OPNsense Forum
International Forums => German - Deutsch => Topic started by: valueerror on January 24, 2023, 06:01:57 pm
-
Hallo OPNsense Community!
ich habe ein funktionierendes Aruba Netzwerk mit unzähligen VLANS möchte die alte Fortigate gerne mit der neuen OPNsense austauschen.
WWW===OPNsense===ArubaSwitch1===Aruba CoreSwitch(VLANs)===ArubaSwitches===Clients
Networkinfo:
OPNsense DEC3850:
LAN (ibg0) 10.1.0.254/24
WAN (ibg1) 80.x.x.x
Gateway LAN: 10.1.0.1
Gateway WAN: 80.x.x.1
Routen:
10.0.0.0/8 via LAN 10.1.0.1 (Coreswitch)
0.0.0.0 via WAN 80.x.x.1
CoreSwitch
(default VLAN-1) 10.1.0.1
[ VLan-20, Vlan-21, Vlan-22, usw.] 10.1.20.1 , 10.1.21.1 , 10.1.22.1 usw.
Sobald ich von der Forti auf die OPNsense umstecke komme ich nur noch aus dem "default Vlan-1' ins WWW. Also ein Client mit der 10.1.0.88 zB. ist "online". Alle anderen Vlans enden am WAN port der OPNsense. (also 80.x.x.x kann ich pingen - 80.x.x.1 nichtmehr) :-\
Das heisst alle Clients aus dem selben Subnet(Vlan-1 default) wie die Firewall kommen ins Internet aber
alle Clients aus zb. VLAN-20 (10.1.20.1 als VGateway am Coreswitch) kommen nur bis zum WAN interface der OPNsense. ???
richtig gelesen - ich kann aus dem VLAN-20 das WAN Interface 80.x.x.x und das LAN Interface 10.1.0.254 pingen aber den WAN Gateway 80.x.x.1 oder irgeneine externe IP nicht.
Ebenso kann ich von der OPNsense den VLAN GW 10.1.20.1 pingen - zurück geht also auch.
Es wirkt so als ob die Antwort aus dem WWW ihren Weg zurück ins spezifische VLAN-23 nicht finden würde.
Ich hoffe ihr habt eine Idee woran das liegen könnte da ich mit meinem Latein mittlerweile echt am Ende bin.
Vielen Dank schonmal!
:)
_______________________________
PS:
Was mir aufgefallen ist, ist dass die OPNSense ALLE Pakete aus dem VLAN mit "state violation" dropped.
Dies habe ich temporär mit einer "lass alles durch" regel 'behoben".
Der erste ArubaSwitch1 ist am Port24 an dem die OPNSense hängt "untagged" vlan1
Aber eigentlich kann es ja kein Problem an den Switches sein da die Fortigate ja durchkommt ^^
-
Hallo,
ich sehe bei deiner Beschreibung nicht, welche vLAN's du auf der OPNSense eingerichtet hast, mache da mal von einem Screenshots der Config und welche Firewall-Regeln du dafür angelegt hast.
Nach der Installation kommt du aus dem LAN erst mal überall hin, damit du überhaupt was auf der OPNSense machen kannst, die Firewall-Regeln sollte man natürlich bald möglichst anpassen.
Jedes weitere vLAN, was man anlegt, kommt aber erst mal nirgentwo hin, da müssen erst am entsprechende FW-Regeln angelegt werden.
-
Hallo Tuxtom007,
erstmal, vielen Dank für deine Hilfe :-)
Ich habe auf der OPS überhaupt keine VLANs angelegt. Die oben beschriebene Konfiguration ist alles was ich gemacht habe. Die derzeitige Firewall (fortigate) hat auch keine weiteren Einstellungen und es funktioniert einwandfrei.
Die ganzen VLANs werden vom Aruba Coreswitch verwaltet. Dieser (10.1.0.1) ist der default gw fürs LAN
Den Paketfilter habe ich derzeit quasi "deaktiviert" indem ich eine floating Regel eingerichtet habe "any to any from any direction".
Es macht für mich einfach überhaupt keinen Sinn dass ich von der OPS jeden Client in den VLANs pingen kann und von den Clients auch die OPS (LAN und WAN) aber dennoch nicht zum WAN Gateway komm (ergo ins Internet)
:-\
-
Die ganzen VLANs werden vom Aruba Coreswitch verwaltet. Dieser (10.1.0.1) ist der default gw fürs LAN
Ok, da kann ich dir dann aber leider auch nicht weiterhelfen.
Bei mir und bei zwei Bekannten macht jeweils die OPNSense die VLAN-Verwaltung und dort sind dann eben die entsprechenden Firewall-Regeln erstellt um zwischen den Netzen zu kommunizieren oder dies zu unterbinden.