OPNsense Forum
International Forums => German - Deutsch => Topic started by: cmonty14 on July 02, 2021, 02:52:00 pm
-
Hallo,
von meinem ISP (Vodafone Internet, vormals Unitymedia) ich habe eine FritzBox erhalten.
Zusätzlich zu einem Standard-Internetzugang habe ich noch eine statische IP.
Diese statische IP wird mit einer speziellen Funktion an Port 3 der FritzBox durchgeschaltet.
Somit kann ich 2 getrennte Internetzugänge nutzen.
Die FritzBox ist somit Router+Modem für
- LAN
- WLAN
- Telefon
An Port 3 der FritzBox habe ich die NIC von OPNsense WAN angeschlossen.
Die NIC von OPNsense LAN geht auf einen Managed Switch (D-Link DGS1100-16), der u.a. VLAN und Link-Aggregation 802.3ad unterstützt.
Am selben Switch ist FritzBox Port 1 (LAN) angeschlossen.
Dieser Switch bietet die Funktion
802.1Q VLAN
an, bei der dann ein VLAN mit der ID 1 als Management VLAN verwendet werden kann.
OPNsense soll als Router + Firewall konfiguriert werden.
Ich beabsichtige jetzt folgende OPNsense Netzwerk-Konfiguration:
VLAN 1 - 192.168.0.0/24 - Management
VLAN 10 - 192.168.1.0/24 - LAN -> dies ist auch das LAN der FritzBox
VLAN 100 - 192.168.10.0/24 - Netzwerk für VMs
VLAN 200 - 172.16.10.0/24 - DMZ
Ein PC hat die IP (im LAN) 192.168.1.20/32 und der OPNsense Server die IP (im Management) 192.168.0.1/32.
Ich stelle mir folgende Fragen:
Wird dieses Konfiguration funtionieren?
Wenn ja, worauf muss geachtet werden, damit ich von der PC auf die WebUI von OPNsense zugreifen kann?
Oder wäre es sinnvoller, OPNsense eine IP aus 192.168.1.0/24 (LAN) zuzuweisen?
Gruß
Thomas
-
Also ich wüsste nicht wo es dort zu Probleme kommen sollte, ist ja im Endeffekt nur eine OPNsense hinter der FB.
Bezüglich der IP Vergabe: deine opnsense bekommt ja sowieso eine IP in jedem Netzwerk, welche du am Ende in den Browser eintippst ist ja egal, du kannst den Zugriff mit den Regeln begrenzen wie du möchtest.
Sinnvollerweise sollte dieser vom WAN und der DMZ natürlich blockiert sein. Ob du diesen nun vom Management Netzwerk UND LAN verfügbar machst oder nicht bleibt da ganz dir überlassen
-
Hallo,
die FritzBox kann ja kein VLAN.
Wie bringe ich dann das LAN der FritzBox mit dem VLAN10 von OPNsense zusammen?
Danke.
-
Gar nicht. Warum sollte die FB VLANs können? Dazwischen klemmt ein Switch der das kann und der muss korrekt konfiguriert sein. daher gibt es keinen Grund, warum die FB sich da mit VLANs einmischen müsste.
-
Nachdem geklärt ist, dass der Switch die Kommunikation mit VLANs übernimmt, stellt sich eine neue Frage.
Diese Frage steht im Zusammenhang mit den 2 getrennten Internetzugängen.
Man könnte auch sagen, es gibt 2 ISPs.
OPNsense bietet die Funktionalität Gateway groups / Multi WAN (https://docs.opnsense.org/manual/multiwan.html).
Nach meinen Verständnis könnte ich dann ein Failover einrichten, der wie folgt funktioniert:
- Im Normalbetrieb wird die statische IP für den Internetzugang verwendet
- Bei Ausfall dieses Zugangs für der Internetzugang über FritzBox verwendet
Wenn diese Annahme korrekt ist, wie muss dann die Konfiguration in OPNsense aussehen?
THX
-
Nachdem geklärt ist, dass der Switch die Kommunikation mit VLANs übernimmt, stellt sich eine neue Frage.
Diese Frage steht im Zusammenhang mit den 2 getrennten Internetzugängen.
Man könnte auch sagen, es gibt 2 ISPs.
OPNsense bietet die Funktionalität Gateway groups / Multi WAN (https://docs.opnsense.org/manual/multiwan.html).
Nach meinen Verständnis könnte ich dann ein Failover einrichten, der wie folgt funktioniert:
- Im Normalbetrieb wird die statische IP für den Internetzugang verwendet
- Bei Ausfall dieses Zugangs für der Internetzugang über FritzBox verwendet
Wenn diese Annahme korrekt ist, wie muss dann die Konfiguration in OPNsense aussehen?
THX
Alles wichtige findest du dazu im Punkt "MultiWAN" in der Dokumentation
-
Alles wichtige findest du dazu im Punkt "MultiWAN" in der Dokumentation
[/quote]
Mir ist bekannt, wo ich Informationen finde, ich habe den Artikel ja selbst verlinkt.
Mir ist aber nicht bekannt, ob das so auch mit der FritzBox funktionieren kann.
-
Alles wichtige findest du dazu im Punkt "MultiWAN" in der Dokumentation
Mir ist bekannt, wo ich Informationen finde, ich habe den Artikel ja selbst verlinkt.
Mir ist aber nicht bekannt, ob das so auch mit der FritzBox funktionieren kann.
[/quote]Da gibt's 2 Möglichkeiten:
1. Die FB macht ein eigenes Netzwerk zwischen FB und WAN der OPNsense. Dort legst du einfach die IP in der opnsense fest (oder dhcp) und weist das Gateway entsprechend der Anleitung zu
2. Die FB ist im Bridge Modus, dann hat die OPNsense die öffentliche IP. Ab da dann auch nach Anleitung
-
Option 2 ist nicht möglich, weil die FB keinen Bridge-Modus erlaubt.
Somit würde das WAN der OPNsense auf die Static IP des ISP gehen, und WAN2 der OPNsense auf das LAN der FB, also 192.168.1.0/24.
Alle PCs, Mobil-Geräte (oder Smartphones) befinden sich ebenfalls im LAN der FB (192.168.1.0/24).
Wie müsste man dann vorgehen, wenn für das LAN der FB Firewall-Regeln definiert werden, die auf OPNsense eingerichtet werden?
Eigentlich wäre es sinnvoll, wenn das LAN von OPNsense gleich dem LAN der FB ist, also 192.168.1.0/24.
Dann gibt es natürlich kein WAN2, aber darauf könnte ich verzichten.
Es stellt sich aber die Frage:
Kann ich für LAN der OPNsense das gleiche verwenden wie für LAN der FB?
-
Was ich in deinen Erklärungen nicht verstehe:
- du hast 2 Provider Internet Zugänge?
- 2 Modems/Router?
Bei Vodafone haste ja schon eine feste ip, das würde ich so lassen, für die 2. Leitung würde ich mir ein Modem organisieren und entsprechend auf der Sense einen Port als pppoe konfigurieren diesen kannst du dann in die Gateway Gruppe packen und das failover konfigurieren. Ganz simpel oder habe ich was falsch verstanden, bitte mal einen netzwerkplan um Missverständnisse zu vermeiden
Gesendet von iPhone mit Tapatalk Pro
-
> Eigentlich wäre es sinnvoll, wenn das LAN von OPNsense gleich dem LAN der FB ist, also 192.168.1.0/24.
> Dann gibt es natürlich kein WAN2, aber darauf könnte ich verzichten.
> Es stellt sich aber die Frage:
> Kann ich für LAN der OPNsense das gleiche verwenden wie für LAN der FB?
Was soll das denn für ein Kuddelmuddel werden? Dann kann man die OpnSense ja gleich weglassen? Welche Logik soll das denn abbilden?