Hi,
ich hätte eine Frage bzgl. folgendem Netzwerk-Setup:
FRITZ!Box OPNsense
+-----------------------------+ +-----------------------------+
| IP/GW/DNS:192.168.178.1 P1 |192.168.178.0/24 ----------| ig0 WAN 192.168.178.2 |
| | | |
| IP/GW/DNS:192.168.179.1 P4 |192.168.179.0/24 ----------| ig1 DMZ 192.168.179.2 |
+-----------------------------+ | |
+----| ig2 VLAN178: WANoverVLAN178 |
| | VLAN179: DMZoverVLAN179 |
| | VLAN10: LAN |
| +-----------------------------+
|
| L2 Switch
| +-----------------------------+
+----| P1 TRUNK |
+--+ | |
|PC|---------------------| P2 ACCESS (VLAN 178) |
+--+ | |
| P3 TRUNK |
| |
| P4 ACCESS (VLAN 10) |
+-----------------------------+
Es geht um die Interfaces WAN & WANoverVLAN178 in OPNsense. Die Ziele sind wie folgt:
- wenn ein PC am Port 2 auf dem "L2 Switch" angeschlossen wird, dann sollte er genauso funktionieren, als ob er an die FRITZ!Box direkt angeschlossen wurde (d.h. auch dass DHCP direkt von der FB kommt)
- Firewall Rules in OPNsense sollen für den Traffic zwischen WAN <-> WANoverVLAN178 möglich sein, z.B. Deny Rules für SMTP vom PC ins Internet (WANoverVLAN178 -> SMTP -> WAN)
Ist sowas möglich?
Danke,
Steve
Hallo SteveK,
"Ist sowas möglich?" i.V.m. "dann sollte er genauso funktionieren, als ob er an die FRITZ!Box direkt angeschlossen wurde"
ist die kurze Antwort: nein
beim routing brauchst du immer 2 unterschiedliche Netze.
du musst für VLAN178 und VLAN179 jeweils ein anderes Netz vergeben.
Du kannst grundsätzlich über BC Domains DHCP Server einsetzen, dazu brauchst du ein DHCP Relais. (https://docs.opnsense.org/manual/dhcp.html) Ich vermute, dass das die FB damit nicht umgehen kann. Mit einem "richtigen" DHCP geht das schon.
durchhalten
shb
Hallo shb,
Danke für deinen Feedback.
Um die Topology ein bisschen "Einfacher" darzustellen:
FRITZ!Box OPNsense
+-----------------------------+ +-----------------------------+
| IP/GW/DNS:192.168.178.1 P1 |192.168.178.0/24 ----------| ig0 WAN 192.168.178.2 |
| | | |
| | | |
+-----------------------------+ | |
+----| ig2 VLAN178: WANoverVLAN178 |
| | VLAN10: LAN |
| | |
| +-----------------------------+
|
| L2 Switch
| +-----------------------------+
+----| P1 TRUNK |
+--+ | |
|PC|---------------------| P2 ACCESS (VLAN 178) |
+--+ | |
| P3 TRUNK |
| |
| P4 ACCESS (VLAN 10) |
+-----------------------------+
habe ich Folgendes getestet:
- die Interfaces WAN & WANoverVLAN178 als "Bridge_WAN" gebridged
- WAN hat weiterhin die 192.168.178.2 IP
- WANoverVLAN178 hat keine IP
- keine Firewale Rules für alle diese 3 Interfaces
..und siehe da...die Pakete (sowie DHCP...usw.) kommen durch...
Nun muss ich die Filterungsregeln anpassen und mit den Firewal-Rules "spielen", d.h.
net.link.bridge.pfil_member=1 (enable filtering on the incoming and outgoing member interfaces)
net.link.bridge.pfil_bridge=0 (disable filtering on the bridge interface)
Ob sich das lohnt?!?!?..mal sehen
SteveK