Hallo zusammen,
ich betreibe eine OPNsense-Firewall als virtuelle Maschine auf einem Proxmox VE-Host.
Die zugrunde liegende Hardware verfügt über fünf physische Ethernet-Ports, sodass eine physische Trennung der Netzsegmente möglich ist. In Proxmox habe ich zwei Netzwerk-Bridges (LinuxBridge) konfiguriert:
vmbr0 → WAN
vmbr1 → LAN
Ziel ist es, innerhalb eines bestehenden (Schul-)Netzwerks ein separates, eigenes Netzwerksegment über OPNsense zu betreiben.
Die OPNsense Installation in der VM verlief erfolgreich, ebenso die Zuweisung der Interfaces (WAN und LAN). Kurz nach der Inbetriebnahme wurde jedoch der Internetzugang seitens der zentralen IT unterbunden.
Laut Rückmeldung der Schul-IT wurde an einem Switch-Port ein DHCP-Server erkannt, woraufhin der Port automatisch gesperrt wurde. Offenbar wurde dies durch meine Installation ausgelöst.
Wichtig:
Auf dem WAN-Interface ist kein DHCP-Server aktiviert, nur das OPNsense eine IP via DHCP bekommt.
Hat jemand Erfahrung mit einem ähnlichen Setup (OPNsense hinter einem bestehenden, administrierten Netzwerk mit Port-Security/DHCP-Snooping)?
Welche typischen Konfigurationsfehler könnten dazu führen, dass ein DHCP-Server im Upstream-Netz erkannt wird, obwohl WAN korrekt konfiguriert ist?
Vielen Dank im Voraus für eure Unterstützung.
Viele Grüße
Opensenser
Hallo,
Quote from: opensenser on February 20, 2026, 04:45:25 PMIn Proxmox habe ich zwei Netzwerk-Bridges (LinuxBridge) konfiguriert:
vmbr0 → WAN
vmbr1 → LAN
und beide Bridges sind mit dem physischen Netz verbunden?
Das sollte man vermeiden. Und wenn, müsste es entsprechend konfiguriert werden, aber DHCP ginge da wohl nicht.
Quote from: opensenser on February 20, 2026, 04:45:25 PMZiel ist es, innerhalb eines bestehenden (Schul-)Netzwerks ein separates, eigenes Netzwerksegment über OPNsense zu betreiben.
Ein isoliertes Netzwerk auf Proxmox oder soll das ebenfalls im physischen Netz bereit stehen?
Ich habe dunkel in Errinnerung das die Opensens auf dem Internen Interface = LAN einen DHCP bereitstellt. Wenn der in eurem SchulInternet sichtbar ist stimmt was mit deiner Promox Konfig nicht.
Schließe mich den Vorrednern an,
allerdings wissen wir zu wenig über Eure Struktur, um konkrete Fehleranalysen machen zu können.
Eine weitere Möglichkeit ist es, dasss Du die beiden Interfaces vertauscht hast...sei es physikalisch oder über die Schnittstellenzuordnung.
Habt ihr denn überhaupt ein getrenntes LAN? Oder ist das alles ein flaches Netz, auch über die externe Anbindung hinaus? Wer stellt denn aktuell den DHCP-Server?
Fragen über Fragen, ohne DEtails läßt sich da nicht viel helfen.
/KNEBB