OPNsense Forum
International Forums => German - Deutsch => Topic started by: Amari on April 09, 2019, 12:27:47 pm
-
Hallo zusammen,
ich habe ein paar Anfängerfragen die sich mir gestellt haben während dem rumspielen mit OPNsense.
Und zwar habe ich eine NIC die im LAN hängt, auf der sich allerdings mehrere Subnets befinden sollen.
Ich möchte z.B. ein Netz für IOT Geräte und ein seperates für meine PCs. Allerdings sollen die PCs natürlich auf das IOT Netz zugreifen können. Wie mache ich das?
Ich habe an dieser Stelle glaube ich auch ein Verständnis Problem. Sind die virtuellen IPs der richtige Weg um einem Interface mehrere IPs zu geben?
Allerdings kann ich die VIPs nicht auswählen wenn ich eine Firewallregel anlegen möchte. Das IOT Netz soll natürlich keinen Zugriff auf das PC und VOIP Netz haben. z.B.
Brauche ich zusätzliche Firewallregeln um zwischen Subnetze zu routen?
Ich habe anbei auch mal euer Netzdiagram ausgefüllt. Vielleicht hilft es....
Ein Kunstwerk ist es nicht, ich gebs ja zu :D
WAN2 WAN1
: :
: Cable Vodaf. : DSL 1und1
: :
: :
.---+---. .--+--.
| | Modems | DSL |
'---+---' '--+---'
| |
Ethernet | | PPPoE
| |
| .-----------. |
+---| OPNsense |--+
'----+------'
|
LAN | PC NET / VOIP NET / IOT NET
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+-----...
(Clients/Servers) FB für voip
Eine andere Frage habe ich noch zu Hostnamen und DNS im lokalen Netz. Es wäre praktisch Server anhand ihrer hostnamen im LAN zu erreichen. Reicht es local als Domain zu nehmen? Kann ich auch eine echte tld dafür nehmen? Wenngleich die Erreichbarkeit von außen hier erstmal keine Rolle spielt.
Das scheint mit unbound und dhcp ja irgendwie zu funktionieren ? :)
Achja, was sind search domains? Wikipedias Antwort war mir etwas zu theoretisch. Verstehe immer noch nicht genau wofür diese eingesetzt werden.
vg Amari
-
Grüße.
Woher soll die Sense die anderen Subnetze auf dem gleichen Interface erkennen, wenn es nur eine Adresse hat?!?
Also meines Erachtens geht das nur mit VLAN.
Das heißt, du müßtest einen VLAN fähigen Switch zum Schalten nehmen und dort dann das physische Interface der OPNsense plus die Virtuellen auf die jeweiligen Ports einpflegen und dann abhängig vom Endgerät abgreifen.
Über die Firewall Regeln kannst du dann den Zugriff für das IoT Netz aus dem LAN machen.
Virtuelle IP's sind für die WAN Geschichte da. D.h., wenn dein Provider dir ein Netz anstelle nur einer IP zur Verfügung stellt.
Beim DNS bitte kein .local nehmen. Das ist für Avahi / Bonjour da.
Nimm irgendwas wie .localdomain oder .lan. Funzt eigentlich sehr gut.
-
Danke.
Deine Erklärung der virtual IPs macht Sinn. Dann ist das der falsche Weg.
Allerdings muss es auch ohne vLAN gehen. Eine Netzwerkkarte kann beliebig viele IPs haben, das funktioniert unter jedem Linux, also muss es auch in OPNsense / FreeBSD funktionieren. Die Frage ist nur wo es in der GUI versteckt ist. Meinetwegen auch über cli.
-
Kannst über Firewall: Virtual IPs: Settings beliebig viele IP-Aliase auf ein Interface legen.
Da es ohne VLANs schließlich auch nur ein Interface über das mehrere Subnetze laufen, kannst Du folglich in den Regeln auch nur das eine Interface auswählen. Für Deine "Netze" mußt Du halt entsprechende Aliase erstellen, dann kannst Du das schon in Regeln packen.
Problematisch wird es dann eher mit DHCP. Woher soll der wissen, ob es nun LAN, VoIP oder IoT ist? Außer Du hast da bestimmte Hersteller und kannst das auf MAC-Prefixe eingrenzen, aber ich vermute dann meckert OPNsense, wenn die IP-Range nicht in dem Subnetz des Interfaces liegt. Da wirste dann wohl eher statisch deine Adressen vergeben müssen.
Dir muß halt klar sein, daß ohne VLANs Deine Firewall mehr Makulatur ist und nicht wirklich eine Netztrennung macht. Ein Sniffer bekommt Traffic aus allen IP-Netzen mit und man braucht sich dann nur eine IP aus dem entsprechenden Subnetz geben, um ohne Firewall Zugriff auf das andere Netz zu haben. ;)
-
Hi,
oh also doch. Hm.
Habe die virtuelle IP nochmal angelegt und mit ifconfig überprüft. Das scheint also doch zu funktionieren.
vtnet0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=c00b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,LINKSTATE>
ether 1a:55:6f:77:e4:42
hwaddr 1a:55:6f:77:e4:42
inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
inet 192.168.20.254 netmask 0xffffff00 broadcast 192.168.20.255
inet6 fe80::1855:6fff:fe77:e442%vtnet0 prefixlen 64 scopeid 0x1
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet 10Gbase-T <full-duplex>
status: active
Ich kann auch problemlos von opnsense aus ein ping durchführen auf Geräte in beiden Netzen. Nur Ping von einem Subnetz ins andere funktioniert nicht. (10er > 192.168.20.0/24)
Aber in der ARP Tabelle auf der Opnsense Maschine taucht das Interface wo der Ping funktioniert hat auch auf.
Innerhalb eines Interfaces sollte ich doch kein Routing und auch keine Firewall Regeln brauchen? Oder was verstehe ich falsch?
-
Innerhalb eines Interfaces sollte ich doch kein Routing und auch keine Firewall Regeln brauchen?
Da Du auf dem Interface mehrere Subnetze laufen hast, musst Du natürlich routen. Weiß ja deine OPNsense nur durch die IP-Aliase, das es mehrere Netze gibt, aber denke nicht, das damit auch automatisch die nötigen Routen für das Interface angelegt werden.
Was die Firewallregeln angeht, gibt's glaub irgendwo Option, wo man aktivieren/deaktivieren kann, ob Traffic der auf dem selben Interface rausgeht, wo er reinkam, gefiltert werden soll.
-
Ahh, du hast recht. Hab die Firewall Einstellung gefunden. Scheint alleine aber noch nicht zu reichen.
Um statische Routen anzulegen muss man ja nun ein Gateway angeben. Allerdings habe ich nur Gateways für das WAN. Was geb ich den nun an.
Erstellt man ein extra Gateway? Um ehrlich zu sein, weiß ich garnicht was die Gateways im pfsense/opnsense Kontext bewirken. Vor allem da diese automatisch angelegt werden sobald ich ein WAN Interface konfiguriere.