OPNsense Forum
International Forums => German - Deutsch => Topic started by: axlemoxle on March 07, 2022, 05:18:26 pm
-
Hallo Forum,
ich bin dabei eine Opnsense aufzusetzen. Erreichen möchte ich dass ich 2 Lan Interfaces habe, die jeweils an eine Wohnung gehen. Es gibt gemeinsam genutzte Dinge im Netzwerk, daher hätte ich gerne den gleichen IP Adressbereich.
Jetzt gibt es ja mittlerweile so tolle Funktionen wie Youtube Streaming von Handy an TV (bzw. dass der TV überhaupt am Handy sichtbar wird), oder das Steuern von Sonos Lautsprechern via app....(ich denke auch via upnp)
Das soll natürlich nicht von der einen in die andere Wohnung stattfinden.
Wie gestalte ich das am einfachsten, dass Zugriff auf z.b. SMB Freigaben, Remotedesktops usw problemlos läuft aber sowas wie Sichtbarkeit TV usw nur in der jeweiligen Wohnung klappen....
Macht ein IP-Adressbereich Sinn ?? Besser 2 Subnetze ?? Funktioniert diese Streamingeschichte überhaupt über UPNP ?
Danke schonmal vorab
-
Keiner ne Idee????
-
Du kannst eine Bridge mit den beiden Interfaces konfigurieren. Dann hast du praktische einen 2-Port-Switch. Dann geht das mit dem einen Adressbereich.
Ausführliche Anleitung in der Doku:
https://docs.opnsense.org/manual/how-tos/lan_bridge.html
-
Soweit ich weiß funktionieren die Sonos Geschichten nicht über UPNP sondern über Multicast.
Nachdem was du beschreibst, würde ich 3 Netze aufziehen:
- Wohnung 1
- Wohnung 2
- Server/NAS/etc.
Dann eben „nur“ Zugriff von den Wohnungen ins Server/NAS-Netz, damit sollte es auch nicht dazu kommen, das das Handy in „Wohnung 1“ den TV in „Wohnung 2“ sieht/auf diesen streamen will.
MfG
Roland
-
Nachdem "Hilfe, Sonos funktioniert nicht über verschiedene Netze hinweg" hier ein Dauerbrenner ist, empfehle ich nach wie vor die Bridge.
-
So wie ich das verstanden habe, möchte @alxemosel dies ja genau so haben.
Also das die UPNP/Multicast Geschichten nicht über die Netze hinweg funktionieren.
Des Weiteren sollen aber RemoteDesktop, SMB-Freigaben etc. aus beiden Netzen erreichbar sein.
So habe ich es zumindest verstanden
-
Ach so - ich hatte mich an seinem "ein Adressbereich" aufgehängt. Nun ja, jetzt kann er sich ein Bild machen und entscheiden.
@alxemosel - ein Adressbereich heißt alle Geräte sehen alle anderen Geräte. Wenn du das nicht haben willst, dann musst du getrennte Adressbereiche verwenden.
-
Wenn er aber in jeder Wohnung das gleiche Netz (Die Gleiche Netz-Adresse) haben will, so müsste er mit NAT arbeiten, oder?
-
Geht nicht mit einem Device. Wenn ein Client mit 192.168.178.99 existiert - an welchem Interface hängt der dann?
Du kannst auf ein und demselben Gerät nicht zwei Interfaces mit demselben Prefix haben. So funktioniert IP nicht.
Mit zwei Geräten und NAT - klar. Und natürlich gibt es $KiSTEN, die sind von außen eine Maschine, aber innen drin mehrere unabhängige Instanzen und Doppel-NAT und lauter so unschönes Zeug ... :)
-
Wow, jetzt ist hier ja richtig Aktivität...danke erstmal...
Bin etwas ratlos ehrlichgesagt und suche nach der vernünftigsten Lösung.
Ein Adressbereich war daher die Idee, da ich dann nicht eventuelle Probleme mit verschiedenen Netzen haben, das Nas, Server usw nicht in der Netzwerkumgebung gesehen werden können usw....
Das war der Gedanke dahinter.
Ich dachte den Rest könnte dann die FW ja quasi regeln...
Nachdem "Hilfe, Sonos funktioniert nicht über verschiedene Netze hinweg" hier ein Dauerbrenner ist, empfehle ich nach wie vor die Bridge.
Wohnung 1
Wohnung 2
Server/NAS/etc.
Der Aufbaugedanke gefällt mir irgendwie...
Die nächste Frage die ich mir dann stelle ist ob auf meinem Supermicro x11sba-ln4f Mainboard ich die Firewall besser direkt laufen lasse, oder virtualisiert in proxmox oder ähnlichem, damit ich noch weitere VM´s für Pihole oder so erstellen könnte....
Frage ist dann halt wieder ob das Board genug Leistung hat....
Fragen über Fragen...
-
Ja Moment ... :)
Sollen Geräte in beiden Wohnung sich jetzt gegenseitig sehen oder nicht? Wenn ja, dann Bridge. Dann sehen aber alle Geräte in Wohnung 1 alle Geräte in Wohnung 2.
Wenn nicht, dann zwei getrennte Adressbereiche. Hat denn dann jede Wohnung ihr eigenes NAS oder wie? Und weshalb sollten die unterschiedlichen Adressen dann Probleme machen?
Oder gilt: Geräte in Wohnung 1 und Geräte in Wohnung 2 sollen sich nicht sehen aber es gibt X (eher wenige) Geräte, die von beiden Wohnungen aus erreichbar sein sollen?
Gruß
Patrick
-
Ok, die ganze Sache ist ein bisschen komplizierter...
Die Wohnungen sind nicht im selben Gebäude, die beiden Gebäude sind mit einer Richtfunkstrecke verbunden.
Es gibt an beiden Standorten ein Nas, wobei das Haupt NAS und der Server an Standort A sind. An Standort B gibt es noch ein Nas, das speichert unter anderem die Überwachungskamerabilder der dort hängenden Kameras und dient als Backup von Standort A. Sonos gibts an beiden Standorten, genau so wie TV Geräte.
Der Internetzugang ist auch an Standort A und wird von allen genutzt.
von A soll Zugriff auf B für die Kameras, NAS, Zugangskontrollsystem usw. stattfinden. Der Server vom Zugangskontrollsystem steht z.b. an A, das System hängt aber an B.
Andersrum gibts an B auch ein Büro das auf Dienste des Servers an A zugreifen muss und auch das NAS an A erreichen sollte....
Aber eben die TV-Geräte sollten nur am jeweiligen Standort erscheinen und die Sonos Lautsprecher auch...damit nicht jemand von Standort A den TV an Standort B bedient...oder anders rum
Ich hoffe das ist halbwegs verständlich
-
Dann brauchst du zwei Adressbereiche. Und ein gepflegtes DNS, damit Dienste im jeweils anderen Bereich gefunden werden. Und einfach über die "Netzwerkumgebung" browsen funktioniert erstmal nur in jedem Bereich für sich. Je nach NAS kann da eines der Multicast-Repeater-Plugins helfen.
Aber das ganze klingt doch eindeutig gewerblich? Und deine Fragen nicht so als hättest du viel Erfahrung. Holt euch einen Profi, der das einrichtet und dich dabei einweist, was, warum, wieso ...
-
Von Opnsense habe ich bislang noch gar nix zu tun gehabt, daher arbeite ich mich da ja ein...
Ein Profi nützt mir nix da ich mich ja einarbeiten und damit auskennen möchte. So lernt man am Besten
Die Idee mit dem einen adressbereich kam mir ja eben wegen der Sichtbarkeit der Netzwerkumgebung....2 adressbereiche klingen einleuchtend...dann muss man eben über die ip arbeiten. Geht auch, das andere wäre halt.etwas schicker gewesen
-
Ein Profi hilft dir beim auskennen. Ein komplettes Setup in dieser Komplexität hier im Forum durchzukauen kostet Tage mit Stunden real verbratener Zeit und Ungenauigkeiten durch das dauernde hin und her.
Würde ich zu dir kommen, setzten wir uns eine Stunde hin, bemalen ein paar Blätter Papier und den Rest vom Tag würde ich das einrichten und dir dabei erklären, was ich tue. Kosten: 1 Manntag. Für einen weiteren halben Tag gibt's abschließend einen Netzplan und weitere Doku.
Ich werde nicht hier im Forum einen Tag für dich arbeiten. Und wahrscheinlich auch sonst niemand. Und dann kommt nich das Haftungsproblem dazu. Willst du allein verantwortlich für die Firewall dieser Firma sein? Wirklich?
-
Wer hat gesagt dass es eine Firma ist???
Egal, ich möchte deinen Dienst nicht in Anspruch nehmen und mich selbst einarbeiten....
Welcher Privatmann investiert 1.5 Arbeitstage eine Netzwerkarchitekten? Das übersteigt es etwas, denke ich
-
Du hast privat eine Richtfunkstrecke und Überwachungskameras??? WTF?
Ok, bei dem Scope können wir hier weiterbasteln. War dann wohl ein Mißverständnis meinerseits. Aber richte dich darauf ein, dass das, was du da bauen willst, die Komplexität von "1,5 Tagen Netzwerkarchitekt" hat. Das wird eine steile Lernkurve.
-
Ich Stelle mir das ehrlich gesagt nicht so komplex vor und die Sense hatte ich testweise auch schon laufen..
Den Rest habe ich ja auch alleine eingerichtet, von daher traue ich mir da schon einiges zu
Die erste Frage die ich mir halt Stelle ist die Leistungsfähigkeit des Rechners.. als VM oder nicht ,sind überhaupt weitere vms sinnvoll (pihole z.b.)
Dann die Frage 2 oder 3 Netze
Ich habe auf beiden Seiten vlan fähige switche, weiss aber nicht ob es das unnötig verkompliziert
-
Warum ein separates pihole? Es gibt z.B. AdGuard Home für die Sense. Zwei Netze sind Minimum, wie wir inzwischen herausgefunden haben. Man kann die zwei Netze als VLANs bauen, einfach weil man's kann. Dann kann man später ein Gerät in Wohnung 1 in das VLAN von Wohnung 2 hängen, falls man das mal braucht.
Ich mach den Kram beruflich seit über 25 Jahren, deshalb war das mit "alles auf VLANs" hier zuhause ein no-brainer. Für dich bedeutet es erst einmal mehr Komplexität.
Was ich tun würde: die VLANs der Switche benutzen. Die beiden Switche über die Richtfunkstrecke mit einem Trunk-Port verbinden. Auf der Seite mit dem Internet-Anschluss die OPNsense ebenfalls mit einem Trunk an den Switch hängen. Alles per VLANs abbilden, was du an Policy implementieren willst.
Damit ist das LAN auf beiden Seiten samt Richtfunk stabil, auch wenn du an der OPNsense bastelst, sie wegen eines Updates rebootest, o.ä. Pakete von einem LAN zum anderen gehen dank der VLANs trotzdem durch die Firewall durch. Virtualisieren würde ich an der Stelle nicht.
-
Guten Morgen,
ok, 2 Netze machen Sinn....Ich denke VLAN lasse ich für den Moment sein (um das ganze etwas zu vereinfachen).
Ich würde 2 Interfaces konfigurieren (Server hat 4 x LAN) Eins geht zu Standort A an den Switch und eines an die Richtfunkantenne.
Damit habe ich beide Standorte schon mal auf separaten Interfaces liegen .
Auf VLAN kann man das später ja immer noch umstricken...
Zugriffe von A nach B auf Nas usw kann man ja über die IP´s lösen....die umgekehrten Zugriffe auch.
Was Adguard angeht bin ich noch nicht schlüssig, der eine sagt Pihole wäre schöner, der nächste sagt egal...
Habe jetzt aktuell proxmox auf dem Server laufen und da in ner VM die sense, das läuft soweit super, aber ich kann keine Angaben zur dauerhaften Performance machen, da es aktuell aufgrund des noch fehlenden Modems als Testumgebung und nicht produktiv läuft
In dieser Konstellation hätte ich natürlich die Möglichkeit Pihole einfach in ner separaten VM laufen zu lassen.
Alternativ wäre halt sense Bare Metal.
-
Hat jemand ne Meinung dazu?
-
Wozu? In deinem letzten Beitrag war keine Frage ;)
-
Naja ob der Gedankengang so gut oder eher doof ist ::)
-
Guten Morgen,
gerade fragte ich mich wie ich das in der Sense am besten einrichte, wenn ich ja in jedem der 2 Netze je eine Fritzbox habe die Voip machen soll....Wie leite ich da welche Ports am logischsten weiter....
-
So, Sense läuft. Habe 2 getrennte IP Adressbereiche auf 2 physischen Interfaces.
Soweit alles toll....Telefonie habe ich jetzt gelöst in dem ich für eine Fritzbox die entsprechenden Ports freigegeben habe und die 2. sich mit der 1. verbindet....
Lieber wäre mir wenn die 2. Box auch direkt beim Provider eingebucht werden könnte, da bin ich mir aber unschlüssig wegen des Sip Ports..Soweit ich weiss kann man das in der Fritzbox ja nicht auf einen anderen Port ändern.
-
Normalerweise musst du bei einer sym. Firewall nichts freigeben. Auch ein Portforwarting zu den VoIP-Clients (FritzBoxen musst du nicht einlegen, da die Verbindungen immer von Client (Fritz) zum Provider aufgebaut werden.
Zumindest habe ich schon diverse FritzBoxen als VoIP Client hinter verschiendensten Routern gehapt und musste nie einen Port von WAN ins LAN explizit weiterleiten. Lediglich der Verkehr von den FitzBoxen ins WAN musste erlaubt sein.
-
Ohne die Freigaben konnte die Fritzbox sich nicht registrieren bzw die rufnr war nicht erreichbar
-
Also ich habe/hatte bei mir die Fritz im "LAN" und außer den Standartregeln ("Default allow LAN to any rule") nichts eingestellt. Auch 2 SIP-Telefone und eine Asterisk (FreePBX) funktioniert so ohne Probleme, Sowohl bei der Registrierung über die Asterisk als auch bei Registrierung direkt in der Platform.
Ich musste die Fritz nur wieder vor die OpnSense hängen, damit mein Magenta-TV fehlerfrei Funktioniert. Telefonie macht diese nun aber nicht mehr.
-
werde das nochmal gegentesten, evtl. hats auch an nem reboot gescheitert....