Messages

Hallo mal wieder, vielen Dank für Eure Hilfe.

Kurze Zusammenfassung:
Ich konnte einiges Umsetzen und anderes habe ich noch nicht verstanden (Masken und IP Eingrenzung oder so) :)
Mittlerweile läuft die Kommunikatio über die OPNsense zur Fritzbox als Gateway d.h. IoT ist in einem Netz und VLAN, IPCs ebenso und LAN deckt den Rest ab noch im VLAN 1 ab. Telekom MagentaOne läuft auch dank Google. Im Moment dürfen auch noch alle überall hin, da ich in jeden Interface (ausser WAN) eine All-Regel habe und die Fritte ist noch meine Firewall. Muss auch erstmal so bleiben wegen Telefonie und dem DECT-Universum(Thermostate, Steckdosen und Tastern).
(Ich brauche immer länger zum Umsetzen, da ich nicht sooo viel Zeit habe und vieles zwischendurch oder im Frei versuche um zu setzen...)

DA fängt aktuell mein Problem an (kurz vor dem Urlaub)...
Ich weiß nicht ob ich dafür jetzt was neues aufmachen soll oder doch "meinen" Problem-Thread nutzen sollte...

Also, Wireguard... :) Ich nutze auf der Fritte Wireguard und das klappte immer wie ich es braucht und wollte.
Jetzt natürlich nicht mehr, da ich von der Fritte nicht auf das Netzwerk hinter der OPNsense komme.
Ich möchte/müsste aber wegen der Kameras (IPCs) auf das Netzwerk aus der Ferne auf die Kameras zugreifen können.

WIE stelle ich das jetzt am geschicktesten an? Wenn ich google dann kommt immer was von Site2Site VPN mit Fritzboxen o.ä. was es ja nicht ist, oder? Ich würde aktuell einfach gerne das VPN von der Fritte über die VPN zu dem Kamera-Netzwerk durchleiten ohne das ein erhöhtes Sicherheitsrisiko entsteht. Oder ein VPN von der OPNsense durch die CPN der Fritte zugänglich machen.

Ich steh da echt auf dem Schlauch... Mir sind da auch Schlagwörter für ne Suchmaschine recht, die mich zum gewünschten Ergebnis bringen...

Vielen Dank schon mal fürs Lesen und Hilfe :)

Moin,
ich nochmal ganz kurz...
Muss ich was beachten, wenn ich die WAN-IP von DHCP auf Fest einstelle?
Sobald ich die IP (unvergeben lt. Fritzbox (254 weil unten alles belegt ist :o )) vergebe bin ich mit OPNsense ohne Internetzugang... Gehe ich auf DHCP zurück, bin ich wieder Online.

Noch eine Frage, falls Ihr das wisst. Ich möchte später gerne VLANs auf meinen Unifi AP AC Pro und 1x Lite nutzen.
Benötige ich dazu die UDM/Gateway oder reicht die Network Application welche ich auf meiner Synology im Container laufen habe und mein Zyxel Switch GS1900?

Ich nehme heute nochmal Anlauf mit dem Umstellen der IPs. Am Sonntag habe ich mir mein Videoüberwachungsnetzwerk zerschossen und musste mangels Zeit noch mal alles auf die alten IPs umstellen weil mit dem DHCP usw. irgendwas nicht passte. Einige Kameras bekamen keine IP obwohl ich alle auf DHCP umgestellt habe.

Hi zusammen und erstmal vielen Dank für Eure Hilfe und auch Deine Geduld und Ausführlichkeit(vorallem wegen der Netzwerkgrundlagen im OPNsense-Forum) @JeGr  :)

Mal gucken, ob ich das richtig verstanden habe.

Wenn ich mich der Maske bediene zum Organisieren kann ich aus dem Bereich
192.168.178.0 - 255(1-254) Teilbereiche erstellen (0-31/32-63/...usw.) welche ich getrennt
voneinander aber Zeitgleich nutzen kann in dem ich einfach 192.168.178.0/27 (1-30);192.168.178.32/27(33-62); usw. angebe?

Und durch diese Unterteilung kann ich dann in OPNsense die Teilereiche durch die Maske besser Routen/Filtern mittels Firewall-Regeln?

Du adressierst einfach dein IOT Netz bspw. mit /24, aber deine DHCP Reservierungen für die Geräte packst du z.B. alle in einen Bereich, den du eben mit /28 oder /27 oder sogar /26 greifen kannst.

Wie das funktioniert verstehe ich nicht, in dem /24er Netz ein /27er Netz erstellen?
Erstelle ich das /24er unter Schnittstelle und das /27er dann irgendwo im DHCP Bereich oder sogar in den Firewall-Regeln?

Ich muss mir Sonntag die Einstellmöglichkeiten der OPNsense mal genauer ansehen, immerhin bin ich Online mit dem Laptop über die OPNsense zur Fritzbox wie Tuxtom007 es gemacht hat :)

Aktuell habe ich den Pihole einfach in die Fritzbox eingetragen, alle Clients nutzen ja die Fritzbox als DNS-Server. In OPNsense war ich mal am überlegen das Adguard später zu nutzen  ???
Die MAC-Adressen habe ich schon alle in Excel  ;D

Einen schönen Abend und schönes Wochenende wünsche ich

mit lustigen Bereichen (10-20 sind Server, 20-50 Clients, etc.)

;D So halt ...

kann man eben das erste /28er oder /27er Segment leer lassen und hat dann noch eines frei für ein paar einzelne statische Clients und sagt dann ab .65 fängt DHCP an und geht bis .190. Das sind dann die mittleren beiden /26er eines /24 für DHCP genutzt, das erste /26er zerschnitten in Netzwerk und statische IPs und das letzte /26 ist noch frei für wasauchimmer.

Kannst Du mir das etwas näher erklären? Ich bin da total ahnungslos mit dem Subnetting. Ich bin da jetzt mal drüber gestolpert und weiß nun das /24 eigentlich 255.255.255.0 ist und fühle mich da in die diskrete TTL-Welt zurück versetzt.  :o Mir erschließt sich das nur noch nicht so richtig :-[

Das mit dem ansible-Tasmota kommt mal auch meine andere ToDo Liste ;)

Ich fange das mal so an wie Tuxtom007 mit Lappi und so :)

a) Keine Ahnung
b) Keine Ahnung
Ich bin damals in das Netzwerkzeugs so rein gerutscht und habe es so beibehalten mit den fixen IPs.
MQTT nutze ich auch u.a. für Tasmota, aber da muss ich auch überall dann den Server ändern.

Ich muss mich da wohl auch mal etwas neu sortieren, aber so wusste ich halt anhand der IP welches Gerät es ist.
Für mich wars einfacher von der Übersicht her.

Vielen Dank für Eure Erklärungen. :)

Dann werde ich in den sauren Apfel beißen müssen und mein Netzwerk überarbeiten.
Mir grauts davor, weil ich zu 95% fixe IPs vergeben habe bei rund 75 Geräten und auch bei dem IoT Zeug in ioBroker Änderungen vornehmen muss  :o

Ich erstelle mir gerade schon Listen, was ich wo zuordnen muss/möchte  :D
Wenn ich es dann umgesetzt habe, melde ich mich mit Erfolg oder frage wegen Misserfolg  ;D

Wenn Du die OpnSense hinter die Fritzbox stellst, werden Firewall-Regeln allein wohl kaum ausreichen, da brauchst Du entweder Outbound NAT (Stichwort: Doppel-NAT) oder explizite Routen zu Deinem LAN auf der Fritzbox.

Deswegen hatte ich das NAT in der OPNsense abgeschaltet wie in einem Video von Daniel Medic gezeigt wurde.

Und die WAN Rules, welche Automatisch erstellt wurden.

Hier mal noch ein Ping vom PC aus und die Firewall Rules.

Moin zusammen,
ich weiß nicht ob ich es mir zu einfach gemacht habe.

Zum testen habe ich den WAN der OPNsense nun mal ins Gast-LAN .179 der FB gehangen weil es ja ein anderer IP-Bereich ist und der OPNsense-LAN ist halt mit dem Rest .178 verbunden.
Aber an der Problematik hat sich leider nichts geändert.
Ich habe aktuell keine weiteren NICs eingerichtet und auch keine VLANs, ich will erstmal nur von LAN nach WAN ins Internet aber irgendwie bin ich da zu dämlich zu ::)

Danke für Deine Antwort.
Ich werde das morgen mal ausprobieren, das WAN an der FB und im LAN bzw. PC direkt auf .180.xxx einstellen.
Ich hatte gehofft, das ich einfach im 178er bleiben kann weil ich so viel zum Umstellen habe da ich meist fixe IPs vergeben habe :-\
Die VLAN Nummerierung im Bild nutze ich so natürlich nicht, hatte einfach nur  "durchgezählt" ;D

Hier noch ein Bild vom Dashboard und der DHCP Zuweisung von OPNsense an meinen PC per Direktverbindung.

Hallo zusammen,
ich brauche mal Hilfe um meinen Knoten im N00b-Kopf zu lösen.

Ich möchte hinter meiner FB7590 eine OPNsense in einer Proxmox VM betreiben um dahinter verschiedene Bereiche per VLAN zu trennen(Videoüberwachung/IoT(ioBroker)/Clients) so das nichts unerlaubt nachhause telefoniert aber ich im Bedarfsfall von Aussen per VPN zugreifen kann(Video/IoT).
Ich erhoffte mir mit den Videos von Daniel Medic u.a. es idiotensicher hin zu bekommen, aber es rechnete wohl keiner mit mir  :o

Ich komme nicht ins Internet über LAN->WAN, sobald ich die Fritzbox aus dem 24-Switch ziehe.
Und sobald ich meinen PC direkt an den LAN von OPNsense stecke kann ich auch nicht mehr auf die OPNsense Oberfläche zugreifen obwohl er mir per DHCP eine IP zuweist aus dem erlaubten Bereich( die FB macht DHCP -.178.200 und die OPNsense auf LAN darf von .178.215-245. Der LAN hat eine feste IP .178.40 und der WAN .178.41 auch.
NAT ist in der OPNsense deaktiviert und Unbound DNS aktiviert.
Die Firewall-Rules habe ich von Daniel Medic übernommen.

Ich weiß einfach nicht was ich übersehe oder falsch gemacht habe... Ich bin allerdings auch kein Netzwerkspezialist sondern krame mich normalerweise durch YT und Ggl aber hier ist irgendwie Ende :-\


Hier erstmal mein grober Netzwerküberblick, kleine Geräte (FireTV usw.) habe ich mal weg gelassen außer den Magenta Receiver weil der ja wohl ein Spezialfall wird lt. Internetaussagen.


Ich hoffe es ist so verständlich und nachvollziehbar, ein paar Screenshots reiche ich noch nach.
Ob ich das alles so Richtig gemacht habe, weiß ich auch nicht wirklich ::)

Ping in verschiedene Richtungen


Traceroute


Vielen Dank!
Gruß
Swen