OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of n3 »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - n3

Pages: [1] 2
1
German - Deutsch / DNS Regel notwendig, wenn IP nicht per DHCP vergeben wird
« on: November 19, 2023, 09:14:23 pm »
Hallo Zusammen,

ich bin noch relativ neu im Thema opnsense, aber soweit läuft mein PPPoE und meine einzelnen DHCP Services und Regeln. Was mich nur wundert ist, dass mein proxmox server die IP Adresse manuell gesetzt bekommt. Ich habe auch die FW als DNS gesetzt. Siehe Screenshots.

Proxmox konnte die Adressen nicht auflösen, weil Port 53 immer geblockt wurde. Ich habe diesen Freigegeben und danach ging es, aber mich wundert es, dass die Clients, welche per DHCP die Infos bekommen, dass nicht machen müssen.

Eventuell nutzen sie den zweiten DNS Server der per DHCP mitgeliefert wird und die DNS Einstellung sind falsch. Kann sein, dass mit der Umstellung auf PPPoE beim DNS noch das Gateway ausgewählt werden muss, aber das würde ja nicht erklären, wieso ich Port 53 freigeben musste. Irgendwas stimmt da nicht...

2
German - Deutsch / Re: PPPoE funktioniert, aber ich habe Fragen
« on: October 30, 2023, 06:15:06 pm »
Hey, Danke für die Hilfe.

Das vlan konnte ich nur dem vnet0 zuweisen, was das pppoe ist. pppoe konnte ich da gar nicht erst auswählen. Aber ich mach es jetzt über proxmox und dann passt es ja.

Das eine Gateway war noch nicht als Upstream. Hab es noch eingestellt. Danke nochmals! :-)

3
German - Deutsch / PPPoE funktioniert, aber ich habe Fragen
« on: October 29, 2023, 06:03:29 pm »
Hey Zusammen,

seit einigen Minuten funktioniert mein PPPoE, aber ich habe einige Fragen zur Konfiguration und hoffe, dass mir hier jemand das ein oder andere erklären kann.

Ich habe unter Interfaces WAN folgendes konfiguriert (die delegation size ist 56):


Dann habe ich noch für das Telekom Glasfaser ein vlan mit dem tag 7 angelegt:


Ich hatte vorher ein Speedport dazwischen, weshalb ich noch das Gateway deaktiviert hatte. Ich habe noch zwei Gateways hinzugefügt, bin mir aber nicht sicher, ob ich diese wirklich brauche und wenn ja, wieso.

Übersicht:


WAN GW (deaktiviert)WAN DHVPv4WAN DHCPv6

Ich musste dann in proxmox in den VM Einstellungen ein vlan tag definieren und danach ging es:


Ist das aktuelle Dashboard von opnsense


Es sind aktuell keine FW Regeln für WAN definiert. Nur die automatischen.


Meine Fragen sind
1. Brauche ich die Gateways und wieso?
2. Kann ich das vlan in opnsense deaktivieren, weil es in proxmox gesetzt wird?
3. Wieso muss ich in proxmox das vlan tag setzen? Das steht in keiner Anleitung etc.
4. Muss ich noch etwas einstellen, oder passen die Einstellungen so? Ich bin noch neu in opnsense und möchte nicht durch Unerfahrenheit eine wichtige Konfiguration vergessen, oder gar dadurch ein Sicherheitsproblem entstehen lassen.

4
German - Deutsch / Re: Anfängerfrage zu Regeln
« on: October 23, 2023, 12:58:26 pm »
Super, vielen lieben Dank, dass du noch einmal drüber geschaut hast.

Beim Glasfaser ging es mir eher darum, ob die Regeln der Firewall richtig sind. In den ganzen Anleitungen etc. wird darauf nicht eingegangen und ich will nicht durch eine falsche Config, dass mein Netzwerk ungewollt irgendwie im Netz erreichbar. Solange ich aber keine Regel im WAN Interaceanlege, sollte das ja nicht der Fall sein.

5
German - Deutsch / Re: Anfängerfrage zu Regeln
« on: October 23, 2023, 11:49:00 am »
Danke für die Erläuterung! Ich habe mich am WE etwas damit mehr auseinandergesetzt und verstehe es jetzt besser. Deine Regel erlaubt Zugriff auf alle Adressen, außer der Adressen, die für private Netzwerke reserviert sind. Daher erlaube ich damit den Zugriff auf das Internet, aber eben nicht auf die anderen Clients in meinem Netzwerk.
Die Regel muss ich aber für jedes Interface anlegen, welches ins Internet muss. Richtig? Ich frage hier nur, weil ich es aktuell für meine OUTDOOR Interface nicht eingerichtet habe, aber die Wallbox scheinbar ins Internet kommt. Wenn ich auf die Update Seite der Wallbox gehe, zeigt sie mir die im Internet verfügbare Version an. Eigentlich sollte das ja nicht gehen. Es könnte aber auch nur ein zwischengespeicherter Wert sein.

Ansonsten müssten  meine Regel jetzt final sein. Ich könnte den Zugriff auf das ADMIN net (proxmox, opnsense, mqtt, homeassistant, etc.) noch weiter einschränken, in dem ich nur die IPs mit Ports freigebe, aber ich glaube das wäre etwas overengineered.

Aktuell hängt am WAN ein Speedport der Telekom. Ich würde diesen jedoch gern wegnehmen und opnsense die Verbindung ins Internet direkt über das Glasfasermodem aufbauen lassen. Wäre die FW hierfür richtig konfiguriert, oder sollte ich noch etwas beachten?

OUTDOORLANADMINWAN

6
German - Deutsch / Re: Anfängerfrage zu Regeln
« on: October 20, 2023, 02:41:02 pm »
Hm, ich dachte man kann innerhalb eines Netzwerks uneingeschränkt kommunizieren, ich aber einzelne Verbindungen unterbinden kann. Sprich wenn PC1 nicht auf den Drucker zugreifen soll, dass ich das mit einem Deny festlegen kann. Aber ja, die FW regelt nur den Traffic zwischen den Netzwerken. Ich müsste dann mit weiteren vlan ids arbeiten.

Ich hätte aber noch zwei Fragen :)

1. Soll ich wirklich 192.168.0.0/16 nehmen, oder könnte ich nicht auch 192.168.3.0/24 nehmen?
2. Wo ist der Unterschied zur folgenden Regel?

7
German - Deutsch / Re: Anfängerfrage zu Regeln
« on: October 20, 2023, 12:51:04 pm »
Hey Monviech,

Danke für die Hilfe. Ich hab noch paar Fragen und ich glaube es hilft, wenn ich noch paar Infos teile:

192.168.1.0/24 ADMIN (proxmox, opnsense, homeassistant, etc.)
192.168.2.0/29 OUTDOOR (wallboxen)
192.168.3.0/24 LAN (Clients, Drucker, etc.)

Wenn ich nun das Alias so anlege, würde ich mein LAN sehr stark beschneiden und müsste viel konfigurieren. Ziel ist es, dass das LAN standardmäßig untereinander kommunizieren darf, aber nicht zu ADMIN und OUTDOOR. Nur gezielte Clients aus LAN sollen auf ADMIN und OUTDOOR zugreifen können. OUTDOOR soll ausschließlich ins Internet und da am besten auch nur bestimmte IPs. ADMIN dar nur gezielt untereinander und gezielt in die anderen Netzwerke.

Wenn ich es richtig verstanden habe, würde ich jetzt ein Alias für ADMIN und OUTDOOR anlegen. Anschließend über "Direction in" Regeln definieren welcher Service mit wem kommunizieren darf. Richtig?

8
German - Deutsch / Anfängerfrage zu Regeln
« on: October 19, 2023, 02:23:12 pm »
Hallo Zusammen,

ich habe mehrere Interfaces und zwei davon sind LAN und OUTDOOR (Wallboxen). Ich würde jetzt gern die Firewall so konfigurieren, dass OUTDOOR ausschließlich auf das Internet wegen Updates zugreifen kann und auf die Wallboxen nur ausgewählte Geräte aus LAN zugreifen können.

Ich wollte erst einmal den Zugriff komplett Blocken und dann die Freigaben erstellen, aber es funktioniert nicht so wie es erwarte. Obwohl ich den gesamten incomming Traffic blocke, habe ich weiterhin Zugriff auf die Wallboxen und diese auch ins Netz. Erst wenn ich den outbound Traffic sperre, komme ich nicht mehr auf die die Wallboxen.
Die states habe ich alle gelöscht.

Liegt es ggf. daran, dass ich bei LAN alles erlaubt habe, oder muss ich hier mit outbound direction arbeiten? Hatte nur gelesen, dass man diese eigentlich nicht verwendet.

OUTDOOR


LAN

9
German - Deutsch / Re: Probleme mit einem Gateway (Speedport/FritzBox)
« on: August 29, 2023, 08:21:49 am »
Quote from: lewald on August 28, 2023, 06:05:56 pm
Mach mal folgendes.

DHCP auf Speed port an.
Wan Verbindung Proxmox direkt in den Speedport. Wan Opensense auf DHCP.

Hätte ich dann nicht zwei DHCP auf einem Netz? Ich habe den Speedport direkt an den WAN Port vom Server angeschlossen und in Linux Bridge ist auch keine IP beim WAN vergeben und auch keine vlans. Hat leider nicht geklappt.

Ich habe gestern die VM gelöscht und opnsense von Grund auf neu Installiert. Jetzt läuft es. Auf den ubiquiti sind alle Port per vlan gesichert und kabelgebundene Clients kommen ins Internet und sehen sich auch gegenseitig (fw ist für Tests komplett offen).

Ich habe nur noch ein Problem mit dem WLAN. Die Clients verbinden sich nicht mit den APs. Laut opnsense wird ein dhcp lease ausgeliefert und der unifi controller meldet, dass das Gerät eine IP bekommen hat, aber das Gerät scheint diese entweder zu verwerfen, oder nicht richtig zu bekommen. In opnsense ist auch kein lease aufgeführt.
Gebe ich meinem Handy bspw. eine statische IP, bleibt die WLAN Verbindung bestehen, aber ich habe trotzdem kein Internet. Ich würde jetzt die opnsense ausschließen, da sie komplett neu ist. Was hab ich nur letzten Freitag angestellt, dass es all meine Services so zerschossen hat.

EDIT: Es geht jetzt wieder. Ich hatte die Port am Switch wo die APs hängen ebenfalls ins "LAN" vlan gepackt. Hab die Port jetzt wieder auf "Default", aber das Netzwerk der APs überschrieben und auf "LAN" gestellt. Jetzt geht es.

10
German - Deutsch / Re: Probleme mit einem Gateway (Speedport/FritzBox)
« on: August 28, 2023, 07:58:44 am »
Gute Idee. Habe es eben ausprobiert, wobei ich es nicht direkt anschließen konnte, sondern über einen kleinen Switch. Hat leider auch nicht geholfen. Gestern hatte ich auch mal meinen PC, den Server und den Speedport an den Switch gehängt, um den Switch auszuschließen. Das hat leider auch nicht funktioniert.

Ich hatte mal überlegt, ob es am DNS liegen könnte, aber das würde ja nicht erklären, wieso ich den Speedport nicht pingen kann. Wieso wird dann das Gateway in der opnsense als online angezeigt. Oh man...

Danke aber auf alle Fälle für die Hilfe!

11
German - Deutsch / Re: Probleme mit einem Gateway (Speedport/FritzBox)
« on: August 27, 2023, 08:51:14 pm »
Die Firewall ist in proxmox ist datacenter ebene per default zwar deaktiviert, jedoch auf node ebene standardmaäßig aktiv und auch bei den bridges. Ich habe hier auch nie etwas angepasst.

Der LAN-Bereich geht von 10-245 und die statische IP ist 254. Ich hatte den Screenshot da blöderweise abgeschnitten.

12
German - Deutsch / Re: Probleme mit einem Gateway (Speedport/FritzBox)
« on: August 27, 2023, 06:50:46 pm »
OK, Danke für den Hinweis.

Was könnte den bei proxmox falsch sein. So viel gibt es da ja nicht...


Ich könnte natürlich auch mal schauen, dass ich einen anderen Switch verwende, um hier einen Fehler auszuschließen. Aber auch hier, habe ich extra alle vlans deaktiviert, damit es dadurch keine Probleme gibt. Aber wenn opnsense soweit gut aussieht, dann schaue ich jetzt nochmal bei proxmox.

13
German - Deutsch / Re: Probleme mit einem Gateway (Speedport/FritzBox)
« on: August 27, 2023, 04:48:14 pm »
Hey, Danke für die Antwort. Ja, das ist mir bewusst. Ich wollte erst die opnsense etc. konfigurieren und erst danach den Speedport entfernen. Nicht das ich dann aus Versehen direkt im Netz hänge.

Der DHCP der opnsense liefert als gateway ja immer die 192.168.x.254 aus. Ich hatte also die 192.168.115.254 als Gateway. In den Fall geht aber das Internet nicht. Früher ging es, aber ich wollte dann zwei Interfaces tauschen und habe in proxmox die Brücke angepasst, danach in opnsense die Zuordnung. Dabei ist mir ein Fehler passiert und es ging nicht mehr. Zeitweise nur IPv6. Ich hab die opnsense dann resetet und hänge immer noch.

Was mich wundert ist, dass ich den Router nicht anpingen kann, aber sonst alles services in allen Netzwerken. Erst wenn ich mir lokal eine IP aus dem Netz gebe, kann ich den ping machen. Früher ging es ja auch.

Hatte schon überlegt ppoe einzurichten, da ich Glassfaser habe. Müsste dann die FW regeln von WAN löschen, Gateway raus und Block privat und bogon networks. Am Switch dann vlan 7 für Port 7 und 23. Ich verstehe aber nicht, wo der Fehler gerade ist...

14
German - Deutsch / Re: Probleme mit einem Gateway (Speedport/FritzBox)
« on: August 27, 2023, 01:21:39 pm »
Ich hab hier paar Screenshots von den Einstellungen gemacht:


15
German - Deutsch / Probleme mit einem Gateway (Speedport/FritzBox)
« on: August 27, 2023, 12:39:45 pm »
Hallo Zusammen,

ich habe folgenden Aufbau. Die Grafik ist zwar nicht perfekt und noch nicht fertig, ist aber glaube immer noch besser als reiner Text.



Ich habe die opnsense neu aufgesetzt und beim WAN Interface eine statische IP mit 192.168.0.254/24 vergeben und die Hacken bei Block private und bogon networks entfernt.

Als Upstream Gateway habe ich den Speedport mit 192.168.0.1 angegeben und dieser wird auch als Status online angezeigt.

Bei der Firewall habe ich erstmal alle Interfaces geöffnet: IPv4+6 (in/out) * * * * * *

Das Problem ist, dass ich nicht ins Internet komme... Erst wenn ich an meinen Rechner als Gateway den Speedport angebe, geht es. Ist das Gateway die FW (x.254), geht es nicht. Was auch sehr komisch ist, dass ich von einem Server auf Proxmox alles Pingen kann. Also:

192.168.0.254
192.168.111.254
192.168.112.254
192.168.115.254
192.168.115.1 (mein Rechner)

Es geht alles, nur nicht der Speedport unter 192.168.0.1.
Von meinem Rechner (192.168.115.1 & 192.168.0.11) aus, kann ich den Speedort pingen.
Aus opnsense heraus kann ich auch alles ping, bis auf 192.168.0.1 und 254. Die 254 ist ja das opnsense Interface und das konnte ich von einem Server aus pingen, aber nicht von opnsense selbst?

Ich verstehe es nicht... Am Speedport ist WLAN & DHCP deaktiviert. DHCP macht die opnsense für jedes Interface. Am Switch habe ich auch erstmal vlan deaktiviert, aber auch wenn ich den Port 4 und 23 als vlan einstelle, geht es nicht.

Im Live View Log von opnsense sehe ich auch nichts.

Hat jemand eine Idee, woran es liegen könnte? Bin echt am verzweifeln...

Pages: [1] 2
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2