Messages

1

German - Deutsch / Re: OPNsense Projekt mit IPU-System, KVM, mehrere LAN Schnittstellen, VLAN

« on: December 17, 2022, 06:08:24 pm »

Hallo micneu,
danke für die Antwort.

zu 1. da ich länger nichts mit centos gemacht habe empfehle ich das zu googlen (habe keine antwort, deine frage bezieht sich ja nicht auf opnsense sonder auf centos wie du was machen sollst, da am besten in ein centos forum fragen)

Eigentlich ist es ziemlich egal, ob es Ubuntu, CentOS, etc. ist, weil die KVM Umgebung immer die gleiche ist. Mir geht es hierbei weniger um CentOS, sondern rein um die CLI-Befehle für den Virtualisierer.

zu 3. könnte man mit VLANs versuchen, wird aber bandbreite kosten (währe nicht meine wahl)

So habe ich es zur Zeit ja zwangsläufig realisiert. Aber mit den Einbußen kann ich aktuell sehr gut leben.

PS: die meisten nutzen proxmox zum virtualisieren

Das habe ich in der Vergangenheit auch immer genutzt, bläht das System aber m. E. sehr auf. Ich möchte halt ein stabiles, schlankes Host Betriebssystem als Basis haben. Die Probleme mit Proxmox entstanden immer dann, wenn es für Proxmox ein Major-Update gab.

PPS: wenn du schon probleme hast wie du was virtualisierst, bist du dir sicher das es eine gute idee ist das so umzusetzen, es werden noch mehr probleme auf dich zu kommen, keine ahnung wie deine netzwerkkenntnisse sind, aber meine empfehlung: fang doch lieber erstmal ganz simpel an mit einer sense auf echter hardware und wenn du die beherscht kannst du dich ja später mal an das thema virtualisierung wagen

.
Meine Netzwerkkentnisse sind nicht das Problem. Und wie ich bereits schrieb, habe ich jahrelange Erfahrung auf echter Hardware mit der OPNsense. Mein Problem ist halt derzeit einfach eine möglichst schlanke Virtualisierung mit durchreichen der Ethernetschnittstellen.

Also: eigentlich geht es nur darum, OPNsense in KVM zu virtualisieren und die Schnittstellen sauber durchzureichen.

2

German - Deutsch / OPNsense Projekt mit IPU-System, KVM, mehrere LAN Schnittstellen, VLAN

« on: December 17, 2022, 08:27:08 am »

Guten Morgen Zusammen,

ich hatte in der Vergangenheit eine OPNsense auf einem APU-Board in Benutzung und war sehr zufrieden. Allerdings war der Datendurchsatz bei meiner DSL-Verbindung zu langsam. Weil ich ansonsten schon viele Ubiquiti Produkte im Einsatz hatte, habe ich mir die UDM Pro gekauft.

Nach einem Jahr muss ich leider enttäuscht feststellen, dass die Firmwareupdates der UDM Pro immer nur kleine Bugfixes enthält, Neuerungen aber nur in der neuen Hardware Einzug erhalten:
So ist es z.B. immer noch nicht möglich, Wireguard über den offiziellen Weg zu installieren.
Weil die UDM darüber hinaus viel Energie verbraucht, möchte ich sie wieder ablösen. Da ich außerdem einen kleinen Server auf APU-Basis laufen habe, habe ich mir überlegt einen etwas performanteren Server aufzubauen und dort verschiedene Dinge zu Virtualisieren, sprich die OPNsense und den Inhalt des APU-Boards in verschiedenen KVM-Guests auf einer Hardware laufen zu lassen.

Dies zur Einleitung, nun mein Vorhaben:
Ich besitze ein IPU-System (wie das APU-Board, nur auf Intel-Basis und performanter) mit 64GB RAM, und einer Core i7 Notebook CPU der 11. Generation. Dieses System besitzt 6 LAN-Ports und diverse USB-Ports.
Ich habe CentOS als Basis installiert. Diese Basis soll als KVM-Host fungieren (möglichst schlank, ohne grafische Oberfläche). OPNsense soll virtualisiert laufen und alle LAN-Ports an sich binden. Fünf der sechs LAN-Ports sollen als managebarer Switch dienen (verschiedene VLANs), ein LAN-Port soll als WAN UND Upload-Port ins LAN dienen (ist derzeit mit VLAN7 der Telekom realisiert, das ich tatsächlich an der UDM als physikalischen Loop enrichten musste).

Meine Fragen:
1. Wie kann ich die OPNsense als KVM-Gast einrichten?
2. Wie kann ich die LAN-Ports komplett an die OPNsense durchreichen um sie von der OPNsense aus zu managen?
3. Ich habe nur ein Netzwerkkabel im Arbeitszimmer liegen. Das kommt vom Switch im "Multimedia-Schrank" des Vermieters, auf dem auch das Modem angesteckt ist, führt ins Arbeitszimmer zum Router und geht mit den verschiedenen VLANs auf dem selben Draht zurück in den Multimediaschrank, von wo aus die Signale in die Wohnung weiter verteilt werden. Wie lässt sich soetwas realisieren, ohne wieder einen physikalischen Loop bauen zu müssen?

Ich freue mich sehr über Tipps, Hilfen und Ideen. Mein größtes Problem ist übrigens gerade Frage #1.

3

German - Deutsch / Re: Zugriff von zusätzlichem VLAN auf IPSec-Tunnel

« on: October 27, 2020, 07:00:37 am »

Guten Morgen zusammen,
danke für die Antworten.

Das 10er Netz kann leider auf der anderen Seite nicht bekannt gemacht werden, weil wir hier selber 10er und 192er Netze nutzen (für Kundenteststellungen). Die Frage die sich mir stellt:
Ist in diesem Falle NAT nicht ausreichend und wie richte ich die NAT-Regel ein? Ich möchte ja quasi nur von meinem !0er Netz in das Firmennetz verbinden. Eine aus dem Firmennetzwerk initiierte Verbindung in mein 10er Netz soll nicht erfolgen.

4

German - Deutsch / Zugriff von zusätzlichem VLAN auf IPSec-Tunnel

« on: October 26, 2020, 02:45:42 pm »

Hallo Zusammen,
nachdem ich das halbe Internet nach meinem Problem durchforstet habe, habe ich leider noch immer keine Lösung gefunden.
Von daher bin ich über eine Hilfe sehr dankbar (auch wenn mir jemand einfach mitteilt, nach was ich suchen muss).

Folgende Situation:
Ich habe einen funktionierenden IPSec-Tunnel von meiner OPNsense Zuhause (172.18.1.0/24) in das Firmennetzwerk laufen (172.21.1.64/26). Ich kann von meinem Netz zuhause ohne Probleme in das Firmennetzwerk kommunizieren.
Nun habe ich zuhause aber ein weiteres Netzwerk, von dem ich auf die IP-Adressen im Firmennetzwerk zugreifen möchte, das aber standardmäßig über mein normales Internetgateway in das Internet verbindet. Der Grund: In meinem normalen Netz (10.0.10.0/24) befinden sich alle PCs und mein SIP-Telefon, dass ich gerne als SIP-Client im Firmennetzwerk betreiben möchte. Trotzdem soll das SIP-Telefon in meinem normalen Netz bleiben, weil es mein privates Telefon ist, dass ich nur zusätzlich für die Firma nutzen möchte (die Erlaubnis meines AG habe ich dafür).

Nun möchte ich eine Verbindung vom 10.0.10.0/24 Netz über den IPSec-Tunnel, der in meinem 172.18.1.0/24 Netz terminiert ist in das VoIP-Netz des Arbeitgebers aufbauen (172.21.1.64/26).

Leider bin ich kein Netzwerkspezialist. Ich truae mir zwar viel zu, und bastele auch gerne am Netzwerk, aber ich habe kein richtiges Profiwissen. Deshalb bin ich für eine Unterstützung sehr dankbar.