1
German - Deutsch / Public IP Netz auf OPNsense richtig nutzen
« on: March 22, 2021, 08:17:00 pm »
Hallo zusammen,
auch wenn ich schon länger hier viele Themen verfolge, kommt nun mein erster eigener Beitrag. Ich hoffe, dass ich zukünftig auch mit meiner Expertise unterstützen kann.
Zu meinem Thema:
Ich plane grade eine Netzwerkstruktur mit, im Kern, einer OPNsense Firewall (virtualisiert), welche sowohl die Rollen von Firewall, Router und VPN Site-to-Side Gateway übernehmen soll.
Dies ist lediglich eine grobe Übersicht, da es noch mehr Switche (teilweise virtualisiert) und VLAN Netze geben wird. Zur Veranschaulichung meiner Fragen sollte dies aber reichen.
Der MikroTik macht als Hardware mit GPON Modul die PPPoE Einwahl auf den Telekom Anschluss mit fester IP Adresse.
Über VLAN 2000 kann nun die virtualisierte OPNsense Firewall auf 10.200.0.1 als hinterlegtes Gateway zugreifen um sich zum Internet zu verbinden.
Diese Verbindung soll aber NUR für einen Zweck genutzt werden und zwar um eine geroutete VPN Verbindung aufzubauen.
Das Interface bekommt auf dem VPN Tunnelnetz auf dem Interface die IP 4.5.6.2/30 zugewiesen mit 4.5.6.1/30 als Gegenstelle.
Durch das Tunnelnetz wird nun auf die IP 4.5.6.2 als Routingziel das public IP Netz 1.2.4.0/24 geroutet.
Nun lege ich ein VLAN Interface 2002 an mit der IP 1.2.4.1/24 und weitere virtuelle IP Adressen mit Zuweisung zu diesem Interface.
Ziel ist nun den gesammten Internettraffic nach und von außen auf public IPs dieses Netzes durch den VPN zu schicken. Ich lege hier zu eine Out-NAT Regel an, welche die Quell IP auf 1.2.4.200 (Virtuelle IP) festlegt. Des weiteren wähle ich in den Firewallregeln dazu ein zweites default Gateway, welches auf 4.5.6.1 zeigt.
Des weiteren lege ich Nat + Firewallregeln an, um z.B. 1.2.4.10 (Virtuelle IP) intern an einen Server weiterzugeben.
Ich nutze also das komplette IP Netz "intern" an der OPNsense Firewall für NAT <-> VPN Tunnel.
Das habe ich in einer virtualisierten Umgebung auch schon getestet und es funktioniert auch soweit, jedoch habe ich Fragen bezüglich der Richtigkeit und Optimierung:
1. Ich gebe im MikroTik das komplette 10.0.0.0/8 als Routingziel die 10.200.0.2 an, um ausgehendes NAT bis zum MikroTik zu vermeiden und die Rückroute entsprechend zu sichern. Grund hier ist der weitere Zugriff auf das Interface vom MicroTik und unnötiges NAT vermeiden. Es wird das am Interface anligende Netz höher priorisiert (10.200.0.1/30) als die Route 10.0.0.0/8 richtig?
2. Nutze ich das Public IP Netz geroutet durch die VPN mit einem Interface + Virtuellen IPs so richtig? Oder gibt es eine bessere Lösung?
3. Da das VLAN 2002 Netz mit dem Public IP Netz ja nur "intern" genutzt wird, findet dort überhaupt Layer 2 Traffic statt? Könnte ich somit auch die Gateway und Broadcast Adresse .1 und .255 als Adresse beim ein- oder ausgehenden NAT Nutzen? Oder Wird es wie Layer 2 genutzt und von NAT -> Virtuellen IP -> VLAN 2002 Interface 1.2.4.1/24 -> VPN Tunnel ?
4. Ich muss aber generell das VLAN Interface mit 1.2.4.1/24 anlegen damit OPNsense dieses Netz überhaupt in seiner Routingtabelle hat und weiß was es mit den ankommenden Paketen auf dem VPN Interface anfangen soll richtig ?
5. Insgesammt habe ich nur 2 Gateways 1x Telekom vor Ort und 1x VPN Tunnel richtig? Alles andere mit den public IPs mache ich komplett über NAT?
6. Wie kann ich einstellen, dass **NUR** der VPN Aufbau über das 1. Gateway (Telekom vor Ort) geht und alles andere (inkl. der OPNsense selbst (Firmware akt., DNS, weitere VPN Tunnel)) über das 2. Gateway des VPN Tunnels. Den Netzwerkverkehr der Netze kann ich über die Firewallregeln ja ein Routing "aufzwingen" jedoch was mache ich mit der Firewall selbst ?
Oder reicht es hier diese erste VPN auf das Interface mit VLAN 2000 der Telekom Leitung zu binden ?
7. Wenn ich Datenverkehr aufs WAN zulassen möchte ist es die richtige Methode in OPNsense ein Alias aller privaten IP Blöcke zu erstellen und diesen als Ziel in einer Firewallregel zu negieren?
Ich danke für alle die sich in diese, doch nicht ganz alltägliche, Struktur reindenken.
Leider sieht man irgendwann vor lauter Bäumen den Wald nicht mehr. Die Funktionen sind nach ersten Tests schon soweit da und OK aber ich möchte es ja auch auf Zukunft stabil und konform aufbauen, deshalb die Verständnissfragen.
Ich hoffe ich habe alle relevanten Daten angegeben, ansonsten bitte noch mal genauer nachfragen.
Vielen Dank euch,
Thomas
Grober Netzwerkplan:
auch wenn ich schon länger hier viele Themen verfolge, kommt nun mein erster eigener Beitrag. Ich hoffe, dass ich zukünftig auch mit meiner Expertise unterstützen kann.
Zu meinem Thema:
Ich plane grade eine Netzwerkstruktur mit, im Kern, einer OPNsense Firewall (virtualisiert), welche sowohl die Rollen von Firewall, Router und VPN Site-to-Side Gateway übernehmen soll.
Dies ist lediglich eine grobe Übersicht, da es noch mehr Switche (teilweise virtualisiert) und VLAN Netze geben wird. Zur Veranschaulichung meiner Fragen sollte dies aber reichen.
Der MikroTik macht als Hardware mit GPON Modul die PPPoE Einwahl auf den Telekom Anschluss mit fester IP Adresse.
Über VLAN 2000 kann nun die virtualisierte OPNsense Firewall auf 10.200.0.1 als hinterlegtes Gateway zugreifen um sich zum Internet zu verbinden.
Diese Verbindung soll aber NUR für einen Zweck genutzt werden und zwar um eine geroutete VPN Verbindung aufzubauen.
Das Interface bekommt auf dem VPN Tunnelnetz auf dem Interface die IP 4.5.6.2/30 zugewiesen mit 4.5.6.1/30 als Gegenstelle.
Durch das Tunnelnetz wird nun auf die IP 4.5.6.2 als Routingziel das public IP Netz 1.2.4.0/24 geroutet.
Nun lege ich ein VLAN Interface 2002 an mit der IP 1.2.4.1/24 und weitere virtuelle IP Adressen mit Zuweisung zu diesem Interface.
Ziel ist nun den gesammten Internettraffic nach und von außen auf public IPs dieses Netzes durch den VPN zu schicken. Ich lege hier zu eine Out-NAT Regel an, welche die Quell IP auf 1.2.4.200 (Virtuelle IP) festlegt. Des weiteren wähle ich in den Firewallregeln dazu ein zweites default Gateway, welches auf 4.5.6.1 zeigt.
Des weiteren lege ich Nat + Firewallregeln an, um z.B. 1.2.4.10 (Virtuelle IP) intern an einen Server weiterzugeben.
Ich nutze also das komplette IP Netz "intern" an der OPNsense Firewall für NAT <-> VPN Tunnel.
Das habe ich in einer virtualisierten Umgebung auch schon getestet und es funktioniert auch soweit, jedoch habe ich Fragen bezüglich der Richtigkeit und Optimierung:
1. Ich gebe im MikroTik das komplette 10.0.0.0/8 als Routingziel die 10.200.0.2 an, um ausgehendes NAT bis zum MikroTik zu vermeiden und die Rückroute entsprechend zu sichern. Grund hier ist der weitere Zugriff auf das Interface vom MicroTik und unnötiges NAT vermeiden. Es wird das am Interface anligende Netz höher priorisiert (10.200.0.1/30) als die Route 10.0.0.0/8 richtig?
2. Nutze ich das Public IP Netz geroutet durch die VPN mit einem Interface + Virtuellen IPs so richtig? Oder gibt es eine bessere Lösung?
3. Da das VLAN 2002 Netz mit dem Public IP Netz ja nur "intern" genutzt wird, findet dort überhaupt Layer 2 Traffic statt? Könnte ich somit auch die Gateway und Broadcast Adresse .1 und .255 als Adresse beim ein- oder ausgehenden NAT Nutzen? Oder Wird es wie Layer 2 genutzt und von NAT -> Virtuellen IP -> VLAN 2002 Interface 1.2.4.1/24 -> VPN Tunnel ?
4. Ich muss aber generell das VLAN Interface mit 1.2.4.1/24 anlegen damit OPNsense dieses Netz überhaupt in seiner Routingtabelle hat und weiß was es mit den ankommenden Paketen auf dem VPN Interface anfangen soll richtig ?
5. Insgesammt habe ich nur 2 Gateways 1x Telekom vor Ort und 1x VPN Tunnel richtig? Alles andere mit den public IPs mache ich komplett über NAT?
6. Wie kann ich einstellen, dass **NUR** der VPN Aufbau über das 1. Gateway (Telekom vor Ort) geht und alles andere (inkl. der OPNsense selbst (Firmware akt., DNS, weitere VPN Tunnel)) über das 2. Gateway des VPN Tunnels. Den Netzwerkverkehr der Netze kann ich über die Firewallregeln ja ein Routing "aufzwingen" jedoch was mache ich mit der Firewall selbst ?
Oder reicht es hier diese erste VPN auf das Interface mit VLAN 2000 der Telekom Leitung zu binden ?
7. Wenn ich Datenverkehr aufs WAN zulassen möchte ist es die richtige Methode in OPNsense ein Alias aller privaten IP Blöcke zu erstellen und diesen als Ziel in einer Firewallregel zu negieren?
Ich danke für alle die sich in diese, doch nicht ganz alltägliche, Struktur reindenken.
Leider sieht man irgendwann vor lauter Bäumen den Wald nicht mehr. Die Funktionen sind nach ersten Tests schon soweit da und OK aber ich möchte es ja auch auf Zukunft stabil und konform aufbauen, deshalb die Verständnissfragen.
Ich hoffe ich habe alle relevanten Daten angegeben, ansonsten bitte noch mal genauer nachfragen.
Vielen Dank euch,
Thomas
Grober Netzwerkplan: