OPNsense Forum
International Forums => German - Deutsch => Topic started by: apexapollo on July 10, 2019, 09:57:58 am
-
Moin zusammen,
zuallererst einmal meine Situation und mein Setup:
Ich bin Azubi zum FiSi und mir wurde aufgetragen, einen ESXi-Server mit Netzwerk und eben auch Firewall zu schaffen.
Hierfür habe ich OPNsense zwei Mal im Einsatz, einmal als Outside Firewall und einmal als Inside Firewall. Eine weitere Inside Firewall von meinem Kollegen wird noch dazukommen.
Die Outside Firewall ist per LAN an mein Server-Netzwerk (192.168.10.0/24) angebunden (IP: 192.168.10.253) und per WAN an eine FritzBox (192.168.178.1/24).
Die Inside Firewall hingegen hängt per LAN im selben Server-Netzwerk (IP: 192.168.10.254). Auf dem ESX habe ich die Netzwerkkarte (bzw. den vSwitch) ein zweites Mal hinzugefügt, um ein "WAN"-Interface zu schaffen (OPT1) (IP: 192.168.10.252).
Beide Firewalls sind regeltechnisch momentan noch komplett offen, was sich jedoch natürlich noch ändern wird. Die Inside Firewall wird dann quasi dicht gemacht und nur noch bestimmte Sachen dürfen durch.
Die Outside Firewall hat als Standardgateway die FritzBox, die Inside Firewall die Outside Firewall.
Die beiden Firewalls können sich auch problemlos anpingen.
Ich kriege es allerdings nicht hin, Internet auf die Inside Firewall zu bekommen.
Habt ihr da irgendeine Idee oder stehe ich einfach auf dem Schlauch?
Beachtet bitte, dass ich ein blutiger Anfänger bin was Firewalls angeht, da ich davor noch nie damit gearbeitet habe.
-
Halo apexapollo
erstmal die grundlegene Frage... Warum eine "Outside" und ein "Inside" Firewall?
Und dann noch warum die Inside Firewall parrallel zur Outside Firewall?
-
Hi,
also das mit den beiden Firewalls wurde mir von meinem Vorgesetzten so vorgegeben.
Die Inside Firewall soll am Ende den Traffic zwischen meinem Server-Netz (.10.x) und dem dazugehörigen Client-Netz (.20.x), was irgendwann auch noch dazukommt, regeln.
Die Outside Firewall agiert in dem Sinne nur als Schleuse zur FritzBox.
Ursprünglich sollte diese Outside Firewall auch noch einmal in einem anderen Netz liegen und von meinem Server-Netz abgetrennt sein, das hat sich der Einfachheit halber aber erübrigt.
Am Ende des Tages sollen mein Azubi-Kollege und ich das alles beide mal gemacht haben.
Wie gesagt, von ihm kommt auch noch eine Inside Firewall dazu. Er wird dann dasselbe machen wie ich, nur mit anderen IPs und wird dann die Outside Firewall in meinem Server-Netz als Gateway nutzen.
-
Hi nochmal,
das Problem ist teilweise gelöst.
Ich war so blöd und hab Port Forwarding nicht angemacht.
Nachdem ich alles freigegeben habe funktioniert jetzt der Ping nach draußen.
Und damit meine ich ausschließlich den Ping. Trace Route funktioniert zwar auch, jedoch findet er nur den Ziel-Hop.
Z.B. wenn ich den Google DNS anroute, zeigt er mir als einzigen Hop die 8.8.8.8 an, statt die 9 anderen dazwischen.
Updates kann ich auch keine ziehen, da kommt der Fehler "Could not authenticate the selected mirror".
Das Problem habe ich auch nicht nur mit dem "selected" Mirror, sondern mit allen.
Kennt da wer einen Ansatz? Sieht für mich nämlich so aus, als wäre auf der Outside Firewall noch was falsch/nicht konfiguriert.
VG