OPNsense Forum
International Forums => German - Deutsch => Topic started by: meschmesch on October 11, 2020, 07:02:04 pm
-
Hallo,
beim mir läuft WAN - Fritzbox - OPNsense - LAN. Das Netz der Fritzbox ist 192.168.1.0 und OPNsense erhält die 192.168.1.1. Das LAN läuft auf 192.168.2.0.
So wie ich verstanden habe, macht nun sowohl die Fritzbox als auch OPNsense NAT. Warum ist das ineffektiv - Probleme bemerke ich keine?
Wie kann so ein doppeltes NAT vermieden werden?
Danke und sorry für die doofen Fragen :-[
LG
-
nutz doch einfach die forum suche, wurde schon öfter thematisiert.
-
Hab ich, aber nicht wirklich verstanden gebe ich ehrlich zu. Bridge mode an der Fritzbox habe ich nicht. Bleibt als Einstellung an der Fritzbox nur noch exposed host für opnsense. Ok. War das dann schon alles?
Ist opnsense dann weiterhin exakt so konfiguriert wie ohne exposed host?
Benötigt es irgendwelche static routes auf der Fritzbox?
Sorry.
-
Welche Fritzbox hast du?
Meine gingen bisher immer in den Bridge Modus
-
6591 Vodafone Kabel branding. Unabhängig davon benötige ich die DECT Funktion und damit Telefonfunktionalität.
-
Ich bau das dann immer so, dass die Fritzbox die Internetverbindung bereit stellt und ich dann per statischer Routen auf der FritzBox die internen Netze auf die WAN IP der OPNsense weiterleite. An der OPNsense wird dann SNAT deaktiviert. Doppeltes NAT ist weg und Du kannst fein justieren was aus dem FritzBox Netz in Dein Netz hinter der OPNsense darf.
Entweder ist die OPNsense dann bei der FritzBox als Exposed Host deklariert oder Du leitest nur die Ports weiter, die wirklich gebraucht werden (mache ich eher so).
-
Das ist doch mal ne brauchbare Aussage, danke. Das heißt, ich trage in der Fritzbox für jedes Subnetz hinter der OPNsense eine direkte Route ein? Also OPNsense hat WAN Adresse 192.168.1.2 mit Subnetz ...2.0 und ...3.0
Static Route 1: 192.168.2.0, Netzmaske 255.255.255.0 und Gateway? Ist das die WAN Adresse?
Static Route 2: 192.168.3.0, und der Rest identisch mit Static Route 1?
-
Genau, Gateway ist dann die WAN IP von der OPNsense, in Deinem Beispiel die 192.168.1.2
-
ok. Und die Port-Weiterleitung in der Fritzbox läuft dann auf die Ziel IP (also z.B. .2.100) oder auf die WAN Adresse? Ich nehme an die Ziel IP. Und wenn dem so ist, dann benötige ich in der OPNsense auch kein Forwarding mehr (bisher WAN-IP 1.2 auf die interne IP .2.100), richtig?
Du hast geschrieben, dass ich SNAT deaktiviere. Ist das Setzen von "Disable outbound NAT rule generation"?
-
Genau, outbound NAT abschalten.
Wenn Du Port Forwarding auf Geräte hinter der OPNsense betreiben willst, dann geht das wie von Dir beschrieben. Es gab mal einen Bug in einer FritzBox Firmware, wo man die Forwards nicht auf Geräte außerhalb des FritzBox Netzes einstellen konnte. Ist aber in aktuellen Firmwares behoben. Forwarding brauchst Du an der OPNsense dann nicht mehr. Nur noch eine Firewall Regel, die das erlaubt.
-
ok probiere ich aus. Danke für die mega konstruktive Hilfe!!!!
-
Hallo zusammen,
interessantes Thema....
Meine Frage ist, wo das Problem ist, hier doppeltes NAT zu machen? Ich habe seit fast 2 Jahren die gleiche Konfig wie Meschmesch und bisher keine jeglichen Probleme feststellen können. Auch nicht in der Performance.
Der einzige Unterschied ist, dass die Mac-Adresse von der Sense auf der Fritzbox reserviert ist, damit sie immer die gleiche IP bekommt. Der Vorteil dieser Konfig ist, dass man ein "Hintertürchen" hat, falls die Sense (aus welchen Gründen auch immer) kein Internet mehr aufbaut.
So kannst man schnell via Fritzbox ins WAN, hast doppelte FW- Funktionalität und erleichtert das Troubleshooting.
-
Ich sehe es anders, es macht alles komplexer, du hast deine wan ip nicht direkt auf der Sense
Ich habe von Anfang an mein Setup mit einem Modem betrieben
Gesendet von iPhone mit Tapatalk Pro
-
Nun, im Endeffekt muss jeder für sich entscheiden, was für seine Umgebung die beste Lösung ist. Aber es ist positiv, auch mal mehrere Varianten hier zu erfahren.
-
Ich sehe es anders, es macht alles komplexer, du hast deine wan ip nicht direkt auf der Sense
Ich habe von Anfang an mein Setup mit einem Modem betrieben
Gesendet von iPhone mit Tapatalk Pro
Wenn man nur eine aktuelle FritzBox rumstehen hat, fällt das aber aus, da sie sich nicht mehr als reines Modem betreiben lassen wollen. Da muss man dann erstmal Geld in ein reines Modem investieren.
An einem Firmenstandort bin ich da ganz bei dir, da ist die WAN Strecke direkt an der OPNsense.
Zu Hause zum Rantasten finde ich das Setup so ganz gut, da man viel testen kann ohne die gesamte Internetverbindung für alle Familienmitglieder zu stören.
Gerade wenn die Fritzbox auch Telefonie macht und man Magenta TV/IPTV nutzt, kann einem da einiges auf die Füße fallen.
-
Hallo zusammen,
interessantes Thema....
Meine Frage ist, wo das Problem ist, hier doppeltes NAT zu machen? Ich habe seit fast 2 Jahren die gleiche Konfig wie Meschmesch und bisher keine jeglichen Probleme feststellen können. Auch nicht in der Performance.
Der einzige Unterschied ist, dass die Mac-Adresse von der Sense auf der Fritzbox reserviert ist, damit sie immer die gleiche IP bekommt. Der Vorteil dieser Konfig ist, dass man ein "Hintertürchen" hat, falls die Sense (aus welchen Gründen auch immer) kein Internet mehr aufbaut.
So kannst man schnell via Fritzbox ins WAN, hast doppelte FW- Funktionalität und erleichtert das Troubleshooting.
Ich habe mit doppeltem NAT schon ziemlich viele nervige Probleme gehabt. Wenn man die MTU richtig justiert funktioniert es zwar aber ich sehe den Sinn dahinter nicht die Pakete 2x umverpacken zu müssen. Bei falschen MTU Werten bekommst Du u.a. Probleme bei zu großen DNS Antworten. UDP mag das gar nicht.
Abgesehen davon ist es so einfacher direkte Verbindungen von Clients aus dem Fritzbox Netz an Clients aus dem OPNsense Netz herzustellen. Braucht man kein Port Forward mehr (Port 443 doppelt belegen wird auch schwierig)
-
ich habe von meinem setup zuhause gesprochen, und wenn man schon eine sense einsetzen will, dann sollten die paar € einem auch nicht wehtun.
-
ich habe von meinem setup zuhause gesprochen, und wenn man schon eine sense einsetzen will, dann sollten die paar € einem auch nicht wehtun.
Inzwischen hab ich auch genug Erfahrungen mit der OPNsense gemacht, um mein Netzwerk entsprechend umzustellen. Bisher sehe ich den Grund noch nicht unbedingt. Es funktioniert alles ziemlich prima.
Ich fand es gerade in den ersten Monaten ganz praktisch meine Familie mit meinen Tests nicht immer zu stören.
Aber wenn man es richtig machen will, sollte die sense schon die WAN Verbindung kontrollieren.