Messages

Bin auch kein Experte. Du kannst natürlich eine Route in der Fritzbox hinterlegen und die Firewall am WAN für diesen einen Rechner öffnen. Ins LAN "heben" wüsste ich jetzt nicht, wie das gehen sollte.

Ich probiere das jetzt mal über PPPoE, ist vermutlich die sauberste Lösung. Fritte macht das Modem und die Opnsense die Einwahl. Ich berichte.

Würde bei dermaßen beschränktem Wissen auch von der Sense abraten wollen. Zwar finde ich deinen Anwendungsfall jetzt nicht so seltsam, aber vermutlich wärst Du einfach mit deiner Fritte besser dran, dazu noch ein Pihole oder ähnliches.

Ach, ich lerne schnell. Finde das alles zwar eine Menge Stoff aber nicht sonderlich kompliziert und sogar recht logisch. Aber stimmt, es fehlt mir Wissen, daher bin ich ja hier.

Da die Fritzbox vermutlich nur das 192.168.10.0/24 kennt und nach draußen gibt, wirst Du vermutlich auf der OpnSense Outbound NAT konfiguriert haben, oder? Schließlich würde die Fritzbox ja Deine grünen IPs (192.168.178.0/24) gar nicht erst routen.

korrekt.

Und gegen die Rückwärtsübersetzung der Outbound NAT der OpnSense kommt Dein WLAN-Rechner halt nicht an. Da müsstest Du schon mit Portfreigaben arbeiten.

da ist vermutlich mein erster Denkfehler, weil ich damit Schwierigkeiten habe, die Rückwärtsbewegung hinzubekommen.

Tatsächlich stimme ich micneu zu: Ich sehe nicht, wozu die OpnSense in dieser Konstellation gut sein soll.

Wie ich oben schon sagte, da hängen im LAN 13 Rechner hinter der Sense. Die sense sortiert also schön, wer was darf und was nicht mit den üblichen Firewallregeln für Internet, Mailverkehr etc. Irgendwie fand ich das gar keine schlechte Idee, hinter der Firitzbox eine ordentliche Firewall zu haben mit allem drum und dran ohne an der bereits vorhandenen Infrastruktur etwas zu ändern. Das ist ja nicht einfach ein Kinderzimmer mit zwei Zockrechnern, sondern 200qm Fläche mit zig Rechnern, die bis jetzt nur den Paketfilter der Fritzbox als "Schutz" hatten.

Ich halte sowieso nichts von der Variante "OpnSense hinter Fritzbox als Exposed Host", ich nehme die Dinger nur noch als IP-Client für VoIP und SmartHome her - man könnte sie dann auch noch als AP nutzen (Variante A).

Wenn man die AP-Funktion nicht benötigt, funktioniert ja trotz anderslautender Aussagen auch noch der VDSL-Bridge-Modus, bei dem dann wirklich die OpnSense als Router wirkt und man zumindest die Modem-Funktion erhalten kann (Variante B).

Ich nehme aber aufgrund der Grafik an, dass es sich um eine Kabelbox handelt und Du sowohl die AP - als auch die Modem-Funktion der Fritzbox nutzen willst. Dann allerdings kommt man bei so einer "ungewöhnlichen" Konstruktion C an, die mehr schlecht als recht funktioniert. Wo da der Mehrwert der OpnSense liegt, sehe ich nicht.

Ich würde mich für A oder B entscheiden und dann einen anständigen AP oder ein anderes Kabelmodem einsetzen.

An der Fritzbox hängt leider die Telefonanlage mit zwei Telefonen und einem Fax. Wenn man die Fritzbox bridged, funktioniert die dann noch? Anbieter ist Telekom mit DSL und Telefon. Wenn das geht, wäre das natürlich der Königsweg, daran habe ich noch gar nicht gedacht.

Das heißt, Du hast im der Fritzbox das Routing abgeschaltet quasi nur Modem?

Dann kann das ja auch nicht gehen.
Also mit einem weiteren AP das WLAn erweitern...

Nein, kein Bridge-Modus. Die Sense ist nur exposed host auf der Fritzbox. Außerdem hat sich der WLAN-Rechner von der sense auch eine IP abgeholt, ich sehe den in den Leases.

wozu dann die sense. ich verstehe immer noch nicht warum?
hier mal wie ich mein netz gebaut habe (alles ganz normal, deinen aufbau verstehe ich nicht)
- meine empfehlung nutze ordentliche APs (die meisten nutzen UBNT, am besten mal die Forum suche nutzen) und hänge die in das Sense netz, der Fritzbox kram ist nett aber für die sense nicht wirklich praktikabel.
- wenn du die AVM Produkte nutzen wills, wozu brauchst du denn eine Sense?

Im LAN der Opnsense sind bei mir samt Server etc. etwa 13 Rechner. Zum Schutz des LAN ist also die sense da. Dasa funktioniert auch wunderbar. Die Fritte ist nur fürs Internet und das Telefon da. Den einen Rechner, der im WAN ist, bekomme ich mangels Vernetzung nicht ins LAN, der steht nämlich 200qm weit weg. Daher muss der leider über WLAN eingebunden werden. Wegen eines Rechners wollte ich mir eben kein Ubiquiti Kram holen, daher habe ich den über die Fritzbox drin. Jetzt wollte ich diesen einzelnen Rechner eben ins LAN routen. Ich dachte, mit einer gescheiten Rule geht das, habe aber noch nicht rausgefunden, wie. 

Der Client ist eben leider örtlich so blöd gestellt, dass er nur über das WLAN der Fritzbox eingebunden werden kann. Da die Fritte im WAN ist, ist es deren WLAN Netz auch. Wie sollte ich das anders lösen? AUßer von den Räumlichkeiten, die sich leider nicht ändern lassen (daher auch der Repeater) bin ich offen für Veränderungsvorschläge.

Moin Gemeinde,
ich habe eine Frage, bei der ich gerade nicht weiter komme.
Ich habe 2 Vlan Netze. Eines am LAN-Port der Opnsense mit dem Adressbereich 192.168.172.0/24 und eines am WAN-Port mit dem Adressbereich 192.168.10.0/24. Das WAN geht in eine Fritzbox, welche das Internet bereitstellt und Verbindung über WLAN mit einem Rechner hat, der die IP 192.168.10.7 hat. Wie kann dieser Rechner mit dem LAN kommunizieren, um z.B. Dateien zu speichern? Leider kann ich den nicht ans LAN hängen, sonst wäre es einfacher.
Anbei mal einige Grafiken des Netzes. Auch die Rules, bei denen ich vermutlich einen Denkfehler habe. Meiner Meinung nach kommt ja der Rechner beim WAN Port an. Dort muss ich ihn ins Lan heben. Außerdem muss er wieder zurück zur Fritzbox, um ins Internet zu kommen, denn das Getaway ist ja die Opnsense. Meine "Lösung"  sieht man im Bild, die funktioniert leider nicht. Weder LAN noch Internet klappen Hat jemand eine Idee?

Hinter Fritzbox und hinter switch bedeutet ja unter anderem, du hast da einiges an privaten Adressen. Die würde ich nicht unbedingt blocken. Was sagt denn das Log?