Messages

Ich habe nun aufgegeben. Schade dass es nicht so offensichtlich ist, wie das funktioniert.  :(

Ich habe nun das Netz per USB-Netzwerkkarte an OPNsense angeschlossen, was auf Anhieb funktioniert hat. Leider habe ich dadurch einen Single Point of Failure. D.h. nicht nur Internet wird bei einem Ausfall der OPNsense Firewall betroffen sein sondern auch das interne Netz... Und der Durchsatz ist sicher auch nicht so berauschend.

Trotzdem Danke für die Hilfe!

Ich habe nun alles nochmals probiert. Statische Route entfernt, wieder hinzugefügt, Gateway entfernt und wieder hinzugefügt, weitere Regeln ausprobiert, auch in Floating und nicht nur in LAN. Bisher kein Erfolg. Was mir noch aufgefallen ist:

In Firewall -> Log Files -> Live View findet sich folgender (seltener) Eintrag vom 192.168.3.0/24-Netz. Generell sind dort tcp Einträge recht selten, was mich wundert. Auch fällt auf, dass udp-Packet akzeptiert werden, tcp aber nicht:

Code Select Expand

Interface  Time            Source              Destination         Proto  Label
LAN        Apr 2 22:25:44  192.168.3.60:57524  172.217.168.74:443  tcp    Default deny rule

Und folgend ein paar Einträge aus Firewall -> Log Files -> Plain View:

Code Select Expand

Date                 Line
2020-04-02T22:35:03  filterlog: 8,,,0,re0,match,block,in,4,0x0,,63,30893,0,DF,6,tcp,76,192.168.3.60,108.177.127.188,58083,5228,24,FPA,407915723:407915747,2483655420,677,,nop;nop;TS
2020-04-02T22:35:02  filterlog: 68,,,0,re0,match,pass,in,4,0x0,,63,12956,0,DF,17,udp,68,192.168.3.60,192.168.2.1,56890,53,48
2020-04-02T22:35:02  filterlog: 68,,,0,re0,match,pass,in,4,0x0,,63,12948,0,DF,17,udp,87,192.168.3.60,192.168.2.1,43779,53,67
2020-04-02T22:35:01  filterlog: 68,,,0,re0,match,pass,in,4,0x0,,63,12942,0,DF,17,udp,77,192.168.3.60,192.168.2.1,58822,53,57
2020-04-02T22:35:01  filterlog: 8,,,0,re0,match,block,in,4,0x0,,63,30892,0,DF,6,tcp,78,192.168.3.60,108.177.127.188,58083,5228,26,PA,407915697:407915723,2483655420,677,,nop;nop;TS

Ja, ich habe NAT auf Hybrid gesetzt. Die Regel ist wie folgt (jetzt wieder aktiviert):

Code Select Expand

Interface  Source          Source Port  Destination  Destination Port  NAT Address       NAT Port  Static Port Description
WAN        192.168.3.0/24  *            *            *                 WAN address       *         NO           NAT for 192.168.3.0/24

Es funktioniert aber leider trotzdem nicht...

Noch als Ergänzung: folgende Regeln wurden automatisch erzeugt:

Code Select Expand

Protocol    Source         Port  Destination      Port       Gateway  Schedule  Description
IPv4 UDP    *              68    255.255.255.255  67         *        *         allow access to DHCP server
IPv4+6 UDP  *              68    (self)           67         *        *         allow access to DHCP server
IPv4+6 UDP  (self)         67    *                68         *        *         allow access to DHCP server
IPv4+6 TCP  *              *     (self)           22 80 443  *        *         anti-lockout rule
IPv4 TCP    (re0:network)  *     192.168.3.0/24   *          *        *         pass traffic between statically routed subnets
IPv4 *      (re0:network)  *     192.168.3.0/24   *          *        *         pass traffic between statically routed subnets
IPv4 TCP    192.168.3.0/24 *     (re0:network)    *          *        *         pass traffic between statically routed subnets
IPv4 *      192.168.3.0/24 *     (re0:network)    *          *        *         pass traffic between statically routed subnets

re0 ist das LAN-Interface.

Herzlichen Dank für die Tipps! Leider war das wohl noch nicht alles und es funktioniert noch immer nicht.

Ich habe bei Firewall -> Rules -> LAN die Regel wie  beschrieben hinzugefügt (existierende Regeln darunter):

Code Select Expand

Protocol  Source          Port  Destination  Port  Gateway  Schedule  Description
IPv4 *    192.168.3.0/24  *     *            *     *        *         Default allow 192.168.3.0/24 to any rule
IPv4 *    LAN net         *     *            *     *        *         Default allow LAN to any rule
IPv6 *    LAN net         *     *            *     *        *         Default allow LAN IPv6 to any rule

Wenn ich nach einer Weile auf den Inspect Button klicke, sehe ich folgendes:

Code Select Expand


Evaluations  States  Packets  Bytes    Description
5404         190     36187    2.07 MB  Default allow 192.168.3.0/24 to any rule
567          5       2442     400 KB   Default allow LAN to any rule
74           0       0        0 bytes  Default allow LAN IPv6 to any rule


Und unter Firewall -> Log Files -> Plain View sehe ich Einträge folgender Art:

Code Select Expand

2020-04-01T12:54:59          filterlog: 73,,,0,re0,match,pass,in,4,0x0,,63,8150,0,DF,17,udp,80,192.168.3.60,192.168.2.1,26287,53,60
2020-04-01T12:54:56          filterlog: 73,,,0,re0,match,pass,in,4,0x0,,63,8068,0,DF,17,udp,70,192.168.3.60,192.168.2.1,30517,53,50

Nachdem dies noch nicht zum Erfolg ausgereicht hat, habe ich folgendes gemacht:

• Neustart der ADSL-Box.
• Unter Firewall -> NAT Outbound eine Regel für 192.168.3.0/24 hinzugefügt. Nachdem dies nichts geholfen hat, habe ich diese wieder entfernt.
• Unter Firewall -> Settings bei Network Address Translation die Option Automatic outbound NAT for Reflection aktiviert.

Das ist der momentane Stand. WLAN-Geräte haben so immer noch nicht Zugriff auf das Internet. Über weitere Tipss wäre ich sehr dankbar!

Vielen herzlichen Dank
Michael

banym, vielen herzlichen Dank für deine Antwort!

Dein Verständnis ist korrekt, der AP "dd-wrt 1" routet zwischen 192.168.2.0/24 und 192.168.3.0/24. 192.168.3.0/24 ist das WLAN-Netz.

Der AP macht kein NAT. Ich habe Geräte, die von 192.168.2.0/24 zugreifbar sein sollen. Dieser Zugriff funktioniert auch tadellos, dank der statischen Route 192.168.3.0/24 nach 192.168.2.2 in OPNsense.

Das mit dem eigenen Interface geht leider nicht, da die HW nur 2 davon hat.

Dein zweitletzter Absatz ist für mich interessant. Leider verstehe ich momentan nicht, wie genau eine solche Regel aussehen soll bzw. wo ich diese in OPNsense definieren kann? Gibt es dazu weitere Informationen? EDIT: Vermutlich meinst du eine Firewall Rule? Da die Geräte im 192.168.2.0/24 Netz ohne individuelle Firewall Rule ohne Probleme ins Internet kommen habe ich naiverweise angenommen, dass ohne Firewall Rules standardmässig alle Geräte ins Internet kommen. Eventuell gilt dies aber für weitere Netze nicht? Ich werde dies ausprobieren.

Nochmals vielen herzlichen Dank
Michael

Hallo zusammen

Schon lange hatte ich vor, eine eigene Firewall in Betrieb zu nehmen welche aktuell ist und bei der ich mehr Möglichkeiten habe als mit der existierenden. So bin ich bei OPNsense gelandet. Ich habe OPNsense installiert und wollte dies nun einsetzen. Bis jetzt benutze ich eine Cisco RV180. Ich habe zwei Netze, ein Kabelgebundenes und eines für WLAN-Geräte. Folgend der Aufbau:

Code Select Expand


    WAN / Internet
          |
    +-----+-----+
    | ADSL-Box  |  No access
    +-----+-----+
          |192.168.0.254
          |
          |192.168.0.11
   +------+------+  192.168.3.0/24 --> 192.168.2.2 (static)
   | OPNsense /  |  0.0.0.0/0      --> 192.168.0.254
   | Cisco RV180 |  DHCP for 192.168.2.0/24
   +------+------+
          |192.168.2.1
          |
   192.168.2.0/24  Wired LAN
          |
          |192.168.2.2
  +-------+-------+  0.0.0.0/0 --> 192.168.2.1
  |   dd-wrt 1    |  DHCP for 192.168.3.0/24
  +---+---+---+---+  Router mode
      |   |   |192.168.3.1
      |   |   |
      |   | 192.168.3.0/24  Wireless LAN with SSID A / Channel 11
      |   +--------------------------------------+
      |192.168.3.2                               |192.168.3.3
+-----+-----+  0.0.0.0/0 --> 192.168.3.1   +-----+-----+  0.0.0.0/0 --> 192.168.3.1
|  dd-wrt 2 |  DHCP forwarding             |  dd-wrt 3 |  DHCP forwarding
+-----+-----+  Router mode                 +-----+-----+  Router mode
      |192.168.3.2                               |192.168.3.3
      |                                          |
192.168.3.0/24                            192.168.3.0/24
Wireless LAN with                         Wireless LAN with
SSID A / Channel 1                        SSID A / Channel 6


Mit dem Cisco-Gerät hat dies funktioniert. Mit OPNsense tut es das aber leider nicht mehr  :(. Alle wireless-Geräte habe nun keinen Zugang mehr in das Internet. Ich habe schon im Internet gesucht und auch hier im Forum. Gefunden habe ich folgendes, was aber nicht wirklich zu meinem Problem passt:

https://docs.netgate.com/pfsense/en/latest/wireless/use-an-existing-wireless-router-with-pfsense.html
https://forum.opnsense.org/index.php?topic=2328.msg7451#msg7451
https://forum.opnsense.org/index.php?topic=14898.msg68189#msg68189

Dies da ich zwei verschiedene Netze behalten will.

Weiss jemand was ich falsch mache bzw. kann mir einen Tipp geben, wie so ein Setup konfiguriert werden muss?

Vielen herzlichen Dank
Michael