Messages

Hallo zusammen,

nachdem ich jetzt umgezogen bin, will ich mich endgültig mal daran machen meine OPNsense in Betrieb zu nehmen.

Nur leider hat mein neuer Internetanbieter eine mir neue und unbekannt Konfiguration. Ich habe Glasfaser im Haus (das ist prinzipiell schön und schnell) und damit einen Router (oder Modem oder was auch immer) von denen bekommen, der mir eine IP aus einem privaten Bereich zuteilet per DHCP zuteilt und ich keine Zugangsdaten habe oder eingeben muss.

Dahinter wollte ich dann die OPNsense hängen die dann als interner DHCP Server im Bereich 192.168.178.xxx fungiert. Dahinter dann eine FritzBox 7590. Ich weiß, viele hier sind kein Fan von der FB und den Repeatern, ich möchte die FB aber gerne als Telefonanlage nutzen und habe einige der Repeater auf PoE umgebaut und würde das alles gerne so weiter nutzen.

Konfiguration sieht wie im folgenden Diagramm aus:

        Glasfaser
             :
             : DHCP
             :
      .-----+-----.
      |  Router  | Alcatel-Lucent I-240G-D 192.168.70.254
      '-----+-----'
             |     
             |
      .-----+------.
      |OPNsense|  192.168.70.xxx
      '-----+------'   
             |
             |   DHCP 192.168.178.xxx
             |
      .-----+-----.
      |  FB7590 | Router 192.168.178.2
      '-----+-----'
             |
             |
      LAN | 192.168.178.10  -  .250
            |
      .-----+------.
      |LAN-Switch | NETGEAR GS324TP
      '-----+------'
             |
    ...-----+------... mehrere AP (Fritz 1750 & 2400)

(IP-Bereich 192.168.178.xxx zu darstellungszwecken, ist noch nicht bestätigt)

Ich möchte nun einige der Klienten in Aliase zusammenfassen, wobei es dann einen Alias für VPN Verbindungen gibt, einen für BIND, einen für beides, etc. Gerne würde ich auch bestimme Ports nur über VPN laufen lassen (VoIP, weil das hier gesperrt ist).
Die Meisten Klienten würden eine feste IP bekommen, nur Gäste würden vom DHCP eine IP zugewiesen bekommen (z.B. 192.168.178.180 - .200)

Jetzt meine Frage. Ergibt das so alles überhaupt einen Sinn und ist das möglich? Bekomme ich da evtl. Probleme wegen dem doppelten Nat (192.168.70.xx und 192.168.178.xx)? Kann ich bei der Alcatel-Lucent I-240G-D die OPNsense aus der Firewall rausnehmen?

Ich hoffe das ist alles verständlich geschrieben, ich weiß das ist alles anderes als eine normale Konfiguration.

Vielen Dank an alle schon im Voraus.

Grüße,
TheSaint

Danke für all Eure Antworten.

Ich glaube den Ansatz von Marcel_75 werde ich mal versuchen. Habe hier noch eine alte Fritz!Box irgendwo und die kann ich ja dann hinter die OPNsense hängen und die Versuche machen. Kurze Frage dazu: Warum ein 10.xxx.xxx.xxx/24 Netz wählen? Damit ich VLANs erstellen kann? Welchen Vorteil hätte das? Das kann ich doch auch durch Aliase machen, oder?

Btw. Mein GPON sieht ungefähr wie auf dem Bild aus. Da kommt das Optische Kabel rein (links) und stellt mir dann Telefon an einer RJ-11 Buchse und Internet an einer RJ-45 Buchse zur Verfügung. Leider ist VoIP blockiert; einer der Gründe warum ich den OPNsense mit VPN haben möchte.

Hallo zusammen,

Ich habe hier eine wahrscheinlich etwas komisch wirkende Frage.

Kann ich meine OPNsense Box erst einmal ins Netz hängen ohne irgendwelche FW Funktion, sondern nur als sozusagen Modem? Ich möchte das die OPNsense Box dann langsam mit FW, VPN, Zugangsregeln, etc. konfigurieren, während mein Heimnetz trotzdem weiter funktioniert. Hintergrund ist das ich meine Familie nicht mehrere Stunden ohne Internet lassen kann, die lynchen mich sonst.

Im Augenblick läuft das ganze bei mir klassisch über eine Fritz!Box und ich möchte die OPNsense Box vor die Fritz!Box schalten (s.u.).

Sorry, wenn die Frage dumm ist, aber ich denke das wäre die einfachste Möglichkeit für mich.

Danke an alle,
TheSaint


  GPON
     |
     |
OPNsense
(PPPoE)
     |
     |
Fritz!Box
(IP client)
     |
     |
Heimnetz

Ich glaube das war die iX 10/2018 -> Marktübersicht: Open-Source-Firewalls

Hört sich gut an, Danke!

Werde ich nächste Woche, wenn ich mal wieder Zeit habe probieren.

Hallo,

Danke für den Tipp. Ich glaube ich habe mich ein wenig missverständlich ausgedrückt. Der OPNsense soll natürlich den VPN bereitstellen und ich will das nur gewisse IPs über den VPN laufen. Zwischen OPNsense und FritzBox ist natürlich nicht WAN, sondern LAN.

Beispiel.
Laptop von meiner Tochter mit Skype und der IP 192.168.178.50 soll über VPN. Mein Laptop mit VPN 192.168.178.51 aber nicht (beide WLAN). Apple TV (Kabelgebunden an LAN Switch) soll wahlweise über VPN (ARD und ZDF sehen) oder nicht über VPN (lokales Netflix).

WLAN soll nicht DMZ sein.

Danke.

Hallo zusammen,

ich hoffe ihr könnt mir hier etwas helfen.

Also, ich wohne in einem Land das recht restriktiv mit dem Internet Zugriff ist und Sachen wie VoIP, Skype, Facetime, etc. pp. geblockt sind.
Die meisten kommerziellen VPN Anbieter dadurch auch.
Ich habe zwar einen dieser VPN Anbieter, jedoch bekomme ich da nur über PPTP dran und das nur mit ziemlichen vielen Paketverlusten und normalerweise nur <1Mbit Up- oder Download.
Daher habe ich mir vor kurzem mal einen eigenen VPN auf einem deutschen Server mit Streisand (https://github.com/StreisandEffect/streisand) aufgesetzt der mir OpenConnect (Cisco AnyConnect), OpenVPN (direkt und stunnel) Shadowsocks und SSH anbietet.
Dazu habe ich einen Raspberry PI 3B+ als VPN Gateway eingerichtet und mit OpenConnect verbunden. Leider überfordere ich den Raspberry wohl ein bisschen und ich bekomme nur ähnliche DL/UL Raten wie unter PPTP. Wenn ich jetzt aber von meinem Telefon über AnnyConnect mit meinem privaten Server verbinde bekomme ich 70/17 Mbit (Leitung von 250/20Mbit).
So, jetzt die eigentliche Frage. Kann ich OPNsense so einrichten, dass er einen Tunnel über OpenConnect zu meinem privaten VPN aufbaut und ich dann bestimmen kann das gewisse IP Adressen in meinem privaten Netzwerk immer über den VPN gehen, der Rest aber nicht?
Traum wäre ungefähr so.
IP Bereich 192.168.178.0/24
OPNsense mini PC als Gateway der sich am ISP per PPoE anmeldet (macht gerade die FritzBox): 192.168.178.1
FritzBox 192.168.178.2 mit DHCP, da diese auch noch all mein AP (Mesh) verwalten soll.
Jetzt könnte ich in jedem Klienten der über den VPN laufen soll (und dann evtl. noch so etwas wie AdBlocker etc. zum VPN hinzufügen), dass er den Router mit der Adresse 192.168.178.1 nehmen soll. VoIP der FritzBox sollte dann auch über VPN laufen, der Rest über den normalen ISP.
Alternativ, als zweite Lösung, könnte OPNsense sagen das alles von z.B. IP größer als 192.168.178.100 angefragt wird über den VPN laufen soll, die sonstigen IP Adressen im Netzwerk über die normale Internetverbindung?
Danke Euch allen im Voraus und sorry, falls ich dumm frage. Bin kein IT Profi.
Verkabelung sollte dann etwa wie folgt aussehen.


Glasfaser
      .-----+-----.
      |    GPON   |  vom Provider
      '-----+-----'
            :
            : PPPoE
            :
      .-----+-----.
      |  OPNsense |  mini Zotac CI327 nano mit 2x RJ45 (1Gbit) 192.168.178.1
      '-----+-----'
            |
        WAN |
            |
      .-----+------. 
      |  FritzBox  | 192.168.178.2
      |   7590     |
      '-----+------'   
            |
        LAN | WLAN
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients)