OPNsense Forum
International Forums => German - Deutsch => Topic started by: OPNPeta on September 20, 2017, 05:11:16 am
-
Hallo zusammen,
vorweg – ich bin Neuling beim Thema OPNsense und hab mir vor kurzem ein APU2C4 Board mit 16GB SSD und Comtex WLE200NX miniPCIe WiFi Karte angeschafft um meinen Router damit langfristig zu ersetzen. Ob die Komponenten in Stein gemeißelt bleiben wird sich zeigen. Meine Linux und FreeBSD Kenntnisse halten sich entsprechend in Grenzen. Ich bitte um Nachsehen, falls ich per Suche nichts zum Thema finden konnte und mit Unwissenheit glänze… ::)
Ich scheitere nun aktuell beim grundsätzlichen Verständnis der Konfiguration der Schnittstellen LAN, WAN und WiFi.
Ich konfiguriere via RS232:
1 Port als WAN-DHCP (Unitymedia Kabelmodem Cisco mit IPv4 Zugang)
1 Port als LAN-static IP (auf diesem Port stelle ich per console eine fixe IP 192.168.1.1/24 ein und aktiviere gleich den DHCP Dienst mit Bereich 192.168.1.50 - 192.168.1.254 )
Login/Zugriff via LAN auf 192.168.1.1 klappt, mein LAN Client bekommt per DHCP alles ordnungsgemäß zugewiesen (IP entsprechen aus dem Bereich, Router und DNS = IP OPNsense, Suchdomain=localdomain). Internetzugriff (mehr will ich vorerst nicht) klappt problemlos.
Das Chaos und mein Verständnisproblem beginnt nun sobald ich eine Schnittstelle WLAN einrichte, die als AP fungieren soll
Ich aktiviere/konfiguriere
1 weitere Schnittstelle WLAN der Comtex miniPCIe, static IP (192.168.1.2/24), damit dort auch der DHCP Server funktioniert. IP Bereich wie bei LAN 192.168.1.50 - 192.168.1.254)
DHCP auf der WiFi Schnittstelle bei Dienste entsprechend gestartet. Ein WLAN Client bekommt anfangs auch noch eine IP per DHCP zugeweisen (IP aus Bereich, Router und DNS die IP der WLAN Schnittstelle 192.168.1.2) doch der Internetzugriff scheitert.
Woe liegt hier mein Verständnisproblem?
Leider fängt dann nach meinen trial-and-error Versuchen auch irgendwann der DHCP Server auf beiden Schnittstellen nach und nach an Chaos zu machen, die IP Zuweisung erfolgen dann aus einem mir nicht nachvollziehbaren IP Bereich. Selbst wenn ich dann per RS232 console die IP der LAN und WLAN Schnittstelle durch neues Setzen auf static IP und DHCP service enabled und die Dienste komplett neu starte ändert das nicht am DHCP Chaos und Scheitern per Webzugriff und mir bleibt dann nichts anderes übrig, als OPNsense neu zu installieren.
Mein client os ist macOS Sierra 10.12.6, OPNsense 17.7.
-
Moin,
erstmal ein Willkommensgruß.
Ja, so eine *sense ist schon was feines, wenn Sie denn erstmal läuft! ;) Nutze Sie zu Hause auch als Ablösung für meinen Provider-Router und bin sehr zufrieden damit.
M.E. das Beste Tutorials für Anfänger im Bereich *sense findest Du hier: https://www.administrator.de/contentid/149915
Einfach erstmal ganz in Ruhe durchlesen!
Eine echte Firewall bietet natürlich ganz andere Möglichkeiten wie so ein 08/15 Router. Zunächst mal mußt Du Dir grundsätzlich überlegen, wie Du das WLAN Deiner OPNsense nutzen willst.
Willst Du es als eigenes Interface unabhängig vom LAN konfigurieren oder willst Du WLAN/LAN als eine gemeinsame Schnittstelle nutzen (wie bei jedem 08/15 Router)?
Bei mir zu Hause läuft eine OPNsense mit WLAN/LAN Kopplung (Bridge) und separatem Gäste-WLAN. Und ich kenne mich auch nicht mit FreeBSD aus und hab es trotzdem hinbekommen. Die Konfiguration lief komplett per GUI ab.
Gruß
Dirk
-
Bin erst noch am zusammenschrauben meiner Firewall.
Aber macht es nicht mehr Sinn sobald du eine IP hast via GUI die Konfiguration vorzunehmen?
Was würde passieren wenn du der WLAN Schnittstelle einen anderen DHCP IP Range definierst?
Eventuell aber ist ein WLAN und ein LAN zwei verschiedene Netzwerke die Getrennt zu betrachten sind. Demzufolge wäre dann die zugewiesene IP (zum WLAN) wohl falsch.
-
Wenn du das gleiche IP-Netz verwenden willst, musst du dein Lan und dein WLAN auf eine gemeinsame Bridge legen, sonst geht das nicht (die Firewall glaubt sonst, dass es sich um das gleiche Netz handelt und nimmit die bessere Route (in der Regel das verkabelte Netz). Als Alternative kannst du natürlich auch einfach ein anderes Netz verwenden (vorletztes Byte des IP-Bereichs um 1 erhöhen).
In dem Fall kanst du 192.168.1.1 als LAN IP verwenden und 192.168.2.1 als WLAN IP. Der DHCP-Bereich muss dann auch entsprechend angepasst werden. Der Vorteil hierbei ist, dass du das WLAN als weniger vertrauenswürdig einstufen kannst und damit viel restriktivere Firewallregeln verwenden kannst.
-
Hallo zusammen in die Runde,
danke schon einmal für die vielen Hinweise. Die diversen o. verlinkten Tutorials bei administrator.de sind mir nicht ganz unbekannt aber - um ehrlich zu sein - hab ich da nur bisher quergelesen weil mich die Ungeduld getrieben hat und ich einfach mal angefangen habe… Ist vielleicht nicht das beste mit meiner Ungeduld bei einem nicht ganz unsensiblen Thema "Firewall", vor allem weil ich nicht der Netzwerk-Oberchecker bin… 8)
Also, das Thema ist bridge mode. Ich möchte den AP eigentlich nur gerne wie bei jedem Schnullepulle 08/15 Router benutzen. Ist es dann egal, ob WLAN und LAN den gleichen IP Adressraum oder einen sich im vorletzten IP Segment unterscheidenden Adressbereich benutzen? Denn die bridge verbindet ja dann beide Bereiche auf den entsprechenden Layer.
ps. Nachtrag - Auch wenn nicht alles auf Anhieb funktioniert und Verwunderung bis gar Verzweifelung schafft, so macht es mir wieder richtig Spaß, sich mit Systemen abseits der "global player" zu befassen. Mein NAS läuft bereits mit NAS4free auch wenn ich da auch bei weitem nicht alles raffe… ;D
-
Also, das Thema ist bridge mode. Ich möchte den AP eigentlich nur gerne wie bei jedem Schnullepulle 08/15 Router benutzen. Ist es dann egal, ob WLAN und LAN den gleichen IP Adressraum oder einen sich im vorletzten IP Segment unterscheidenden Adressbereich benutzen? Denn die bridge verbindet ja dann beide Bereiche auf den entsprechenden Layer.
In dem Fall gibt es nur mehr die Bridge und die beiden Schnittstellen brauchst du nicht weiter beachten. Du musst dir nur einen DHCP range auf die Bridge konfigurieren und dann tut es genau das, was ein handelsüblicher Router für den Heimgebrauch macht. Unter Umständen musst du hier die Firewall kurz abschalten, damit du dich nicht selbst raus wirfst (habe ich noch nie gemacht - kann es daher selbst nicht sagen).
-
Also, das Thema ist bridge mode. Ich möchte den AP eigentlich nur gerne wie bei jedem Schnullepulle 08/15 Router benutzen.
Aus dem bereits oben verlinkten Tutorial: https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive-portal-hotspot-funktion-91413.html#toc-14 ;)
-
So, ich habe mich nun nach einer kleinen Frickelpause gestern mal erneut dran gemacht:
- WAN Schnittstelle, DHCP, Cisco Kabelmodem Unitymedia
- LAN Schnittstelle, static IP/24, DHCP Server, 192.168.1.x
- WLAN Schnittstelle, static IP/24, DHCP Server, 192.168.2.x
Die Sache geht nun auch mit zwei getrennten Subnetzten NACHDEM ich einen entscheidenden Hinweis in einem administrator.de Thread gefunden habe. Bei einem neuen Port/Schnittstelle wird von der Firewall der komplette Traffic geblockt, also habe ich in der Firewall für die WLAN Schnittstelle eine Regel erstellt, die allen Traffic erlaubt und nichts blockt.
Soweit funktioniert nun bei mir der Internetzugang sowohl per LAN wie auch per WLAN problemlos. Mein nächster Schritt wird nun die bridge von LAN+WLAN sein, vorsichtshalber hab ich mir noch den 3. LAN Port des APU2C4 mit static IP/24, DHCP und ner Firewallregel die alles erlaubt als Hintertür gelassen, falls ich mir den Ast absäge auf dem ich sitze sobald ich mich an die bridge mache.
Wie schon erwähnt, mangels Netzwerkchecker-Dasein mich nun auch mit ner doofen Frage zu blamieren. Wie kann ich denn den Zugriff vom WLAN 192.168.2.x Subnetz auf das LAN 192.168.1.x Netz alternativ nun regeln? Mein NAS ist z.B. per LAN im 192.168.1.x Netz, der Zugriff per WLAN klappt somit erstmal nicht. (Davon ab mit 54Mbit/s ist das eh nen Krampf, aber das ist ne weitere Baustelle… :D) Und wie ihr schon geschrieben habt lässt sich mit verschiedenen Subnetzen der Netzwerkverkehr viel spezieller regeln. Und dafür ist die OPNsense ja imho auch konzipiert…
-
Du musst im WLAN eine Regel anlegen, die Datenverkehr zum NAS erlaubt - dann sollte es gehen (vermutlich musst du auch DNS zur OPNsense erlauben).
-
Ich hab nun eine Regel eingerichtet für das WLAN, die sämtlichen Traffic erlaubt. Internetzugriff und Zugriff von WLAN Clients auf LAN Resourcen klappt (ebenfalls die Kommunikation von WLAN Clients untereinander) nur per LAN habe ich keine Zugriffe auf WLAN Clients… Beispiel: Mein Receiver ist per WLAN verbunden und kann per AirPlay Audio streamen. Mein Macbook Air ist per LAN verbunden, findet es den AirPlay Receiver nicht. Sobald ich per WLAN verbinde, wird der AirPlay Receiver gefunden.
Mein Netzwerkdrucker (rein LAN) wird hingegen nicht von WLAN Clients gefunden, anscheinend wird der Drucker nicht im WLAN bekannt gegeben. Ich vermute auch da ein Kommunikationsproblem LAN>WLAN.
Ich habe sowohl bei LAN und WLAN jeweils eine Regel, die sämtlichen Traffic zulässt.
-
Wenn du anschließend sowieso "sämtlichen Traffic" zwischen den Interfaces als auch ins Internet erlaubst.
Warum hast du dann unterschiedliche Subnetze und Interface für LAN / WLAN erst erstellt?
Du wirst spätestens mit Airplay/Airprint/Minecraft/DLNA zwischen unterschiedlichen Subnetzen auch mit "pass any" Regeln Probleme bekommen.
EDIT: nicht das das Meiste nicht trotzdem lösbar wäre, aber es macht es komplexer
-
Hehe… ;D
Ich hab mich nur noch nicht getraut, WLAN und LAN zu bridgen. Das würde das Problem wohl am ehesten lösen und die ganze Infrastruktur erstmal überschaubarer machen oder?
-
yep, https://forum.opnsense.org/index.php?topic=5965.0 betrifft eigentlich genau das.
In deinem Fall musst du nur aufpassen, das du dich beim umstellen nicht aussperrst.
Füge am besten erstmal nur ein Interface zur Bridge hinzu (LAN oder WLAN) und teste dann ob du darüber noch auf die opnSense Oberfläche kommst. Erst danach solltest du das andere Interface zur Bridge hinzufügen.
-
Ich habe nun folgendes konfiguriert:
LAN Schnittstelle (keine IP, kein DHCP)
WLAN Schnittstelle (keine IP, kein DHCP, Allow intra-BSS communication)
BRIDGE (LAN+WLAN Schnittstelle, IP/24, DHCP ein)
Der Internetzugriff der LAN/WLAN clients funktioniert erst, wenn ich eine Firewallregel für die BRIDGE definiere mit QUELLE=BRIDGE Netzwerk und ZIEL=jeglich
(siehe https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mit-einem-captive-portal-hotspot-funktion-91413.html#toc-14)
Der Zugriff innerhalb des LAN/WLAN klappt erst wenn ich weitere Regeln für die LAN und WLAN Schnittstelle definiere, dort muss ich aber jeweils bei QUELLE=jeglich und ZIEL=jeglich auswählen.
So ganz plausibel ist mir die Einstellung mit der QUELLE bei LAN und WLAN allerdings nicht. Warum klappt der Zugriff LAN/WLAN untereinander nicht, wenn bei QUELLE jeweils LAN Netzwerk bzw. WLAN Netzwerk ausgewählt wird?
-
Leg auf den LAN/WLAN jeweils eine Regel an
SOURCE BRIDGE_NET DESTINATION BRIDGE_NET
Damit ist der Traffic von Intern nach Inter frei.
Warum klappt der Zugriff LAN/WLAN untereinander nicht, wenn bei QUELLE jeweils LAN Netzwerk bzw. WLAN Netzwerk ausgewählt wird?
weil LAN und WLAN keine Netzwerke mehr haben ;-) sondern nur die Bridge
-
So, ich hab jetzt bei LAN und WLAN als Filter SOURCE=BRIDGE und DESTINATION=BRIDGE eingertragen sowie bei der BRIDGE einen Filter SOURCE=BRIDGE und DESTINATION=ALL und alles scheint für's erste zu laufen. Nun werde ich mich erstmal etwas einleben bei OPNsense und die WLAN Leistung zu optimieren versuchen.
Ich danke allen für die Hilfe! :)