OPNsense Forum
International Forums => German - Deutsch => Topic started by: thera on July 21, 2021, 02:22:16 pm
-
Hallo zusammen,
ich bin gerade etwas am Basteln und habe folgendes Szenario, was mir aber nicht ganz schlüssig ist:
Modem ist eine FB7590 (lässt sich gerade nicht einfach austauschen, soll eine Übergangslösung sein) Anschluss Telekom
Auf einem Server laufen 3 VMs mit je einer OPNSense und einem Anwednungsserver im Hintergrund
in der FB habe ich eine Route auf die OPNSense1 erstellt und die Option "Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (nicht empfohlen)" aktiviert. Die OPNSense steht ebenfalls auf PPPoE mit den Zugangsdaten der Telekom. Keine Internetverbindung oder Adresse an WAN.
Ziel:
Die OPNSense sollte für eine VPN die öffentliche IP am WAN erhalten (OPNSense1 LAN: 192.168.1.1 - WAN steht auf PPPoE). Wenn ich WAN auf DCHP stelle, bekommt der Testserver eine Internetverbindung und die OPNSENSE eine Adresse aus dem FB Netz. Aber ich kann darauf zugreifen.
OPNSense sollte nicht in das FB Netz Eingriff bekommen (192.168.4.XXX)
Sodass ich zu jeweils einer der drei Anwendungsserver ein VPN aufgestellt bekomme, diese aber niemals untereinander kommunizieren können, irgendwelche Einstellungen die auf ein internes Netz hinweisen sehen können oder sonstiges was sich hinter der Firewall verbirgt - VLAN sind keine Option.
Ich bedanke mich recht herzlich für jede Hilfreiche und weiterführende Antwort!
Grüße Thera
-
1. bitte einen grafischen netzwerkplan
2. ich verstehe nicht ganz was du meinst:
- wenn die vm´s nicht auf die fritzbox dürfen dann einfach in der sense eine regel anlegen
3. was meinst du im mit "mehrere OPNsense hinter Fritzbox Modem"
- du kannst nur einen pppoe verbindung aufbauen, sonst benötigst du für jede sense ein eigenes modem und auch einen eigenen tarif mit zugangsdaten um ins internet zu kommen
-
Hi micneu,
1. Plan anbei, ich hoffe es ist halbwegs verständlich
2. ja, die Frage wäre aber, lässt sich das realisieren, ohne das man etwas in der OPNSense anlegen muss, sodass er das FB Netz am besten gar nicht kennt, sondern direkt Bridge über die FB ins WAN geht?
3. das mit PPPoE habe ich so verstanden, dass mehrere Geräte mit den gleichen Daten einen Zugang aufbauen können.
Ist das überhaupt der richtige Ansatz? Im Prinzip hat das ja einen Rechenzentrum-Charakter. Die FB kann ja keinen Bridgemode - das wäre natürlich die alternative hier noch ein anderes Modem einzubauen.
Im Prinzip will ich nachher nur einzelne VPN zu den entsprechenden Servern aufbauen, ohne das ich nachher 3 unterschiedliche Internetverträge brauch, sollte ja auch irgendwie möglich sein. Mehrere öffentliche IP Adressen lassen sich ja nachher problemlos hinzubuchen.
Ich hatte mal noch etwas zum Thema Reversproxy gelesen, bin aber recht frisch in dem Thema und taste mich da langsam ran.
-
Warum mehrere OPNsensen?
Eine OPNsense kann mehrere IPs haben am WAN. Stichwort virtuelle IPs.
Dann kannst in der Sense Port forwarding machen. Und zwar für jede IP gesondert.
Ich weiß nicht ob mehrer ips an der FritzBox via PPOE gehen.
-
genau, warum mehrer opnsense, mach doch eine mit mehren LAN´s
und entsprechend firewall regeln.
ich hatte es bei meiner sense auch so
mein LAN und mein gäste netz.
1. nimm doch einfach ein modem z.b. draytek vigor 165.
ich habe versucht das grafisch darzustellen
-
Hi micneu,
Genau das ist aber die Herausforderung. Ich brauche für jeden Server eine Opnsense da es verschiedene Kunden betrifft. Jeder Kunde muss nachher die Option haben seine eigene Sense zu verwalten. Deshalb sind VLAN wie gesagt keine Option.
Das viel grundlegendere Problem ist aber die öffentliche IP an die Sense zu bekommen. Aktuell habe ich nur eine einzige (es sollen mal drei sein), sei mal dahingestellt oh das nachher klappt oder nicht. Draytek hatte ich mir auch schon überlegt, diese dann im Bridge Mode vermute ich?
-
die draytek vigor 165 wird so ausgeliefert das du es einfach anstecken kannst und gleich als modem nutzen (hatte ich damals mal)
- warum willst du für deine kunden an einem dsl sense für diese betreiben, macht das nicht mehr sin sowas in einem richtigen rechenzentrum zu machen und nicht mit einer dsl leitung (die warscheinlich nur 100mbit/s down und 40mbit/s up hat)?
das mit den kunden hatte ich so nicht verstanden und auch nicht aus deinem text gelesen, denn für mich hört sich dsl immer nach zuhause und nicht provider für was auch immer an.
-
Danke,
Ja, das ist die Teststellung. Unabhängig was beim Anbieter anliegt und wie es am einfachsten geht interessiert mich das, wie sich so etwas realisieren lässt. Hatte ich tatsächlich nicht dazu geschrieben. Sorry :)
-
Hallo,
wieso so umständlich? Wenn du mehrere öffentliche IP Adressen zur Verfügung hast ist es am einfachsten über D-NAT an den entsprechenden Server weiterzuleiten.
Stichworte sind D-NAT, S-NAT (Masquerading).
Ob du das mit einem DSL oder einer Standleitung machst ist vollkommen egal. Die Technik ist immer identisch!
Mach bloß kein Portforwarding von der Firewall zum Server!
Zugriff auf die Fritzbox entweder mit einer Regel in der Firewall unterbinden und/oder die Fritzbox ein LAN Heimnetz (immer Port 4 der FB) aktivieren und einrichten. Somit wird ebenfalls der Zugriff auf die Fritzbox Webseite unterbunden.
Fritzbox mit mehreren öffentlichen IP Adressen wird nicht funktionieren!
-
Wenn das eine Teststellung ist: Warum müssen dann - wenn es überhaupt mehrere Sensen sein müssen(!) - überhaupt öffentliche IPs auf dem WAN sein? Das macht doch dann gar kein Sinn? Für ne Teststellung ist das doch Mumpitz, da gehts doch nur drum zu testen und das kann ich auch, wenn die Fritte davor nicht bridged und meine Sense WANs im privaten Segment sind. Dann reiche ich eben diverse Ports von der Fritte an die Sensen dahiner weiter um Sachen zu testen und nachher hängt das ggf. in nem RZ mit echten Public IPs, da fällt dann der Kram der Fritte (Forwards etc.) einfach weg, aber die Sensen sind genauso zu handeln
Verstehe da den Sinn nicht ganz dahinter.
Zudem: Wenn es wichtig ist, dass jeder Kunde sein eigenes Interface konfigurieren kann mit Regeln (warum überhaupt?) kann man das mit Aliasen entsprechend vorbereiten und via API oder Skripting entsprechend an eine OPNsense anflanschen, so dass die über irgend eine schöne kleine UI sich Regeln klicken können und die eben dann auf dem entsprechenden VLAN in die Sense reingespielt werden. Komplex, sicher, aber wenn ich sowas anbiete, kann das ggf. sich schon lohnen, sowas zu tun.
-
Moin, moin Thera,
Ich habe Dich so verstanden, dass Du in einer VM eine OPNsense mit einem Server dahinter aufbauen willst und das ganze mehrfach, damit Deine Kunden die virtuellen Maschinen mit "nach Hause" nehmen können, wenn der Test erfolgreich war.
Mein Idee dazu: Du solltest zwischen der Fritz!Box und den virtuellen Maschinen einen Router (OPNsense) schalten, der als exposed Host in der Fritz!Box eingetragen wird. Darin konfigurierst Du die verschiedenen "Internet Netze" die in die virtuellen Maschinen laufen (siehe Bild). Ob Du für den ersten Router hinter der Fritz!Box ein Gerät mit entsprechend viele Interface wählst oder die "Interface Vermehrung" durch einen Managed Switch erledigst, der die VLANs des Routers auf unterschiedliche Kabel legt, ist eher eine Kostenfrage.
Gruß
Thomas