OPNsense Forum
International Forums => German - Deutsch => Topic started by: christian.uhlmann on January 29, 2019, 10:58:26 am
-
Hallo zusammen,
ich habe eine Frage zum Routing zwischen 2 privaten Netzen.
Als Version kommt bei mir die aktuellste zum Einsatz: OPNsense 18.7.10_3-amd64
Meine Umgebung
Ich nutze opensense als Router für mein Netzwerk, die Verbindung wird über pppoe als WAN Interface an Netzwerkschnittstelle xn3 hergestellt.
Der Internetzugriff Funktioniert auch einwandfrei, Firewallregeln und Portforwarding klappen auch.
Ich muss noch darauf Hinweisen, das ein Multiwan Setup mal Grundlegend aufgebaut wurde, allerdings momentan ist die zweite Verbindung nicht aktiv, da ich aber schon ein paar mal etwas gefunden haben, das mit Multiwan und Routing einiges besonderes beachtet werden muss.
Wie auch immer, die Firewall Regeln nutzen das Gruppengateway allerdings mit nur einem aktiv WAN Adapter.
Als LAN Netzwerk nutze ich 192.168.126.0/24 opensense und damit das Gateway für das Netzwerk ist die 192.168.126.9.
Anbindung fremdes Netz über OPT1/xn5
Nun habe ich über VLAN in der Switch Konfiguration ein Fremdes Netzwerk angebunden.
Interface heißt LAN_138 auf der Netzwerkkarte xn5, IP Adresse 192.168.138.9.
Bei dem Netz handelt handelt es sich um eine Fritzbox mit dem Netz 192.168.138.0/24, die Fritzbox hat die 192.168.138.99. In der Fritzbox ist eine IPv4 Route eingestellt: 192.168.126.0/24 über Gateway 192.168.138.9.
Ein Ping (und auch ein Terlnet auf Port 80) von der opnsense Kiste auf die Fritzbox klappt, der Datenverkehr in das fremde Netz ist also hergestellt.
Das Problem
Ab jetzt bin ich mir unsicher was getan werden muss, damit ich von einem Client aus meinem LAN Netz (192.168.126.0/24) auf die Fritzbox bzw. auf das Fritzboxnetz (192.168.138.0/24) zugreifen kann.
Die opnsense soll die Daten zwischen den beiden Netzen routen, kein NAT und erst mal keine Firewall Regeln.
Wenn ich an einem Client im LAN Netz (192.168.126.0/24) ein Traceroute durchführe, sehe ich dass dies über das WAN Interface der opnsense versucht wird.
tracert -d 192.168.138.99
Routenverfolgung zu 192.168.138.99 über maximal 30 Hops
1 1 ms <1 ms <1 ms 192.168.126.9
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * 62.155.243.54 meldet: Zielhost nicht erreichbar.
Ablaufverfolgung beendet.
Dazu habe ich schon mal gelesen (allerdings im pfsense Umfeld) dass hier das Outbound NAT auf manuell gestellt werden muss. Da hapert es aber schon, ich weiß nicht genau wie ich das richtig einstellen muss. Folgendes habe ich bisher mal eingestellt:
Bild im Attachment: OPNsense_OutboundNAT.PNG
Leider hat das nicht geholfen.
Ich hoffe es gibt hier jemand, der mir auf die Sprünge helfen kann.
Vielen Dank und Grüße
Christian
P.S.: OPNsense läuft auf einem XCP-NG Server (freier XENSERVER), sollte das von interesse sein
P.S.S.: dieses zweite Netz möchte ich evtl. irgendwann mal als zweites WAN Interface für Load Balancing bzw. Fall Back Leitung nutzen. aber das hat sehr niedrige Prio
-
Wenn ich an einem Client im LAN Netz (192.168.126.0/24) ein Traceroute durchführe, sehe ich dass dies über das WAN Interface der opnsense versucht wird.
Wähle beim Tracroute das Interface OPT1 (Gib dem Interface vielleicht noch einen guten Namen, wie DMZ oder der gleichen). Du kannst ja den Traceroute von jedem Möglichen Interface aus angehen.
Wenn aber der Ping von der FW geht, funktioniert auch das Routing in das Netzwerk (klar, da Interface OPT1 genau in dem Netz ist).
Hast du eine statische Route auf der Fritzbox und der OPNSense konfiguriert?
Die Sense braucht auch eine statische Route, damit Sie weiss welchen Traffic wo lang laufen muss. Ansonsten gehts immer durchs WAN raus.
Sind beide statischen Routen gesetzt, kannst du alles mal von einem Client im LAN der OPNSense testen (ping, trancroute).
Der Traffic sollte nun ankommen und die Fritzbox oder eventuelle Geräte, die bereits im neuen Netzwerk sind, sollten erreichbar sein. :)
-
PS: Das Outbound_NAT ist nicht nötig.
Dadurch wird die LAN IP der OPNSense in den Netzwerk genatet, so wie ich es verstehe.
Du brauchst nur statische Routen definieren.
-
Um eine statische Route zu definieren auf der OPNSense, brauchst du folgendes.
Die Konfiguration des Gateways unter den Gateway-Einstellungen (Die Fritzbox muss dort hinzugefügt werden). Zu beachten ist die Schnittstelle, diese muss auf OPT1 gestellt werden. Andressfamillie kann auf IPv4 bleiben. Den Namen kannst du selber setzen, genauso wie die Beschreibung. Der Gateway ist die IP der Fritzbox. Dies ist natürlich kein Default Gateway (Der normale Internettraffic soll wahrscheinlich immer noch über die OPNSense laufen). Der Gateway ist auch kein ferner Gateway. Die Gatewayüberwachung kannst nach belieben ein oder ausschalten. Damit überprüft die FW ob die Verbindung zum Gateway steht. Der Rest kann default bleiben.
Nach der Gatewaykonfiguration kannst du eine statische Route festlegen. Unter Routen -> Konfiguration auf das Plus unten in der Tabelle klicken und die 3 Felder ausfüllen:
- Netzwerkadresse (192.168.138.0/24)
- Gateway (der erstellte Gateway auswählen)
- Beschreibung kannst du selber definieren
Und siehe da, es funktioniert :)
-
Hallo BMG,
danke für deinen Input.
Zuerst mal eine Frage: Warum brauche ich ein Gateway und eine statische Route?
Die OPNsense Kiste hat doch eine IP im Zieladressbereich und ist damit schon im anderen Netz.
Der Ping (und auch per telnet Port 80 ein get liefert ein Ergebnis) geht ja auch zur Fritzbox.
Damit ist das Zielnetz für die OPNsense erreichbar ohne ein weiteres Gateway, ein weiteres Gateway braucht man ja nur, wenn man noch nicht selber im Zielnetz sitzt.
Die Routing Tabellen (netstat -r) sehen auch ohne Gateway und statischer Route gleich aus.
Dennoch habe ich deine Hinweise umgesetzt, aber es ist das selbe Phänomen.
Wenn ein Client im LAN (192.168.126.0/24 als Gateway hat es die OPNsense IP 192.168.126.9) ein Traceroute startet kommt das bekannt Ergebnis wie im ersten Post, die IP des WAN Gateway liefert eine Timeout, klar, weil der Adressbereich nicht über das WAN Gateway geroutet wird, soll er ja auch nicht.
Ich verstehe nicht, warum die OPNsense hier nicht wie erwartet als Router zwischen den Subnetzen arbeitet.
Meine Vermutung ist immer noch, das es etwas mit dem Outbound NAT zu tun hat.
Vielleicht hat noch mal jemand anderes einen Hinweis oder ggf. eine Lösung für mich?
Danke und Grüße
Christian
-
Hast du eine Policy gesetzt, dass die Netzwerke miteinander kommunizieren dürfen?
Die Firewall ist ja nicht nur ein Router. Du musst natürlich auch noch die Regel erstellen, dass sie durch darf.
Default ist ja, dass sie alles blockiert. Dadurch musst du es explizit definieren.
PS: hab das mit einem weiteren Netzwerker genausten angeschaut. :P
Gesendet von iPhone mit Tapatalk
-
Hallo BMG,
ja habe ich, hat aber erstmal nichts mit dem Problem zu tun, dass die OPNsense Kist, die als Router zwischen den Privaten netzen fungieren soll, die Pakete anscheinend an das WAN interface sendet, wie man weiter oben sehen kann.
Ich hoffe hier kann mal jemand helfen, der sich ein wenig mit dem Thema NAT auskennt im Zusammenhang mit OPNsense.
Grüße
Christian
-
Du brauchst denifitiv kein NAT dafür!
Naten musst du nur, wenn du ins öffentliche Netz möchtest (Grundstoff Netzwerk).
Was du brauchst ist eine statische Route zwischen den Netzwerken, da der Default GW im 192.168.138.0/24 die Fritzbox ist und der Default GW im 192.168.126.0/24 die OPNSense ist.
Dadurch braucht das Netz 192.168.138.0/24 eine Route in 192.168.126.0/24 über die OPNSense (was an der Fritzbox zu konfigurieren ist) und das gleiche umgekehrt (auf der OPNSense konfigutiert)
Gruss
MBG
Gesendet von iPhone mit Tapatalk
-
Hallo BMG,
vielen Dank nochmal für deine Hilfe. Auch ich kenne mich ein bisschen mit Netzwerken aus aber halt nur sehr wenig mit OPNsense. Das es kein NAT sein soll, steht schon in meinem Eingangspost.
Da ich mir aber sicher war, das hier ein anderes Problem vorliegt, habe ich mir noch eine zweite OPNsense installation ganz jungfräulich hingestellt. Siehe da, es klappt wie von mir geschrieben ohne Gateway und statische Route und ganz ohne Firewall Regel (nur die Standard, alles darf je Interface raus).
Dann musste es also an was anderem liegen, als ich dann die Multi-WAN Einstellungen entfernt habe, hat alles funktioniert.
Daher muss ich mich wohl erst mal in das Thema Multi-WAN und OPNsense einarbeiten.
Fazit:
- Routing geht ohne Gateway und static Route wie ich es auch mit meinen Basis Netzwerkkentnissen erwarte.
- Komplexe Dinge im OPNsense Umfeld muss man sich langsam näher (eine Erkentniss, die ich leider immer wieder mache :( )
Danke und Grüße
Christian