Hallo Zusammen,
ich bin im Bereich OPNsense noch ziemlich neu und versuche hier einen einzurichten. Da ich die alte aktuelle Konfiguration hier im Haus nicht komplett abschalten, muss ich versuchen die OPN parallel ein zu richten.
Aktuelle Lage:
Hier im Netz befinden sich zwei alte IPCop Server mit jeweils einem eigenen Netz, WAN und VPN Verbindungen. Ich möchte diese IPCops nun austauschen und habe mich dazu mit OPN beschäftigt. Die Installation hat, auch dank Hilfe hier im Forum, geklappt und ich habe denke ich mal, eine Grundkonfiguration hin bekommen.
Nun habe ich von VLANs gelesen und hoffe das das für mein vorhaben das richtige ist. Wenn ich es richtig verstanden habe, dann kann ich doch einfach erklärt, meine beiden vorhandenen IPCop Netzte als VLAN auf der OPN einrichten so das sich beide Netze miteinander "unterhalten" können und auch normals ins WAN kommen. Das wäre soweit richtig oder?
Mein Problem ist leider, dass ich halt die alten IPCops nicht abschalten kann. Daher der parallele Versuch. Ich habe jetzt folgende Netze
IPCop1 172.25.31.0 Netz
IPCop2 145.243.92.0 Netz
OPN 10.0.0.0
VLAN93 172.25.31.254
Switch tp-link T1600G-52TS
OPN ist mit einem Kabel am Switch für das IPCop1 Netz angeschlossen.
Ein bischen gelesen habe ich inzwischen über die VLANs auch. Dabei kommt wohl auch der Switch zum tragen den ich hier nutze. Ich habe nun auf der OPN das VLAN93 angelegt. Als ipv4 habe ich dabei 172.25.31.254 vergeben. Als VLAN Tag die 93. In der Firewall habe ich jetzt eine Regel erstellt, dass der eine PC im OPN Netz alles ins VLAN93 machen darf. Der Ping auf das VLAN93 (172.25.31.254) funktioniert. Denke mal das klappt, weil die IP auf der OPN bereit gestellt wird.
Ich habe mich nun in die Oberfläche vom Switch eingeloggt. Dort gibt es unter L2 Features den Punkt 802.1Q VLAN mit dem VLAN System-VLAN, VLAN ID 1 und dort sind dann alle Ports ausgewählt. Ich habe nun einen neuen Eintrag erstellt. VLAN ID 93 und dort den Port ausgewählt wo mein Kabel von der OPN angeschlossen ist. Das hatte noch keinen Erfolg. Ich kann nur die 254 anpingen, aber nichts anderes in dem Netz.
Meine Frage wäre jetzt, was muss ich noch einstellen? Kann mir da jemand helfen?
Danke im voraus
Falls Deine IPCops als Router fungieren, dann haben auch die ein WAN und ein LAN - was Du beschreibst, sind wohl eher die LAN-Ranges.
Hängen die mit dem WAN an Deiner OpnSense? Wenn ja, über einen Switch oder direkt an einem Port?
P.S.: 145.243.92.0 gehört zu einem routebaren Netz 145.243.0.0/17, das dem Axel Springer Verlag gehört. Deren IPs kannst Du nicht mehr erreichen, wenn Dein Routing in das lokale Netz verweist - aber das ist wohl eher ein Vorteil... ;-)
Also die IPCops fungieren beide als Router fürs WAN. Und hängen auch noch beide im LAN Netz. Sie sind beide mit einem Switch verbunden. Und hängen dadurch auch an meiner OpnSense. Also nicht über den WAN Port. Wobei das glaube ich auch nicht richtig ist. Wenn ich das inzwischen richtig deute sind die beiden IPCops über eine VPN Verbindung miteinander verbunden. Dadurch können die Rechner in beide Netze.
Ich habe versucht von dem PC der im Opn Netz hängt, einen PC im 172 Netz anzupingen. Das hat nicht geklappt. Kann es sein, dass der IPCop1 das blockt und es daher nicht funktioniert? Wenn ja, könnte ich das vielleicht damit umgehen, dass ich im Switch einen weiteren Port mit VLAN ID 93 konfiguriere und dann schaue ob ich den anpingen kann? Da wäre der IPCop dann nicht mehr relevant oder täusche ich mich da?
Müsste ich sonst im Switch noch was einstellen?
Edit:
Was meinst du mit einem routbarem Netz was Axel Springer gehört?
Uh-oh - Basic Networking 101. Bitte lies erst einmal dies (https://forum.opnsense.org/index.php?topic=42985.0).
1. In Deinem lokalen Netz solltest Du nur IPs aus den dafür vorgesehenen Bereichen (RFC1918) verwenden. Diese werden benutzt, weil sie nicht mit IP-Adressen kollidieren, die anderen gehören. Wenn Du das ignorierst (was Du schon getan hast), kannst Du die Sites, die auf diesen IP gehostet werden. nicht mehr erreichen.
Wie man das richtig plant, wird hier (https://forum.opnsense.org/index.php?topic=47099.0) erläutert.
2. Du musst schon selbst wissen, was Deine IPcops wirklich tun. VPN, VLAN, "beide als Router fürs WAN" - hier geht alles bunt durcheinander. Zeichne Dir einen Netzwerkplan mit den dazugehörigen IP-Ranges (inklusive Subnetzen!) und zeig ihn hier. Dann kann man darüber reden, was Du erreichen willst.
P.S.: Das wird mit einer Erklärung à la "mach mal 1. das und 2. das" nicht abgehen, soviel ist es jetzt klar. Ich würde davon ausgehen, dass sinnvollerweise die IPcops abschaffen solltest. Alles andere würde nur unnötige Komplexität einbringen - nicht, Dir irgendetwas erleichtern, wie Du anzunehmen scheinst.
Das ganze ist hier eine alte Konfiguration. Daher auch noch das 145.243. Netz. Mein Ziel ist es am Ende ja auch die beiden IPCops abzuschalten und alles dann über die Opn laufen zu lassen.
Aktuell haben beide IPCops einen eigenen WAN Anschluss mit fester IP durch den ISP. Außerdem verwalten beide jeweils ein Netz die mittels VPN miteinander verbunden sind. Es laufen dort keine VLANS.
Mein Problem ist halt, ich kann die beiden IPCops nicht komplett abschalten ohne das die Opn läuft. Daher war meine Idee, erstmal das eine Netz einzubinden (172) und danach dann den zweiten.