OPNsense Forum
International Forums => German - Deutsch => Topic started by: dumbo on January 06, 2023, 02:02:42 pm
-
Hi Zusammen,
ich habe eine Frage wie das mit der Umsetzung einer bestimmten Sache ausschaut, wo ich einfach nicht weiterkomme.
Bei meinem Umzug von einem UniFi System auf eine OPNsense habe ich ein Problem, welches ich nicht gelöst bekomme.
Bisher war es so:
- WAN > UniFi UDM SE
- NanoPi (Freifunk Offloader mit WAN/LAN Ports) an einem LAN der UniFi UDM > so bekommt er sein WAN/Internet
- NanoPi LAN Port geht dann in die UniFi UDM an einen Switch-Port als ein VLAN only Netz (heißt dort 3rd party Gateway)
- dann habe ich dort das direkte Netz des "Offloaders" anliegen > das kann ich jetzt durch das VLAN dann an weitere Switch-Ports legen oder auf einen AP via SSID legen
Genau das mag ich jetzt mit der OPNsense umsetzen.
Jedoch scheitere ich dabei am grundsätzlichen Vorgehen.
Wenn ich ein VLAN in der OPNsense mache, dann mache ich danach ja auch ein Interface und entspr. DHCP usw.
Aber genau das will/brauch ich ja nicht, bzw. so soll es dann ja auch nicht sein.
Der NanoPi routet ja nicht und ist somit eigentlich ja auch kein Gateway. Das was er macht, ist das das Freifunk-Netz sozusagen bridgen und mir ein direktes Client-Netz zur Verfügung stellt.
Da ich das Netz eben gerne auf gewisse Switch-Ports packen möchte und entspr. auch über ein VLAN dann auf eine SSID für meine APs ist die Frage, wie man das genau umsetzt?
Ich hoffe, das war so gut genug erklärt, damit man damit was anfangen kann?
Freue mich auf Hilfe.
Danke.
-
ganz habe ich es nicht verstanden.
- bitte mal einen grafischen netzwerkplan vondem was bei dir (alt) funktioniert hat
- bitte einen grafischen netzwerkplan was dein ziel ist
-
- bitte mal einen grafischen netzwerkplan vondem was bei dir (alt) funktioniert hat
Anbei mein Plan, wie es aktuell mit UniFi ist.
Einen Plan, wie ich es gerne hätte kann ich nicht zeichnen, da ich ja nicht weiß, wie es funktioniert.
Im Grunde ersetzt die OPNsense die UDM SE - Rest bleibt vorhanden.
-
ich werde aus deinem bild auch nicht ganz schlau.
- soll der freifunk als WWAN genutzt werden oder was ist dein ziel?
- der nanopi hat was für ein lan was er zurück gibt?
- was für ein os läuft auf dem nanopi, was ist genau die funktion, ist es ein client, server oder was?
wenn ich deinen text zwischen denzeilen interpretiere würde ich vermuten:
- der nanopi wird bei dir als wwan router eingesezt der mit seiner LAN schnittstelle eine verbindung zu deiner sense machen soll?
wenn ich richtig liege (und du die kiste aufgesetzt hast sollte das ja kein problem sein)
mein vorgehen:
- eine Freie schnittstelle der sense als WWAN einrichten.
- dhcp-client (da ja der nanopi als router auch einen dhcp laufen hat)
- entsprechend einen outbound nat für das interface
und dann würde ich mal schauen was passiert alles nur grob und nicht getestet (setze opnsense nur in meiner test umgebung ein)
-
- soll der freifunk als WWAN genutzt werden oder was ist dein ziel?
Der Freifunk-Offloader ist ein Gerät was wenn es ein Netz hat, daraus ein Freifunk-Netz macht und dann über sein LAN quasi direkt das Freifunk Netz anbietet. Alle Geräte die ich daran anschließe sind direkt im Freifunk-Netz.
Und ich will jetzt (wie bei meiner bisherigen UniFi Lösung) es so haben, dass ich das Netz was mir der Freifunk-Offloader anbietet in meine pfSense stopfe und dann dort ohne NAT oder sonst was das über ein VLAN auf meine APs bekomme bzw. auch gerne an einem Switch-Port rausgebe.
Das große Problem dabei ist, dass ich es nicht hinbekomme ein neues VLAN zu machen "ohne" das es auch DHCP macht.
-
So sieht das ganze aus, wenn man das am UniFi UDM bzw. UniFi System macht.
-
Freifunk-Offloader was ist das, ist das jetzt ein router oder nicht?
- macht der jetzt DHCP-server oder DHCP-Client?
ich habe bisher nur freifunk bei mir als WWAN eingesetzt (wenn es mal bei mir in der nähe war)
-
Nein. Kein Gateway. Der routet auch nicht. Der bridged nur das Freifunk Netz aus dem Freifunk-L2 BATMAN Netz.
Hier im Detail: https://ffmuc.net/wiki/doku.php?id=knb:nanopi_r2s
-
Hi,
Die UniFi UDM ist ein Router und Switch in einem. Das ist die OPNsense normalerweise nicht.
Zur Funktionsweise der Freifunk Offloader: über einen Internetzugang an NIC 1 (WAN) baut er einen VPN Tunnel zu den Freifunk Gateways auf und bietet dann an NIC 2 (LAN) das Freifunk Netz an, welches dann auf APs als WLAN angeboten werden kann, meist auf einer SSID Freifunk-…
D.h. Das was auf NIC 2 des Freifunk Offloaders rauskommst brauchst du und willst du nicht auf der OPNsense. Das geht nur in den Switch auf ein eigenes VLAN wie bisher. Dieses musst du nicht in der OPNsense anlegen. Das verwirrt da nur.
Auf NIC 1 bauchst du eigentlich nur Internetzugang. Am besten ins Gäste-Netzwerk damit. Ob das direkt an der OPNsense oder an einem Switch hängt ist egal.
Gruß
KH
-
D.h. Das was auf NIC 2 des Freifunk Offloaders rauskommst brauchst du und willst du nicht auf der OPNsense. Das geht nur in den Switch auf ein eigenes VLAN wie bisher. Dieses musst du nicht in der OPNsense anlegen. Das verwirrt da nur.
Danke Dir. Jetzt wird einiges klarer und verständlicher.
Rein in der Theorie: Könnte ich denn das eth3 interface der OPNsense nicht so einstellen, dass es wie ein Switch das Freifunk Netz aufnimmt? Oder geht das einfach überhaupt nicht und ich muss es direkt an einen Switch hängen?
EDIT: Kurz zur Erklärung, warum ich das will.... Ich hätte halt gerne ein wenig einen Überblick, was eben an Traffic über das Netzwerk geht in der OPNsense - und würde mir das gerne entspr. einfach darstellen lassen. Daher der Gedanke, dass über die Sense laufen zu lassen.
EDIT2: Mehr oder weniger so etwas wie die Interface Statistics hätte ich gerne - das würde mir völlig ausreichen. Oder geht es nur mit den Switch-Statistiken einzusehen?
-
Rein in der Theorie: Könnte ich denn das eth3 interface der OPNsense nicht so einstellen, dass es wie ein Switch das Freifunk Netz aufnimmt? Oder geht das einfach überhaupt nicht und ich muss es direkt an einen Switch hängen?
Jein. Du kannst es ranhängen und dann in ein anderes VLAN (das existierende) weiterleiten. Das sorgt aber nur für viel Müll auf der OPNsense. Zumindest im Freifunk Rhein-Neckar war es so, dass man da alle Netzwerkteilnehmer sah, d.h. du hast Unmengen MAC-Adressen da rumschwirren. Bringt in meinen Augen keinen Mehrwert.
Und den Traffic misst du auch falsch, da der Overhead des VPNs fehlt.
EDIT: Kurz zur Erklärung, warum ich das will.... Ich hätte halt gerne ein wenig einen Überblick, was eben an Traffic über das Netzwerk geht in der OPNsense - und würde mir das gerne entspr. einfach darstellen lassen. Daher der Gedanke, dass über die Sense laufen zu lassen.
EDIT2: Mehr oder weniger so etwas wie die Interface Statistics hätte ich gerne - das würde mir völlig ausreichen. Oder geht es nur mit den Switch-Statistiken einzusehen?
Wenn du wissen willst, was das Freifunk-Netz für Traffic erzeugt, dann hänge das WAN des Freifunk-Offloaders an dein eth3. Dann bekommst du den Traffic zwischen dem Offloader und den VPN-Gegenstellen mit. Und das ist genau der Traffic, den das Freifunk-Netzwerk über deine Internetverbindung benötigt.
Ich würde das wie ein Gast-Netzwerk einrichten, komplett getrennt von allen anderen Netzwerken.
Gruß
KH
-
Ich danke Dir für die Hilfe.
Genau das mag ich eigentlich auch vermeiden, dass man dann die ganzen MAC Adressen da sieht. So wie von Dir beschrieben würde ich diese dann nur auf dem Switch sehen, oder?
-
Ich danke Dir für die Hilfe.
Genau das mag ich eigentlich auch vermeiden, dass man dann die ganzen MAC Adressen da sieht. So wie von Dir beschrieben würde ich diese dann nur auf dem Switch sehen, oder?
Ja.
-
Wenn du wissen willst, was das Freifunk-Netz für Traffic erzeugt, dann hänge das WAN des Freifunk-Offloaders an dein eth3. Dann bekommst du den Traffic zwischen dem Offloader und den VPN-Gegenstellen mit. Und das ist genau der Traffic, den das Freifunk-Netzwerk über deine Internetverbindung benötigt.
Ich würde das wie ein Gast-Netzwerk einrichten, komplett getrennt von allen anderen Netzwerken.
Hi, noch eine Frage dazu.
Ich packe den WAN des Offloaders in dem Beispiel auf eth3 in ein extra Netz rein. Sprich mache dafür ein Interface mit eigenem Sub-Netz usw.
Die Frage ist beim Interface ob ich da jetzt "Block bogon networks & block priv. Networks & loopback" aktiviere, oder nicht?
-
Hi, noch eine Frage dazu.
Ich packe den WAN des Offloaders in dem Beispiel auf eth3 in ein extra Netz rein. Sprich mache dafür ein Interface mit eigenem Sub-Netz usw.
Die Frage ist beim Interface ob ich da jetzt "Block bogon networks & block priv. Networks & loopback" aktiviere, oder nicht?
WAN ist es ja nur aus der Sicht des Freifunk Offloaders. Für die OPNsense ist es ja ein LAN (nicht das LAN). Und da verwendest du ja für IPv4 NAT und private IPs. Und daher darfst du da die priv. Networks nicht blockieren.
Du solltest auch DHCPv4 aktivieren, damit der Freifunk Offloader automatisch eine (private) IP bekommt.
Gruß
KH
-
Du solltest auch DHCPv4 aktivieren, damit der Freifunk Offloader automatisch eine (private) IP bekommt.
Danke Dir. Also beides "nicht" anhaken ist richtig oder?
Bzgl. DHCP - ja das ist aktiv.
Noch eine andere Frage in dem Zuge. Wenn ich ein Wireguard und/oder OpenVPN Client VPN auf der OPNsense aktiviere und es entspr. als Interface und Gateway definiere (was ich mittlerweile ohne Probleme einrichten kann dank der Hilfe hier im Forum), aktiviert man da die Haken für:
- Bogon
- private networks & loopback
In dem Fall wird ja dann der Wireguard Client VPN zu einem Gateway... Oder lässt man dort auch die Haken weg?
-
Du solltest auch DHCPv4 aktivieren, damit der Freifunk Offloader automatisch eine (private) IP bekommt.
Danke Dir. Also beides "nicht" anhaken ist richtig oder?
Ja.
Bzgl. DHCP - ja das ist aktiv.
Noch eine andere Frage in dem Zuge. Wenn ich ein Wireguard und/oder OpenVPN Client VPN auf der OPNsense aktiviere und es entspr. als Interface und Gateway definiere (was ich mittlerweile ohne Probleme einrichten kann dank der Hilfe hier im Forum), aktiviert man da die Haken für:
- Bogon
- private networks & loopback
In dem Fall wird ja dann der Wireguard Client VPN zu einem Gateway... Oder lässt man dort auch die Haken weg?
Auch weglassen, da dein Wireguard Netz ja private IPs nimmt. Das die Gegenstelle eine nicht private IP hat ist nicht relevant, da im Tunnel ja nur private sind, die damit geblockt werden würden. (Was für ein Deutsch ;-)
Gruß
KH
-
... (Was für ein Deutsch ;-)
Gruß
KH
Ja - aber schon verstanden. Alles gut :-)
Habe aber ein anderes Problem mit dem Interface auf eth3 und wie ich da genau ein Gästenetzwerk mache.
Ich hätte es da gerne so, dass genau das Interface "nicht" meinen Unbound nutzt, sondern einen öffentlichen DNS (wenn ich den im DHCP Server für das Interface einstelle passiert aber nichts).
Weiter scheinen hier die Regeln beim Interface irgendwie nicht ganz so zu greifen, wie sie bei VLANs z.B. sind habe ich das Gefühl.
Was genau muss ich da in dem Interface einstellen?
Was will ich hier?
eth3 Interface soll:
- ins Internet dürfen
- nicht auf andere RFC1918-Netze zugreifen dürfen
- über DNS 1.1.1.1 rausgehen und nicht über meinen Unbound von der OPNsense
Das klappt irgendwie nicht leider.