OPNsense Forum

International Forums => German - Deutsch => Topic started by: ole on April 15, 2020, 11:22:46 am

Title: WAN mit statischer IP
Post by: ole on April 15, 2020, 11:22:46 am

Hallo OPNsense Freunde,

bevor ich den Text schreibe, hier mein Setup/Wunsch:

Code: [Select]

      WAN / Internet
            :
            : Cable
            :
      .-----+-----. CableModem TC7200              .---
      |  Gateway  +--------------------------------+ old pfsense
      '-----+-----' WAN | 192.168.0.0/24 (DHCP)    '----
            |
        WAN | 192.168.0.1/24
        DMZ |
            |
            | static IP 192.168.0.11
      .-----+------.
      |  OPNsense  | v20.1 (APU4)
      '-----+------'
            |
        LAN | 192.168.11.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Ich hänge hier am Cable Modem (Technicolor TC7200) an der alten ALIX pfsense Box, die ich durch eine neue APU4 mit OPNsense ersetzten möchte - und kläglich scheitere in der praktischen Umsetzung meiner Ideen.
Ich möchte mir die Möglichkeit offenhalten, das alte Setup eine Weile weiter oder anderweitig betreiben zu können; auch weil dort ein ein mir unabhängiges WLAN vom TC7200 kommt.

Um Doppel-NAT zu vermeiden, wollte ich den OPNsense and die DMZ vom Cable-Modem hängen - dieser legt alles auf die 172.168.0.11 (ist so von mir konfiguriert). Damit gehen die Probleme los: Ist alles per DHCP konfiguriert, klappt es - habe aber Doppel-NAT und andere Probleme mit der Port-Mapping für LetsEncrypt etc., das ich auf einem dedizierten Docker  Host machen möchte.
Die Vergabe der statischen IP 192.168.11.1 am WAN des OPNsense klappt, das habe ich am Cable Modem kontrolliert. Das WAN Gateway bleibt das Selbe. Dennoch habe habe ich vom LAN keinen Zugang mehr zum INet. Auch die statische Route, DNS 1.1.1.1 Einträge haben nicht geholfen.

Laut einem engl. youtube Video (ja, nicht die beste Quelle, aber dafür 100% Treffer) reicht die IP zu ändern aus ... Wie ist der Weg zum Erfolg für meinen Fall?

Viele Dank!

Title: Re: WAN mit statischer IP
Post by: guest23448 on April 15, 2020, 05:51:28 pm

Hi ole,

Wie hast du dies "vorher" bei der pfsense konfiguriert?

Generell die Empfehlung, den Router falls möglich im Bridge-Modus mit nur Modem-Funktionalität zu betreiben und alles andere die OpenSense regeln zu lassen. Kannst immer noch einen Access-Point dran hängen.

Ansonsten Ansatzpunkte die ich Mal probieren würde:

• Nicht auf NAT konzentrieren und es im Worst-Case als Doppel-NAT belassen. Die Exposed Host Funktion (DMZ) ist ja eher für Verkehr von draussen, der weitergeleitet wird. Wirklich Doppel-NAT wird da meines Wissens nicht vermieden da der Verkehr von Innen wiederum nur über die 1 IP des Routers aufgelöst werden. Könntest NAT an der OPNsense entsprechend anpassen (findest bestimmt in den Foren e.g. https://docs.netgate.com/pfsense/en/latest/nat/outbound-nat.html (https://docs.netgate.com/pfsense/en/latest/nat/outbound-nat.html)). Aber wenn hinter der OPNsense ein anderes Subnet betreiben willst, musst dies dem Router fürs NAT irgendwie beibringen - was wohl bei  Consumer-Geräten scheitern wird da diese immer nur die eigenen LAN-Adressen auflösen. Ev. geht's mit gleichem Subnet und DHCP Bezug vom Router.
• WAN-IP der OPNsense sollte ins Router-LAN-Netz passen. Du schreibst was von 192.168.11.1 am WAN-Port, was aber 192.168.0.11 sein sollte (und auf dem Router natürlich fix vergeben, damit der DHCP die IP nicht plötzlich einem anderen Gerät zuteilt)
• Prüfen ob allenfalls die OPNsense im Bridge Modus betreiben willst.

Aber wie gesagt: OPNsense als Ruter + Firewall betreiben -> erspart einiges!

Title: Re: WAN mit statischer IP
Post by: micneu on April 15, 2020, 07:48:28 pm

@ole kannst du mal bitte ein bild deiner wan konfiguration posten bitte.
nur als tipp: openvpn ist in ca. 10 minuten konfiguriert.

was soll das bedeuten, leider verstehe ich nicht immer was du aussagen willst?

Quote

auch weil dort ein ein mir unabhängiges WLAN vom TC7200 kommt.

ich kann es jedesmal nicht verstehen das viele das wlan von ihren routern weiter einsetzen wollen.
ihr entscheidet euch für eine sehr geniale firewall und wollt dann echt so ein mist machen (sorry das ist meine persönliche meinung)

Title: Re: WAN mit statischer IP
Post by: ole on April 16, 2020, 11:07:27 am

erst'mal Danke für die Antworten.

Der TC7200 (https://www.primacom.de/download/pdf/BedienungsanleitungTC7200_20.pdf (https://www.primacom.de/download/pdf/BedienungsanleitungTC7200_20.pdf)) hat bietet neben dem internen Switch auch ein WLAN Hotspot. Dessen DHCP vergibt Adressen vom LAN und WLAN im gleichen Addressraum, hier 192.168.0.0/24. D.h. egal was ich an dessen LAN für Murks mache, ich kann mir am Tablet Hilfe suchen - was in meinem Fall überlebenswichtig ist. Daher will ich es erstmal ohne Bridge versuchen. IIRC, kann ich am TC7200 selber nicht den Bridge Mode einstellen, sondern muss mich im Web im Kundenportal anmelden es es dort machen - klingt nach den geschilderten Problemen nach einer Einbahnstraße.
Das WLAN dient also als Rückfallebene, evtl. später für den IOT Schrott oder als Road-Warrier ...

Und ja, innerhalb von 10min lief OpnSense als DHCP Client am Cable Modem. Mit Doppel-NAT bin ich auch schon gescheitert - daher der Umweg über die DMZ des Cable Routers. Diesen Hinweis habe ich beim Suchen gefunden (leider ohne URL aktuell) und es klang plausibel. Alles von der public IP wird 1:1 an die DMZ IP weiter gereicht.

Mein altes Setup mit pfsense (ohne DMZ etc.) läuft genauso ab - am Cable Modem als DHCP Client das betagte && langsame Alix Board mit LAN 192.168.1.0/24, ohne Extra-Würste. Darin ist eine WLAN m2? Karte für das eigentliche 2.4GHz WLAN, dass alle Familienmitglieder für Internet benutzen (ohne Zugang zum LAN Netz). Auch komme ich an das Web API des TC7200 aus meinem privaten Netz (ist ja die gleich Route). Funkioniert.

Jetzt habe ich einen Docker Server mit einigen Stacks drauf, die unbedingt encrypted Verbindungen haben wollen. Mit Self-Signed-Certs komme ich nicht weiter, da diese nicht akzeptiert werden - nicht alle Docker Images haben die Option SkipTLSVerify ... (IIR gitlab ist so einer), mailu.io, nextcloud etc. möchte auch gerne im privaten LAN nutzen ...
Da kommt eben DDNS und LetsEncrypt ins Spiel - ich habe hier Scripte gesehen, die von OPNsense diese Certs kopieren/verteilen. Das wollte ich mit nicht antun und deshalb jwilder's nginx-proxy mit letsencrypt companion auf dem Docker Server nehmen. Auch sollten später per VPN die WLAN Clients in's heimische LAN kommen können, neben Gäste-WLAN und IOT WLAN. Auch habe ich (aus alten Empfehlungen im pfsense/opnsense Forum) einen Unify AC für das neue WLAN zu liegen, welches ich bisher hier nicht erwähnt habe.

Daneben gibt's es mit dem APU Board (und neuerdings auch mit dem Alix) Verbindungsabrüche alle 20 bis 40 Minuten. Das Problem scheint Cable Modem spezifisch und verbreitet zu sein sowie mit dem DHCP zusammen zu hängen - eine Lösung hatte ich bis dato nicht gefunden. Ich vermute (der Support Rückruf steht noch aus), dass am Modem die Firmware und/oder Einstellungen vom ISP geändert wurden, da das Alix/pfsense Setup diese Problem noch nie so extrem wie derzeit hatte. D.h. auch wenn hinter meinem Setup das LAN tot ist, komme ich über den TZC7200 AP weiter in's Netz und kann Rat suchen. Ständig den Netzkabel Stecker am TC7200 ziehen für eine neue DHCP lease ist auf die Dauer sportlich ;)

Irgendwann will ich das private Netz per VPN auch mal im Urlaub benutzen können, aber das ist noch ein langer Weg dahin ...

Quote from: bEeReE on April 15, 2020, 05:51:28 pm

Ansonsten Ansatzpunkte die ich Mal probieren würde:

• WAN-IP der OPNsense sollte ins Router-LAN-Netz passen. Du schreibst was von 192.168.11.1 am WAN-Port, was aber 192.168.0.11 sein sollte (und auf dem Router natürlich fix vergeben, damit der DHCP die IP nicht plötzlich einem anderen Gerät zuteilt)

Das DHCP des Cable Modems hat den Addressbereich 192.168.0.0/24 und vergibt von mir eingestellt die IPs im Bereich 200...250, d.h. aktuell hat pfsense WAN seitig die 192.168.0.203 bzw opnsense 192.168.0.207 IIRC (nicht vor Ort derzeit). Das neue LAN soll als Netz 192.168.11.0/24 haben, mit der 192.168.11.1 auf der LAN Seite am OPNsense. Damit das mit dem DMZ funktioniert, soll OPNsnese auf der WAN Seite statisch die 192.168.0.11 haben (und nein, das Cable Modem ist zu dumm, um anhand der MAC die IP zu vergeben).

Title: Re: WAN mit statischer IP
Post by: guest23448 on April 16, 2020, 02:06:28 pm

Irgendwie habe ich das Gefühl, dass du zu viel auf einmal willst, bevor überhaupt Grundlegendes funktioniert.

Wie von micneu angefragt: Poste Mal deine Config der Interfaces....

So wie ich das sehe machst generell eine "Kaskade". Hier weitere Infos inkl "Durchreichen":
https://www.heise.de/ct/artikel/Router-Kaskaden-1825801.html

Solltest am WAN der OPNsense auch den Gateway und DNS richtig einstellen. WAN muss auf die IP deines Routers zeigen. Erstmal Verbindung regeln, dann weiter schauen.

Auch solltest dir einmal Gedanken machen, wo in deinem Schema denn der Docker-Server, welcher anscheinend für Diverses extern erreichbar sein soll, anbinden willst (aus Sicht Security). Zurzeit stellst du zwei "Firewalls" (Router / OPNsense) in eine Reihe und grübelst daran, wie du am besten Löcher rein schraubst....

Title: Re: WAN mit statischer IP
Post by: ole on April 16, 2020, 07:31:30 pm

Zuerst die Bilder von den Konfigurationen.

(https://abload.de/thumb/static_wan_fwrule_wanxpktz.png) (https://abload.de/image.php?img=static_wan_fwrule_wanxpktz.png) (https://abload.de/thumb/static_wan_gatewayyzjlq.png) (https://abload.de/image.php?img=static_wan_gatewayyzjlq.png) (https://abload.de/thumb/static_wan_gatewaysvbkiy.png) (https://abload.de/image.php?img=static_wan_gatewaysvbkiy.png) (https://abload.de/thumb/static_wan_if_wankykhm.png) (https://abload.de/image.php?img=static_wan_if_wankykhm.png) (https://abload.de/thumb/static_wan_routes98jy7.png) (https://abload.de/image.php?img=static_wan_routes98jy7.png)

Was mir im Nachinein auffällt ist, dass das Outbound NAT keine Autorules hat. Ich habe sie eben angelegt
(https://abload.de/thumb/static_wan_nat_fwrule64jab.png) (https://abload.de/image.php?img=static_wan_nat_fwrule64jab.png)
und nun habe ich Zugang zum Internet .... Sollte das nicht automatisch passieren (benutze die aktuelle Firmware) wie beim WAN per DHCP, siehe
(https://abload.de/thumb/dhcp_wan_fwrule_nat_oackky.png) (https://abload.de/image.php?img=dhcp_wan_fwrule_nat_oackky.png) ?

Die Kernfrage ist nun, habe ich bereits Löcher aufgerissen (wahrscheinlich nicht, wie ein nmap scan aus dem LAN an mine public IP ergeben hat)? Für mein Verständnis verhält sich OPNsense nun als wenn ich das Cable Modem als Bridge betreiben würde. BTW; morgen bekomme ich ein neues Cable Modem, da der Support mir bei dem sporadischen Abbrüchen (s.o.) nicht helfen konnte.

PS: Ich habe besagten Artikel bzgl Double-NAT und DMZ gefunden: How to identify and resolve double-NAT problems (https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&uact=8&ved=2ahUKEwiKurvxwO3oAhU7VxUIHWE9DfsQFjACegQIDRAG&url=https%3A%2F%2Fwww.pcworld.com%2Farticle%2F3175739%2Fhow-to-identify-and-resolve-double-nat-problems.html&usg=AOvVaw3oFG1rY6hpQmRX62xbh6LS (https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&uact=8&ved=2ahUKEwiKurvxwO3oAhU7VxUIHWE9DfsQFjACegQIDRAG&url=https%3A%2F%2Fwww.pcworld.com%2Farticle%2F3175739%2Fhow-to-identify-and-resolve-double-nat-problems.html&usg=AOvVaw3oFG1rY6hpQmRX62xbh6LS)).

Title: Re: WAN mit statischer IP
Post by: guest23448 on April 17, 2020, 09:33:36 am

Sieht doch eigentlich gut aus....

Quote

Die Kernfrage ist nun, habe ich bereits Löcher aufgerissen

Scan Mal ein zwei Ports von aussen (z.B. vom Mobilenetz oder von einem Online-Scanner)...

Title: Re: WAN mit statischer IP
Post by: ole on April 17, 2020, 11:42:42 am

die üblichen Ports (22,80,443), die mit den kostenfreien Scanner aus dem Web getestet werden können, sind zu.

Aber warum gab es hier keine Auto Rule für das Outbound NAT obwohl es eingestellt war?