Ich habe vier Netzwerke an meinem APU - WAN, LAN, WLAN und MGNT. Jetzt möchte ich, dass mein Smartphone (192.168.150.20 - WLAN) auf Raspi und A/V-Receiver in LAN (192.168.200.0) zugreifen kann. Wie richte ich das im Firewall ein?
Mit einer "Pass" Regel in Firewall > Rules > [Interface]. Guck Dir mal die Regel für das "LAN" Interface an - so eine legst Du für alle anderen Interfaces auch an.
Mir geht es darum wie ich die Regel definiere. Habs ausprobiert, aber es klappt nicht. Fehler: Gerät antwortet nicht. In Protokolldateien Liveübersicht wird die Verbindung grün angezeigt.
Folgende Konfiguration ausprobiert:
Regeln WLAN
- Aktion erlauben
- Schnittstelle WLAN
- Richtung in
- Quelle 192.168.150.20 (Smartphone)
- Ziel 192.168.200.22 (A/V-Receiver)
- Zielportbereich habe erst mal auf any gelassen um zu testen. Sonst wird für Pioneer 60128 oder 8102 benutzt.
Muss es auf der LAN Seite dann auch ein Regel erstellt werden oder in "Fließend" ein Regel für beide erstellen?
Hallo Lignumium,
lies bitte mal meinen aktuellen Thread:
https://forum.opnsense.org/index.php?topic=26411.0
Ich glaube, wir haben da aktuell ein generelles Problem, in das LAN Netzwerk zu routen!
Beste Grüße,
Frank
Hallo Lignumium,
mach doch mal folgenden Test:
Verändere deine Regel im WLAN und stelle bei Quelle und Ziel any ein.
Mach dann an der OPNsense über Schnittstellen > Diagnose > Ping vom Interface WLAN ein Ping auf 192.168.200.22 (A/V-Receiver).
Ich vermute, du erreichst deinen A/V-Receiver nicht.
Dann verändere im Ping Formular die IP in Host auf die IP deines LAN Interfaces an der OPNsense. Ich vermute, das ping funktioniert.
Dann stell im Ping Formular bei Quelladresse LAN ein und bei Host wieder 192.168.200.22 (A/V-Receiver). Ich vermute, dass funktioniert auch.
Wenn das so ist, liegt aus meiner Sicht ein Software Bug in der OPNsense Software vor. Da können wir an den Regeln drehen, wie wir wollen.
Beste Grüße,
Frank
Vergesst meinen letzten Post! Mein Problem war die Windows Defender Firewall, die kein Ping aus anderen Subnetzen mag!
Gruß,
Frank
Ich bekomme das immer noch nicht hin. Was könnte ich euch geben, dass es mir geholfen wird?
Internet
:
: Wobcom FTTH
:
.-----+----.
| Router | (FritzBox 7530 (statische IPv4-Routen))
'-----+----'
.1 |
WAN | 192.168.175.0/24
.5 |
.-----+------. .1 WLAN .-------
| OPNsense +---------------------+ Clients
'-----+------' 192.168.150.0/24 '-------
.1 |
LAN | 192.168.200.0/24
|
.-----+------.
| unm. Switch |
'-----+------'
|
...-----+------... (Clients)
1. warum brauchst du für einen ftth zugang eine fritzbox. ich habe auch ftth und habe mein wan direkt an der sense.
Also ... geh doch mal systematisch vor. Du bist durch Deine Fritzbox recht ordentlich vor den bösen Buben geschützt.
1. Mach doch mal die Firewall auf Deiner OPNsense aus. Ist eine globale Einstellung. Dann ist sie ein Router.
2. Die Fritzbox braucht zwingend (!) diese beiden Routen:
192.168.150.0/24 --> 192.168.175.5
192.168.200.0/24 --> 192.168.175.5
3. Alle Clients im WLAN brauchen
- eine Adresse aus 192.168.150.0/24
- Default-Gateway: 192.168.150.1
4. Alle Clients im LAN brauchen
- eine Adresse aus 192.168.200.0/24
- Default-Gateway: 192.168.200.1
Wenn Du das alles so konfigurierst, werden sich Systeme aus allen Netz-Segmenten gegenseitig erreichen können. Isso. Wenn das bei Dir nicht funktiniert, ist noch irgendetwas anders als skizziert. So funktioniert IP.
Wenn Du darüber hinweg bist, kannst Du die Firewall wieder anknipsen und Dich mit Policies und Regeln beschäftigen ...
Danke für die Unterstützung!
Quote from: micneu on February 02, 2022, 07:29:27 PM
1. warum brauchst du für einen ftth zugang eine fritzbox. ich habe auch ftth und habe mein wan direkt an der sense.
1. Haben wir da noch Festnetztelefon drauf. Muss mit Frauchen mal absprechen ob wir das brauchen. Spart dann Strom :)
2. Bei Notfällen, wenn ich Opnsense kaputt konfiguriere, kann ich immer noch auf Fritzbox umschwenken.
3. Will erstmal die Opnsense Kiste fertig machen. Habe sowieso keine Zeit dafür, nur wenn die Frauchen mitm Kind ausm Haus sind.
Quote from: pmhausen on February 02, 2022, 08:10:35 PM
Also ... geh doch mal systematisch vor. Du bist durch Deine Fritzbox recht ordentlich vor den bösen Buben geschützt.
1. Mach doch mal die Firewall auf Deiner OPNsense aus. Ist eine globale Einstellung. Dann ist sie ein Router.
2. Die Fritzbox braucht zwingend (!) diese beiden Routen:
192.168.150.0/24 --> 192.168.175.5
192.168.200.0/24 --> 192.168.175.5
3. Alle Clients im WLAN brauchen
- eine Adresse aus 192.168.150.0/24
- Default-Gateway: 192.168.150.1
4. Alle Clients im LAN brauchen
- eine Adresse aus 192.168.200.0/24
- Default-Gateway: 192.168.200.1
Wenn Du das alles so konfigurierst, werden sich Systeme aus allen Netz-Segmenten gegenseitig erreichen können. Isso. Wenn das bei Dir nicht funktiniert, ist noch irgendetwas anders als skizziert. So funktioniert IP.
Wenn Du darüber hinweg bist, kannst Du die Firewall wieder anknipsen und Dich mit Policies und Regeln beschäftigen ...
1. macht Sinn. Habs Firewall deaktiviert, Kiste neu gestartet und ich kann mich mitm Raspberry (Kodi) verbinden. A/V-Receiver hat anscheinend probleme mit dem App, was ich aufm Smartphone habe (original App funktioniert).
2. Die Routen in Fritbox hatte ich schon eingetragen gehabt.
3. und 4. Meine Clients sind bei mir in DHCP Einstelung (für LAN und WLAN) habe ich feste IPs definiert.
In System -> Gateways -> Single ist nur FritzBox (192.168.175.1) als WAN Upstream definiert. Sollten noch LAN und WLAN auch da eingetragen sein?
In DHCP Einstellungen für LAN und WLAN Gateway Feld ist leer - nimmt ja dann automatisch den richtigen. Richtig?
Als nächstes, dann Firewall wieder aktivieren.
Quote from: Lignumium on February 03, 2022, 09:43:33 AM
In System -> Gateways -> Single ist nur FritzBox (192.168.175.1) als WAN Upstream definiert. Sollten noch LAN und WLAN auch da eingetragen sein?
Die Fritzbox reicht. Denn diese ist ja der einzige Gateway FÜR deine OPNsense.
Quote from: Lignumium on February 03, 2022, 09:43:33 AM
In DHCP Einstellungen für LAN und WLAN Gateway Feld ist leer - nimmt ja dann automatisch den richtigen. Richtig?
Nein, woher soll der DHCP-Server denn wissen, was der Default-GW in den jeweiligen Netzen sein soll? Natürlich musst Du in den DHCP-Bereichen für LAN und WLAN neben dem Adressbereich auch Gateway und DNS-Server festlegen, damit deine Clients kommunizieren können ...
Bei AV-Kram klemmt es gerne mal daran, dass Multicast verwendet wird. Dafür gibt es mehrere Plugins. Aber bring erstmal dein Routing in Ordnung. Alle Clients müssen per DHCP das passende Interface der OPNsense als Default-Gateway bekommen. Sonst kann gar nichts funktionieren.
Quote from: pmhausen on February 03, 2022, 10:35:42 AM
Nein, woher soll der DHCP-Server denn wissen, was der Default-GW in den jeweiligen Netzen sein soll? Natürlich musst Du in den DHCP-Bereichen für LAN und WLAN neben dem Adressbereich auch Gateway und DNS-Server festlegen, damit deine Clients kommunizieren können ...
hmm...bei mir waren die Felder halt leer und ich hatte keine Probleme mit Verbindung mit Internet. Aufm Rechner in Netzwerkeinstellungen zeigt DNS 192.168.200.1 für LAN. Für WLAN dann halt 150.1
Gateways habe ich jetzt eingetragen. Jetzt bin ich nicht ganz sicher was ich in DNS eintragen soll. Soll da 192.168.200.1 bzw für WLAN 192.168.150.1 sein? Bei mir läuft lokal auf der Opnsense Kiste Ubound.
Du entscheidest, wo Du den Clients DNS bereitstellst. Z.B. auf der OPNsense direkt auf dem jeweiligen Interface. Dazu muss
- Unbound auf dem Interface aktiv sein
- Unbound recursive Requests aus dem jeweiligen Netzbereich erlauben
- die Firewall den Zugriff auf Port 53 TCP und UDP zulassen
Alternativ kanbst Fu auch die Fritzbox als DNS-Server benutzen. Oder einen zusätzlichen piHole. Oder ... das kann hier aber alles keiner wissen, was DU eingestellt hast bzw. willst ;)
Soo ... Firewall ist wieder an. Für Smartphone habe ich auf LAN net komplett erlaubt und die Verbindung zu Raspbarry (Libreelec (Kodi)) steht.
A/V-Receiver streikt. Aber ich denke das liegt am App. Im App kann ich den Port von Receiver vorgeben, es wird auch Laut Live View erlaubt 192.168.200.22:8102, bloß da wird noch 255.255.255.255:60128 geblockt. Port 60128 ist standardmäßig im App eingestellt, denn ich durch 8102 getauscht habe.
Jetzt habe ich noch Fragen zu anderen Thema. Soll ich dann neue Thema aufmachen oder kann ich hier fragen?
Edit: habe jetzt noch gleichen Phänomen mitm TP-Link AP. Versuche mit dem Omada App auf AP zu zugreifen und es wird 255.255.255.255:20003 geblockt als default dany Regel. Obwohl ich per wlan am AP dran bin, findet App den AP nicht.
255.255.255.255 ist ein Broadcast. Der funktioniert nur im gleichen Netz. Anscheinend geht das Teil davon aus, dass man die App nur dann benutzt, wenn man auch über den AP verbunden ist.
Quote from: pmhausen on February 03, 2022, 08:07:56 PM
255.255.255.255 ist ein Broadcast. Der funktioniert nur im gleichen Netz. Anscheinend geht das Teil davon aus, dass man die App nur dann benutzt, wenn man auch über den AP verbunden ist.
Jetzt weiss ich nicht wie ich damit umgehen soll :).
Ich bin ja mit dem AP verbunden.
Wenn Du direkt mit dem AP verbunden bist und die App nicht mit dem AP reden mag, inwiefern denkst Du, hat die OPNsense noch irgendetwas damit zu tun?
Da musst Du Dich dann schon an den Support für diese Produkte wenden ...
Jetzt finde AP. Netguard aufm Smartphone hat irgendwas geblockt gehabt, obwohl die Verbindung freigegeben war. Wahrscheinlich durch internes VPN fürs Adblocking.