Hallo,
hab OPNsense auf ein n100 Micro Firewall Appliance, Mini PC installiert.
Und wollte mir eine MGMT Managment Interface erstellen. Leider klappt das nicht so wie ich es mir durchgelesen und im Video angeschaut hab.
Mein n100 Micro Firewall Appliance, Mini PC hat folgende Anschlüße:
WAN jgc0
LAN jgc1
---- jgc2 ist frei
MGMT jgc3
MGMT Interface hab ich mit fester IPv4 angelegt.
Firewall Rules
Action: Pass,
Interface: MGMT,
Protocol: TCP,
Source: Single host Network IP Adresse von dem Rechner ich auf die Web GUI über MGMT drauf zu greifen möchte,
Destination: MGMT adress,
Destination port range: HTTPS,
Description: Allow access to OPNsense Web UI.
So hab ich es gelesen und im Video gesehen, aber trotzdem komme ich dann nicht auf die Web GUI drauf.
Kleine Info noch, die OPNsense soll später im Bridge Modus laufen. 1 FritzBox 2. OPNsense 3. Switch
Könnt ihr mir da mal weiter helfen?
Gruß
Alex
Quote from: Alex78 on March 27, 2025, 11:18:01 PMFirewall Rules
Action: Pass,
Interface: MGMT,
Protocol: TCP,
Source: Single host Network IP Adresse von dem Rechner ich auf die Web GUI über MGMT drauf zu greifen möchte,
Destination: MGMT adress,
Destination port range: HTTPS,
Lauscht die GUI auch noch auf Port 443?
Die meisten Leute stellen das um, weil sie 443 anderweitig nutzen möchten.
Und der Rechner ist bereits im MGMT Subnetz?
OPNsense ist frisch aufgesetzt, da wurde nichts verändert.
Hab aber noch kein Zertifikat installiert, das kommt wenn alles fertig konfiguriert.
Im Browser zeigt er mir ja an das die Seite nicht sicher ist und leitet mich auf die ungesicherte Seite weiter.
Mein gesamtes Sub-Netz ist gleich: 192.168.178.0
Quote from: Alex78 on March 27, 2025, 11:39:33 PMIm Browser zeigt er mir ja an das die Seite nicht sicher ist und leitet mich auf die ungesicherte Seite weiter.
Du wirst auf Port 80 weitergeleitet? Das wäre wohl eine Eigenheit des Browsers.
Dann gib doch mal alle Ports in der Regel frei, um zu sehen, ob du so auf die GUI kommst. Ist ja das Management Interface.
Quote from: Alex78 on March 27, 2025, 11:39:33 PMMein gesamtes Sub-Netz ist gleich: 192.168.178.0
Das gesamte Subnetz?
MGMT, LAN und WAN haben doch aktuell unterschiedliche Bereiche, oder?
So lange die Fritzbox im 192.168.178.0 Netz ist wird es doch weiter gegeben an alle anderen Geräte.
Deswegen hab ich OPNsense auch auf dem gleichen Subnetz.
Habe alle Ports frei gegen in der Regel, komme aber trotzdem nicht auf die WEBGui.
Wenn die Interfaces nicht gebrückt sind, müssen sie verschiedene Subnetze haben, um mit den Geräten (diese ebenfalls natürlich) kommunizieren zu können. Und das sind sie ja aktuell noch nicht, wie ich es verstanden habe.
Das stimmt!
Hab mich an das Video gehalten und da wird der Bridge Modus erst nach dem MGMT Interface eingestellt.
Und bei ihm klappt das auf anhieb, hab mich genau daran gehalt wie er das macht, nur mit meinem Subnetz.
QuoteHab mich an das Video gehalten und da wird der Bridge Modus erst nach dem MGMT Interface eingestellt.
Hast Du dem MGMT Interface eine IP aus dem 192.168.178.0/24 Bereich gegeben, ausserhalb des DHCP Bereichs? Und Du hast das MGMT Interface an den bestehenden Switch im Fritzbox LAN gehängt?
Glaube das Problem ist das ich das gleiche Subnetz für die Verwaltungsschnittstelle wie die LAN Schnittstelle benutze.
Wenn ich veschieden Subnetze benutze müsste es doch gehen.
Schnittstelle IP-Adresse Subnetz Zweck
WAN Dynamisch (vom ISP) / (Internet) Internet-Zugang
LAN 192.168.178.1/24 255.255.255.0 Hauptnetz für Clients
Management (OPT1) 192.168.179.1/24 255.255.255.0 Admin-Zugang zu OPNsense
Quote from: Alex78 on March 28, 2025, 04:39:44 PMManagement (OPT1) 192.168.179.1/24 255.255.255.0 Admin-Zugang zu OPNsense
Das OPNsense MGMT Interface _muss_ im LAN sein, so wie im Video. In Deinem Falle also eine freie IP vom LAN vergeben, z.B. 192.168.178.99/24 (nicht 192.168.179.1/24).
Im Video hat er die IP 192.168.2.1, als die MGMT fertig ist stellt er sie auf 192.168.1.99
Das sind für mich zwei verschieden Subnetze.
Auch in der Firewall Rules: MGMT, stellt er die Source auf 192.168.1.0/24 mit der Destination auf MGMT Adresse.
Weil die MGMT Adresse 192.168.1.99 ist
MGMT die Schnittstelle 192.168.1.99
Bridge Schnittstelle 192.168.2.1
Oder verstehe ich da was nicht richtig?
Quote from: Alex78 on March 28, 2025, 05:01:52 PMIm Video hat er die IP 192.168.2.1, als die MGMT fertig ist stellt er sie auf 192.168.1.99
Das sind für mich zwei verschieden Subnetze.
Auch in der Firewall Rules: MGMT, stellt er die Source auf 192.168.1.0/24 mit der Destination auf MGMT Adresse.
Weil die MGMT Adresse 192.168.1.99 ist
MGMT die Schnittstelle 192.168.1.99
Bridge Schnittstelle 192.168.2.1
Oder verstehe ich da was nicht richtig?
Er hat leider nicht erklärt wie sein bestehendes Netz IP-technisch aussieht (meine ich).
Er hat am Anfang LAN auf .2.1 gewechselt, damit er im nächsten Schritt das MGMT Interface auf .1.99 setzen konnte, in seinem bestehenden LAN.
Die Bridge hat keine IP bekommen, siehe 21:27, es wird keine benötigt.
Damit Du die OPNsense verwalten kannst, ist das MGMT Interface über Dein normales LAN - also .178.99 - erreichbar.
Quote from: Alex78 on March 28, 2025, 05:01:52 PMIm Video hat er die IP 192.168.2.1, als die MGMT fertig ist stellt er sie auf 192.168.1.99
Wenn es jeweils /24er sind, dann ja.
Aber auch kein Problem, solange er auf sein Rechner IPs in den jeweiligen Subnetzen hat. Das kann auf ein und demselben Interface sein.
Aber nochmal, dasselbe Subnetz auf mehreren Interfaces geht nicht ohne Bridge. => Kein Routing möglich, und das braucht es auch, um nur auf die Web GUI zu verbinden.
Quote from: viragomann on March 28, 2025, 05:25:58 PMAber nochmal, dasselbe Subnetz auf mehreren Interfaces geht nicht ohne Bridge. => Kein Routing möglich, und das braucht es auch, um nur auf die Web GUI zu verbinden.
Yep, stimme Dir voll zu. Im Video verbindet er darum nur das MGMT Interface mit dem LAN Switch, bevor er die Bridge erstellt.
Quote from: patient0 on March 28, 2025, 05:51:13 PMIm Video verbindet er darum nur das MGMT Interface mit dem LAN Switch, bevor er die Bridge erstellt
Ich habe das Video nicht gesehen, nachdem es hier schon fundamentale Fehler zu klären gab.
Aber gut, das Video zielt also auch darauf, die Interfaces zu brücken.
Dann sollten wir die Frage an Alex stellen, warum er das nicht auch gleich macht, wenn es ohnehin am Ende seine Zielkonfiguration ist. Ist ja keine große Sache.
Quote from: viragomann on March 28, 2025, 05:56:47 PMQuote from: patient0 on March 28, 2025, 05:51:13 PMIm Video verbindet er darum nur das MGMT Interface mit dem LAN Switch, bevor er die Bridge erstellt
Ich habe das Video nicht gesehen, nachdem es hier schon fundamentale Fehler zu klären gab.
Aber gut, das Video zielt also auch darauf, die Interfaces zu brücken.
Dann sollten wir die Frage an Alex stellen, warum er das nicht auch gleich macht, wenn es ohnehin am Ende seine Zielkonfiguration ist. Ist ja keine große Sache.
Hatte die letzten Tage vieles ausprobiert und dachte mir das ich mal genau so mache wie in dem Video, in der richtigen Reihenfolge.
1. MGMT erstellen
2. Bridge erstellen
Aber so funktioniert es bei mir nicht.
Ihr meint also erst die Bridge erstellen dann die MGMT?
Quote from: Alex78 on March 28, 2025, 06:11:16 PMIhr meint also erst die Bridge erstellen dann die MGMT?
Nein, überhaupt nicht.
Hast Du die IP des MGMT nun mal auf 192.168.178.99 gesetzt und das MGMT Interface an den LAN Switch gehängt? Kurz gesagt, genau wie im Video erklärt, ich kann es nicht anders sagen.
Seine LAN war 192.168.1.0/24, Deins 192.168.178.0/24.
Ja hab das jetzt so gemacht wie du gesagt hast.
Jetzt klappt es auf einmal, warum gestern denn nicht.
Quote from: Alex78 on March 28, 2025, 06:31:08 PMJetzt klappt es auf einmal, warum gestern denn nicht.
Wichtig ist, dass keine der beiden anderen Ports zu dem Zeitpunkt am Switch hängen dürfen, nur das MGMT Interface.
Du meinst wenn ich die Bridge erstelle darf ich nur an der MGMT Port hängen?
Quote from: Alex78 on March 28, 2025, 06:46:06 PMDu meinst wenn ich die Bridge erstelle darf ich nur an der MGMT Port hängen?
Ja genau, macht er im Video auch so. Erst wenn die Bridge erstellt wurde, soll man die beiden Ports wieder mit der Fritzbox und dem Switch verbinden.
Komische Sache gerade.
Wenn ich am LAN und MGMT Port hänge komme ich mit beiden IP .3 und .99 auf die OPNsense.
Ziehe ich LAN ab und nur über MGMT komme ich nicht mehr auf die OPNsense.
Wollte jetzt Bridg einstellen.
Quote from: Alex78 on March 28, 2025, 07:26:29 PMWenn ich am LAN und MGMT Port hänge komme ich mit beiden IP .3 und .99 auf die OPNsense.
Ziehe ich LAN ab und nur über MGMT komme ich nicht mehr auf die OPNsense.
Wollte jetzt Bridg einstellen.
Wieso hat das LAN noch eine 178.3 Adresse? Und zieh MGMT auch nochmals aus und steck es (nur das MGMT) wieder ein, dann geht es wahrscheinlich wieder.
Ich glaub nochmals anfangen und dem Video genau folgen, scheint mir die grössten Erfolgschancen zu haben. Er verbindet die Sense nur mit einem PC, bis er das MGMT Interface konfiguriert hat - nicht ans LAN. Und dann _nur_ das MGMT Interface verbinden, vorher hat auch noch Firewall Regeln erstellt, etc.
Sollte man nicht aus dem LAN das MGMT machen?
Ich glaube mich erinnern zu können, dass OPNsense stur die Anti-Lockout Rule auf dem LAN belässt. Man könnte sie natürlich deaktivieren, aber am MGMT könnte man sie gut brauchen.
Das LAN hat .178.3 und die MGMT.178.99
zur info noch:
DHCPv4 LAN ist enable
DHCPv4 MGMT ist disable
deswegen komme ich nicht über MGMT auf die OPNsense wenn auf disable steht.
Wenn beide DHCP an sind stören sie sich gegenseitig
Wenn man später die Bridge einstellt wird DHCP Lan ja disable
Quote from: Alex78 on March 28, 2025, 07:54:10 PMas LAN hat .178.3 und die MGMT.178.99
Wie gesagt, ich würde nochmals von vorne anfangen. Ziemlich früh stellt er LAN von .1.1 auf .2.1 um, damit er das MGMT später auf .1.1 stellen kann. Warum Du Dich entschieden hast, das nicht zu machen, kannst nur Du wissen.
Das hab ich ja auch gemacht, bei der Installation ist die IP 192.168.1.1
Danach hab ich sie umgestellt auf 192.168.178.3, mit der kann ich über LAN auf die WebGUI drauf zugreifen.
Die Überlegung war am Anfang die MGMT auf 192.168.179.99 zu setzen.
oder ist das der falsche Weg?
Quote from: Alex78 on March 28, 2025, 08:04:08 PMDas hab ich ja auch gemacht,
Da komme ich nicht mehr mit.
Sein LAN ist 192.168.1.0/24. Nach der Installation - wo die Sense _nur_ mit einem PC verbunden ist - ist das LAN der neu installierten Sense, 192.168.1.1. Dann stellt er LAN auf der Sense auf 192.168.2.1/24 um, weil es mit seinem eigenen LAN kollidieren würde und er das MGMT Interface in seinem LAN haben will.
Wie Du von OPNsense LAN 192.168.1.1 umstellen auf 192.168._2_.1 in seinem Video, auf die Idee kommst es auf die Dein LAN 192.168.178.3/24 um zu stellen, mit aktivem DHCP Server auf der OPNsense - I don't know. Solange Du nur das MGMT Interface mit dem Deinem LAN verbindest, spielt nicht mal das eine Rolle.
Wieso Du drauf bestehst, das OPNsense LAN mit Deinem LAN zu verbinden obwohl in dem Video davon nirgends die Rede, kannst auch nur Du wissen (ist schon Vollmond?).
Für heute bin ich raus.
Okay wie wäre es wenn wir ganz von vorne anfangen, das selbst ein Schuhverkäufer das versteht (bin kein Schuhverkäufer)
1. Wo, wie und was schließe ich an die OPNsense an. Zu Verfügung steht mir die Fritz Box, ein Netgear Switch und zwei Rechner
2. Welche IP Adressen trage ich wo ein etc.
Wenn mir das einer sagt, mache ich das genau so.
z.b.
LAN 192.168.xxx
MGMT 192.168.xxx
DHCPiv4 MGMT 192.168.xxx
und so weiter...
Vielleicht ist das besser und wir schaffen es die Kiste zum laufen kriegen über das MGMT Interface.
Warum willst du eine OPNsense hinter der Fritzbox? Was soll die tun?
Warum willst du die OPNsense als transparente Bridge betreiben?
Quote from: Patrick M. Hausen on March 28, 2025, 08:58:16 PMWarum willst du eine OPNsense hinter der Fritzbox? Was soll die tun?
Warum willst du die OPNsense als transparente Bridge betreiben?
Weil ich die OPNsense nur als Firewall, Sicherheit und Analyse zwecken, Filterung des Datenverkehrs nutzen möchte, das Routing soll die FritzBox weiterhin übernehmen.
Macht die Sache halt unnötig kompliziert. Eine Firewall ist in 99% aller Fälle ein Router.
Aber im Bridge Modus über nimmt die OPNsense kein Routing nur die Filterung.
Das reicht vorerst für mich.
Was willst du denn da filtern was die Fritzbox nicht schon tut?
OK, ich nehme an, ich nerve ... aber ganze User Story hilft immer, speziell, wenn du nach einem kompletten Design fragst. Dabei bin ich dann übrigens raus, muss jemand anders übernehmen. Ich vermeide Bridging wie die Pest wenn ich routen kann.
Ernsthaft: Routing ist einfacher als "nur filtern und das Routing soll jemand anders machen". Die Kiste routet sowieso - ganz von alleine.
Nein, du nervst nicht.
Ich hatte eine Idee für mich die reicht.
Und hab hier gefragt ob man mir helfen kann das umzusetzen, damit ich das auch verstehe.
Deswegen die einfache Frage:
Quote from: Alex78 on March 28, 2025, 08:51:33 PM1. Wo, wie und was schließe ich an die OPNsense an. Zu Verfügung steht mir die Fritz Box, ein Netgear Switch und zwei Rechner
2. Welche IP Adressen trage ich wo ein etc.
Wenn mir das einer sagt, mache ich das genau so.
z.b.
LAN 192.168.xxx
MGMT 192.168.xxx
DHCPiv4 MGMT 192.168.xxx
und so weiter...
Vielleicht ist das besser und wir schaffen es die Kiste zum laufen kriegen über das MGMT Interface.
Quote from: Alex78 on March 28, 2025, 09:20:18 PMLAN 192.168.xxx (https://192.168.xxx/)
MGMT 192.168.xxx (https://192.168.xxx/)
DHCPiv4 MGMT 192.168.xxx (https://192.168.xxx/)
Sollen alle 3 Interfaces gebrückt werden?
Bei einer Bridge haben die beiden (mindestens) Interfaces keine IP-Adressen. Du willst ja nicht routen.
Also du legst ein Management-Interface an, gibst dem eine IP-Adresse aus einem anderen Netz als die Fritzbox hat, richtest DHCP ein, und sorgst dafür, dass ein dort angeschlossener PC das UI aufrufen kann.
Dann entfernst du IP-Adressen von LAN und WAN und richtest eine Bridge zwischen LAN und WAN ein.
Verkabeln dann Fritzbox - WAN | Sense | LAN - Switch für alle restlichen Geräte.
Der Rest dann nach der Doku "transparent filtering bridge" in den offiziellen Docs.
Quote from: viragomann on March 28, 2025, 09:27:34 PMQuote from: Alex78 on March 28, 2025, 09:20:18 PMLAN 192.168.xxx (https://192.168.xxx/)
MGMT 192.168.xxx (https://192.168.xxx/)
DHCPiv4 MGMT 192.168.xxx (https://192.168.xxx/)
Sollen alle 3 Interfaces gebrückt werden?
Nein nur LAN und WAN.
Quote from: Patrick M. Hausen on March 28, 2025, 09:32:50 PMBei einer Bridge haben die beiden (mindestens) Interfaces keine IP-Adressen. Du willst ja nicht routen.
Also du legst ein Management-Interface an, gibst dem eine IP-Adresse aus einem anderen Netz als die Fritzbox hat, richtest DHCP ein, und sorgst dafür, dass ein dort angeschlossener PC das UI aufrufen kann.
Dann entfernst du IP-Adressen von LAN und WAN und richtest eine Bridge zwischen LAN und WAN ein.
Verkabeln dann Fritzbox - WAN | Sense | LAN - Switch für alle restlichen Geräte.
Der Rest dann nach der Doku "transparent filtering bridge" in den offiziellen Docs.
Okay werde das so machen, das ganze mache ich aber nur mit einem PC der direkt mit der OPNsense verbunden ist?
Korrekt. Dein Management-PC. So lange bis alles läuft, dann können wir gucken, wie man das besser machen kann. Klar kannst du der Sense auch auf der Bridge eine Adresse aus dem Fritzbox-Netz geben und dann diese zum Management benutzen. Du musst kein separates MGMT-Interface haben.
Aber wenn du eines hast, musst du natürlich den Management-PC da rein stecken ;-)
MGMT Interface hab ich eingerichtet Static IPv4 IP 192.168.1.99/24
DHCPv4 MGMT Enable
Subnet 192.168.1.0
Subnet mask 255.255.255.0
Available range 192.168.1.1-192.168.1.254
Range from 192.168.1.100-192.168.1.199
Firewall Rules
Protocol: IPv4 TCP
Source: 192.168.1.0/24
Port: any
Destination: MGMT adress
Destination Port: HTTPS
Hab umgesteckt auf MGMT und hab 192.168.1.99 aufgeraufen im Browser....nicht erreichbar.
Warum nur TCP? Etc. pp. Mach da doch mal eine Kopie der Default-Regel vom LAN rein - allow any. Und dann teste die Konnektivität. Einschränken kann man dann doch später, du hängst ja nicht am GBI (Großes Böses Internet).
Hab die default Regel kopiert und alles auf any, durch das kopieren war Destination noch auf LAN Net, das steht jetzt auf any.
Komme jetzt rauf...
komisch ist jetzt das ich mit der 192.168.1.99 und der 192.168.178.3 gleichzeitig auf die WebGUI rauf komme.
Völlig normal. Nu mach die Adressen weg und bastel die Bridge. Doku hier:
https://docs.opnsense.org/manual/how-tos/transparent_bridge.html
Okay, können die Regeln die jetzt im LAN noch stehen auch raus, da stehen die IPv4 und IPv6 default allow noch drinne?
Hab alles gemacht, Bridge ist erstellt und Adresse auf LAN ist weg.
So mit kann ich die OPNsense jetzt mit der FritzBox verbinden über WAN und LAN mit Switch.
Admin Rechner dann über MGMT Schnittstelle um weitere Einstellungen vorzunehmen.
Korrekt?
Mache aber morgen weiter bin müde.
Schon mal Danke für deine Hilfe, hoffe ich habe nicht genervt:)
Gute Nacht.
OPNSENSE läuft jetzt im Bridge Modus Regel für Rechner und Server sind auch vorhanden.
Wie sieht es mit dem Gateway aus, OPNsense halt selber keine Internetverbindung um Updates oder Plugin zu installieren.
Soll das über die MGMT oder Bridge Interface laufen?
Du kannst auf dem Bridge Interface eine Adresse aus dem Fritzbox-Netz mit Default-Gateway komfigurieren und diese dann natürlich auch für das UI verwenden. Dann braucht es im Grunde kein separates Management-Interface mehr.
Passende Firewall-Regeln vorausgesetzt.
Quote from: Patrick M. Hausen on March 30, 2025, 03:33:14 PMDann braucht es im Grunde kein separates Management-Interface mehr.
Hab es jetzt hinbekommen, Updates für OPNsense geht jetzt, so wie Plugin.
Von der MGMT Interface konnte ich mich nicht trennen. Komme ich besser mit zurecht, wenn ich Regeln erstelle für die Geräte in meinem Netz.
Falls ich ein Fehler mache, Sperre ich mich nicht aus der OPNsense aus.
Danke schon mal für eure Hilfe.
Wenn wieder Fragen aufkommen stelle ich sie hier gerne.
Ich hätte an der Stelle noch eingeworfen, dass das Grundsetup schon schlecht gewählt ist - auch im Video. Ich hätte hier eher empfohlen:
1) das Standard LAN umbenennen auf MGMT und das zum Management Netz zu machen
2) dann WAN und OPT1 zusammenzuknoten
Warum? Weil dann auf dem default "lan" Interface die anti-lockout rule etc. alles schon sauber eingerichtet ist und da ein OPT Interface vom Start weg eh schon ohne Regeln und Co kommt, muss da nichts gelöscht, entfernt, IP weggenommen etc. werden. Das intern "lan" genannte Interface hat eben immer noch einen etwas anderen Stellenwert wie auch das "wan" (absichtlich klein geschrieben, weil die internen Bezeichner gemeint sind) im Gegensatz zu anderen optX interfaces. Das hätte vielleicht zu weniger Problemen beim Filter-Bridge-Setup geführt.
Quote from: Alex78 on March 28, 2025, 09:20:18 PMNein, du nervst nicht.
Ich hatte eine Idee für mich die reicht.
Und hab hier gefragt ob man mir helfen kann das umzusetzen, damit ich das auch verstehe.
Deswegen die einfache Frage:
Ich möchte den OP da keinesfalls beleidigen, aber Patricks Frage war eben an der Stelle völlig richtig. Du hattest eine Idee aber die ist WEIT entfernt von "EINFACH". Filternde Bridges sind kein Standard-easy-Setup, sondern durchaus was recht Komplexes und "das mal einfach" zu machen, endet dann in Kabelsalat wie hier. Genau deshalb kommt das auch nicht als Standard, sondern es wird geroutet. Und nur weil davor schon ein Router steht, macht es das nirgendwo einfacher und man hat "nur filtern und Kram" dahinter, im Gegenteil, es wird unnötig komplizierter und komplexer zu begreifen.
Als Lernübung ist das natürlich fein wenn man sich da weiterbilden will - Don't get me wrong! :) Aber wenn man sich das Leben im Homelab vereinfachen oder verbessern möchte, ist das sicher kein Setup, das man sich direkt am Anfang ausdenkt und loslegen sollte. ;)
Da gäbe es weit bessere Maßnahmen, wie bspw. ein Multi-VLAN-Setup und mehrere Netze um den ganzen Kram intern sauber zu trennen.
Cheers :)