Messages

Wenn man weitere Netzwerke hinzufügt, egal ob LAN oder VLAN, muss man alle(!) Regeln selbst schreiben, weil per Voreinstellung nichts erlaubt ist.

Das ist Sinn und Zweck einer Firewall - "Verboten ist, was nicht expliziet erlaubt ist"

Meine Rat, so hab ich damals auch mit OPNSense angefangen, baut euch eine Testinstallation auf und fang damit erst mal an, zu verstehen, wie das Teil arbeitet, wie es konfiguriert wird. Bei mir steht aktuell noch eine neue OPNSense auf dem Schreibtisch auf neuer Hardware, mit der ich einzelne Sachen noch teste, bevor diese gehen die bestehende OPNSense ausgetauscht wird.

Zudem würde ich raten, erst mal einen Plan zu malen, was man überhaupt vor hat und nicht direkt alles auf einmal machen zu wollen. Erst man LAN / WAN anlegen mit dem Wizzard, DHCP, DNS usw. verstehen.
Dann kann man sich mal Gedanken über VLAN machen und eines anlegen, die ersten FW-Regeln bauen usw.


Zudem ist es sehr hilfreich, die Dokumentationen zu lesen, die kann man sich notfalls mit einem ordentlichen Browser auch per KI problemlos ins Deutsche übersetzen lassen.

Was hast du für eine Fritte? Bei Kabel ist es klar, geht nicht anders. Ansonsten ersetze die Fritte durch ein Modem und lass OpnSense die pppoe-Einwahl machen. Funktioniert tadellos.

Geht auch beim Kabel-Internet, ich nutze auch ein reines Kabelmodem vor der OPNSense ( Arris ), bringt es natürlich nur, wenn man keine anderen Dienste der Fritzbox nutzen will, wie z.b. Telefonie

1. Von jedem VLAN ins Internet und 2. In kein anderes VLAN (die haben alle private Adressen, fallen also unter rfc1918). Leider kenne ich keine Definition, die sagt "192.168.0.0/16 ausser mein aktuelles 192.168.99.0/24". Wenn ich die nicht voneinander trenne, brauche ich keine VLANs und alle VLANs einzeln als Block-Regel zu definieren ist fehleranfällig,

Diese beiden Regeln sind bei mir in jedem VLAN, die erste erlaubt den Zugang zum Internet zu IP, die NICHT in dem Alias vermekrt sind, die zweite blockt dann alles.
Im Alias stehen die IP-Ranges der privaten Netze, also
172.16.0.0/12
192.168.0.0/16
10.0.0.0/8

Alle weiteren Erlaubt Regel kommen dann davor, also z.b. Zugang für Dienste in anderen VLAN.

SFP-ONTs für GPON werden meist sehr heiß aufgrund der Baugröße, was praktisch aktive Kühlung erzwingt (die aber am Slot nicht gut wirkt). Über XGS-PON wollen wir lieber schweigen...

Das kann ich bestätigen, das Teil wird schon ohne gesteckte Glasfaser extrem heiss, ich weiss nicht, ob das eine lange Lebensdauer haben word, wenns im MiniPC eingesteckt ist.
Funktionieren tut es unter OPNSense, ich konnte schon auf die WebUI des Moduls zugreifen

Wie kann ich diesen nutzen und meine vorhandenen Regeln migrieren?

Drauf klicken und der Beschreibung folgen, das funktioniert sehr gut

WIFI MGMT teilt dem UNIFI-Controller in VLAN X mit das in VLAN Y ein UFO hängt.

Kannst mal aufmalen, was du damit meinst.

Ich habe so einen Konstrukt bei mir zuhause laufen ( OPNSense , Unifi-Switch/AP, Unifi-Controller als VM auf Proxmox und KEA als DHCP )

Ich vermute, deine Verbindung  Switch - AccessPoint ist falsch konfiguriert, der braucht einen Trunk mit dem Management-VLAN(1) und allen VLAN, welche der AP per WLAN verteilen soll. Die Zuweisung WLAN <-> VLAN machst ja im Unifi-Controller.
Der AP kmmuniziert mit dem Controller eben über das VLAN1

Bei mir hat noch kein OPNsense-Update nicht funktioniert wie erwartet. Außerdem gibt es ZFS und Snapshots.

Bei mir auch nicht, wenn hab ich mir eher was durch Konfiguänderungen zerschossen, wenn ssh wenigstens nicht geht, hab man aber schnell ein Restore der vorherigen Config wieder aktiviert ( musste ich gestern abend noch :-) )

Ich hab mir gerade nen "S2 Mini PC N305" gekauft beim grossen A, N305 CPU als Barebone, leider nicht günstiger aber mach robusten Eindruck und ist trotz Lüfter extrem leise ( 2x 10GB SFP und 2x 2,5GBE - alles Intel, SSD + NMVE und 32GB Ram hab ich verbaut ) und gestern OPNSense installiert und läuft.
Jetzt werde ich anfangen, meine Config des alten MiniPC darauf zu migrieren.

Firewall von alt zu new --> check

Mit der neuen Ansicht muss man sich erst mal anfreunden.


Wegen der DHCP-Option, schau mal hier in den Thread:
https://forum.opnsense.org/index.php?topic=40080.0

Doch: https://www.amazon.de/HSIPC-Firewall-Appliance-Router-i226-V/dp/B0CP1VZRG7 - dort kostet es mit RAM und Platte soviel wie bei ipu-system ohne.

RAM ist der Preistreiber, mein bestellte MiniPC mit 2x SFP+ Ports kostet als Barebone nicht viel mehr als der 32 GB Ram-Riegel dafür, ( SSD's hab ich noch hier liegen )

Wenn der umgebaut ist, wird mein jetztige MiniPC worauf die OPNSense läuft, frei, den kann ich vermutlich zum Neupreis verkaufen ( ist übrigens von IPU-System

Die sind ein bischen teuer, ich hatte an Alternativen gedacht.

Ich hab mir heute erst nen neuen MiniPC bestellt ( mit N305-CPU, 2x NIC + 2x SFP+ Intel ), da liegst auch schnell bei 350€+ trotz China-Import und hast weder SSD noch RAM drin. Und 32GB RAM dafür sind auch mal eben 300€ derzeit.

Ich habe auch in den DHCP-Optionen für jedes VLAN die OPNsense mit der jeweiligen IP aus dem VLAN als NTP-Server eingetragen aber auch einen einen weiteren, eigenen NTP-Server - für alle Fälle.

Korrekt, aber lieber mehre Quellen im Chrony der OPNSense eintragen als mehrere NTP-Server im Netz haben.  Ich nutze als Quellen nur die NTP-Server der PTB, weil ich mal davon ausgehen, das die immer laufen.

Mehrer NTP-Server haben wir in der Firma, aber die sind dann auch untereinander als  Cluster im Sync

Port Forward ist nicht notwendig und würde ich aus Sicherheitsgründen nicht machen.

Man liesst immer wieder, das Port-Forward notwendig ist bei SIP, das stimmt aber nicht (mehr).
Die Outbound-NAT Regel war bei mir auch die Lösung der Probleme.

Hier noch meine Inbound NAT-Regel:

Ich hab ne Fritzbox für Telefonie ( Vodafone-SIP am Kabelinternet ) im VLAN hinter der OPNSense hängen und keinerlei Inbound Regel aktiv, aber eine Outbound-NAT Regel für UDP auf StaticPort war wichtig, ohne die ging garnichts.

Das ist so. ISC bindet an alle Interfaces, selbst wenn er nur an einem aktiv ist.

Die Erfahrung hab ich damals auch gemacht, weil ich den schrittweise umziehen wollte - hatte sich damit erledigt.
KEA läuft super bei mir, daher war der Umstieg das beste was ich machen konnte.

ISC hab ich komplette deinstalliert.

Gestern abend hab ich auch auf die neuen FW-Rules umgestellt, gingt auch recht entspannt in wenigen Minuten

Du solltest erst mal die Subnetz anlegen.

Die DHCP-Reservations hab ich mir exportiert in eine CSV, nachbearbeitet und dann in KEA importiert, das lief problemlos.
Gestern hab ich ISC komplett rausgeworfen über die AddOns, was praktischerweise ja nun möglich ist.


Die neuen FW-Rules sind mir derzeit noch nicht so klar, muss ich mich noch informieren, vor allen was der Migrations-Assistent  überhaupt macht

Und mir fehlt die Sachkenntnis, wieso das so ist.

Da kann ich dir leider auch nicht weiterhelfen, mit SIP-VLAN auf der clientseite hab ich zum Glück bisher nichts zu tun gehabt.

Da muss mal einer der OPNSense-Spezialisten evtl. helfen, ob das funktioniert mit den VLAN-ID zum WAN durchreichen, weil mit mit speziellen VLAN für SIP haben ja etlichen Provider.

Ich hab bei mir am Wochenende das ganze wieder um eine Fritzbox erweitert ( FB 4050 ), weil ich DECT-Telefon anschliessen will.

Die beste Lösung, die ich bisher hatte, war beim Kabel-Internet die Fritzbox vor dem OPNSense und im BridgeModus, dann reicht die ihre WAN-IP an die OPNSense durch und hat selber ne weitere IP für Telefonie.
Dann eine VLAN für Telefon und das auch auf den ersten LAN-Port der Fritzbox und alles war wunderbar.

Ist aber ne Besonderheit der Kabel-Fritzboxen.