OPNsense Forum

Guten Abend, irgendwie komme ich nicht ins Internet auch nicht auf den AP im WLAN.

Alle ppoe einstellungen sind auf dem speedport hinterlegt, komme aber dort erst gar nicht hin. Ping geht auch nicht wie muss ich pfsense einstellen das.ich ins Netz und auf meine wlan geräte komme bzw mit diesen ins i net

Ups, nicht pfsense sondern opnsense.
Irgendwie war pfsense in meinen Gedanken.

Willkommen!

https://www.wikihow.com/Ask-a-Question-on-the-Internet-and-Get-It-Answered

...vor allem 3.1, 3.2 und 3.3 davon sind hier relevant ;-)

Danke für den netten Empfang. Habe mittlerweile das WAN am laufen (zumindest das LAN betreffend), zum Glück den die Konversation hier via Handy ist nicht gerade hübsch. Wie auch immer habe vieles einfach nur probiert. Glaube meine Lösung war die GW IP vom Speedport zu hinterlegen und irgendwie bei der IP auf /24 statt /32 zu stellen.

Nun bin ich gerade dabei auch das WLAN zu konfigurieren, immerhin mit der GW IP vom AP (-TP-Link) komme ich zumindest auf den AP, allerdings eine WAN Verbindung bzw. Aufbau funktioniert nicht. Bestimmt sehe ich den Wald vor lauter Bäume nicht. Oder bedarf es dafür eine Regel. Wenn ich DHCP 6 auf 'Schnittstelle aufzeichnen' setze, bekomme ich leider immer die Meldung bzw. Fehler bei 'IPv6 Präfix ID', egal welche Zahl ich eingebe.

leider verstehe ich deinen text nicht, besonders das mit ipv6. bitte poste doch mal das was du konfigurtiert hast.
bitte auch einen grafischen netzwerkplan.

Ok ist gar nicht so leicht als Frischling bei OPNsense.
Habe im Anhang zwei Bilder 'OPNsense Schnittelle WAN' und 'TP-Link LAN Einstellungen' hoffe es hilft.

Ach so  zur Aufklärung 'IP6' ebenfalls ein Bild.

Wenn bei 'IPv6 Konfigurationstyp' 'Schnittstelle aufzeichnen' ausgewählt wird, dann habe ich weiter unten die Möglichkeit bei 'IPv6 Präfix ID' eine hexadezimale IPv6-Präfix-ID zu vergeben. So wie es auch im LAN mit '0' konfiguriert ist. Jedoch hier bei WLAN funktioniert das mit der '0' nicht, erhalte jene Fehlermeldung:
Die folgenden Eingabefehler wurden entdeckt:

    You specified an IPv6 prefix ID that is already in use.

Versuche ich eine '1' Einzutragen erhalte ich:
Die folgenden Eingabefehler wurden entdeckt:

    Sie haben eine IPv6 Präfix-ID spezifiziert, die außerhalb des gültigen Bereichs liegt.

QuoteOk ist gar nicht so leicht als Frischling bei OPNsense.

Ich glaube du bist nicht nur OPNsense Frischling, sondern auch Netzwerk-Frischling, right?

Also, was willst du mit der IPv6 Konfiguration? So wie es aussieht, klickst du rum bis eventuell irgendwann irgendwas zufälligerweise funktioniert. Nicht ganz sinnvoll.

Ich hab zwar keine TP-Links, aber die AP bekommen einfach eine IP aus einem der Netzwerke, egal wie du es nennst, und GW für TPLink ist die Sense.

Was du hier zeigst ist Gateway für Interface WLAN ist TPLink...? Da fehlt es an Basis-Netzwerk-Knowhow, denke ich.
Würdest du auch /32 vergeben, ist dein Netzwerk genau 192.168.3.1. Da kriegst kein .2 rein, weil .2 Broadcast ist. Also...
Du kannst dir gerne Gateways konfigurieren, aber das macht natürlich nur dann Sinn, wenn es diese auch gibt. TPLink ist kein Gateway.

Also gib den AP ne IP, GW am TPLink ist OPNsense, unter Upstream Auto-Detect, lösch das händisch erstellte sinnlose 192.168.3.2 GW, hau Weg jegliche IPv6 Einstellungen (außer du möchtest IPv6 einsetzen??) und schau dass Routing einfach passt.

Und ich schließe mich auch an: eine genaue und detaillierte Beschreibung von dem was du erzielen möchtest + ein Netzwerkplan, auch wenn nur ASCII.

Guten Morgen, nun ja IP6 wird nicht unbedingt benötigt, habe nun die vorgeschlagenen Einstellungen umgesetzt:
_{Also gib den AP ne IP, GW am TPLink ist OPNsense, unter Upstream Auto-Detect, lösch das händisch erstellte sinnlose 192.168.3.2 GW, hau Weg jegliche IPv6 Einstellungen (außer du möchtest IPv6 einsetzen??) und schau dass Routing einfach passt.}

Leider komme ich so nicht mal auf den AP :Fehler: Netzwerk-Zeitüberschreitung

Der Server unter 192.168.3.2 braucht zu lange, um eine Antwort zu senden.

Dann machst du was falsch.
Normalerweise haben solche Geräte mehrere Modi, wie zB. Access Point, Repeater...
Du kannst es auch mit DHCP tun, also den TPL auf DHCP schalten, auf OPNsense oder Switch hängen, und der sollte eigentlich ne IP bekommen, kannst unter Leases schauen. Vorausgesetzt DHCP ist auf OPNsense natürlich aktiv.
Wenn der mal ne IP kriegt, dann müsstest du draufkommen und dann weiter die Konfiguration vornehmen.

Hast du eigentlich schon mal die BA vom TPLink gelesen?

Auf OPNsense brauchst du normalerweise nix besonderes. Hast DHCP aktiv, verbindest den AP, kriegt der AP ne IP (DHCP ist üblicherweise von Haus aus aktiv). Fertig.

Kann natürlich sein das ich was falsch mache. Aber der AP ist auf Static IP eingestellt und auch als AP.
DHCP ist bei meiner opnsense (LAN & WLAN) aktiviert. 

Eine Sache brennt mir auf den Nägeln: was hat es auf sich mit dem /32?
Ich kenne es bei IP4 mit /24 und IP6 /64. Darum habe ich auch alle meine Schnittstellen (LAN, WAN und WLAN) mit /24 gesetzt.
Und natürlich habe ich es auch z.B. bei WAN mit /32 ausprobiert, Ergebnis kein LAN Client kommt mehr in WWW, und beim WLAN  hat sich sogar opnsense total aufgehängt.

Wie auch immer vielleicht liege ich ja falsch aber ich denke die /24 steht für 3 (8 Byte / Bit Oktetten) was der 255.255.255.0 entspricht, oder?

Wenn du nicht weißt was /24 bedeutet, dann mach mal ne google Suche zu Subnetting.
/32 signalisiert eine Host-Adresse. /31, /30 usw ist Subnetting.
Eine Schnittstelle benötigt eine IP (kann also auch als Gateway bezeichnet werden) und Subnetmaske, damit die Netzwerke korrekt segmentiert werden können. /24 bezeichnet letztes Oktet als 8 Nuller binär, oder .0 decimal, heißt 1-254 mit 255 als Broadcast an der letzten Stelle.
Ein OPNsense GW kann natürlich auch /32 sein. Ein einzelner Host. Damit kannst du aber kein Netzwerk bilden, damit kannst nur routen. Mit /31 macht man ein Transfernetz mit 2 IPs zB.

Lese doch über die Sache im Netz, es gibt mehr als genug Anleitungen, Erklärungen, Videos (YT)...

Quoteaber ich denke

Denke nicht, sondern lerne bitte. Da fehlt einiges an Wissen.

Reden wir an einander vorbei, nur um sicher zu gehen ich meine dies:

Nein, reden wir nicht an einander vorbei. Genau von diesem Eintrag rede ich.

Ok, Danke da das Studium noch andauern wird, einfache Frage.

Wer kann konkret mir weiterhelfen bzw. nennen was getan werden muss:

opnsense hat 4 nic's, von opnsense aus gesehen 
1. LAN(green) -> Switch -> Client's
2. WAN(red) -> Speedport -> WWW
3. WLAN -> Access Point  -> all Mobil
4. nicht zugewissen

Problem nach wie vor kein Mobil hat Internet, warum?

Ich würde:
AP am Switch hängen, IP aus LAN vergeben, Gateway am AP ist OPNsense.

Hi,

Quote from: bigboy on August 15, 2021, 04:46:57 PM
Ok, Danke da das Studium noch andauern wird, einfache Frage.

Wer kann konkret mir weiterhelfen bzw. nennen was getan werden muss:

opnsense hat 4 nic's, von opnsense aus gesehen 
1. LAN(green) -> Switch -> Client's
2. WAN(red) -> Speedport -> WWW
3. WLAN -> Access Point  -> all Mobil
4. nicht zugewissen

Problem nach wie vor kein Mobil hat Internet, warum?

nur das LAN Interface bekommt bei der Installation eine Firewall-Regel zugewiesen, welche den Geräten im Netzwerk erlaubt, Daten überallhin zu senden. Alle anderen Interfaces dürfen ohne explizite Firewall-Regel keine Daten senden. D.h. du muss die Firewall-Regel von LAN ins WLAN kopieren.

Gruß KH

thx ok, habe mal ein WLAN Regel eigenständig angelegt, muss sagen es geht heureka.

Dennoch anbei die Regel in zwei Bilder geteilt, schaut bitte mal drüber ob es so ok ist, oder ...?

Ich sag jetzt mal so: wenn du deine OPNsense mit solchen Regeln bestückst, da kannst du gleich nen billigsdorfer Asus SOHO-Router o.ä. von der Stange nehmen.
Heißt: das ist die Rule die alles überall erlaubt. Ausgehend vom Gerät, IN zum Intf, da aber auf den Intf by Default "OUT" erlaubt ist, ist damit alles offen.

Ist im Einsatz einer Firewall ganz und gar nicht sinnvoll. Fürs Troubleshooting vielleicht OK so eine (deaktivierte) Regel zu haben, aber viel besser ist es in Live Log zu gucken und schauen ob was geblockt wird. (und bitte auf keinen Fall am WAN eine solche Regel erstellen!). Das schlechte bei solchen Regeln ist eben dass man sie dann irgendwann gerne vergisst/übersieht...

Und du musst natürlich beide Interfaces mit Regeln bestücken, wie schon vorher erwähnt, nur LAN Intf. bekommt eine All Out Regel, andere Intf. sind bei der Neuerstellung leer.

Ok klingt nicht so gut, wie könnte die Regel aussehen und dennoch mit den Geräten an der WLAN Schnittstelle ins Netz (www) zu kommen, bzw. wie habt es Ihr gemacht?

Oh Mann.
Wie? Mit einigen Regeln.  :o
Guckst im Live Log und trägst Regeln ein.

IMO: way over your head.

Quote from: bigboy on August 17, 2021, 07:53:21 PM
Ok klingt nicht so gut, wie könnte die Regel aussehen und dennoch mit den Geräten an der WLAN Schnittstelle ins Netz (www) zu kommen, bzw. wie habt es Ihr gemacht?

Dazu brauchst du nichtmal in erster Linie im LiveLog schauen.

Was benötigst du denn für das Aufrufen von Webseiten?
DNS, http und https

Quote from: kosta on August 15, 2021, 11:01:13 PM
Ich sag jetzt mal so: wenn du deine OPNsense mit solchen Regeln bestückst, da kannst du gleich nen billigsdorfer Asus SOHO-Router o.ä. von der Stange nehmen.

Und das stimmt eben nicht.

Zugegeben hatte ich schon sowas lange nicht, aber vor 10 Jahren konnten die Dinger echt nix und haben alles rausgelassen. Hat sich was geändert?

Quote from: kosta on August 18, 2021, 08:36:23 AM
Zugegeben hatte ich schon sowas lange nicht, aber vor 10 Jahren konnten die Dinger echt nix und haben alles rausgelassen. Hat sich was geändert?

Bei der OPNsense geht es ja nicht nur um das regeln simpler FW Rules.
Selbst wenn man auf dem LAN eine Allow Any Regel lässt, kommen dennoch viele weiter Funktionen hinzu.

IDS/IPS, Sensei, Webproxy,......

Wenn opnsense für dich nur aus FW-Regeln besteht und du auch NUR damit versucht dein Netzwerk abzusichern, verschwendest du Recht viel Potential.

Natürlich nicht, und ich nutze die Sense vielseitiger und expandiere und lerne noch immer. Aber any/any ist trotzdem Verschwendung des Potenzials (schon mal abgesehen von der Sicherheit alleine) und ich ziehe meine Aussage daher zurück.

thx für die Beteiligung, könnt mir das an einem Beispiel (Regel für WLAN als Bild) irgendwie verdeutlichen.
Sowie eine Buch Empfehlung nennen.

Es gibt keine ,,Regel für WLAN".
Lese mal da:
https://docs.opnsense.org/manual/firewall.html

Irgendwie ist die opnsense vie, viel kompliziert.
Wenn es keine Ausnahme gibt wie sollen meine Mobilen Geräte dann ins Netz kommen

Viel komplizierter als was?
Was für Ausnahme?
Warum schaust du bitte nicht im Live Log was geblockt wird und versuchst dafür die Rules zu erstellen??
Üblicherweise DNS, HTTP, HTTPS fürn Anfang...
Oder bleib doch bei any/any... bis du mal lernst.

Mir kommt so vor als du erwartest dass dir jemand die Sache serviert und für dich konfiguriert?

... alles was ich bis jetzt kenne, übrigens wenn ich die Lösung der Lösungen hätte würde ich hier nicht im Forum um Hilfe bitten, was bis jetzt zumindest von deiner Seite nicht wirklich Leistungsorientiert war.

Quote from: bigboy on August 18, 2021, 06:48:30 PM
... alles was ich bis jetzt kenne, übrigens wenn ich die Lösung der Lösungen hätte würde ich hier nicht im Forum um Hilfe bitten, was bis jetzt zumindest von deiner Seite nicht wirklich Leistungsorientiert war.

Grundsätzlich ist es bei den meisten FW Systemen so, dass wenn auf einem Interface keine Regel ist erstmal alles blockiert wird.
Stell es dir für die Regeln immer so vor,  dass du die Firewall bist, aus dieser Sichtweise werden die Regeln konfiguriert.

Damit auf der Schnittstelle alles erlaubt ist, legst du fürs Verständnis folgende Regel an.

Schnittstelle: WLAN
Quelle: WLAN Netzwerk
QuellPort: ANY
Ziel: ANY
ZielPort: ANY

Und dann nur abspeichern.

Aufgrund dieser Basis, kannst du die Regel dann für DNS,HTTP,HTTPS erstellen und anschließen die oben erstellte regeln deaktivieren.

Damit sollte der Aufruf von Internetseiten funktionieren.

Falls du es grafisch brauchst, gibt's da einige gute YouTube Videos von z.B. "Raspberry Pi Cloud"

Einfach Mal "OPNsense" bei YouTube eingeben. Dort werden dann auch Dinge wie DMZ und Co Schritt für Schritt erklärt.

oder kaufe dir das buch was bei amazon zu finden ist.
das ist für einsteiger auch gut

Irgendwie ist meine Frage nach dem Buch verschwunden!

So jetzt habe ich für das WLAN folgendes getan:
einen neuen Alias erstellt der die Ports 80, 443, und 53 inne hat
die Regel unter WLAN abgeändert in:


Netzwerk: WLAN
Quelle Port: TCP/UDP
Ziel: any
Zielport: Alias

Es scheint genauso zu funktionieren wie meine erste Regel.
Dennoch komischerweise komme ich weiterhin nicht auf die AP GUI, jedoch auf dessen Extender schon ????

Unterhaltung via 127.0.0.1 macht keinen Sinn, keiner da der mir sagen kann warum ich zwar im WLAN auf die Extender GUI komme aber nicht auf die AP-GUI?