Messages

Inzwischen läuft alles wie gewünscht:

Zu 1: "für die Server auf der Bridge eine Regel"... sieht jetzt so aus:
Action: Pass
Direction: In
Protocol: TCP/UDP
Source IP: 84.84.84.0/24
Source Port: Any
Destination IP: Any
Destination Port: Any

Zu 2: "Intra Zonen Traffic" war nicht nötig, ging von alleine (u.a. weil die Server im gleichen LAN sein)

Außerdem möchte ich Dir, Monviech, sehr vielen Dank sagen für Deine Unterstützung.
Ich dachte, hier in OPNsense Forum wäre mehr los, weil ich mehrfach hörte, dass die "deutsche OPNsense Community" so groß wäre. Ist aber wohl nicht so.

Eine erste Erfolgsmeldung: Es klappt ... teilweise!

Ich habe jetzt doch gleich die Bridge-Lösung probiert. Dafür benötigt man 3 LAN Ports, einen fürs LAN (u.a. für das Web-Interface der OPNsense), einen für die DMZ (öffentliche IPs) und einen für das WAN zum Provider-Router.

Bin nach dieser Anleitung vorgegangen:
https://azizozbek.ch/blog/2018/08/opnsense-stealth-bridge-firewall/
bzw. ist ähnlich der Originalanleitung:
https://docs.opnsense.org/manual/how-tos/transparent_bridge.html#change-system-tuneables

Für den DMZ- und WAN-Port muss keine IP oder Subnetz eingestellt werden. Dafür muss eine Bridge angelegt werden und der dann der DMZ- und WAN-Port hinzugefügt wird.

Damit die OPNsense über ihren LAN-Port Updates und Plugins laden kann, muss ein Gateway angelegt werden und diesen in den LAN-Port-Einstellungen eingetragen werden. Das Gateway kann auch im LAN sich befinden, z.B. ein anderen Router (DSL).

Die Firewall-Regeln greifen entgegen der oben verlinkten deutschen Anleitung von azizozbek.ch nur, wenn man sie auf dem neuen BRIDGE-Interface definiert. Für WAN und DMZ sind sie wirkungslos in Bezug auf eingehenden Traffic über die öffentlichen IPs.

ABER! Ein Problem habe ich noch:

Meine Server sind zwar jetzt erreichbar und der eingehende Traffic vom Provider-Router lässt sich per FW-Regeln steuern und z.B. Webseiten usw. funktionieren. Aber wenn der Server von sich aus im Internet etwas abrufen will, z.B. Browser auf dem Server oder Ping auf eine externe IP, dann wird das geblockt (oder die Antwortpakete kommen nicht zurück bzw. werden geblockt!

Außer ich mache eine FW-Regel die alles eingehend erlaubt! Dann sind die Server aber auch wieder nicht geschützt. Also es scheint so, dass die Server ins Internet senden können z.B. eine Ping oder eine Browser-URL anfrage, aber dann der rückläufige Traffic nicht durch kommt.

Was tun?

Zu Punkt 1: Das könnte gehen, aber ist dass das richtig Vorgehen hierfür...?

Zu Punkt 2: Umkonfigurieren will ich auf keinen Fall

Zu Punkt 3: Dieses Subnetz-Splitting will ich auch nicht, mir ist nicht klar, warum das sein muss. Es ist doch nur ein zusammenhängendes Subnetz mit 256 IPs, also 0-255

Zu Punkt 4: Transfernetz dürfte der falsche Weg sein. Der Provider-Router steht direkt neben dem OPNsense-Router am WAN Port angeschlossen. Das funktioniert ja sogar schon, weil die OPNsense dafür ihre Update geladen hat.

Ich habe jetzt noch einige Stunden rumgegoogelt und das was @Monviech als Möglichkeit angeführt hat, könnte eine Lösung sein - vielleicht aber nicht die beste. Man müsste dann die eingehenden Firewallregeln für die öffentlichen IP Adressen auf der definierten Bridge anlegen.

Allerdings wäre doch auch zwei statische Routen (also Routing) eine Lösung z.B. so:

1. WAN-Port IN-Traffic: alles an Adressen 84.84.84.* weiterrouten an LAN-Port
2. LAN-Port IN-Traffic: alles an Adresse 84.84.84.254 (Gateway-IP des Provider-Routers) weiterrouten an WAN-Port.

Evtl. muss dafür am LAN-Port eine virtuelle IP 84.84.84.254 definiert werden (damit Pakete ankommen können auf der IP)?!

Das wäre doch die sauberere Lösung als so eine Bridge?

Ich hoffe, es äußert sich noch jemand dazu, der das schon gemacht hat. Das ist schließlich nichts ungewöhnliches.

Vielleicht nochmal als Textbeschreibung um was es geht:
Über den Provider-Router kommt öffentlicher IP-Traffic an (256er-Subnetz), der soll in den WAN-Port der OPNsense, dann sollen Firewall-Regeln abgearbeitet werden aus dem WAN-Port und der Traffic weiter auf den LAN-Port fließen an die Server/Geräte dort, die auf die öffentlichen IP-Adressen konfiguriert sind. Umgekehrt soll vom LAN-Port alles mit diesen öffentlichen IP-Adressbereich zurück um Provider-Router.
Also: 84.84.84.254 -> WAN:OPNsensen -> Firewallregeln -> LAN:OPNsensen -> Zielgerät 84.84.84.xxx

Bin mir nicht sicher, ob das 100% das richtige Löschung ist, da steht:

5. Disable Block private networks & bogon
For the WAN interface we nee to disable blocking of private networks & bogus IPs.

...und die privaten Netzwerk-IPs sollten doch weiterhin auf dem WAN geblockt sein.

> 1:1 NAT zwischen internem und externem Netz

Ja, die öffentlichen IPs (84.84.84.xxx) sollten direkt zu den Servern und zurück.

> Falls die Opnsense transparente Bridge sein soll müssen 2 Interfaces als Bridge konfiguriert werden und der Provider Router und der interne Switch an getrennen Ports in der Bridge angeschlossen werden. Dann könnten die externen IPs so weiterverwendet werden wie vorher.

Das verstehe ich jetzt nicht ganz: Also der Provider-Router steckt auf eth0, das als WAN konfiguriert ist, und das LAN auf eth2 am OPNsense-Gerät. Der Traffic soll 1-zu-1 durchlaufen, aber natürlich mit der Möglichkeit Regeln zu definieren. Kein NAT wie bei der Fritzbox.

Screenshots (Bild 2)

Hallo, ich bin Frischling und habe mir im Vorfeld etliche Videos bei Youtube zu OPNsense angeschaut. Aber nun wo es live los gehen soll, gibt es natürlich doch Probleme. Da ich leider nicht zu lange die Verbindung zum Provider mit meinen Experimenten vom LAN trennen darf, muss ich jetzt doch einige Fragen stellen.

Ich habe zwei Bilder angehängt. Der erste zeigt mein Szenario. Der Router des Providers stellt das IP Netz 84.84.84.xx/24 bereit und hat die IP 84.84.84.254 (Gateway) und ist dem WAN Port des OPNsense Routers verbunden. Von dort geht es ins LAN 10.1.1.0/8, wo der OPNsense Router die IP 10.1.1.1 hat.

Alle Geräte im LAN sollen aus dem Internet erreichbar sein (zunächst) und zurück ins Internet senden können (so wie vorher ohne OPNsense).

Das zweite Bild zeigt mehrere Screenshots von OPNsense. Das Gateway ist Online (grün) (nicht wie auf dem Bild) und funktioniert. Ich kann in OPNsense Updates und Plugins laden und der Provider-Router kann per OPNsense Webinterface PING 84.84.84.254 angepingt werden.

Allerdings kann der PING nicht die PC und Server im LAN erreichen und von dort kann man 84.84.84.254 ebenfalls nicht erreichen.

Ich vermute, dass Roles/Loopback noch fehlen, aber ich will zuerst mal hier fragen um nicht so lang rumzupfuschen.

Vielen Dank für die Hilfe.