OPNsense Forum
International Forums => German - Deutsch => Topic started by: guest15032 on January 05, 2017, 01:25:25 pm
-
Hallo zusammen und noch ein frohes Neues.
Ich habe vor etwas über 1 1/2 Jahren eine Security Appliance von Deciso gekauft (https://www.applianceshop.eu/opnsense-small-ghz.html).
Das Gerät lag seitdem leider nur im Schrank, da ich einfach nicht dazu gekommen bin, es anzuschließen. Ich hatte es vor einigen Monaten einmalig für 10 Minuten hinter mein Kabel Modem zu Hause angeschlossen um zu sehen ob es grundlegend funktioniert. Dabei fiel mir damals auf, dass statt der von mir bestellten OPNsense Installation, dort eine pfSense Installation lief (ich hatte einfach kurz unter der Login IP für das Webfrontend die Installation gesehen).
Ich hatte mich an den Support gewendet und man sagte mir dort, es muss beim Versand irgendein Fehler unterlaufen sein. Zudem schickte man mir auch eine kurze Anleitung um OPNsense auf der Appliance zu installieren (im Grunde nur ein Auszug aus der offiziellen Doku).
Ich hatte damals nichts weiter gemacht und wollte nun endlich an das Thema ran. Vor einigen Tagen hatte ich die Appliance also wieder am Strom. Da ja pfSense auf dem Gerät vorinstalliert ist, habe ich die zugehörige Doku konsultiert und einfach erneut versucht, mich mit der Appliance zu verbinden. Sprich, ich habe das Gerät an den Strom angeschlossen, meinen Laptop mittels LAN Kabel an den LAN Port der Appliance angeschlossen (hinter dem laut Doku ein DHCP Server läuft) und bin davon ausgegangen, dass ich dann ja einen Zugriff auf das Webfrontend unter der Default IP bekomme, die auch im pfSense Wiki angegeben ist (siehe ganz unten, hier: https://doc.pfsense.org/index.php/Installing_pfSense).
Mein Rechner bekam eine IP von der Appliance zugewiesen, die 192.168.192.10 lautete mit der Default Route 192.168.192.35.
Ich konnte allerdings kein Webfrontend der Appliance erreichen, weder unter der im Wiki angegebenen IP 192.168.1.1 noch unter anderen "regulären" IPs.
Ich mag mich gerade etwas blöd anstellen oder sehe den Wald vor lauter Bäumen nicht, aber wie bitte bekomme ich Zugriff auf das Webfrontend der Appliance ? Ich habe die LAN Ports durchgetestet (ein Infozettel lag der Appliance bei, mit der Belegung der LAN Ports), ich habe die Appliance auch mal kurz an meinen Router angeschlossen und es tut sich einfach nichts.
Ich bin mir sicher, dass ich irgendwo einen gravierenden Denkfehler habe oder irgendetwas missverstanden habe. Darum würde ich mich freuen, wenn sich hier fachliche Hilfe findet.
Ja, ich weiß, dass es sich jetzt "erst Mal" um eine pfSense Frage handelt, aber da ich ja die Appliance von Deciso gekauft habe und es sich auch vermutlich um kein spezifisches pfSense Problem handelt, glaube ich, dass die Frage hier im Forum am besten aufgehoben ist.
Danke für Eure Hilfe.
Gruß
-
Ich kenne die Geräte zwar nicht (hatte noch nie eins), würde aber wie folgt an vorgehen:
Laptop mit einem Netzwerkkabel mit jedem Port der Appliance verbinden und dann nachschauen wo der Standardgateway ist (unter linuxbasierten Systemen sollte das mit "ip route" gehen) und anschließend würde ich diese IP im Browser bzw. mit curl ausprobieren.
Wenn die alle nicht gehen, gibt es sicher noch die Möglichkeit einer seriellen Schnittstelle.
-
Hallo fabian,
Ja, genau das habe ich getan. Ich arbeite mit einem Linux System (wobei das fast egal wäre, man muss ja nur die Details der Netzwerkschnittstelle finden).
Ich hatte ja die IP des Standardgateways bekommen, das war die 192.168.192.35. Aber da tat sich absolut nichts, nach mehreren Sekunden gab es nur die Fehlermeldung, dass der entsprechende Host nicht erreichbar ist.
Und ich bin soweit auch alle Ports durchgegangen. ich werde das aber noch ein Mal heute Abend versuchen, ich will nicht ausschließen, dass ich da evtl. etwas übersehen habe.
Eine serielle Schnittstelle hat das Gerät natürlich und ein Kabel dazu wurde mitgeliefert, nur hat mein Rechner keine dieser Schnittstellen mehr... ^^ Evtl. würde es zur Not mit der Dockingstation des Rechners in meiner Firma funktionieren, das müsste ich als nächsten Schritt testen, wenn alles andere keinen Erfolg bringt.
-
Hast Du den Zugriff auf das Web-Frontend sowohl mit http als auch mit https versucht?
Evtl. könntest Du per ssh auf die shell zuzugreifen?
-
Hmm, ist da eine SD-Karte drin?
Am besten einfach neu flashen mit:
https://pkg.opnsense.org/releases/16.7/OPNsense-16.7-OpenSSL-nano-amd64.img.bz2
(entpacken, dd, und dann von SD booten)
Wieder versuchen über https://192.198.1.1/ -- es sollte per DHCP eine IP geben auf einem der äußeren Ports, der mittlere ist automatisch WAN.
Grüsse
Franco
-
Ja, habe den Zugriff mit http und https versucht, ging beides nicht.
Ein SSH auf die jeweiligen IPs hatte ich versucht ohen Erfolg. Aber auch das würde ich heute Abend noch einmal testen.
@franco
Ja, ich glaube gelesen zu haben, dass da eine SD Karte drin ist.
Einfach neu flashen, bedeutet im Detail, ich öffne das Gerät, hole die SD Karte raus, flashe die am Rechner und baue sie wieder ein? Oder ist da eine andere Prozedur vorgesehen?
Gruß
-
Hoi ne0h,
Genau so. Wer weiß welche Konfiguration auf der Box war und SSH ist standardmäßig auch aus, also nicht verwunderlich wenn nicht erreichbar. Das einzige praktikable zur Überprüfung wäre ein Serial-Kabel angeschlossen um die Konsole zu bedienen. Ist sowas zur Hand?
Mit der SD neu aufsetzen wissen wir wenigstens wo wir ansetzen können wenn es z.B. auch damit nicht geht.
Grüße
Franco
-
Hi franco,
ich habe die Karte ausgebaut und dann das von Dir verlinkte Image entpackt und versucht, mittels dd auf die Karte zu schreiben, entsprechend der Anleitung hier: https://docs.opnsense.org/manual/install.html
Ich habe einige Minuten gewartet, da sich nichts mehr getan hat und dann die Karte entfernt (es gab keinerlei Rückmeldung auf der Shell, ob dd erfolgreich war oder nicht). Danach habe ich erneut versucht, die Karte im Rechner einzulesen. Erkannt wird sie nun nicht mehr vom Dateimanager, auf der Shell aber kann ich mittels fdisk -l die Kartenpartitionen sehen.
Ich habe jetzt allerdings etwas Sorge, dass ich die Karte zerschossen haben könnte und bevor ich jetzt weiter blind rumprobiere, würde ich lieber auf einen Tip von Dir warten. Kann ich die Karte irgendwie unkompliziert "retten" bzw. erst mal neu formatieren? Ich habe auch noch Alternativkarten zu Hause, die ich nutzen kann, falls diese hier tatsächlich zerschossen sein sollte.
-
Hallo, du bekommst bei de auf jedenfalls eine Ausgabe wenn das image fertig geschrieben ist! Je nach Rechner und SD Karte kann das schon mal locker 20 min dauern. Ich habe mir jetzt allerdings auch nicht den link angeschaut und weiß auch nicht wie gross das image ist.
Fakt ist aber das image wurde nicht zu Ende geschrieben und somit auch nicht funktionsfähig.
Ich würde die SD Karte löschen (alle Partitionen) nicht formatieren!
Und es noch mal probieren, in der Hoffnung das du nicht die SD Karte geschrottet hast.
Gruss Peter
-
Ach so ...
Noch was ganz wichtiges:
Laufwerke (z.B. SD Katen) werden ausgehängt und nicht einfach gezogen. Das kann auch den Datenträger beschädigen.
Unter linux mit umount.
-
Hallo,
ich hab mich doch blöder angestellt als nötig. ^^ Es hat funktioniert.
Ich habe das Image einfach erneut auf die Karte geschrieben, länger gewartet und dann gab es auch nach 20 Mknuten eine Ausgabe, dass alles geklappt hatte.
Ich habe dann die Appliance an den Strom angeschlossen und meinen Rechner an den ersten LAN Port angeschlossen. Ich kann über die 192.168.1.1 auf das Gerät mit einem frisch installierten OPNsense und soweit ersichtlich, funktiniert auch alles. :)
An dieser Stelle vielen Dank an alle Helfer! Es war dann doch so einfach, wie ursprünglich erwartet.
Da ich das Gerät erst abends konfigurieren kann und somit ins Netzwerk integrieren kann, möchte ich dennoch vorab eine kurze Frage bezüglich der Netzwerkintegration stellen (und dafür jetzt auch keinen neuen Thread eröffnen).
Ich habe zu Hause folgendes Setup:
Kabelmodem ----> (statische IP) -----> WLAN Router (verteilt per DHCP im Netzwerk)
Ich möchte die Appliance einfach zwischen das Kabelmodem und den Router schalten.
Kabelmodem ----> (statische IP) -----> Appliance ----> (DHCP) -----> WLAN Router
Ich denke, dass sich aus rein logsichen Gründen das Setup auch von selbst ergibt:
1. Die Appliance soll ja die Datenpakete VOR dem Router filtern
2. Die Appliance soll keine WLAN Schnittstelle bieten, das übernimmt der Router am Ende
Gibt es irgendetwas zu beachten, was dabei zu einem Fallstrick werden könnte?
An meinem Router selbst hängen noch zwei Gigabit Switche, an denen dann jeweils einige ander Netzwerkgeräte angeschlossen sind (NAS Systeme, Konsole, TV, usw.).
Ich halte das für ein normales "Heim-Setup" und habe jetzt auch nichts vor Augen, was da Probleme machen könnte. Ich bin über Tips vorab dankbar. :)
Grüße!
-
Kabelmodem ----> (statische IP) -----> Appliance ----> (DHCP) -----> WLAN Router
Ich denke, dass sich aus rein logsichen Gründen das Setup auch von selbst ergibt:
1. Die Appliance soll ja die Datenpakete VOR dem Router filtern
2. Die Appliance soll keine WLAN Schnittstelle bieten, das übernimmt der Router am Ende
Moin,
fein das es geklappt hat.
Grundsätzlich würde das was Du vorhast zwar funktionieren, aber ich würde nach Möglichkeit Routerkaskaden vermeiden (Double NAT).
Ich würde den WLAN-Router so konfigurieren, dass er nur noch als reiner AP arbeitet (wenn der Router dass denn kann). Ansonsten würde ich mir einen echten AP besorgen und den Router entsorgen.
Gruß
Dirk
-
Hi Dirk,
der Router ist ziemlich neu, daher würde ich die Lösung versuchen, ihn als reinen AP zu nutzen. Funktional soll das an dem Gerät wohl möglich sein.
Bei meinem Setup:
Kabelmodem ----> (statische IP) ----> Appliance -----> (DHCP) -----> WLAN Router
...bedeutet das ja (wenn ich es richtig verstanden habe), dass:
- die Appliance und der Router über ihre LAN Ports verbunden werden (nicht über den WAN Port des Routers)
- die Appliance alle IP Adressen im Netz per DHCP verteilt (und somit DHCP auch am Router ausgeschaltet wird)
Somit können auch alle Switches weiter am Router bleiben.
Ist das alles richtig so, deiner Meinung nach?
Ist da, aus technischen Gründen, mit irgendwelchen Geschwindigkeitseinbußen zu rechnen, an irgendeiner Stelle im Weg der Datenpakete? Der Router wird als AP alles an die Appliance durchreichen, und mehr passiert dann ja nicht, oder?
Gruß
-
- die Appliance und der Router über ihre LAN Ports verbunden werden (nicht über den WAN Port des Routers)
Das können wir nicht sagen - das musst du der Dokumentation deines Routers entnehmen.
Ist da, aus technischen Gründen, mit irgendwelchen Geschwindigkeitseinbußen zu rechnen, an irgendeiner Stelle im Weg der Datenpakete? Der Router wird als AP alles an die Appliance durchreichen, und mehr passiert dann ja nicht, oder?
Nicht alles, nur was zur Appliance soll - was im WLAN passiert, gibt der AP direkt weiter.
Theoretisch könntest du auch den Router auch als solchen betreiben, NAT deaktivieren und dann auf der Appliance eine statische Route eintragen - das müsste ebenfalls gehen und die Computer sollten sich dann noch gegenseitig erreichen können, ohne, dass jedes mal eine Portweiterleitung am Router nötig ist. Das hat dann aber den Nachteil / Vorteil, dass die Netze auf Layer 2 getrennt sind (Stichwort Zeroconf, Traffic muss über den Router etc.).
-
Ok Danke,
ich werde das heute Abend mal evaluieren und einfach ausprobieren. Ich möchte die Komplexität immer so gering wie möglich halten, auch um später etwaige Fehlersuchen zu vereinfachen bzw. von vorne herein Fehlerquellen auszuschließen. Darum werde ich das einfachste Setup testen und dann schauen, ob mir das ausreicht.
Dankeschön!
Gruß
-
@ne0h
Wie Fabian bereits anmerkte, können wir ja nicht wissen was Du vorhast. ;)
Nach Möglichkeit sollte man Doppeltes NAT vermeiden.
- kostet Speed
- verkompliziert den Netzaufbau
Von daher die Empfehlung die OPNSense mit dem WAN-Schnittstelle möglichst direkt an das Kabelmodem zu hängen.
Bei einer einfachen Installation der OPNSense als Firewall/Router würdest Du dann an den LAN Port der OPNSense direkt den Switch anschließen an dem Deine internen Geräte hängen. DHCP/DNS/usw. würden dann von der OPNSense gemacht.
Den AP (evtl. Dein jetziger Router) hängst Du jetzt einfach mit an den Switch und konfigurierst Ihn entsprechend. Damit würden alle WLAN-Geräte, auch ans interne LAN angebunden sein.
Wird das so nicht gewünscht, kannst du natürlich den AP auch an einen einen LAN Port der OPNSense hängen und entsprechend konfigurieren. GGf. könntest Du auch per vLAN's arbeiten wenn der Switch und er AP mit vLAN
umgehen können.
Evtl. möchtest Du ja auch ein unabhängiges Gäste-WLAN!?
PS: Wir sollten das aber in einem neuen Beitrag weiterführen!