Hallo allerseits!
Ich bräuchte mal eine einfache Anleitung für Einsteiger, wie ich folgendes Routing mit OPNSense hinbekomme:
Ich habe eine Fritzbox (192.168.178.1) und verschiedene Geräte in diesem Netzwerk, auch meinen PC (192.168.178.5).
Nun möchte ich von diesem aus auf einen Netzwerkswitch (172.16.2.82) zugreifen. Der hängt physikalisch im gleichen LAN, ich möchte den erstmal nur wegen "kreativen Teenagern" aus deren Blickfeld (Netzwerkumgebung) wegsortieren. Für die Einarbeitung in VLANs fehlt mir im Moment einfach die Zeit...
Was muss ich da wo in OPNSense einstellen - ich habe mich leider bisher mit LAN-Routing nicht beschäftigen können. Bisher nutze ich einen Browser in einer passend konfigurierten VirtualBox, das ist mir nur etwas zu umständlich.
Die OPNSense läuft zum Testen auch erstmal in einer VirtualBox, der Zugriff auf die Weboberfläche vom PC klappt.
Viele Grüße
Frank
QuoteNun möchte ich von diesem aus auf einen Netzwerkswitch (172.16.2.82) zugreifen. Der hängt physikalisch im gleichen LAN, ich möchte den erstmal nur wegen "kreativen Teenagern" aus deren Blickfeld (Netzwerkumgebung) wegsortieren. Für die Einarbeitung in VLANs fehlt mir im Moment einfach die Zeit...
Wenn du es "richtig" machen willst wirst du an Segmentierung, d.h. Aufteilung der Netzwerke in getrennte Segmente nicht vorbei kommen. Du kannst natürlich unterschiedliche IP Bereiche im gleichen Netz verwenden und hoffen, dass das eine Segment nicht noch anderweitig in Benutzung ist. Dann sind aber alle Teilnehmer im gleichen Netz durch Rekonfiguration ihrer Netzwerkadresse in der Lage, sich Zugang zu den vermeintlich versteckten Geräten zu verschaffen. Ist also letzten Endes nur Zeitverschwendung, wenn man so will.
In deinem Setup würde man die Fritzbox nur ein Transfernetz anbieten lassen, in dem dann nur die OPNsense hängt. Dort definiert man verschiedene VLANs mit eigenen IP-Bereichen und was erlaubt sein soll, bzw. was nicht. Dann noch die Routen auf der Fritzbox korrekt setzen.
Natürlich braucht man dafür entweder einen managebaren Switch für VLANs oder mehrere physikalische NICs + separate Kabel und Switches an der OPNSense, um die Netzwerke zu trennen (physische Trennung - teuer, unflexibel).
Das ist mir schon klar. Das Netz ist ein über die Zeit "gewachsenes" Netz in einem Altbau - da komme ich teilweise nicht mit neuen Kabeln oder Geräten irgendwo hin.
Daher die Idee, das jetzt erstmal unsauber und unsicher zu trennen (für die Neugier der Teenager reicht das) und später mal ein neues dann sauber aufgebautes Netz zu ziehen. Dafür fehlt mir im Moment aber Zeit und Geld, daher wollte ich mir die Verwaltung mit OPNSense etwas vereinfachen...
Quote from: Frank13 on May 02, 2024, 02:27:14 PM
daher wollte ich mir die Verwaltung mit OPNSense etwas vereinfachen...
Du hast also kein Geld, keine Zeit und keine Ahnung, aber dafür Teenager... Und die sollen irgendwie nicht auf deinen PC zugreifen können? Und dann kommst Du auf die Idee, eine OPNsense in VirtualBox zu installieren und das soll irgendwie helfen?
Die sollen nur einfach die Netzwerkswitche und ein paar IoT Geräte nicht sehen können in ihrer Netzwerkumgebung. Wenn ich (nächstes oder übernächstes Jahr) endlich mal Zeit finde, werde ich ein sauberes Netz mit VLANs einrichten - aber bis dahin habe ich leider keine Zeit, mich damit zu beschäftigen.
Da dachte ich an eine temporäre (unsaubere) Übergangslösung. Wenn OPNSense das nicht kann, muss ich mir halt weiter mit der Krücke in den VMs behelfen...
Quote from: Frank13 on May 02, 2024, 02:42:33 PM
Da dachte ich an eine temporäre (unsaubere) Übergangslösung. Wenn OPNSense das nicht kann, muss ich mir halt weiter mit der Krücke in den VMs behelfen...
OpnSense kann das sehr wohl. Dummerweise macht es damit aber nur Sinn, wenn du eine OpnSense durchgehend zu laufen hast. Egal ob auf dem Blech oder virtualisiert. Und du brauchst dann entweder einen managed Switch oder mehrerer unmanaged. Wobei insbesondere letztere für deine Teenis unerreichbar sein müssen, weil du dort keine Bindung der Ports an Subnetze bekommst.
Sobald du diese Bedingungen nicht erfüllen kannst oder willst, wirst du ziemlich sicher keine Freude an OpnSense haben. Dann bleibe besser bei deiner jetzigen Lösung und pass auf, das deine Teenis
niemals die IP-Adressen deiner zu versteckenden Geräte zu sehen bekommen.
Du brauchst kein Opnsense dafür.
Die Geräte, die nicht sichtbar sein sollen bekommen halt eine IP aus einem anderen Netzwerkbereich. Also statt z.B. 192.168.158.x/24 bekommen die 192.168.159.x/24.
Schon sind sie für die 192.168.158.x Fraktion nicht mehr zu sehen. Internet geht aber dann auch nicht mehr - und wer drauf zugreifen will, braucht im gleichen Netz eine zweite IP Adresse.
Also 192.168.158.x (von der Fritzbox per DHCP) und zusätzlich noch 192.168.159.x
Ob das mit deiner Hardware/Treiber/Windows funktioniert weiß ich nicht.
Keine Gewähr, dass das funktioniert oder sonst keine schädlichen Auswirkungen hat.
Ich hatte schon länger mit dem sauberen Neuaufbau des Netzes geliebäugelt und war da an OPNSense als Router/Firewall-Kombination hängen geblieben und wollte mich einfach schonmal mit beschäftigen damit ich es dann wenn ich es brauche auch gut nutzen kann...
Eine separate Hardware brauche ich zur Zeit nicht, da ich einfach nur von meinem PC aus auf die Geräte in anderen IP-Bereich zugreifen wollte.
Aber vielleicht ist die 2. IP im Windows wirklich die einfachere Übergangslösung und wenn es soweit ist, suche ich was für mich als Softwarelösung (in Verbindung mit einer passenden Hardware) in Frage kommt...
Auch mit einfachen, VLAN-fähigen Switchen kann man Geräte voneinander trennen. Die bleiben dann aber in einem Subnet.
https://geizhals.de/?cat=switchgi&xf=14846_802.1Qonly&asuch=&bpmin=&bpmax=&v=k&hloc=at&hloc=de&plz=&dist=&mail=&sort=p&bl1_id=30 (https://geizhals.de/?cat=switchgi&xf=14846_802.1Qonly&asuch=&bpmin=&bpmax=&v=k&hloc=at&hloc=de&plz=&dist=&mail=&sort=p&bl1_id=30)
Kostet 30€ für einen 8-Port-Switch, keine OPNsense nötig. Diese Switche kann man hinterher auch wunderbar mit einer OPNsense kombinieren.
Welche Hersteller von managed switches haben denn eine Servicesoftware, die auch in Linux läuft oder ein Webportal auf dem Router? Wobei mir dann schon wieder die Frage kommt, wie lange/regelmäßig gibt es dazu Sicherheitsupdates...?
Ein "dummer" Switch hält praktisch ewig und wenn man die Interfaces seiner sense nicht sinnfrei zu ein einem Softwareswitch degradiert ist das m.E. immer noch die bessere Lösung für sauber getrennte Netze.
Quote from: chemlud on May 02, 2024, 04:17:55 PM
für sauber getrennte Netze.
Wie ich bereits sagte, so ein VLAN-fähiger Smart-Managed-Switch alleine trennt keine Netze, sondern nur seine Ports. Dass der OP mit einer *Sense wahrscheinlich überfordert ist, sollte klar sein. So wie auch die meisten Eintagsfliegen, die (warum auch immer) hier aufschlagen.
...das ist eher eine Frage der Geduld. Und zu Anfang einfach keinen komplizierten Mist einbauen wollen. Später dann DNS, ggf. DynDNS, Tunnel etc. nach eigenen Wünschen optimieren. Wenn man dran bleibt und vorsichtig aufbaut (backups, falls mal was schief geht, rollback in der GUI kennen) ist das im privaten Bereich machbar. Mit ordentlichem Support aus dem Forum...
Genau nach dem Support hatte ich ja gefragt!
Ich wollte mich langsam in OPNSense einarbeiten und hatte ein aktuelles Problem was ich damit lösen wollte - auch wenn es nicht unbedingt die perfekte Lösung (und dazu in einer etwas exotischen Konfiguration zu Anfang) ist, hätte es mir durchaus einen Lernerfolg beschert...
Quote from: Frank13 on May 02, 2024, 05:02:22 PM
Genau nach dem Support hatte ich ja gefragt!
Du bist aber hier im OPNsense Forum. Netzwerkgrundlagen sollte man sich vorher erarbeiten.
QuoteIch wollte mich langsam in OPNSense einarbeiten und hatte ein aktuelles Problem was ich damit lösen wollte - auch wenn es nicht unbedingt die perfekte Lösung (und dazu in einer etwas exotischen Konfiguration zu Anfang) ist, hätte es mir durchaus einen Lernerfolg beschert...
Dazu gehört vordergründig mal, dass man sich mit der Dokumentation befasst. Und wenn du dann eine wirklich "exotische Konfiguration" hast und nicht weiterkommst, wird dir sicherlich gern geholfen. Aber Fragen die mit "Ich habe eine Fritzbox ..." und "Ich bräuchte mal eine einfache Anleitung für Einsteiger ..." anfangen ... naja, siehst ja selbst. ;)
Quote from: Frank13 on May 02, 2024, 05:02:22 PM
Genau nach dem Support hatte ich ja gefragt!
Ähm, nö. Irgendwas von hinten durch die Fritzbox und das Knie deiner Kinder in's Auge :-D
Einfach wäre z. B. die Kiddies hinter einer Sense, die an der Fritte hängt. Netzwerkgrundlagen on the go, würde ich sagen. Aber nicht erwarten, dass einer kommt und dir das Netz designt und aufsetzt ;-)
Ich hatte explizit nach der folgenden Möglichkeit gefragt:
Ich habe ein physikalisches Netz mit Geräte in 2 verschiedenen Subnetzbereichen (A: 192.168.178x, B: 172.16.2.x). Gibt es eine einfache Möglichkeit, OPNSense (zum ersten Test installiert in einer virtuellen Umgebung) so zu konfigurieren, dass ich mit einem Gerät aus Bereich A auf ein Gerät in Bereich B zugreifen kann?
Wenn hier allerdings solche grundlegenden Fragen zu OPNSense unerwünscht sind, werde ich das respektieren.
Das hat nichts mit sense zu tun. Natürlich kannst du an jedem Router (ausser Fritte?) mehrere LAN-Interfaces betreiben und auch den Traffic zwischen den LANs beliebig über FW-Regeln steuern. Mit nur einem LAN-Interface: VLANs, wie erklärt.
Sauberere und für den Anfang einfachere Lösung: 2 LAN Interfaces. Eine Steckkarte mit 2-4 RJ45 von Intel kostet nicht die Welt. Oder halt, wie gesagt, die sense mit nur einem Interface hinter die Fritte, gibt auch in total 2 getrennte LANs. Traffic aus dem WAN der sense (= zweites LAN in dieser Konfiguration) kann einen Haken extra brauchen, dazu gibt's viele, viele Threads im Forum. Einfach rumlesen, ausprobieren und wenn es konkrete Probleme gibt konkret fragen.
Wenn du dir viel Ärger am Anfang ersparen willst: Echte Hardware, kein virtuelles Maschinchen.
Weshalb nicht den Kindern das Gästenetz der Fritzbox geben?
Damit sie auch an den internen Server für die Hörspiele kommen - da hätte ich die Gäste ungern drin.
Ein Raspi mit einer externen Festplatte als NAS reicht da nicht im Gästenetz?
Das ganze Netzwerk ist etwas komplexer als hier dargestellt - ich hatte versucht, das Problem auf einen möglichst einfachen Teilaspekt zu reduzieren. Und da fehlte mir im Moment halt einfach die beschriebene Zugriffsmöglichkeit.
Ich werde das Ganze aber nach den aktuellen Erfahrungen innerhalb der nächsten 2-3 Jahre wahrscheinlich komplett einmal neu aufbauen. Solange kann ich auch mit den "Problemen" leben. Vorher geht das auf Grund von aktuellen Zeitengpässen einfach nicht.
Trennung geht halt nur durch Trennung - also was auch immer die Firewall wird muss zwischen die einzelnen Teilbereiche. Schon kabelseitig.
Quote from: Frank13 on May 03, 2024, 07:47:58 AM
Ich hatte explizit nach der folgenden Möglichkeit gefragt:
Ich habe ein physikalisches Netz mit Geräte in 2 verschiedenen Subnetzbereichen (A: 192.168.178x, B: 172.16.2.x). Gibt es eine einfache Möglichkeit, OPNSense (zum ersten Test installiert in einer virtuellen Umgebung) so zu konfigurieren, dass ich mit einem Gerät aus Bereich A auf ein Gerät in Bereich B zugreifen kann?
Wenn hier allerdings solche grundlegenden Fragen zu OPNSense unerwünscht sind, werde ich das respektieren.
Bau dir doch ein virtuelles Netzwerk in virtualbox (keine Ahnung ob das geht, ich habe es bei mir unter proxmox & parallels laufen) so kannst du ohne stress und kosten deine Kenntnisse erweitern und lernen wie du es dann in 2 Jahren richtig umsetzen kannst
Gesendet von iPhone mit Tapatalk Pro
Quote from: micneu on May 06, 2024, 08:45:13 AM
Bau dir doch ein virtuelles Netzwerk in virtualbox (keine Ahnung ob das geht, ich habe es bei mir unter proxmox & parallels laufen) so kannst du ohne stress und kosten deine Kenntnisse erweitern und lernen wie du es dann in 2 Jahren richtig umsetzen kannst.
Und wie packt er dann die Virtualbox OPNsense zwischen seine beiden Netzwerkbereiche?
Abgesehen davon geht das natürlich mit einem einfachen "vagrant up": https://github.com/punktDe/vagrant-opnsense
Aber nochmal an den Frank gerichtet:
Ich verstehe das mit den Teenagern vom Ansatz her schon, kann aber deine Begründung nicht ganz nachvollziehen. Also wenn man z.B. einen Jugendschutzfilter oder so etwas für die Kids implementieren möchte - klar. Aber weshalb machst du dir Sorgen um den Switch? Pack auf deine Geräte doch einfach ordentliche zufällig gewürfelte Passwörter, diese in einen Passwort-Manager, und fertig.
Übersehe ich was oder hast du uns nicht alles erzählt? ;)
Das nicht alles erzählt ist eigentlich nur, dass ich mein (gewachsenes und mittlerweile chaotisches Netzwerk) erstmal in diverse IP-Bereiche aufteilen wollte (ziemlich viel IoT-Bastelkram) und dann in 1-2 Jahren das Ganze sauber neu aufsetzen wollte. Daher erstmal diese "IP-Sortiererei"...
Der Switch war halt das Erste, in ein anderen IP-Bereich wegsortiert habe. Und da dachte ich halt an eine einfache Möglichkeit, um auf von meinem Hauptrechner aus zugreifen zu können.
Quote from: Frank13 on May 02, 2024, 02:07:45 PM
...
ich möchte den erstmal nur wegen "kreativen Teenagern" aus deren Blickfeld (Netzwerkumgebung) wegsortieren.
...
Ich wäre übrigens froh, wenn sich die Teenager im Haus fürs Netz interessieren würden. So eine kleine interne Hacking Challenge macht sicher nicht dümmer. ;D 8)