OPNsense Forum
International Forums => German - Deutsch => Topic started by: Kawachiller on June 29, 2022, 12:19:34 am
-
Hallo,
ich bin neu in der ganzen OPNsense-Szene, deswegen habe ich nicht so viel Plan von den genauen Funktionen. Bisher nutze ich immer eine FritzBox welche allerdings nicht mehr das liefert was ich für die Zukunft brauche. Mit, inzwischen, zwei Servern ist das ganze relativ schwierig vor allem mit einem DNS-Server.
Also nun zu meinen Fragen...
Hardware: Futro S920, Intel AC-7265, Intel Pro/1000 PT Dual Port
Einsatzzweck:
Die OPNsense wird ersetzt gegen die FritzBox, der ganze Traffic wird über die Box laufen und auch alle Geräte werden damit verbunden. Des weiteren wird WireGuard zum Einsatz kommen und zusätzlich wird der Bind9 vom Server entfernt und die Verteilung der DNS wird über OPNsense erfolgen, so der Wunsch.
1. Frage:
Ich besitze die o.g. Hardware. Bei der Einrichtung habe ich den WAN-Port des Mainboards initialisiert sowie die beiden Ports der Netzwerkkarte (em0/em1).
Nun habe ich an em0 mein Rechner angeschlossen, dieser wird auch bei Dienste->DHCPv4->Leases angezeigt. (Später wird dort der eine Server welcher u.a. OMV etc. am laufen hat eingesteckt)
Da ich allerdings noch zwei Server (einer wird später mit dem PC getauscht) und einen RPI (später noch einen weiteren Rechner) habe, möchte ich natürlich das diese auch ans Netz kommen. Dazu habe ich meinen alten Switch (TP-Link TL-SG105 5-Ports [unmanaged]) ausgekramt. Diesen wollte ich an den zweiten Port der Netzwerkkarte stecken. Gemacht, getan.
Nun dachte ich das OPNsense automatisch die Geräte in der Leases-Liste anzeigt, da es aber ein Switch ist, haben alle Gerät wahrscheinlich alle die selbe IP-Adresse und es wurde von OPNSense nicht mit DHCP gearbeitet, deswegen werden diese auch nicht in der Liste angezeigt (meine Vermutung)
Nun meine Frage (ich hab einiges dazu gelesen aber gefühlt nicht das was ich brauchte mit VLANS bzw. Software-Bridge (was ich etliche Male gelesen habe) etc., hörte sich aber alles nicht ganz richtig an, ich bin dort einfach zu unerfahren)
Kann ich den Switch einfach so nutzen und kriegt dann jeder Teilnehmer der an dem Switch ist, eine eigene IP-Adresse oder wie wird das ganze nun gemangte? Wie bekomme ich für die Zukunft die Teilnehmer in die Leases-Liste damit ich einen Überblick über meine Geräte bekomme? Funktioniert das überhaupt mit einem Switch? Oder sollte ich mir einen Managed-Switch bestellen? :D
Wie schaut das später dann aus mit dem DNS-Server wenn sagen wir, ein Server auf einem Switch hängt? Lassen diese sich dennoch verteilen?
2. Frage:
Ich habe die o.g. Wireless-Card welche auch von FreeBSD unterstützt wird nur eben nicht im AP-Mode. Hier wollte ich fragen, da ich aktuell eh auf der suche nach einem externen AP bin, ob dieser irgendwann von FreeBSD in den AP-Mode benutzt werden könnte (also ob das nur ein ding der Software/OS ist und eine Möglichkeit bestehen könnte)
3. Frage:
Wie schaut es mit dem AP aus, ich tendiere schon zu einem UniFi aber brauche für meine Wohnung (größentechnisch) keinen so guten AP. Muss der AP MSSID unterstützen für OPNsense? Wird dieser auch dann über "Drahtlos" bei den Schnittstellen angesprochen oder wird dieser wie ein normaler Teilnehmer ans Netzwerk angeschlossen und das wars? Hier kommt wieder das Problem mit dem Switch.
Danke für eure Hilfe und bitte seid gnädig :p
KawaChiller
-
Moin,
also wie auch immer du auf den Trichter mit Switch und alles gleiche IP gekommen bist ... oO .. vergiss es, das ist natürlich nicht so.
Da du aber generell nicht so in der Netzwerk Materie drin zu sein scheints.
Installier die die Standard OPNsense und Probiere erstmal rum, sie macht auf den ersten Blick die Arbeit eigentlich genau wie deine Fritzbox.
VLAN etc brauchst du nicht, macht die Sache unnötig komplizierter.
WLAN solltest du dir ein standalone suchen und nicht die Sense dafür verwenden. Unifi ist da recht einfach setzt aber auch zusätzliche Geräte vorraus (Controlller)
Was den DNS Server angeht. Was genau willst du denn machen? Wenn es nur darum geht ein paar lokale Server mit A records zu versorgen reicht dir auch der unbound. Dort kannst du auch unter den overrides A/AAAA und MX anlegen.
-
Bevor Du mit Bridge-Modus, VLAN usw. herumprobierst:
Steck mal alle Rechner an den Switch und verbinde den mit LAN-Port an Deinem Futro (da, wo jetzt Dein Hauptrechner dranhängt).
Du hast ja jetzt drei Schnittstellen, nämlich Mainboard, em0 und em1. An sich benötigst Du erstmal nur zwei, eine wird logisch LAN (zum Switch) und eine WAN (zum Modem/NT).
Dann müssten alle Clients per DHCP Adressen bekommen.
Was die Access Points angeht: Unifi braucht kein separates Gerät als Controller, man kann das inzwischen auch per App einrichten. Im laufenden Betrieb wird sowieso kein Controller benötigt. Abgesehen davon könnte man den Unifi-Controller auch auf der OpnSense selbst laufen lassen (https://www.purrucker.de/2021/03/07/ubiquiti-unifi-controller-auf-einer-opnsense/) - könnte mit nur 2 GByte RAM aber bei Dir etwas eng werden.
VLANs sind Ausbaustufe - mit Unifi kann man das nutzen, um z.B. ein Gast-WLAN zu bauen.
-
Bevor Du mit Bridge-Modus, VLAN usw. herumprobierst:
Steck mal alle Rechner an den Switch und verbinde den mit LAN-Port an Deinem Futro (da, wo jetzt Dein Hauptrechner dranhängt).
Du hast ja jetzt drei Schnittstellen, nämlich Mainboard, em0 und em1. An sich benötigst Du erstmal nur zwei, eine wird logisch LAN (zum Switch) und eine WAN (zum Modem/NT).
Dann müssten alle Clients per DHCP Adressen bekommen.
Das dachte ich mir auch und hatte alle Clients am Switch, mein Rechner hat eine Adresse zugeteilt bekommen auch wenn er bei den Leases nicht angezeigt wurde. Main Laptop der allerdings dran hing, nicht. Beim Server konnte ich es nicht kontrollieren weil der über SSH oder Weboberfläche angefunkt wird und wenn ich keine IP für den bekomme, es logischerweise nicht funktioniert.
Deswegen bin ich n wenig überfragt gewesen, ich dachte bei den Leases sind alle Teilnehmer ausgelistet sodass ich die IP einfach ablesen könnte.
-
Moin,
also wie auch immer du auf den Trichter mit Switch und alles gleiche IP gekommen bist ... oO .. vergiss es, das ist natürlich nicht so.
Da du aber generell nicht so in der Netzwerk Materie drin zu sein scheints.
Installier die die Standard OPNsense und Probiere erstmal rum, sie macht auf den ersten Blick die Arbeit eigentlich genau wie deine Fritzbox.
VLAN etc brauchst du nicht, macht die Sache unnötig komplizierter.
WLAN solltest du dir ein standalone suchen und nicht die Sense dafür verwenden. Unifi ist da recht einfach setzt aber auch zusätzliche Geräte vorraus (Controlller)
Was den DNS Server angeht. Was genau willst du denn machen? Wenn es nur darum geht ein paar lokale Server mit A records zu versorgen reicht dir auch der unbound. Dort kannst du auch unter den overrides A/AAAA und MX anlegen.
Das habe ich natürlich bereits, einiges schon auf anhieb verstanden, anderes nachgelesen.
Was mir am meisten fehlt, ist eine Auflistung der verteilten IPs (wie in meinem Vorbeitrag schon geschrieben).
Die Leases sind leer aber die IP (zum. am Rechner) wurde verteilt.
Unbound könnte durchaus reichen, hab mich da eingelesen zu der Thematik mit den DNS-Servern, es ist nur Bind9 geworden durch Webmin, ich wollte eine Grafische Oberfläche weil ich einfach zu Faul bin die Dateien anzupeilen und zu editieren.
Im Grunde muss er A-Records nutzen, klar. MX für einen lokalen Mailserver (durch die Programme auf den Server benötigen manche Programme eine Mail-Adresse wie Vaultwarden) aber das ganze soll auch weiterleiten wenn z.B. mit WireGuard drauf connected wird. Allerdings kommt bei Bind auch DNSSEC zum Einsatz. RNDC brauche ich inzwischen nicht mehr, war nett aber ja.
Also das wichtigste sollte sein, dann ich nicht mehr Bind schalten muss und über VPN dies eh nicht nutzen kann, also soll die Auflösung direkt bei OPNsense erfolgen sodass mittels VPN die Auflösung stattfindet.
-
Bevor Du mit Bridge-Modus, VLAN usw. herumprobierst:
Steck mal alle Rechner an den Switch und verbinde den mit LAN-Port an Deinem Futro (da, wo jetzt Dein Hauptrechner dranhängt).
Du hast ja jetzt drei Schnittstellen, nämlich Mainboard, em0 und em1. An sich benötigst Du erstmal nur zwei, eine wird logisch LAN (zum Switch) und eine WAN (zum Modem/NT).
Dann müssten alle Clients per DHCP Adressen bekommen.
Das dachte ich mir auch und hatte alle Clients am Switch, mein Rechner hat eine Adresse zugeteilt bekommen auch wenn er bei den Leases nicht angezeigt wurde. Main Laptop der allerdings dran hing, nicht. Beim Server konnte ich es nicht kontrollieren weil der über SSH oder Weboberfläche angefunkt wird und wenn ich keine IP für den bekomme, es logischerweise nicht funktioniert.
Deswegen bin ich n wenig überfragt gewesen, ich dachte bei den Leases sind alle Teilnehmer ausgelistet sodass ich die IP einfach ablesen könnte.
Offenbar verstehst Du mich nicht richtig, oder Du hast Dein Vorgehen im ersten Post falsch beschrieben: Dein Rechner hängt doch an der OpnSense an einem anderen Netzwerkanschluß als der Switch mit den anderen Clients, oder? Du schriebst:
Da ich allerdings noch zwei Server (einer wird später mit dem PC getauscht) und einen RPI (später noch einen weiteren Rechner) habe, möchte ich natürlich das diese auch ans Netz kommen. Dazu habe ich meinen alten Switch (TP-Link TL-SG105 5-Ports [unmanaged]) ausgekramt. Diesen wollte ich an den zweiten Port der Netzwerkkarte stecken. Gemacht, getan.
Es gibt bei der OpnSense aber nur einen LAN-Port (wahrscheinlich em0), es sei denn, Du hättest eine Bridge (korrekt) eingerichtet. So wie es jetzt ist, ist logisch vermutlich em0 = LAN, eth0 = WAN und em1 = gar nichts. Diese logische Verteilung kannst Du bei der Konfiguration der OpnSense selbst vornehmen.
Mein Vorschlag ist: PC von der OpnSense ab- und an den Switch anstecken, dann den Switch von em1 an den ersten (jetzt freien) Port em0 anstecken. Andere Clients nochmal starten und schauen, ob es dann geht.
Anders formuliert: Deine 2-fach Netzwerkkarte ist keine Bridge / Switch mit zwei "beliebig" nutzbaren Anschlüssen, sondern 2 Netzwerkanschlüsse auf einer Karte, die logisch aber unabhängig sind. Deswegen hängt jetzt Dein Switch an einem (wahrscheinlich) unkonfigurierten Port em1.
-
Ah, ja ne das hab ich nur nicht richtig beschrieben. Ich hab verstanden was ihr meintet.
Nun habe ich alles an den Switch gepackt und (in dem Fall allerdings nur PC, Laptop und Server (Proxmox-Instanz)
PC und Laptop haben über DHCP eine Adresse bekommen und erscheinen in der Leases-Liste.
Nun aber das nächste, beim Server (Proxmox) habe ich eine statische IP genommen welche in meinem Netz ist womit em0 bestückt ist.
Ich kann den Server ohne Probleme über die statische IP anpingen, dieser wird dann nicht von DHCP beeinflusst da eben statisch.
Nur, doofe Frage aber finde ich den dafür in irgendeiner Liste von verbundenen Clients? Ich schätze aufgrund der statischen IP steht es deshalb nicht in der Leases-Liste. Dafür steht es in der ARP-Tabelle mit sämtlichen anderen Clients die jemals verbunden waren. Die fragen ist nur, woher weiß ich welcher Client gerade aktiv ist? (Manuelles Anpingen mal rauß gelassen.)
Aktuell habe ich noch kein (aufgrund der massiven Preiserhöhung teilweise) UniFi erworben. Ich möchte stattdessen meinen RPI 4 als AP nutzen, wohl mit der RaspAP-Dist.
Wie bei UniFi als auch dem RPI muss die DHCP-Funktion deaktiviert werden und dies wird dann über OPNsense verwaltet. Muss ich dahingehend noch irgendwas beachten? Irgendwas beim AP oder bei OPNsense selbst? (Dieser wird auch an den Switch kommen)