OPNsense Forum
International Forums => German - Deutsch => Topic started by: MartinMV on April 28, 2018, 12:51:23 am
-
Hallo zusammen,
Komme leider momentan nicht daran vorbei, Opnsense hinter der Fritzbox zu betreiben.
Allerdings bekomme ich hier ein sehr seltsames Verhalten.
Situation:
DSL----Fritzbox----OPNsense----Laptop über WLAN.
Nun kann ich zwar mit dem Laptop sowohl auf die OPNsense-Gui als auch auf Fritzbox zugreifen, und auch über das Webinterface von Opnsense Updates installieren, aber ich komme einfach nicht mit dem Notebook ins Internet.
Auch Ping auf 8.8.8.8 funktioniert vom Notebook aus nicht.
Blockiert da die Fritzbox was?
Oder hab ich bei Opnsense was vergessen?
Eventuell kann ich noch auf einen Netgear 3800 statt der Fritzbox zurückgreifen. An dem wäre nur 1 LAN - Port aktivierbar.
Das wäre dann wohl die, für mich, schönste Lösung.
Danke schonmal für die Hilfe
-
Ich denke du musst noch was freigeben auf deiner OPNsense auf dem WAN Interface.
Glaube da war was standardmäßig dicht.
Hoffe dir hilft der Screenshot weiter.
Habe zwar keine Fritzbox aber das Problem kommt mir bekannt vor.
-
irgendwie hats was damit zu tun, aber doch nicht ganz.
Habe jetzt im WAN 3 Freigaben für die einzelnen Ports und in OPT1 eine rule mit "alles erlauben":
ich muss da mal noch rumprobieren.
Jedenfalls kann ich die Fritzbox als Fehler schon mal ausschließen.
Ist auch was wert
-
irgendwie hats was damit zu tun, aber doch nicht ganz.
Habe jetzt im WAN 3 Freigaben für die einzelnen Ports und in OPT1 eine rule mit "alles erlauben":
ich muss da mal noch rumprobieren.
Jedenfalls kann ich die Fritzbox als Fehler schon mal ausschließen.
Ist auch was wert
Du musst in der FritzBox die OPNSense eine feste IP Adresse vergeben und diese dann als exposed host eintragen.
Normal filtert die FritzBox noch den Datenverkehr, als exposed Host geht alles an die opnsense durch.
Gesendet von iPhone mit Tapatalk Pro
-
Du musst in der FritzBox die OPNSense eine feste IP Adresse vergeben und diese dann als exposed host eintragen.
Normal filtert die FritzBox noch den Datenverkehr, als exposed Host geht alles an die opnsense durch.
Die Feste IP macht aus Gründen der einfachen Konfigurierbarkeit Sinn, exposed Host macht nur dann Sinn wenn die Dienste auf der Sense von außen erreichbar sein sollen und ist absolut kein muss.
Geh mal auf die Sense unter Schnittstellen: Diagnose: Ping, Host 9.9.9.9, Quelladresse LAN IPv4, alternativ das Gleiche noch mal vom WAN Interface.
Ergebnisse bitte posten.
-
Normalerweise sollte das ohne Zusatzkonfiuguration out-of-the-box laufen, ohne exposed host und sonstige Scherze. Was ich mir aber vorstellen könnte: Hast Du im WAN-Interface die Option
Block private networks
aktiviert? Falls ja, nimm sie mal raus. Die OPNSense-Kiste bekommt ja eine IP aus einem privaten Bereich (bei den Fritzboxen normalerweise 192.168.178.x), und vermutlich blockt sie wegen dieser Option alle Pakete, die von der Fritzbox kommen.
-
Normalerweise sollte das ohne Zusatzkonfiuguration out-of-the-box laufen, ohne exposed host und sonstige Scherze. Was ich mir aber vorstellen könnte: Hast Du im WAN-Interface die Option
Block private networks
aktiviert? Falls ja, nimm sie mal raus. Die OPNSense-Kiste bekommt ja eine IP aus einem privaten Bereich (bei den Fritzboxen normalerweise 192.168.178.x), und vermutlich blockt sie wegen dieser Option alle Pakete, die von der Fritzbox kommen.
Ist bei mir auf beiden WAN Interface an und ich komme ohne Problem ins Internet.
Ander Frag ist wie sehen die Firewall regeln aus?
-
OPNSense sollte sich an dieser Stelle doch wieder jeder andere DHCP-Client verhalten, d.h. seitens der Fritzbox sollte keine weitere Konfiguration nötig sein.
@MartinMV: Wenn Du den Rechner direkt an den Port steckst, an dem jetzt OPNSense hängt, dann kannst Du einen Ping auf 8.8.8.8 absetzen?
-
> Ist bei mir auf beiden WAN Interface an und ich komme ohne Problem ins Internet.
Macht es aber nicht richtiger. Wenn die FB direkt Verbindungen zustellen will hauts nicht hin. Es gibt nicht umsonst den Punkt, dass man hinter einem vorhandenen NAT (aka der FB) bei einem private IP Range auf dem WAN das Ganze ausmachen soll.
> OPNSense sollte sich an dieser Stelle doch wieder jeder andere DHCP-Client verhalten, d.h. seitens der Fritzbox sollte keine weitere Konfiguration nötig sein.
Eine (weitere) Firewall ist aber kein 08/15 DHCP Client. Und es ist durchaus richtig, dass es aus verschiedenen Gründen - auch der Diagnose(!) - Sinn macht, eben kein DHCP zu machen, sondern eine feste IP vergeben. ABER: Bei der FB NICHT .254 nutzen, da die FB das gern intern für ihren Quatsch mit FritzNAS und dem ganzen anderen Home Gerümpel Kram nutzt. die .2 oder eine andere IP, die nicht im DHCP Bereich liegt sind sicherer.
Ansonsten ist exposed Host kein Muss, macht aber Sinn. Ist aber auf keinen Fall der Grund, warum es nicht funktioniert.
-
Diesen Fehler hatte ich vorkurzem auch. Habe wie wild nach dem Fehler gesucht.
Schlussendlich war der Fehler Clientseitig... und zwar habe ich meinem CF-54 (Notebook) auf dem Wlaninterface eine feste iP vergeben (192.168.2.X)... Aber OPNsense setzt standardmäßig erstmal 192.168.1.1 am LAN.
Kontrolliere das erstmal ob bei deinem WLAN Interface alles auf DHCP steht (IPv4 und v6).
Dann hatte ich mal so ein ähnlichen Fehler wo die Adresse und Range von Fritzbox von 192.168.178.X auf 192.168.1.X geändert worden ist. Dort kam der jeweilige Nutzer nur sporadisch ins Internet. Hier ist er mit der OPNsense kolidiert. Dieser war nämlich auch 192.168.1.1... Also kurzerhand OPNsense von 192.168.1.1 auf 192.168.2.1 verschoben und voila es klappte reibungslos.
Was mich jedoch stutzig macht ist folgendes:
DSL----Fritzbox----OPNsense----Laptop über WLAN.
OPNsense hat normaleweise kein WLAN weil die Hardwareunterstützung für Wlanchips mies ist... Die Option ist zwar da, aber das höchste der Gefühle sind Abg Netzwerke, vllt mal N. Je nachdem welche Hardware.
Ich denke du hast ein Accesspoint am OPNsense hängen?
Also so: DSL----Fritzbox----OPNsense----AP----Laptop über WLAN.
Dann wäre ggf zu prüfen wie der AP konfiguriert ist.
Oder ist es so?:
---------------Laptop über WLAN
|
DSL----Fritzbox----OPNsense
Dann wäre die OPNsense in der Standardkonfiguration nutzlos bzw würde überhaupt nichts tun.
-
Hey,
ich habe das gleiche Konstrukt, also:
Internet----Fritzbox----OPNsense----Clients
Die Frage die sich mir hier als erstes stellt ist, ob OPNsense mit NAT oder Routing arbeitet. Bei NAT sollte das auf Anhieb funktionieren. NAT ist aber gar nicht notwendig.
Sollte die OPNsense routen, musst Du in der Fritz!Box eine Rückroute für das Clientnetz der OPNsense einrichten.
Heimnetz -> Netzwerk -> Netzwerkeinstellungen -> IPv4 Routen
Dort gibst Du unter IP-Netzwerk das OPNsense LAN Subnetz ein, und als Gateway die statische OPNsense "WAN" IP aus den Subnetz der Fritz!Box.
Gruß
Jas Man
-
@JasMan: Kann man so machen. Empfehle ich aber ungern / seltener. Denn dadurch schiebt man den ganzen NAT Part auf die Fritte, die dann wieder alle Endgeräte kennt. Mag kleinlich sein, geht aber die Fritzbox nichts an. Und mit exposed Host gibts im Normalfall auch keine größeren Probleme mit NAT dahinter auf der Sense. Gerade wenn die FB nicht einem selbst gehört, sondern vom Provider gestellt ist, würde ich da so wenig Infos und Konfiguration wie möglich hineinpacken. Umso weniger kann sich im Fehlerfall auch der ISP rausreden und aus der Verantwortung stehlen.
Gruß
-
@JeGr: Auch ein interessanter Gedanke. An sowas hab ich noch gar nicht gedacht das die Fritz!Box dann alle Endgeräte kennt. Aus Security-Sicht sicherlich ein Grund das so zu machen.
Aber eigentlich sieht die FB doch nur die IPs der Endgeräte aus meinem OPNsense LAN, und keine Details zu Clientnamen, Hersteller der Netzwerkkarte o.ä.. Oder? Zumindestens habe ich in der Netzwerkübersicht der FB nur die "WAN" Adresse der OPNsense stehen, und keine weiteren Clients.
Die detailierteren Infos aus den Datenpaketen kann die FB sowohl im NAT als auch Routingbetrieb sehen.
-
> Aber eigentlich sieht die FB doch nur die IPs der Endgeräte aus meinem OPNsense LAN, und keine Details zu Clientnamen, Hersteller der Netzwerkkarte o.ä.. Oder?
Jein. Hast du dich gefragt, wie diese "coole hippe" HomeNet Ansicht der Fritzbox die Geräte identifiziert? Nunja, per DHCP zum einen, zum anderen ist bei vielen Geräten inzwischen im DHCP Call die caller ID mit drin. Also auch sowas wie android-13ad79efac oder windows10-möhre-xy. Zum anderen ist an Hand der MAC problemlos schon eine Einordnung des Geräts möglich - WLAN/LAN, Hersteller, etc. Das loggt die Fritte im Normalfall auch mit wenn sie einfach nur NAT macht. Wenn deine Sense das vorher schon macht, kommt nur noch Traffic von ihrem externen Interface bei der Kiste an. Darum bekomme ich auch immer Schmerzen wenn jemand sein LAN hinter die Sense packt und das WLAN auf der Fritte mitnutzen will. *grusel*
Wenn die FB kein DHCP mehr macht oder nur Pakete vom WAN sieht, fein, trotzdem muss dann normalerweise die Rückroute definiert sein, sonst geht es ohne NAT auf der Sense nicht.
Ich baue aus Erfahrung die Konfig lieber so, dass der ISP problemlos die Box austauschen kann gegen eine neue und die Sense+Setup dahinter einfach blind weiterläuft. Neue Box rein -> Standard IP von AVM (meist 192.168.178.x) -> DHCP Bereich ab .10(?) o.ä. ergo bekommt die Sense static IP auf 192.168.178.2 und macht selbst NAT. Bei Box Tausch damit sofort(!) alles wieder am Start und lediglich um von außen wieder auf die Sense zu kommen (VPN et al) muss der exposed Host wieder rein. Das ist aber meistens nur ein nice-to-have. Wichtig ist, dass es bei so einem Austausch meistens sofort alles wieder ohne umkonfigurieren läuft. Routet man muss auf alle Fälle das/die Netze der Sense wieder in die Box rein. Da muss ich also anfassen, bei Doppel-NAT optional :)
-
Den Wunsch möglichst wenig Arbeit bei einem Routertausch zu haben kann ich nachvollziehen.
Und die Schmerzen beim Wunsch das Fritten-WLAN zu nutzen auch. :D
Ersteres bekomme ich aber auch im OPNsense Routingbetrieb hin. Wenn ich die neue Fritte oder was auch immer eh anpassen muss um z.B. den exposed Host einzurichten, kann ich auch noch schnell ne Rückroute für das LAN Subnetz hinter der Sense einrichten.
Falls mein Kunde oder wer auch immer die Subnetze der Sense-LANs ständig ändert und/oder erweitert, kann man auch eine komplette Netz-Klasse als Rückroute (z.B. 10.0.0.0/8) auf der Fritte einrichten. Dann spart man sich das nachträgliche Anpassen und Erweitern der Routen.
Letztlich führen aber beide Varianten zum Ziel. Ich versuche jedoch NAT zu vermeiden wo es geht. Es ist und bleibt eine Krücke, und bietet im LAN keinerlei Mehrwert an Sicherheit. Die Fritte zeigt in ihrer SmartHome Übersicht auch nur die Sense an, da alle anderen Clients hinter der Sense bis auf deren IP für sie nicht sichtbar sind.
-
Den Wunsch möglichst wenig Arbeit bei einem Routertausch zu haben kann ich nachvollziehen.
Und die Schmerzen beim Wunsch das Fritten-WLAN zu nutzen auch. :D
Ersteres bekomme ich aber auch im OPNsense Routingbetrieb hin. Wenn ich die neue Fritte oder was auch immer eh anpassen muss um z.B. den exposed Host einzurichten, kann ich auch noch schnell ne Rückroute für das LAN Subnetz hinter der Sense einrichten.
Falls mein Kunde oder wer auch immer die Subnetze der Sense-LANs ständig ändert und/oder erweitert, kann man auch eine komplette Netz-Klasse als Rückroute (z.B. 10.0.0.0/8) auf der Fritte einrichten. Dann spart man sich das nachträgliche Anpassen und Erweitern der Routen.
Letztlich führen aber beide Varianten zum Ziel. Ich versuche jedoch NAT zu vermeiden wo es geht. Es ist und bleibt eine Krücke, und bietet im LAN keinerlei Mehrwert an Sicherheit. Die Fritte zeigt in ihrer SmartHome Übersicht auch nur die Sense an, da alle anderen Clients hinter der Sense bis auf deren IP für sie nicht sichtbar sind.
Ob du nun NAT machst oder nicht spielt z B. Performance-technisch nur noch eine untergeordnete Rolle, da bei OPNsense ohnehin egal ob Firewall oder NAT alles durch den PF Prozess, bzw. durch dessen Kernel Module muss, also letztendlich durch die CPU. Sicherheitstechnisch gesehen hat Source-NAT zwar "theoretisch" keine Vorteile, aber um einheitliche Portforwarding Regeln (Destination-NAT) zu erstellen und möglichst wenig bis gar keine Arbeit bei einem Routertausch zu haben, empfiehlt es sich NAT auf der Sense eingeschaltet zu lassen. Da du ansonsten Portfreigaben alle in der FritzBox machen musst und in der OPNsense Firewall für den jeweiligen Host den Port freischalten. Warum deine FritzBox auch so die Geräte hinter OPNsense nicht anzeigt liegt daran, das die FritzBox die Netzwerkgeräte alle anhand der MAC Adresse identifiziert (ARP Tabelle IPv4, NDP IPv6).
Das kann sie bei Geräten hinter einem Nachgelagerten Router natürlich auf die Weise nicht. Ein Datenpaket welches aus deinem Lokalen Netzwerk über eine Routergrenze hinweg soll, trägt immer im Layer 2 die Zielmac-Adresse deines Routers im Netzwerk. Schaltest du jetzt also z.B. in deiner aktuellen Konfiguration auf der FritzBox die Kindersicherung ein, und sperrst z. B. einen HOST im Nachgelagerten Netzwerk den Internetzugang, haben Automatisch alle Geräte die an der OPNsense hängen keinen Internetzugang mehr.
Probier es mal aus. Falls dich das interessiert.
Gruß
NR