Servas miteinander,
ich als absoluter Neuling habe versucht nach Anleitung von diversen Youtube Videos die aktuelle Version von Opensense als VM bie Proxmox zu installieren.
Die Installation hat meines Erachtens geklappt. Ich habe jetzt folgendes Problem:
1.) Ich bekomme mich nicht als root oder installer mehr auf die Konsole eingeloggt. Bei der Installation sollte ich ein Passwort setzen was ich auch gemacht habe. Mit diesem PW haut es nicht hin. Mit dem opnsense PW klappt es auch nicht.
Dann habe ich alles gelöscht und von vorne angefangen mit dem gleichen Erfolg. Diesmal hatte ich ein ganz simples PW gesetzt.
2.) Mit in der Konsole genannten IP Adresse öffnet sich keine Seite im Browser (192.168.1.1)
Das gleiche Problem hatte ich auch bei dem Versuch die pfSense zu installieren. Deshalb dache ich mir, versuche die Opensense.
Ich weiß nicht wo mein Fehler liegt. Ok, vielleicht darin das ich für sowas nicht geschaffen bin. Würde es trozdem gern hin bekommen.
Vielen Dank im Vorraus.
Hast du z oder y oder Sonderzeichen im Passwort und es ist ggf. nicht das deutsche Tastaturlayout eingestellt?
Was das Passwort angeht, ja, die Tastaturbelegung kann schuld sein.
Bezüglich der Erreichbarkeit über das Web-Interface: Wenn Dein lokales Netzwerk nicht 192.168.1.0/24 ist, wird das nicht funktionieren, weil es keine Route dahin gibt. Wenn es 192.168.1.0/24 ist, möglicherweise auch nicht, weil dann 192.168.1.1 bereits von Deinem aktuellen Router belegt sein dürfte, was zu einem Adresskonflikt führt.
Anders als bei einem Bare-Metal-Setup hast Du ja schon einen Proxmox-Host, der mutmaßlich in einem bestehenden Netzwerk ist, keine reine OpnSense, wo Du direkt einen PC anschließt, der dann von der OpnSense per DHCP eine IP bezieht.
Du musst zunächst eine IP einstellen, die in Deinem eigenen Subnetz liegt, die aber frei ist. Dann kannst Du die GUI nutzen, um alles einzurichten. Der letzte Schritt ist dann, die IP auf 192.168.X.1 zu ändern.
Servas mitnand,
danke für die Antworten.
Nein, ich habe kein y oder z im Passwort.
Ich denke auch, das es mit der Ereichbarkeit zusammen hängt. Ich habe hinter der Fritzbox (192.168.178.1) mir einen Minipc als Server aufgebaut.
@ meyergru JA, ich habe mir deinen Artikel zu Fritzbox durchgelesen und verstehe auch das dass ganze nicht wirklich Sinn macht,aber ich versuche micht damit einwenig zu Bilden in diese Richtung anstatt vor der Glotze zu hängen.
Also der Proxmox läuft auf 192.168.178.36 ist über GUI zu erreichen. Wenn ich jetzt das ganze Netzwerk auf 192.168.1.0/24 und folgende umstelle, dann sollte ich auf OPNSense zugreifen können?
Sonnige Grüße und Frohe Ostern
Naja, das 192.168.178.1/24 wird ja letztlich in Endausbaustufe nur ein Transfernetz zwischen Fritzbox und Proxmox, wenn es so bleibt. Dann müsste aber vmbr0 am LAN der OpnSense VM hängen (192.168.1.0/24) und Deine PCs/Netzwerk auch. Um damit Internetzugriff zu bekommen, muss dann die OpnSense mit dem WAN an der Fritzbox hängen.
Hängt aber total davon ab, was Du eigentlich erreichen willst. Man könnte die OpnSense ja auch nur nutzen, um ein isoliertes Netz hinter seinem LAN zu positionieren. Dann ist das WAN der OpnSense am vmbr0. Ein Zugriff vom WAN auf die GUI der OpnSense ist normal nicht vorgesehen, das musst Du dann erst einrichten.
Servas meyergru,
der ursprüngliche Gedanke war, dass ich den Proxmox Server hinter die FB hänge und darauf eine Firewall als VM laufen lasse und alles andere, sprich Notebook,Handy, Fantec NAS und Rasbypi als Bitcoin Node daran anschließe. Aber dein Artikel mit der FB nahm mir die Vorstellung.
Jetzt versuche ich legendlich das ganze einwenig mehr zu verstehen und experementiere damit rum.
Vielleicht klappt das eine oder das Andere mal. :-))
Sonnige Grüße
Quote from: alfred_e1 on April 20, 2025, 07:57:24 PMder ursprüngliche Gedanke war, dass ich den Proxmox Server hinter die FB hänge und darauf eine Firewall als VM laufen lasse und alles andere, sprich Notebook,Handy, Fantec NAS und Rasbypi als Bitcoin Node daran anschließe. Aber dein Artikel mit der FB nahm mir die Vorstellung.
Warum? Wenn du Proxmox lokal betreibst, kann der doch am LAN oder auch sonst wo hängen, wo auch bspw. der Management-PC liegt, mit welchem du Proxmox und OPNsense administrierst.
Meine Heim-Firewall läuft seit 7 Jahren virtualisiert auf KVM. Da liegt alles in Subnetzen dahinter. Das WAN hat hier sogar die öffentliche IP über PPPoE und aus dem LAN kann ich auf den Web-GUIs oder SSH der Maschinen zugreifen.
Grüße
Servas viragomann,
ok, dann war mein Ansatz ja doch nicht so blöd. Dann werd ich nochmal von vorne anfangen. Irgendwie habe ich es geschafft das Proxmox keine Verbindung nach aussen aufbaut. Muß jetzt das erstmal schaffen.
Sonnige Güße
P.S.: Bin halt blutiger Anfänger
Wenn Proxmox im LAN liegt (d.h. keine IP auf der WAN Bridge hat), dann muss es die OPNsense LAN IP als Default Gateway nutzen. So sollte der Zugriff ins Internet problemlos möglich sein.
OPNsense ist dann eben dein Standardgateway und alle Verbindungen müssen darüber laufen.
Bei mir ist es OpenSUSE, auf der die Firewall virtualisiert ist. Der Host kann aber auch nur über diese Verbindungen ins Internet aufbauen.
Wird der Host lokal betrieben, ist das so einzurichten kein Problem, weil man vom LAN aus direkt auf ihn zugreifen kann.
Grüße
Servas viragomann,
also nochmal für Dumme. Im Moment hat die FB 192.168.178.1, Proxmox hat die 192.168.178.36.
Wenn ich jetzt Proxmox ändere auf 192.68.1.36 z.B. und OPNSense auf 192.168.1.1 setzte, dann wäre OPNSense und Proxmox im LAN und die FB im WAN.
Stimmt das so?
Oder hat z.B OPNSense 192.168.1.2 und ich muß die 192.168.1.1 für den Gateway lassen?
Sonnige Grüße
OPNsense hat nach der Installation erst mal 192.168.1.1 mit Subnetz /24. Das kannst du auch ändern, wenn du möchtest, aber der Einfachheit halber belasse es fürs erste dabei.
Du hast einen Mini PC mit 2 Netzwerkschnittstellen. Auf dem läuft Proxmox. Damit hat Proxmox grundsätzlich die Kontrolle über die Schnittstellen.
Diese nutzt du als WAN und LAN. Dafür richtest du in Proxmox jeweils Bridges ein und verbindest diese mit einer der beiden NICs. Damit hast du eine WAN- und
eine LAN-Bridge, mit welchen du die virtuellen Maschinen verbinden kannst. Auf der LAN Bridge weist du Proxmox eine IP zu, also bspw. 192.68.1.36.
Mit der WAN Bridge wird nur das OPNsense WAN verbunden und diese bekommt da auch eine IP. Das kann per DHCP von der FritzBox sein. Falls du die IP manuell vergibst, musst du die IP der pfSense in den WAN Einstellungen als Gateway eintragen.
Am LAN kannst du in OPNsense selbst einen DHCP Server aktivieren, der IPs für die VMs verteilt.
Am LAN ist in OPNsense keine Gateway einzurichten, sondern die VMs wie auch Proxmox nutzen die LAN IP als Gateway. Hier wiederum, wenn sie die IP vom DHCP erhalten, wird das automatisch gesetzt, anderenfalls musst du es händisch machen.
Grüße
Danke erstmal.
I war zu schnell und hab mich ausgesperrt. Jetzt muß i mal schaun wie i wieder auf die Shell von Proxmox komme :-)
I denk i habs verstanden. Es ist nicht leicht als Sechtzgjähriger mit neuen Herausforderungen. grins
Theorie des eine, Praxis das andere.
Sonnige Grüße
Das ist geeuss eine wertvolle Erfahrung, auf welcher du aufbauen kannst. 😉
Do hoda recht, da Bua. :-)
Servas mitnand,
ich bräuchte doch nochmal Hilfe. Ich hab da mit dem Bridgebau so meinen Kampf. Hier die Eingabe unter nano:
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback
iface lo inet6 loopback
iface eno1 inet static
# Hauptnetzwerk #########################################################################################################>
auto eno1
iface eno1 inet static
address 192.168.178.36/24
gateway 192.168.178.1
pointopoint 192.168.178.1
up sysctl -p
post-up ip address add fe80::223:24ff:febc:d3d7 dev eno1
post-up ip route add default via fe80::1 dev eno1
post-up iptables -t nat -A PREROUTING -i eno1 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.10.1.1
post-up iptables -t nat -A PREROUTING -i eno1 -p udp -j DNAT --to 10.1.1.1
# Entfernt die Regeln beim Herunterfahren
# post-down iptables -t nat -D PREROUTING -i eno1 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 192.168.1.1
# post-down iptables -t nat -D PREROUTING -i eno1 -p udp -j DNAT --to 192.168.1.1
iface eno1 inet6 static
address fe80::223:24ff:febc:d3d7
gateway fd36:a8fe:f5a0::62b5:8dff:fe32:40ee/64
# Hauptnetzwerk #########################################################################################################>
#auto vmbr0
iface vmbr0 inet static
address 192.168.178.36/24
bridge-ports none
bridge-stp off
bridge-fd 0
up ip route add 192.168.178.200/24 dev vmbr0
up ip route add 192.168.178.254/24 dev vmbr0
#Public VM Net
iface vmbr0 inet6 static
address fe80::223:24ff:febc:d3d7
auto vmbr1
iface vmbr1 inet manual
address 10.10.1.0/31
bridge-ports none
bridge-stp off
bridge-fd 0
post-up iptables -t nat -A POSTROUTING -s '10.10.1.1/31' -o eno1 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.10.1.1/31' -o eno1 -j MASQUERADE
# OPNSense WAN
auto vmbr2
iface vmbr2 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
# OPNSense LAN
Stimmt das so???
Danke im Voraus.
Es seids die Besten
Ziemlich sicher nicht. Du kannst die IP-Adresse auf zwei Arten setzen:
1. Indem Du sie in der Bridge vmbr0 definierst. Dann musst Du aber immer noch angeben, dass das physische Interface eno1 einer der Bridge-Ports sein soll.
2. Indem Du sie am Interface setzt. Auch dann brauchst Du einen Zusammenhang zwischen physischem Interface und der Bridge.
Aber nicht beide Methoden auf einmal.
Für vmbr2 ist das anders - da hängt anfangs gar kein Interface dran. Das passiert erst, wenn VM-Interfaces darauf verbunden werden.
Du musst Dir die Bridge wie einen Switch vorstellen, an den die Interfaces "eingesteckt" werden - das ist, warum ich die Methode 2 bevorzuge. So wie Deine Definition aussieht, hängt an vmbr0 gar nichts.
Am Rande bemerkt ist die Angabe einer Netzmaske plus "pointopoint" mindestens redundant. Letzteres kann man nutzen, um ein Gateway außerhalb der Netzmaske zu nutzen. Das braucht man im Datacenter, wenn die IPs in einem Subnetz untereinander nicht direkt kommunizieren dürfen, weil der Hoster das aus Sicherheitsgründen blockt. Dann gibt man die IP als 192.168.178.36/32 an und das Pointopoint-Gateway als 192.168.178.1. Die Angabe ist notwendig, weil die Netzmaske /32 eine normale Kommunikation sonst verhindern würde. Also auch hier: Entweder /24 oder /32 mit Pointopoint.
Servas meyergru,
danke für die schnelle Antwort. Hoffe ich hab es richtig verstanden und geändert.
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback
iface lo inet6 loopback
iface eno1 inet static
# Hauptnetzwerk #########################################################################################################>
auto eno1
iface eno1 inet static
address 192.168.178.36/24
gateway 192.168.178.1
up sysctl -p
post-up ip address add fe80::223:24ff:febc:d3d7 dev eno1
post-up ip route add default via fe80::1 dev eno1
post-up iptables -t nat -A PREROUTING -i eno1 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.10.1.2
post-up iptables -t nat -A PREROUTING -i eno1 -p udp -j DNAT --to 10.1.1.2
iface eno1 inet6 static
address fe80::223:24ff:febc:d3d7
gateway fd36:a8fe:f5a0::62b5:8dff:fe32:40ee/64
#Hauptnetzwerk ##########################################################################################################>
#auto vmbr0
#iface vmbr0 inet static
# address 192.168.178.36/24
# bridge-ports none
# bridge-stp off
# bridge-fd 0
# up ip route add 192.168.178.200/24 dev vmbr0
# up ip route add 192.168.178.254/24 dev vmbr0
#Public VM Net
#iface vmbr0 inet6 static
# address fe80::223:24ff:febc:d3d7/128
auto vmbr1
iface vmbr1 inet manual
address 10.10.1.1/31
bridge-ports none
bridge-stp off
bridge-fd 0
post-up iptables -t nat -A POSTROUTING -s '10.10.1.2/31' -o eno1 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.10.1.2/31' -o eno1 -j MASQUERADE
# OPNSense WAN
auto vmbr2
iface vmbr2 inet manual
bridge-ports none
bridge-stp off
# OPNSense LAN
I geb mei Best.
Wie gesagt, ob das "richtig" ist, hängt davon ab, was Du erreichen willst. Du solltest Dir zunächst mal eine Zeichnung Deiner Topologie machen.
Grob wirkt es, als wolltest Du eine Fritzbox als Router (also nicht im Bridge-Modus) nutzen und dahinter einen Proxmox-Host mit OpnSense als VM, die eine DMZ ("LAN") aufzieht für weitere VMs, die dann über die OpnSense Internetzugriff bekommen.
Wie sollen diese VMs erreichbar sein?
Sollen langfristig Deine anderen Geräte auch in diesem LAN angeschlossen werden? Falls ja, gibt es ein zweites Interface und einen daran angeschlossenen Switch?
Oder soll das als Blaupause für eine Datacenter-Installation dienen? Ich frage, weil das "Zwischen-Netz" 10.10.1.2/31 (das übrigens ungeschickt gewählt ist, weil man eigentlich mindestens /30 braucht, um zwei IPs plus Broadcast plus Netz zu bekommen) so wirkt, als sei es notwendig, weil Du nur eine "externe" IP für Proxmox und OpnSense nutzt und die Proxmox-Ports weiterleitest.
Es gibt mindestens diese Varianten für Proxmox mit OpnSense:
1. Im LAN hinter einem anderen Router - dann können Proxmox und OpnSense aber zwei unterschiedliche RFC1918-IPs bekommen oder wenn das OpnSense-LAN auch Dein allgemeines LAN werden soll, würde man den Proxmox eher an das LAN der OpnSense anschließen. Ist aber kompliziert aufzusetzen, weil anfangs nichts erreichbar ist.
2. Im LAN, wobei Proxmox den Router macht an einem Modem oder ONT (Bridge-Modus).
3. Im Datacenter mit nur einer gerouteten IP. Wenn es z.B. Hetzner ist, gibt es noch weitere Spezialitäten zu beachten.
4. Im Datacenter mit zwei IPs für Proxmox und OpnSense.
5. Proxmox im LAN hinter einer physischen OpnSense, wobei verschiedene VLANs ansprechbar gemacht werden.
Deine Konfiguration wirkt aktuell so wie 3., auch wegen der Port-Forwards, aber Du beschreibst eher 1. aufgrund der IPs.
Also worüber reden wir genau?
Mal als Beispiel die Variante 1, die man nutzen würde, um hinter einer Fritzbox einen Proxmox aufzubauen, der eine OpnSense VM hostet, die dann ein eigenes LAN aufzieht.
Dabei ist 192.168.178.1/24 das "WAN" (=LAN der Fritzbox) an ens18 und 10.10.2.1/24 das LAN der OpnSense an ens19. Der Proxmox hat 10.10.2.2/24.
Man würde ens18 mit der Fritzbox und ens19 mit einem Switch für die anderen LAN-Clients (z.B. einen PC) verbinden. Die OpnSense kann auf dem WAN-Interface DHCP als Client nutzen (nehmen wir an, sie bekommt 192.168.178.36/24) und sollte auf dem LAN einen DHCP-Server aktiv haben. Dann kann man sich an den Switch anklinken und per DHCP eine IP aus 10.10.2.0/24 abholen. Der Proxmox hat dann 10.10.2.2 und die OpnSense ist das Gateway mit 10.10.2.1, also beide bei LAN direkt erreichbar.
Die Proxmox-Konfiguration sieht dann so aus:
auto lo
iface lo inet loopback
auto ens18
iface ens18 inet manual
auto ens19
iface ens19 inet manual
auto vmbr0
iface vmbr0 inet manual
bridge-ports ens18
bridge-stp off
bridge-fd 0
bridge-mcsnoop 0
#OpnSense WAN
auto vmbr1
iface vmbr1 inet static
address 10.10.2.2/24
gateway 10.10.2.1
bridge-ports ens19
bridge-stp off
bridge-fd 0
bridge-mcsnoop 0
#OpnSense LAN
Man beachte: Die WAN-IPs kommen in der Proxmox-Konfiguration überhaupt nicht vor! Der Proxmox "kennt" nur seine eigene IP im OpnSense LAN. Die physischen Interfaces sind mit den Bridges (logische Switches) verbunden. Die OpnSense wird mit dem WAN-Interface mit vmbr0 und mit dem LAN-Interface mit vmbr1 verbunden, ist aber selbst dafür verantwortlich, welche IPs sie dort jeweils hat - das kommt hier überhaupt nicht vor (bis auf die Tatsache, dass - weil Proxmox nicht als DHCP-Client auftreten kann - man die LAN-IPs und das Gateway manuell eintragen muss).
Der ganze Schnickschnack mit Masquerading usw. ist dafür überhaupt nicht notwendig.
Hinweis: Bevor die OpnSense eingerichtet ist, muss man den PC, mit dem man den Zugriff auf Proxmox und OpnSense von der LAN-Seite aus durchführen will, natürlich manuell konfigurieren, weil der DHCP-Server noch fehlt.
Servas meyergru,
würde dir gerne eine Zeichnung hier hochladen, weiß aber nicht wie das hier funktioniert. Schande über mein Haupt.
Um deine Fragen zu beantworten:
Ja, die FB soll als Router und nicht im Bridge Modus laufen und dahinter einen Proxmox-Host mit OpnSense als VM, die eine DMZ ("LAN") aufzieht für weitere VMs, die dann über die OpnSense Internetzugriff bekommen.
Ja, ich habe nur eine externe IP.
Langfristig würde ich gerne alles andere auch hinter die OPNSense stecken.
Der Internetzugang soll dann nur über die OPNSense erfolgen.
Danke im Voraus
Man kann Grafiken nur über Reply, aber nicht über Quick reply anhängen.
Wenn es so sein soll, wie Du beschreibst, dann geht es so, wie ich zuletzt gezeigt habe. Du brauchst aber einen Proxmox mit zwei Netzwerkkarten (eine LAN und eine für WAN) und einen Switch (alternativ einen managebaren Switch, mit dem man mehrere VLANs aufziehen kann).
P.S.: Für den Betrieb im eigenen LAN würde ich einen solchen Aufbau nicht empfehlen. Grund ist, dass bei Wartungsarbeiten am Proxmox immer das ganze LAN ausfällt. Über Doppel-NAT muss ich wohl nichts mehr sagen - und wenn Du das machst, weil Du weiter den Access Point der Fritzbox nutzen willst: diese Clients können dann nicht direkt mit Deinen LAN-Devices kommunizieren.
Das ist mit ein Grund, wieso man sich das mal aufzeichnen sollte. Optimal ist:
ISP <-> Modem/ONT <-> OpnSense <-> Managebarer Switch <-> (Proxmox, VLAN-fähige Access Points, LAN-Clients, ggf. Fritzbox für Telefonie, IoT-Clients, Gast-Clients, DMZ-Clients (z.B. VMs))
Dann sind wir quasi wieder bei deinem Artikel den du für die FB Besitzer geschrieben hast.
Würde es den Sinn ergeben, wenn ich eine OPNSense auf eine Hardware installiere ohne Proxmox und dahinter dann den Proxmox. Also FB, OPNSense, usw.?
Oder hat es mit einer FB überhaupt keinen Sinn?
Quote from: meyergru on May 05, 2025, 11:15:00 AMP.S.: Für den Betrieb im eigenen LAN würde ich einen solchen Aufbau nicht empfehlen. Grund ist, dass bei Wartungsarbeiten am Proxmox immer das ganze LAN ausfällt.
Ich betreibe meine zentrale Heim-Firewall auch virtualisiert auf KVM. Meine Hardware hat allerdings 4 NICs.
Man muss sich eben des Risikos bewusst sein. Vor einem Distri-Upgrade des Hosts mache ich sicherheitshalber ein Image der Platte. Zusätzlich macht das System selbständig Snapshots, so dass man ggf. ein Rollback machen kann, falls nach einem Update ein Problem nicht zeitnah behebbar ist.
Für Leute, die mit diesen Dingen nicht vertraut sind, würde ich es allerdings auch nicht empfehlen.
Und die Downzeit des Netzwerks ist insgesamt damit natürlich etwas höher.
Grüße
Das sind zwei unabhängige Fragen:
OpnSense auf Hardware hat wie gesagt den Vorteil, dass Dein Internet nicht vom Proxmox abhängig ist (und Du brauchst nur eine Netzwerkschnittstelle, es gibt außerdem keine Notwendigkeit für vmbr0, weil es kein WAN am Proxmox braucht und man ggf. VLANs mit einer VLAN-aware Bridge erledigt (in den Netzwerk-Interfaces der VMs kann man dann VLAN-Tags im Proxmox angeben). Anständige Hardware dafür bekommt man ab ca. 200€, mit 2.5 Gbps Ports bzw. ca. 350€ sogar mit 2x SFP+.
Welche Nachteile die Fritzbox als vorgeschalteter Router hat, habe ich im Artikel schon hinlänglich beschrieben (Stichworte Doppel-NAT und keine VLANs für WiFi-Clients). Wenn man ernsthaft VLANs einsetzen will, um z.B. unsichere IoT-Clients abzutrennen, muss man bedenken, dass die Fritzbox nur ein Gast-WLAN kann, wenn sie als Router betrieben wird. Und dann können halt die WLAN-Clients nicht ins LAN, weil das "hinter" der OpnSense liegt.
Das ist ein Tradeoff zwischen einerseits Feature-Verzicht und andererseits Kosten für OpnSense-Hardware, eventuell zusätzlichem DSL-Modem (bei Glasfaser kämr der ONT käme ja meist sowieso vom ISP), VLAN-fähigem Switch und Access Point für eine Lösung, die alles kann. Bedenkt man es vom Ende her, ist ein Schritt-für-Schritt Ansatz auch Mist, weil Du jeweils beim Umbau zu komplett unterschiedlichen Konfigurationen kommst. Also: wie oft willst Du umbauen?
Danke euch Beiden,
also ein Gast Wlan habe ich eh deaktiviert. Bei den heutigen Preisen kann jeder sein Smartfon selbst ins Inet bringen.
Glasfaser brauche ich auch nicht. Meine 1000 Leitung langt mir voll.
Ich mag halt nur von aussen abgesichert mein kleines Heimnetz betreiben, SmartTV, Bitcoin Fullnode, Notebook, Smarthome, NAS usw.
Also nichts wildes. Es sollte kostengünstig sein.
Hatte mir deswegen einen Mini PC von Lenovo gekauft und gedacht, wenn es schon die Möglichkeit gibt einen Server darauf aufzubauen könnte doch auch ne Firewall auch nicht schaden.
Sonnige Grüße
Verstehe ich nicht: Sind Dein Notebook und Deine Smarthome-Geräte alle verdrahtet? Oder hast Du einen separaten Access Point, der VLAN-fähig ist?
Falls nein, dann sind sie bei Einsatz der Fritzbox als vorschaltetem Router doch gerade nicht im abgesicherten LAN hinter der OpnSense, sondern davor - weil sie am WLAN der Fritzbox hängen. Nochmal: Mal Dir die Topologie auf und mach Dir dann klar, was wo steht und was somit (nicht) mit was kommunizieren darf, weil die OpnSense das blockt.
Umgekehrt gilt auch: Eine Firewall wirkt nur, wenn der Traffic auch über sie geroutet wird (nur, weil immer wieder Spezialisten erfolglos versuchen, Regeln zu definieren, die den Verkehr zwischen zwei LAN-Devices verbieten).
Ich habe auch nicht Glasfaser empfohlen, sondern nur sagen wollen, dass man bei DSL anstelle der Fritzbox ein DSL-Modem braucht, bei Glasfaser jedoch nichts zusätzliches, weil dort typischerweise sowieso ein ONT vorhanden ist.
Was das Gast-WLAN bzw. -VLAN betrifft: Es mag sein, dass Du das nicht brauchst - was Du aber haben solltest, ist ein separates WLAN (bzw, VLAN) für "unsichere" Clients. Für mich sind die dadurch gekennzeichnet, dass sie nach Hause telefonieren und somit Löcher in Dein Netzwerk stanzen können (z.B. Tunnel). Das betrifft fast alle IoT-Geräte, SmartTVs, SmartPhones und Geräte/Services, die eventuell gehackt werden könnten - beispielsweise auch Bitcoin Fullnodes. Solche Clients gehären abgetrennt in IoT-Netze oder DMZ-Zonen. Und viele davon sind per WLAN verbunden.
Fritzboxen im Router-Modus können nur das LAN von einem "Gast"-LAN/WLAN abtrennen - im Client-Modus geht selbst das nicht mehr.
Quote from: alfred_e1 on May 05, 2025, 05:54:59 PMalso ein Gast Wlan habe ich eh deaktiviert.
Ich hatte vor 7 Jahren ein Gastnetz mit Captive Portal zuhause eingerichtet. Ich hatte noch die Zeit im Kopf, als die im Vertrag inkludierten mobilen Daten immer knapp oder bereits erschöpft waren. Die waren da allerdings auch schon vorbei.
Habe bislang, glaube ich, gerade mal zwei Voucher verbraucht. Das braucht heute wirklich keiner mehr.
Quote from: alfred_e1 on May 05, 2025, 05:54:59 PMHatte mir deswegen einen Mini PC von Lenovo gekauft und gedacht
Es wäre vielleicht sinnvoller gewesen, sich erst Gedanken über die Verwendung zu machen. Router in einer VM kann man machen, aber mit einem einzigen Netzwerkinterface ist man auf VLANs mit entsprechenden Switch angewiesen und muss dann mit den sich daraus ergebenden Einschränkungen leben.[/b]
meyergru, ich meinte es nicht böse oder irgendwie verletzend. Bin dir/euch dankbar für die Hilfe und Aufklärung. Trotz der vielen Fachbergriffe. Bin nur Laie.
Ich habe meine FB direkt per LAN an mein Stromnetz angeschlossen (DLAN). Über die DLAN Wifi Würfel bekomme ich dann mein WLAN. Nur das Telelfon geht direkt von der FB ab. Wenn ich jetzt die OPNSense zwischen die FB und meinen Schaltschrank mit DLAN hänge, dann ist doch auch das WLAN hinter der Firewall, oder sehe ich das falsch?
Sonnige Grüße
Es wäre vielleicht sinnvoller gewesen, sich erst Gedanken über die Verwendung zu machen. Router in einer VM kann man machen, aber mit einem einzigen Netzwerkinterface ist man auf VLANs mit entsprechenden Switch angewiesen und muss dann mit den sich daraus ergebenden Einschränkungen leben.[/b
Ursprünglich wollte ich nur ein Rasby als Bitcoin Node, das hat funktioniert. Danach habe ich gesehen das man einen Mini PC als Server betreiben kann mit Proxmox. Wolle ich ausprobieren und habe mir einen günstig geschossen. Danach kam ich erst auf die Idee mit der Firewall und da ich gerne was probiere habe ich mich daran gesetzt. Ich bin nicht der Typ der direkt, wenn was nicht klappt, die Flinte ins Korn wirft. Suche immer nach Möglichkeiten. Macht einen nicht dümmer. :-)
Sonnige Grüße
Also wenn es um Ausprobieren oder Erfahrung sammeln geht, kannst du es ja mit VLANs und externen VLAN-fähigen Switch mit der vorhanden Hardware realisieren. Den letzten VLAN-fähigen Switch hatte ich für 35 Euro erstanden.
Es muss dann halt alles über die eine Netzwerkschnittstelle, was ggf. ein Engpass sein könnte. Aber als Lab sollte es reichen.
Grüße
PS: Wo ist es sonnig?? Hier haben wir schon den ganzen Tag Regen.
Ich trage die Sonne im Herzen ;-)
War grad nach einem Switch am schaun:
Netgear Prosafe Plus Switch 5 Gigabit GS105E v2 Netzwerk Switch für 20 €
Wenn ich mir dann noch einen Mini PC mit 2xLAN hole für die Firewall, reicht das?
Sonnige Grüße
Ich würde mir ein Modell mit 2.5 Gbit holen und beim Mini PC auf keinen Fall einen mit Realtek-NICs.
Servas mitnand,
habe da noch eine Frage:
Wenn ich eine Hardware speziell für Firewalls kaufe die 5 LAN Ports hat, brauche ich dann trozdem ein managebaren Switch?
Sonnige Grüße
Siehe https://forum.opnsense.org/index.php?topic=42985.0, Punkt 2.
Hallo!
Quote from: alfred_e1 on May 06, 2025, 08:14:26 AMWenn ich eine Hardware speziell für Firewalls kaufe die 5 LAN Ports hat, brauche ich dann trozdem ein managebaren Switch?
Das hängt davon ab, wie viele Netzwerksegmente du haben möchtest (WAN, LAN, DMZ, Gast, IoT). Die kannst du direkt auf den Schnittstellen realisieren oder mit VLANs. Letzteres ermöglicht dir auf einer Netzwerkschnittstelle mehrere Netzwerksegmente einzurichten.
Aber VLANs müssen an 2 Seiten terminiert werden. Die eine Seite macht OPNsense, die andere müsste der ggf. Switch machen.
Es könnte aber auch das Endgerät selbst das VLAN terminieren (wenn es VLAN-fähig ist). Ein PC oder ein Multi-SSID Access Point kann das normalerweise, ein IoT Gerät eher nicht.
Die korrekte Antwort auf diese Frage erfordert also Kenntnis deines Vorhabens, wird aber vermutlich "nein" sein.
Grüße
Eigentlich ist es ausschließlich von der Anzahl der insgesamt angeschlossenen Geräte abhängig, nicht von der Anzahl der VLANs:
Wenn das Gerät VLAN-fähig ist (z.B. ein Switch oder AP), kannst Du beliebig viele VLANs über den einen Port bedienen. Ist das jeweilige Gerät auf ein VLAN fixiert, führst Du das eben auf den Port raus (aber die Anzahl der anschließbaren Geräte limitiert die Anzahl der VLANs). Mehrere Geräte auf dem selben VLAN geht auch, dann braucht es eine Bridge.
Ergo: Du kannst die Nicht-WAN-Anschlüsse genauso nutzen wie einen managebaren Switch. Die Anzahl der Ports muss nur >= der Anzahl der angeschlossenen Geräte + 1 (WAN) sein. Es gibt übrigens von den China-Boxen auch welche mit 6 und 8 Ports.
Danke für die Antworten.
Also ich würde, wie meyergru geschrieben hat, als Notlösung folgendes Zenario anwenden:
Internet <-> FB <-> Firewall ( Firewall Router Mini PC N100 für pfSense/OPNsense/OpenWrt/Proxmox/AESNI, Lüfterlose Firewall Appliance VPN Server mit DDR5 8GB 128GB NVMe SSD ) <-> Switch ( YuLinca 6 Port 2.5G Easy Web Managed Switch, 4 x 2.5Gbps Base-T Ports und 2 x 10G SFP+ Slot, unterstützt LACP/QOS/VLAN/IGMP, Mini Metal Fanless 2.5Gb Managed Switch ) <-> Bitcoin Node, DLAN <-> über DLAN/WIFI alle anderen Geräte ( Notebook, TV, Radio usw.)
Hoffe es ist ersichtlich was ich meine.
Sonnige Grüße
Ist die Hardware für das Vorhaben ausreichend?
Sonnige Grüße
Quote from: viragomann on May 06, 2025, 10:21:51 AMHallo!
[quoe Das hängt davon ab, wie viele Netzwerksegmente du haben möchtest (WAN, LAN, DMZ, Gast, IoT).
Also Gast brauch ich nicht. Habe keine Gäste ;-)
IoT weiß ich nicht was das ist, also nein.
DMZ versuche ich zu vermeide.
Bleiben WAN und LAN
Sonnige Grüße
Quote from: alfred_e1 on May 06, 2025, 12:27:20 PMIoT weiß ich nicht was das ist, also nein.
Internet der Dinge (TV, Internetradio, Kühlschrank, Heizung,...). Geräte, die üblicherweise Internetzugriff haben wollen oder müssen und auf die man eventuell auch von seinem Rechner aus zugreift.
Ich kann mir nicht vorstellen, dass man 2025 noch daran vorbei kommt.
Aber solche Geräte möchte ich nicht im selben Subnetz mit meinem PC oder Server haben.
Quote from: alfred_e1 on May 06, 2025, 12:27:20 PMDMZ versuche ich zu vermeide.
Demilitarisierte Zone. Geräte / Maschinen, auf die vom Internet aus zugegriffen wird, bspw. Webserver.
Sollte vielleicht noch ergänzen, dass die Separation von IoT Geräten die Zugriffe darauf oft erschwert, doch gibt es Lösungen.
Hab mich gerade auch darüber informiert.
Du hast recht, das braucht man.
Tja, manchmal ist Hirn etwas langsam. ;-)
OK, überzeugt. DMZ brauch ich dann auch noch.
Also alles ausser Gast.
IoT = Internet of Things, also z.B. alle cloudbasierten Sensoren, vernetzten Küchengeräte usw., im weiteren Sinn aber alles, was Deine Firewall durchlöchert, indem es "nach Hause telefoniert", also auch Smart-TVs usw. Solche Geräte haben eigentlich nichts in Deinem LAN zu suchen (oder eben nur per Firewall kontrolliert).
Die DMZ wäre für alles, was gehackt werden kann, weil es von außen zugänglich gemacht wird, also Dein Bitcoin Fullnode - auch der hat im LAN nichts zu suchen.
Wenn Du das beides nicht brauchst, stellt sich mir die Frage, wozu Du eine OpnSense überhaupt einsetzen willst? Reine Abschottung von WAN zu LAN per NAT kann die Fritzbox genauso.
Was die Hardware angeht:
Ich glaube, die DLAN-Geräte können keine VLANs bzw. mehrere SSIDs. Damit geht eben genau die Netzsegmentierung nicht, obwohl sie wichtig wäre, weil die meisten IoT-Geräte ja gerade per WLAN verbunden sind. Geeignet sind Unifi oder Mikrotik, bedingt auch TP-Link, wobei da die Konfiguration m.W. grottig ist.
Wenn Du beim Switch schon einen mit SFP+ nutzt, kannst Du auch so eine Box nehmen, die hat auch SFP+ und kann dann per DAC-Kabel verbunden werden:
https://www.amazon.de/FakestarPC-Industrial-Firewall-Appliance-pf-Sense/dp/B0DZ6GHM82?th=1
Damit lassen sich dann ggf. VLANs mit 10 Gbps über den Uplink verbinden - der Inter-VLAN-Traffic läuft ja zweimal über die physische Schnittstelle.
Es gib immer Lösungen. Die Frage ist nur, ob das alles mein Hirn verarbeiten kann. Ist im Moment ziemlich viel für mich.
Aber ich beiß mich irgendwie durch. Auf das ich weiter nerve. :-))
Es gibt ja hilfsbereite Menschen hier. :-)
Grüße
Quote from: meyergru on May 06, 2025, 12:41:40 PMWas die Hardware angeht:
Ich glaube, die DLAN-Geräte können keine VLANs bzw. mehrere SSIDs. Damit geht eben genau die Netzsegmentierung nicht, obwohl sie wichtig wäre, weil die meisten IoT-Geräte ja gerade per WLAN verbunden sind. Geeignet sind Unifi oder Mikrotik, bedingt auch TP-Link, wobei da die Konfiguration m.W. grottig ist.
Wenn Du beim Switch schon einen mit SFP+ nutzt, kannst Du auch so eine Box nehmen, die hat auch SFP+ und kann dann per DAC-Kabel verbunden werden:
https://www.amazon.de/FakestarPC-Industrial-Firewall-Appliance-pf-Sense/dp/B0DZ6GHM82?th=1
Damit lassen sich dann ggf. VLANs mit 10 Gbps über den Uplink verbinden - der Inter-VLAN-Traffic läuft ja zweimal über die physische Schnittstelle.
Des heißt mit anderen Worten, dass ich meine Hausinstallation mit dem DLAN in die Tonne haue und statt dessen vom Keller bis in den 1 Stock von Unifi oder Mikrotik per Wifi alles neu machen müsste.
Seh ich das richtig?
Quote from: viragomann on May 06, 2025, 12:46:46 PMEs gibt ja hilfsbereite Menschen hier. :-)
Grüße
Bin euch auch sehr Dankbar!!!!!!
I geb euch a Hoibe aus. Kommt`s vorbei.
Nur bedenkt, ich habe kein GASTnetz. ;-)
Quote from: alfred_e1 on May 06, 2025, 12:56:03 PMDes heißt mit anderen Worten, dass ich meine Hausinstallation mit dem DLAN in die Tonne haue
Wenn das Ding routing-fähig ist, könnte man darüber eine Transitnetz aufbauen, bspw. um OPNsense an die FB anzubinden. Ich weiß nicht, wie deine örtlichen Begebenheiten und die aktuell Installation aussieht.
Edit:
Eigentlich braucht es dazu gar keine Routing-Fähigkeiten.
Quote from: alfred_e1 on May 06, 2025, 12:59:19 PMI geb euch a Hoibe aus. Kommt`s vorbei.
Nur bedenkt, ich habe kein GASTnetz. ;-)
Damit könnte ich leben. Mein mobiles Datenvolumen nutze ich meist zu knapp 2% aus. :-)
Was ich nicht ganz verstehe, mein devolo Dinrail 1200 für den Schaltschrank wandelt doch nur das Signal von LAN um um über das Stromnetz zu transportieren und auf der Endseite wieder zurück in ein LAN oder Wifi Signal.
Für mich ist das ganze doch nur ein Kabel. Ob LAN Kabel oder Strom Kabel. Warum sollte es nicht so funktionieren wie beschrieben.
Ja, ich vermute es auch so. Hatte meinen Beitrag oben auch schon editiert.
Ich denke, es verhält sich wie ein Kabel (eigentlich eine Bridge). Aber vielleicht weiß jemand anders mehr.
Also warum sollte es nach meiner Auflistung denn nicht so klappen?
Gut, die Aufteilung der Geräte in verschiedene Gruppen kann ich verstehen. Wobei ich die Bitcoin Fullnode gerne in eine gesicherte Gruppe hätte.
Wenn ich dann die Hardware kaufe die meyegru vorgeschlagen hat, brauche ich dann keinen Switch mehr?
Quote from: meyergru on May 06, 2025, 12:41:40 PMWenn Du beim Switch schon einen mit SFP+ nutzt, kannst Du auch so eine Box nehmen, die hat auch SFP+ und kann dann per DAC-Kabel verbunden werden:
https://www.amazon.de/FakestarPC-Industrial-Firewall-Appliance-pf-Sense/dp/B0DZ6GHM82?th=1
Damit lassen sich dann ggf. VLANs mit 10 Gbps über den Uplink verbinden - der Inter-VLAN-Traffic läuft ja zweimal über die physische Schnittstelle.
Jetzt ist es mir klar was du meinst.
Die vorgeschlagene Hrdware von dir mit SFP+ zu der FB verbinden!? Richtig?
Dann trotzdem noch einen Switch. Richtig?
Wie gesagt, bin mit den Fachbegriffe noch auf Kriegsfuß. ;-)
Quote from: alfred_e1 on May 06, 2025, 04:35:53 PMDie vorgeschlagene Hrdware von dir mit SFP+ zu der FB verbinden!? Richtig?
Hat die Fritzbox SFP+? Gibt es sowas inzwischen?
@meyergru meinte sicher, die OPNsense und den Switch mit SFP+ miteinander verbinden.
Korrekt. Switch und OpnSense. Schließlich ist die dann der Haupt-Router, der den Verkehr zwischen den VLANs regelt. Der Traffic zwischen FB und OpnSense ist ausschließlich Internet-Verkehr, der wird kaum mehr als 1 Gbps erreichen - dort nutzt 10 GBit also eher nichts.
Ah ok.