OPNsense Forum

Hallo zusammen,

bezüglich OPNsense bin ich ein Neuling und bitte um Hilfe/Bestätigung, dass mein Konfigurationspläne so mit OPNsense möglich sind...

Ich möchte auf einem Protectli 6-port neben dem LAN-Port (LAGG) auch mindestens drei VPN-Verbindungen zu unterschiedlichen Servern einrichten. Die WAN-Anbindung erfolgt über eine FritzBox.

Somit:
Port 1+2 = LAN (LAGG)
Port 4 = OpenVPN Client 1 -> WAN1 -> Fritzbox -> OpenVPN-Server 1
Port 5 = Wireguard Client 1 -> WAN2 -> Fritzbox -> Wireguard-Server 1
Port 6 = Wireguard Client 2 -> WAN3 -> Fritzbox -> Wireguard-Server 2

Ist dies machbar?

Für einen kurzen Hinweis zu einem howto oder wiki etc. wäre ich sehr dankbar.

Viele Grüße!

Tom

ja
sollte das für ein unternehmen sein, würde ich NOCH nicht wireguard einsetzen, sondern erstmal noch auf OpenVPN setzen.
vieles ist im forum behandelt worden von deinem themen. am besten  erstmal mit den grundlagen beschäftigen und verstehen wie die sense funktioniert. danach würde ich dir empfehlen langsam mit den weiteren themen zu machen.
ein schritt nach dem anderen und nicht alles auf einmal.

am besten auch mal das lesen:
https://forum.opnsense.org/index.php?topic=12697.0

und bitte einen richtigen grafischen netzwerkplan (den wirst du zukünftig öfter brauchen hier im forum, also lohnt es sich die arbeit zu machen)

bitte mehr daten zu deiner vorhanden internet anbindung bei den einzelen standorten und eingesetzten fritzboxen

warum willst du es unbeding mit wireguard machen?
wie sind deine netzwerk skills?

Hallo micneu,

vielen Dank für die kurzfristige Antwort!

Zu Deinen Fragen:

1) Nein, das alles ist nicht für ein Unternehmen. Baue mir hier ein privates Netz für mich und meine Familie.

2) Die Internetanbindung erfolgt nur über eine/n Fritbox/ISP.

3) Die beiden Wireguard-Verbindungen benötige ich für diverse Streamingdienste, z. B. Netflix. Die OpenVPN-Verbindung benötigt meine Frau.

4) Wireguard möchte ich nutzen, weil es schnell ist und mich interessiert.

5) Meine Netzwerkfähigkeiten sind deutlich ausbaufähig. Keine Ausbildung oder Studium in diesem Bereich. Somit ein interessierter Laie, der gerne etwas lernt... 8)

6) Netzwerkplan als Anhang.

Viele Grüße

na dann mal einen guten start und viel spaß.
wie schon geschrieben sind alle deine themen hier im forum schon behandelt worden, einfach die forum suche nutzen

in deiner zeichnung finde ich die vlan´s nicht, für was sind die?
hier mal ein beispiel. in der zeichnung ist alles ersichtlich

Sollte gestern schnell gehen, deshalb habe ich den m. E. relevanten Teil erfasst. Wird noch vervollständigt.

Zu den Vlans...
Habe zzt. drei Stück eingerichtet :
1 -> WAN1
2 -> WAN2 (OpenVPN)
3 -> WAN1 (MANAGEMENT-LAN)
Zurzeit habe ich noch pfsense im Einsatz, die ich gegen OPNsense tauschen werde.

Solltest du Such Begriffe haben, die mir helfen etwas zielgerichteter zu suchen, lasse mich diese doch bitte wissen.

Viele Grüße

Warum genau willst Du mit 4 unterschiedlichen Ports an die Fritzbox?

Warum ist bei dir irgendwie alles WAN? Ich verstehe noch nicht so richtig was du tun willst.

Für OpenVPN und WireGuard Clients, brauchst du doch keine physischen Interfaces. Die sind rein virtuell auf der sense.

Ich würde die VLANs auf dem LAN LAGG vorschlagen. Dann kannst Du entweder anhand der Quell-IP oder des Quell-Interfaces die Kommunikation über Wireguard1 oder Wireguard2 bzw den OpenVPN Client zulassen.

Ich sehe aktuell nicht wofür Du 6 Ethernet Ports brauchst.

Quote from: DerTom on October 14, 2020, 09:48:05 AM
Sollte gestern schnell gehen, deshalb habe ich den m. E. relevanten Teil erfasst. Wird noch vervollständigt.

Zu den Vlans...
Habe zzt. drei Stück eingerichtet :
1 -> WAN1
2 -> WAN2 (OpenVPN)
3 -> WAN1 (MANAGEMENT-LAN)
Zurzeit habe ich noch pfsense im Einsatz, die ich gegen OPNsense tauschen werde.

Solltest du Such Begriffe haben, die mir helfen etwas zielgerichteter zu suchen, lasse mich diese doch bitte wissen.

Viele Grüße

also genau verstehe ich gerade auch nicht was du da machen willst, wie schonmal gefragt: warum willst du es so machen? ich glaube du solltest dich ertmal allgemien mit dem thema firewall auseinander setzen und wenn du genau weißt was du da machst solltest du erst mit deinen vpn zugängen und vlan anfangen.

- richte deine OPNsense erstmal normal ein und mache dich mit dem system vertraut.
um dir den einstieg zu erleichtern empüfehle ich dir das buch (bin ich gerade auch am lesen):
https://www.amazon.de/gp/product/374485521X/ref=as_li_tl?ie=UTF8&camp=1638&creative=6742&creativeASIN=374485521X&linkCode=as2&tag=micneu-21&linkId=48fa61ab692ddbd315ba9010ac4db5ac

Quote from: Gauss23 on October 14, 2020, 12:25:36 PM
Warum genau willst Du mit 4 unterschiedlichen Ports an die Fritzbox?

Warum ist bei dir irgendwie alles WAN? Ich verstehe noch nicht so richtig was du tun willst.

Für OpenVPN und WireGuard Clients, brauchst du doch keine physischen Interfaces. Die sind rein virtuell auf der sense.

Ich würde die VLANs auf dem LAN LAGG vorschlagen. Dann kannst Du entweder anhand der Quell-IP oder des Quell-Interfaces die Kommunikation über Wireguard1 oder Wireguard2 bzw den OpenVPN Client zulassen.

Ich sehe aktuell nicht wofür Du 6 Ethernet Ports brauchst.

Hallo Gauss23,

bisher habe ich zwei Gateways definiert. Dabei ist WAN1 der 'normale' Internetzugang über den ISP und WAN2 die VPN-Verbindung. Die WAN2-VPN-Verbindung habe ich über einen GL-MV1000 realisiert - wohl mangels besseren Wissens...
Den Vlans habe ich über Firewall-Regeln die zu nutzenden Gateways zugewiesen. Die Fritzbox selbst agiert nur als 'Modem'.

Die Trennung der Clients bzw. Zuweisung zu den einzelnen Vlans erfolgt Port basiert auf dem Switch.

Wenn ich das jetzt richtig verstehe, dann reicht eine 'wired'-Verbindung zur Fritzbox. Unter OPNsense wird einmal der Standard-WAN-Port eingerichtet. Auf diesem werden dann 'virutelle' Gateways für die drei VPN-Verbindungen erstellt. Den Vlans wird dann das jeweils zugehörige Gateway zugewiesen.

Mein Focus liegt auf den WAN-Ports, da ich da die Probleme mit den insgesamt vier WAN-Verbindungen gesehen habe. Ich hätte insgesamt vier WAN-Ports definiert und die offene Internetverbindung und die drei VPN-Verbindungen dann jeweils einzelnen Ports zugewiesen...

Mein Ziel ist folgendes:

WAN1 mit der normalen Internetanbindung über den ISP
WAN1.2 (Vlan2) mit Wireguard-Verbindung in USA
WAN1.3 (Vlan3) mit Wireguard-Verbindung nach Japan
WAN1.4 (Vlan4) mit OpenVPN

Ich möchte damit erreichen, dass definitiv Clients aus Vlan2 niemals die OpenVPN-Verbindung als Gateway nutzen, wie auch Clients aus Vlan2-4 nie über den normalen WAN1-Port ins Netz gehen.

@micneu
Habe mir das Buch mal bestellt... 8)

Viele Grüße!

Du denkst es m.E. von der falschen Seite.

1. Es gibt eine WAN Verbindung über die Fritzbox.

2. Deine OPNsense baut 2 WireGuard und 1 OpenVPN Verbindung über diese WAN Strecke auf.

3. Diese Client-Verbindungen kannst Du als Gateway für Clients hinter der sense nutzen.

4. Du steuerst selbst welche VLANs/oder auch einzelne IPs über welchen Gateway rausgehen. Das kannst Du sogar noch mit einem Kill-Switch garnieren, so dass es auch keinen Fallback gibt.