192.168.15.X zuzugreifen, richtig?
Ihr vergebt nach dem euer Job fertig ist, den Notebooks / Pcs whatever eine IP aus dem Subnetz des Kunden, als Beispiel 10.222.100.X, richtig? Und ihr wollt nach dem Ihr das gemacht habt trotzdem noch auf die Kisten zugreifen können, die eigentlich noch im 192.168.15.x stehen?
Habe ich das so richtig verstanden?
LG
Sven-Jendrik
-
Hallo Sven-Jendrik,
Richtig verstanden.
Die nackten Rechner werden zuerst im 15er Netz eingebaut, bekommen vom DHCP eine entsprechende IP-Adresse aus unserem Band. Dann werden die Kisten u.a. per Desktop Central installiert/konfiguriert. Finale Tätigkeit ist, den Geräten eine Kunden-IP zu verpassen.
Allerdings kann es danach vorkommen, dass diese Rechner in einem Testverbund verbleiben und Szenarien des späteren Einsatzgebietes durchgespielt werden. Für diesen Zweck müssen Kollegen, deren Rechner im 192.168.10.X Netz sind auf das "Installation-LAN" und die Rechner mit Kunden-IP zugreifen können (z.B. auf die installierten Virtualisierungsserver). Unser Problem ist eben, dass sich diese Adresse dauernd ändern und aus den verschiedensten Bändern sein können.
Grüße
Andreas
-
Was mir einfällt ist einen festen Admin PC in das Netz stellen und dem dann immer ne zusätzliche IP aus dem jeweiligen Netz geben so habe ich das gemacht aber über Routing wird das nur gehen wenn du entweder statische routen setzen tust oder auf der Firewall dann vlans pflegen tust und du die jeweiligen clients dann in das vlan packst.
Gesendet von meinem SM-N950F mit Tapatalk
-
Also ich würde es mit vlans und entsprechend einen Switch machen, die Ports den einzelnen vlans drauf, beschriften und gut
Gesendet von iPhone mit Tapatalk Pro
-
Also übers normale Netz würde es nur gehen wenn du das Defaultgateway veränderst und komische routen strickst, denn letztlich ist dein Experimentier-Lan ja quasi mit allen möglichen IP Netzen zu belegen. Damit klemmst du dir aber deine Inet Funktionalität im Bürolan ab. Man kann da versuchen was mit Tunneln zu basteln, aber an irgend einem Ende wirst du immer eintragen müssen, wer was und wohin darf.
Ich würde das 10ner Netz bei allen Kundenrechnern nutzen und vor Auslieferung nur noch die erste Ziffer in der Config ändern. Aus einer IP 123.109.66.27 wird also 10.109.66.27 ... also Quasi ein IPv3 ... wenn man so willl .. das kann man dann testen... und zur Auslieferung muss dann nur wieder die 10 gegen die 123 getauscht werden. Das ist simpel an allen Routern zu konfigurieren und macht auch kein Aufwand bei der Auslieferung zumal man das auch per sed/grep automatisiern kann. Bei IPv6 sollte das eigentlich mit passendem Subnetz/statische IPs auch so gehen. Ihr könnt damit auch Infrastruktur nachbilden. Also z.B. routen zwischen 2 /24er Kundennetzen, Tunnel über Router, bläh blub
Aus der Sicht des Büronetzes ist das Experimentierlan ein ganz normales 10ner Netz... mit ggf. einer statischen Route, aus Kundenrechnernetzsicht ist hinter dem 10ner Router das Web, eine Firewall sortiert was erlaubt ist und was nicht.. fertig ist die Laube.
Auch bei VLAN muss irgendwo ein Router stehen, der Pakete ins vlan/inet ein sortiert und der weiss eben abgesehen von tcp states auch nicht, ob ein syn oder udp Paket ins echte Inet oder ins Kundenexperimentiernetz soll.