"
Thanks for all your answers and considerations!
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#1
General Discussion / Re: I will put my modem into bridge mode - what to do to harden OPNsense?
August 18, 2025, 09:16:54 AM #2
General Discussion / I will put my modem into bridge mode - what to do to harden OPNsense?
August 10, 2025, 12:49:59 PM
Ok I have a little homenetwork setup with my OPNsense protectli as the only device connectes to my ISP's modem and managing the whole network (in tandem with unify devices).
So far, I jave left my ISP's modem as-is, which obviously led to a double-nat situation.
I am now playing with the thought of moving to the next step, which will include setting up wireguard to remotely fonnext into my home network. I think this requires putting my ISP's modem into "bridge" mode.
However, I am scared to do that! I understand that all internet traffic will then hit my OPNsense box, and I do not consider myself a "pro" yet so... what should I do / check / ensure, to make everything as secure as possible?
(I assume OPNsense does a decent job out of the box but I am still nervous so... any guidance is highly appreciated :)
So far, I jave left my ISP's modem as-is, which obviously led to a double-nat situation.
I am now playing with the thought of moving to the next step, which will include setting up wireguard to remotely fonnext into my home network. I think this requires putting my ISP's modem into "bridge" mode.
However, I am scared to do that! I understand that all internet traffic will then hit my OPNsense box, and I do not consider myself a "pro" yet so... what should I do / check / ensure, to make everything as secure as possible?
(I assume OPNsense does a decent job out of the box but I am still nervous so... any guidance is highly appreciated :)
#3
German - Deutsch / Re: Anfänger: Wie füge ich OPNSense in ein existierendes Netzwerk ein?
December 31, 2024, 07:50:59 PM
Ich konfiguriere verschiedene Subnetze für WAN und LAN Seite. Ist mir zu kompliziert sonst.
Ich werde mal versuchen, das Netz der Geräte zu ändern - mir ist eingefallen, dass ich am Router noch unbenutzte Netzwerkanschlüsse habe, damit sollte das eigentlich mit ein bisschen hin- und her-stecken klappen.
Danke für die Tipps!
Ich werde mal versuchen, das Netz der Geräte zu ändern - mir ist eingefallen, dass ich am Router noch unbenutzte Netzwerkanschlüsse habe, damit sollte das eigentlich mit ein bisschen hin- und her-stecken klappen.
Danke für die Tipps!
#4
German - Deutsch / Re: Anfänger: Wie füge ich OPNSense in ein existierendes Netzwerk ein?
December 31, 2024, 06:39:39 PM
Die Frage ist natürlich, wie ich die neue IP Adresse vom pihole / homelab rausfinde, wenn ich die auf dhcp umstelle...? pihole ist ja der DNS Server...
#5
German - Deutsch / Re: Anfänger: Wie füge ich OPNSense in ein existierendes Netzwerk ein?
December 31, 2024, 06:36:56 PM
Ok ich fasse zusammen:
Ich kann vom Laptop - der jetzt im 192.168.10 Subnetz ist - das Kabelmodem/den Router auch 192.168.0.1 weiterhin erreichen weil er das Upstream Gateway der OPNsense Box ist? Habe da in einem Artikel was aufgeschnappt...?
Ich kann alle anderen Geräte im .0 Subnetz nicht erreichen. Kann ich da temporär ein NAT Forwarding einrichten? Oder ist die Empfehlung, auf alle statischen IPs zu verzichten bis die Umstellung komplett ist?
(Übrigens ist dies nur der erste Teil der Umstellung - getrennte VLANS folgen).
Mein Problem ist im Prinzip nur, wie ich einige existierende Geräte migriere, ohne komplett die Verbindung zu verbauen - einige davon sind schwer zugänglich und ich möchte lokale Anmeldungen zb am Raspi vermeiden, dh einer möglichen Verkonfigurierung / einem möglichen Aussperren entgegenwirken...
Ich kann vom Laptop - der jetzt im 192.168.10 Subnetz ist - das Kabelmodem/den Router auch 192.168.0.1 weiterhin erreichen weil er das Upstream Gateway der OPNsense Box ist? Habe da in einem Artikel was aufgeschnappt...?
Ich kann alle anderen Geräte im .0 Subnetz nicht erreichen. Kann ich da temporär ein NAT Forwarding einrichten? Oder ist die Empfehlung, auf alle statischen IPs zu verzichten bis die Umstellung komplett ist?
(Übrigens ist dies nur der erste Teil der Umstellung - getrennte VLANS folgen).
Mein Problem ist im Prinzip nur, wie ich einige existierende Geräte migriere, ohne komplett die Verbindung zu verbauen - einige davon sind schwer zugänglich und ich möchte lokale Anmeldungen zb am Raspi vermeiden, dh einer möglichen Verkonfigurierung / einem möglichen Aussperren entgegenwirken...
#6
German - Deutsch / Re: Anfänger: Wie füge ich OPNSense in ein existierendes Netzwerk ein?
December 31, 2024, 05:59:14 PM
Ah - sowohl pihole wie auch Homelab haben fixe IPs.
Ich will eigentlich die IP Adressen beider Geräte nicht ändern - dh auf 192.168.0.3 bzw .41 belassen - also nicht ins 192.168.10 Subnetz, sondern im 192.168.0 Subnetz belassen....
Ist das nicht möglich?
(Das Kabelmodem ist ja auch im 192.168.0 Subnetz, und es IST weiterhin erreichbar...?)
Ich will eigentlich die IP Adressen beider Geräte nicht ändern - dh auf 192.168.0.3 bzw .41 belassen - also nicht ins 192.168.10 Subnetz, sondern im 192.168.0 Subnetz belassen....
Ist das nicht möglich?
(Das Kabelmodem ist ja auch im 192.168.0 Subnetz, und es IST weiterhin erreichbar...?)
#7
German - Deutsch / Anfänger: Wie füge ich OPNSense in ein existierendes Netzwerk ein?
December 31, 2024, 05:13:37 PM
Hi alle, ich bin sicher dass ich etwas ganz grundlegendes nicht verstanden habe.
Ich versuche, eine dedicated kleine Box mit OPNSense in mein existierendes Netz einzufügen. Ich habe leider nur teilweise Erfolg, da Geräte im existierenden Netz danach nicht erreichbar sind.
Existierendes Netzwerk:
Läuft alles ok.
Ich möchte nun die OPNSense Box zwischen Router und Managed Switch hängen.
Ich habe die OPNSense Box mit einer statischen IP 192.168.0.2 versehen auf dem WAN-Interface, sowie 192.168.10.1 auf dem LAN-Interface. Am LAN-Interface ist ausserdem ein DCHP-Server konfiguriert (192.168.10.100-240).
Ich hänge also OPNSense an, und restarte den Managed Switch.
Dieser erhält brav eine IP von OPNSense - 192.168.10.115 zum Beispiel. Hänge ich danach meinen Laptop an den Managed Switch, erhält er wiederum eine IP von OPNSense - 192.168.10.103 zum Beispiel.
Ich kann vom Laptop aus auf das OPNSense Webinterface unter https://192.168.10.1 zugreifen, sowie auch auf das Webinterface vom Router http://192.168.0.1. Ich kann ebenfalls öffentlich IP-Adressen - zum Beispiel diejenige von google.ch pingen (142.250.203.99)
Jedoch sind weder der pihole noch das Homelab noch die NAS erreichbar - weder per Ping noch per Webinterface.
Ich verstehe nicht, wie das sein kann, zumal ja der Router erreichbar ist.
Ich habe sicherheitshalber eine Firewall-Rule für den LAN Port (inbound) angelegt, welche sämtlichen IPv4 Traffic von allen Quellen auf alle Destinationen für alle Ports freigibt. Hat nichts genutzt.
Wo ist mein Denkfehler?
Ich versuche, eine dedicated kleine Box mit OPNSense in mein existierendes Netz einzufügen. Ich habe leider nur teilweise Erfolg, da Geräte im existierenden Netz danach nicht erreichbar sind.
Existierendes Netzwerk:
- Router (Kabelmodem) 192.168.0.1, vergibt IP Adressen 192.168.0.100-240
- Managed Switch im Keller (von Unify), daran hängen mehrere andere Switches welche aber für die Diskussion irrelevant sind.
- Am Managed Switch im Keller hängt ein Raspi mit pihole 192.168.0.3, sowie ein kleines Homelab 192.168.0.41 und zwei NAS 192.168.0.11 und 192.168.0.12
Läuft alles ok.
Ich möchte nun die OPNSense Box zwischen Router und Managed Switch hängen.
Ich habe die OPNSense Box mit einer statischen IP 192.168.0.2 versehen auf dem WAN-Interface, sowie 192.168.10.1 auf dem LAN-Interface. Am LAN-Interface ist ausserdem ein DCHP-Server konfiguriert (192.168.10.100-240).
Ich hänge also OPNSense an, und restarte den Managed Switch.
Dieser erhält brav eine IP von OPNSense - 192.168.10.115 zum Beispiel. Hänge ich danach meinen Laptop an den Managed Switch, erhält er wiederum eine IP von OPNSense - 192.168.10.103 zum Beispiel.
Ich kann vom Laptop aus auf das OPNSense Webinterface unter https://192.168.10.1 zugreifen, sowie auch auf das Webinterface vom Router http://192.168.0.1. Ich kann ebenfalls öffentlich IP-Adressen - zum Beispiel diejenige von google.ch pingen (142.250.203.99)
Jedoch sind weder der pihole noch das Homelab noch die NAS erreichbar - weder per Ping noch per Webinterface.
Ich verstehe nicht, wie das sein kann, zumal ja der Router erreichbar ist.
Ich habe sicherheitshalber eine Firewall-Rule für den LAN Port (inbound) angelegt, welche sämtlichen IPv4 Traffic von allen Quellen auf alle Destinationen für alle Ports freigibt. Hat nichts genutzt.
Wo ist mein Denkfehler?
Code Select
WAN / Internet
:
: Kabel-Provider
:
.-----+-------.
| Kabelmodem | intern: 192.168.0.1
'-----+-------'
|
WAN |
|
.-----+------. WAN: 192.168.0.2 (fix)
| OPNsense +
'-----+------' LAN: 192.168.10.1
|
LAN | 192.168.10.1/24
|
.-----+----------.
| Managed Switch | IP via DHCP
'-----+----------'
|
+-------+----------------+---------------------------+
| | |
.--+-----. IP via .--+-----. fixe IP .---+-----. fixe IP
| Laptop | DHCP | pihole | 192.168.0.3 | Homelab | 192.168.0.41
'--------' '--------' '---------'
#8
General Discussion / Re: New to OPNSense - no connection to OPNsense after changing LAN IP
August 18, 2024, 03:17:47 PM
OK so let me try to explain what I did:
MODEM plugged to WAN port.
- Modem set to 192.168.0.1 and acts as DHCP with pool 192.168.0.100 - 192.168.0.200
Raspbi acts as DNS server at 192.168.0.3
Setup works without OPNSense obviously.
- LAN1 port configured as 192.168.10.1
--> When I plug my Mac in here with a fix IP of 192.168.10.100 (and set gateway to 192.168.10.1 and DNS to 192.168.0.3) everything works as expected.
- LAN2 port configured as 192.168.0.60 with DHCP pool 192.168.0.70 to 192.168.0.80
--> When I plug my Mac in here, it gets an IP of 192.168.0.70 and the gateway and DNS servers are properly set.
However I cannot ping anything else than 192.168.0.70
I get what you are saying about things being mixed up.... but I thought that at least PINGING 192.168.0.60 (the gateway) should work?
MODEM plugged to WAN port.
- Modem set to 192.168.0.1 and acts as DHCP with pool 192.168.0.100 - 192.168.0.200
Raspbi acts as DNS server at 192.168.0.3
Setup works without OPNSense obviously.
- LAN1 port configured as 192.168.10.1
--> When I plug my Mac in here with a fix IP of 192.168.10.100 (and set gateway to 192.168.10.1 and DNS to 192.168.0.3) everything works as expected.
- LAN2 port configured as 192.168.0.60 with DHCP pool 192.168.0.70 to 192.168.0.80
--> When I plug my Mac in here, it gets an IP of 192.168.0.70 and the gateway and DNS servers are properly set.
However I cannot ping anything else than 192.168.0.70
I get what you are saying about things being mixed up.... but I thought that at least PINGING 192.168.0.60 (the gateway) should work?
#9
General Discussion / Re: New to OPNSense - no connection to OPNsense after changing LAN IP
August 18, 2024, 02:09:48 PM
OK so I played around some more and I don't really get what is going on.
I configured the LAN port on my OPNSense device to 192.168.0.60, and instead of giving a manual IP to my local Mac client, I configured a DHCP server to give IP addresses from 192.168.0.70 to 192.168.0.80.
I plugged in the Mac Client and - I got an IP address 192.168.0.70! Now I can ping it, but I can't ping anything else. I can't ping 192.168.0.60 (set as gateway in the DHCP server's settings), nor the Raspi DNS server at 192.168.0.3 even though it is entered in the DHCP configuration (and I can see it properly set in the TCPIP settings on my mac.
Any ideas?
I configured the LAN port on my OPNSense device to 192.168.0.60, and instead of giving a manual IP to my local Mac client, I configured a DHCP server to give IP addresses from 192.168.0.70 to 192.168.0.80.
I plugged in the Mac Client and - I got an IP address 192.168.0.70! Now I can ping it, but I can't ping anything else. I can't ping 192.168.0.60 (set as gateway in the DHCP server's settings), nor the Raspi DNS server at 192.168.0.3 even though it is entered in the DHCP configuration (and I can see it properly set in the TCPIP settings on my mac.
Any ideas?
#10
General Discussion / Re: New to OPNSense - no connection to OPNsense after changing LAN IP
August 04, 2024, 09:02:00 PM
Ok it's good to know that there is nothing obvious that I overlooked. I will keep digging then and retest that subnet mask suggestion of yours.
Thanks.
Thanks.
#11
General Discussion / Re: New to OPNSense - no connection to OPNsense after changing LAN IP
August 04, 2024, 06:04:59 PM
I left them at 255.255.255.0 (/24)
#12
General Discussion / New to OPNSense - no connection to OPNsense after changing LAN IP
August 04, 2024, 02:52:09 PM
OK so I managed to get OPNsense up and running on a dedicated box. It has 4 Ethernet interfaces, of which I configured one as WAN and one as LAN (the other two are not in use for now).
In order not to disturb my current home network (broadband modem 192.168.0.1 with DHCP range 192.168.0.100-200, pihole DNS 192.168.0.3, some NAS with static IP), I have given the LAN an address of 192.168.10.1 and a DHCP range of 192.168.10.100-200.
Works fine when simply connecting the WAN port of the OPNsense box to any switch and then any computer directly to the LAN port (have also tried with a wireless AP, worked fine).
Now I want to get the OPNsense firewall into production, which means that the modem will be set to bridge, plugged into the OPNsense WAN port, and the LAN port goes into the switch where the modem was plugged in earlier.
However for soft transitioning in, I thought of switching the LAN IP address to 192.168.0.60 and to switch off DHCP (after that, I will switch of DHCP on my modem and turn on DHCP on OPNsense LAN - I will do so with a temp static IP in order not to loose connection).
So I switched the OPNsense LAN IP to 192.168.0.60, switched to manual IP on my client, gave it a .61 IP address and entered .60 as gateway and 0.3 as DNS server.
But after that, nothing works: I can't ping the gateway (.60), I can't access it via webGUI, I have no connection to the internet.
Logging in via console and reset the LAN IP to 10.1 (and then my client to eg 10.100) restores everything back to working.
What am I overlooking?
In order not to disturb my current home network (broadband modem 192.168.0.1 with DHCP range 192.168.0.100-200, pihole DNS 192.168.0.3, some NAS with static IP), I have given the LAN an address of 192.168.10.1 and a DHCP range of 192.168.10.100-200.
Works fine when simply connecting the WAN port of the OPNsense box to any switch and then any computer directly to the LAN port (have also tried with a wireless AP, worked fine).
Now I want to get the OPNsense firewall into production, which means that the modem will be set to bridge, plugged into the OPNsense WAN port, and the LAN port goes into the switch where the modem was plugged in earlier.
However for soft transitioning in, I thought of switching the LAN IP address to 192.168.0.60 and to switch off DHCP (after that, I will switch of DHCP on my modem and turn on DHCP on OPNsense LAN - I will do so with a temp static IP in order not to loose connection).
So I switched the OPNsense LAN IP to 192.168.0.60, switched to manual IP on my client, gave it a .61 IP address and entered .60 as gateway and 0.3 as DNS server.
But after that, nothing works: I can't ping the gateway (.60), I can't access it via webGUI, I have no connection to the internet.
Logging in via console and reset the LAN IP to 10.1 (and then my client to eg 10.100) restores everything back to working.
What am I overlooking?
Pages1
