Messages

In scheitere gerade an der Ersteinrichtung meines APs (HPE Aruba AP12)
Der hat eine vorgeschaltete Configseite, auf der man die Kommunikation einstellt.
Ab dann wird man auf das eigentliche Interface geleitet, das braucht aber für ein Onboarding scheinbar Internet.

Ich versteh nicht, was ich hier genau machen muss um das zu schaffen...


Die Firewall sperrt das hier
   Interface      Time   Source   Destination   Proto   Label   
V_LAN      2025-01-30T23:51:31   192.168.100.10:138   192.168.100.255:138   udp   Default deny / state violation rule   
V_LAN      2025-01-30T23:49:44   192.168.100.10:53805   255.255.255.255:53805   udp   Default deny / state violation rule

edit an denen liegts nicht, die kommen auch noch, wenn der AP ausgeschaltet ist

Danke :)

Und wenn du den gründlich gelesen hast, wird dir auffallen, das du deinen PC, deinen AP und deine Fritzbox mit Telefonie alle im selben Subnetz betreiben willst. Das wird irgendwie funktioneren, bietet dir aber keinerlei Einflußnahme auf den Datenverkehr dieser Geräte untereinander. Innerhalb eines Netzwerks kannst du mit einem Router nichts voneinander trennen. Das geht nur, wenn du alles in unterschiedliche Netze legst.

Ja, ich weiß was du meinst. Habe ich langfristig vor, ich wollte es erst einmal in der "light" Version angehen. Also quasi alle trusted devices erst mal in eins, damit ich jetzt ohne Stress alles konfigurieren kann.

Alle diese Subnetze kannst du auf ein Interface der OpnSense legen und dann getaggt auf den Switch bringen. Und für die getrennten Wlans brauchst du einen Ap der mit getaggten LAN umgehen kann. Z.B. von Unifer. Die Fritte für VOIP habe ich z. B. völlig getrennt direkt an meiner OpnSnese zu hängen. Alles andere über den gemanagten Switch.

HPE Aruba Switch 1830 8 Ports und AP12 sind vorhanden. Fritzbox akutell der Einfachheit halber noch im LAN, damit ich schnell drauf komme bis alles läuft + backup Wifi + leere Backup Ports. Fliegt aber dann alles raus und die Box macht nur noch DECT und VoIP. Gute Idee, die ohne Switch direkt an die OPNsense zu hängen. Kann ich machen wenn der vierte Port frei ist.

2 Leitungen zwischen OpnSense und Switch machen nur Sinn, wenn du zum einen die Bandbreite wirklich benötigst. Zum Anderen musst du dann auch die Ports mittels Link-Aggregation bündeln können - die OpnSense kann das. Der Switch auch? Und Linkaggregation bringt nur mehr Datendurchsatz, wenn du mehrere Verbindungen auf der Leitung zugleich hast, die m. W. auch nicht gleichen Endgerät stammen dürfen.

Idee war nicht LInk Aggregation, sondern 2 physisch getrennte Netze (LAN und GUEST). So kann ich ohne Switch Steuerung immer noch "sicher" sein, dass zwischen den zwei Netzwerken erst mal nix kommuniziert

In meinem Testsetup habe bereits erste Gehversuche mit VLAN untenommen (Modem Zugang geschaffen)
Jetzt würde ich das gerne "etwas" aufbohren und zwar wie im angehängten Bild...


Die Fallbacklösung "FritzAlt" wird nur bei Bedarf angeschmissen. Wenn dort ebenfalls alle Stricke reißen, dann kann ich immer noch das Telefonkabel direkt in die Fritz stecken.


Guest am Kabel ist derzeit nur mein Arbeits PC. Ich plane nicht weitere Clients anzuschließen.
Platz am Switch könnte ich aber dann jederzeit mit einem unmanaged Switch an LAN schaffen.

Einen Management Access, der verhindert, dass LAN Clients auf die Firewall zugreifen können, spar ich mir erst mal.


Beim Schreiben dieses Posts habe ich schon wieder einiges hinterfragt und eigentlich mache ich mit den VLANs jetzt nichts mehr, außer den Gastzugang auf IoT und Gäste aufzuteilen, damit ich hier im Zweifel die Spielregeln etwas aufweichen kann, sollte ich Probleme kriegen.

ArbeitsPC und Gäste bleiben aber komplett außen vor.



Bevor ich das jetzt alles einrichte wollte ich mal um Expertenmeinung bitten, ob das für den Anfang erst einmal Sinn macht.

Vor allem das reinfüttern von zwei Leitungen zwischen OPNsense und Switch, die Positionierung des APs und ob die Aufteilung so Sinn macht

Den vom DHCP Server vorgegebenen DNS Server zu verwenden, obliegt dem Gerät selbst bzw. dessen Admin.
Smartphones verwenden gerne die DNS Server ihrer Hersteller, wenn das nicht unterbunden wird. Die wollen ja schließlich auch wissen, was die Leute mit ihren Smartphones machen.

Interessant. Ist auf diesem Interface auch Adguard aktiviert?

Ja, auf allen.

Und damit ist Frage 1 beantwortet, dass das quasi ausgeschlossen ist.

Irgendwas muss das Wifi aus FritzAlt noch anders machen,hmmm

Wenn deine Regeln am altefritz es erlauben, kommen die Geräte auf alle IPs der OPNsense.
Unterbinden kannst du es mit einer Block-Regel am Interface mit Ziel "This Firewall" und Zielport der WebGUI. Oder besser alle Ports blockieren und darüber eine stellen, die das Nötige erlaubt, bspw. Port 53 TCP/UDP für DNS.

Ich muss gleich mal testen, ob die Gast Clients auch auf die OPNsense kommen. Wenn nicht, dann ist es auch okay.
edit: kommen sie nicht, dann passt es ja, dass ich von vertrauenswürdigen geräten auf die OPNsense komme um daran zu spielen.
Ich hatte befürchtet, dass ich Tür und Tor aufmache, für alles was noch im Gastnetz der alten Fritz rumgeistert, aber klar, die haben ein eigenes Subnet und das ist ja nach wie vor nicht freigegeben. Ein Wunder, dass die Internet haben, bei meinen beschränkten Fähigkeiten :D

Dann kläre mal, welches DNS die Smartphones nutzen. Möglicherweise externe Server, mglw. DNS over HTTPS oder over TLS, die sie nicht erreichen.

Die kriegen ja das Wifi von der Fritzbox(Alt), (an der ein Notebook im gleichen Wifi Netz funktioniert), wie kann denn da noch ein anderen DNS Server dazwischen funken?


Ich bin noch überhaupt nicht fit in DNS. Das einzige was hier läuft ist Unbound und AdGuard Home auf der OPNsense. Beides quasi in Standardeinstellungen.
Wenn ich die deaktiviere geht gar nichts mehr mit Internet. Aber das liegt ja daran, dass ich dann gar keinen DNS Server mehr eingetragen habe, richtig?

Ich habe an der FritzboxTest im Testsystem übrigens Internet auch auf Smartphones.
Das Problem ist also vermutlich nicht global auf der OPNsense zu suchen, sondern irgendwo in dem Interface FritzAlt und der Fritzbox(Alt) daran. In dieser Box habe ich aber außer DNS Server auf die Interface Adresse 192.168.178.2 zu setzen keine großartigen Möglichkeiten.


Sorry, ich hab echt wenig Ahnung davon und probiere mich gerade aus.
Ich halte mir das ja gerade offen, jederzeit die Fritzbox wieder auf eigene PPPoE Einwahl zurück zu stellen und das Kabel wieder in die Telefondose zu stecken.
Wollte nur dieses Umstecken vermeiden, weil das Modem ewig braucht zum Wiederverbinden.

So, nachdem das ja jetzt fast so klappt wie erhofft...

Ich habe scheinbar noch ein kleines DNS Problem.

Ich komme mit folgenden Konfigurationen ins Internet:
Client an LAN Anschlüssen 2&3 der FritzAlt
Clients an LAN4 der Fritzalt (Guest LAN)
Clients im Guest Wifi der FritzAlt
Clients im normalen Wifi per VPN zu bspw. Arbeitsgeber
Clients im normalen Wifi per Whatsapp
Notebook im normalen Wifi funktioniert

Was nicht klappt:
Smartphones im normalen Wifi "ohne alles"´, also quasi einfach Webseiten


Das Subnet aller Clients an LAN 2 und 3 der Fritzbox ist das gleiche wie die Fritzbox
Das Subnet des normalen Wifi ist das gleiche.
Das Subnet von Guest LAN und Guest Wifi ist ein anderes Subnet (nicht beeinflussbar)


Die Smartphones kommen auf OPNsense, kommen auf die Fritzbox etc, aber sie kriegen kein  Internet über Webseiten/Apps.


HILFEEEE

Aber du verwendest offenbar nur die LAN Anschlüsse und diese sind intern über einen Switch verbunden.
Da passt "Router" aber nicht.
Ich kenne die FB nicht, aber wenn da zwischen LAN1 - LAN2 lediglich ein Switch hängt, ist die die Box hier hat, ein paar Watt mehr zu verbraten.

wenn man die Fritzbox in den Router Modus schickt, dann erwartet sie Uplink über LAN1.
An LAN 2 hängt ein PC, an 3 ein Unraid Server, an 4 ein Gast LAN.
Außerdem übernimmt die Fritz VoIP und DECT Smarthome +  Wifi + Guest Wifi
Sorry, das hätte ich vielleicht dazu erwähnen wollen, dann macht das Ziel des Unterfangens wohl mehr Sinn.

Laut deiner Grafik hat sie doch eine IP. Ode zeigt die nur mal das Ziel.

Wenn du DHCP nutzen möchtest, musst du diesen in OPNsense erst aktivieren. Der ist für jedes Interface getrennt zu aktivieren.

Um sicherzugehen, dass du die Geräte ans richtige Interface angeschlossen hast, überprüfe in Interfaces: Overview, ob da ein grüner Stecker angezeigt wird.

Die IP habe ich in der Fritz manuell gesetzt, ich brauche kein DHCP, damit die Fritz eine IP im Netzwerk kriegt, oder?

Und ja, der Stecker ist grün, passt

edit:

Beide FB haben an beiden belegten Interfaces dasselbe Subnetz

ah sorry, ich glaube ich versteh jetzt was du meinst.
die FritzboxTest ist nur noch Client im LAN.
Und die Fritzbox bietet mir dann auch nur noch eine Art Switching übers Wifi, ich glaube ich kann da gar nicht steuern, ob ich da noch einmal ein neues Subnet haben will oder nicht.

edit 2: Jetzt habe ich mal DHCP für Altefritz angemacht. jetzt kriegt die Fritzbox ne grüne Lampe bei verbunden über WAN und sagt Fritzbox benutzt eine direkte IP Verbindung zu einem Internetdienstanbietr IPv4 Adresse 192.168.178.10

Das DHCP gibt ihr die 10 ich erreiche sie vom angeschlossenen client aber immer noch über die .1
Das verstehe ich noch nicht...

NAT sieht übrigens so aus
Interface:WAN
source altefritz net
translation target altefritz adress

edit 3:
Ach man und beim Schreiben seh ich den Fehler, source vertauscht mit interface/translation target ...
Funktioniert jetzt natürlich, oh man

Jetzt komme ich auch von den Clients aus dem altefritz Netz auf meine OPNsense 192.168.100.1. Ist das richtig so oder sollte das unterbunden werden?
Es kann ja auch jedes Gastgerät von der Fritzbox daran kommen, richtig?
Was tu ich hier?

wo sitzt der in deinem Netzwerk? Die Grafik gibt darüber keine Auskunft.

sorry, OPNsense=Protectli V1410, OPT2 ist NIC #4

Welche Funktion hat Fritzboxtest im Netzwerk?

Fritzboxtest ist quasi AP Bereitsteller, so dass ich mit dem Laptop per Wifi an der OPNsense spielen kann, ohne dass mein Fritzbox alt davon großartig betroffen wäre.
FritzboxAlt ist mein aktuelles Netzwerk, nur dass ich eben das Internet nicht übers Modem der Box laufen lasse, sondern mir das von der OPNsense hole (das Vigor unterstützt leider kein Bridging, sonst wäre es ja noch leichter mit den zwei Ports, die es bereit stellt.

Beide FB haben an beiden belegten Interfaces dasselbe Subnetz.

ist das so?
Fritzbox alt läuft doch auf 192.168.178.0
und Fritzboxtest läfut auf 192.168.100.0

oder versteh ich das gerade nicht?

Hallo in die Runde.

Ich versuche mich gerade an meinem ersten OPNsense Setup.
Bisher hab ich immer eine Fritz 7490 verwendet, davon habe ich sogar 2, weil ich irgendwann mal eine zweite geschenkt bekommen habe.

Jetzt würde ich gerne so lange mein Produktivsystem aufrechterhalten, bis die OPNsense stabil läuft und ich Stück für Stück die Komponenten umziehe. Dafür möchte ich jederzeit ein Fallback haben, sprich die Fritzbox soll solide parallel laufen.

Zu dem Zweck will ich ganz simpel alles was vom Modem kommt von WAN auf meinen vierten NIC an dem Protectli V1410 durchschleifen.
Die Fritzbox geht dann in den Router Modus und kriegt Internet über LAN 1. Dann vermute ich, kann ich relativ viel an der OPNsense spielen, ohne dass mein Internet auf dem Produktivsystem weg ist.

Irgendetwas mache ich aber scheinbar falsch...

Habe ein neues Interface "altefritz" eingerichet, das hat die IP 192.168.178.2, die Fritzbox hat die 192.168.178.1 manuell eingestellt.

Device ist igc3 (müsste ja der vierte port sein, igc0=LAN, igc1=WAN, igc2=frei)

Ich hab ne Firewall Regel für das Interface gemacht:
Action  Pass
Interface  altefritz
Source  192.168.178.0/24
Destination  any
Destination Port  any
Protocol  any
Description  "Erlaubt gesamten Verkehr von FritzBox"

Pings funktionieren in beide Richtungen leider nicht.
Die Fritz meldet in den Ereignissen: Fehlergrund: 2 (dhcpv4 no answer on discover)

Code Select Expand

o2 Internet                                                  
      :                                                       
      : PPPoE                                                 
      :                                                       
.-----+-----.                                                 
| Vigor 167 | Bridge, VLAN7                                   
'-----+-----'                                                 
      |                                                       
  WAN |                                                       
      |                                                       
.-----+------.OPT2            LAN1.------------.LAN2    .-----+-----.
|  OPNsense  +--------------------+-FritzboxAlt|--------+    PC     |
'-----+------'192.168.178.2       '------------'        '-----+-----'
      |                            192.168.178.1        192.168.178.3
  LAN | 192.168.100.1/24                                      
      |                                                       
.-----+------.                                                
|Fritzboxtest| 192.168.100.2                                  
'-----+------'                                                
      |                                                       
 Wifi | 192.168.100.3                                         
      |                                                       
.-----+------.                                                
|   Laptop   |                                                
'-----+------'                                                


[Fritzbox]

Soo, ich bin auch schon ein gutes Stück weiter.
Protectli V1410 und DrayTek Vigor 167 sind am Start und laufen.
Zugriff aus LAN aufs Modem steht auch.

Fettes Dankeschön nochmal für die Inspiration hier überhaupt.
Kommt auch genau zur rechten Zeit, meine Fritz zickt rum...

Egal, VoIP... Tolles Thema...nicht

Internet läuft über WAN und in der Fritzbox hab ich ne grüne Lampe bei der Rufnummer.

Habe zwei Gateways, eins für Interface WAN und eins für WAN_voip
Ich kriege aber nur am WAN eine IP, am WAN_voip nicht



WAN ist Device pppoe0(igc1) zugeordnet, WAN_voip an pppoe1(igc1), beide PPOEs jeweils mit den Benutzerkennungen, die ich von o2 habe.

Aliases
FritzBoxIP: 192.168.100.10
SIP_Ports: 5060:5061
RTP_Ports: 7078:7109
SIP_Servers: sip.alice-voip.de

NAT Out
Interface: WAN_voip
Source: FritzboxIP
source port: udp/*
destination: *
destination port: udp/*
NAT Address: WAN_Voip address
NAT Port: *
Static Port: Yes


Rules LAN
Protocol: TCP/UDP
Source: FritzboxIP
Port: SIP_Ports
Destination: SIP_Servers
Port: SIP_Ports
Gateway: WAN_voip_gateway

Protocol: TCP/UDP
Source: FritzboxIP
Port: RTP_Ports
Destination: SIP_Servers
Port: RTP_Ports
Gateway: WAN_voip_gateway

Der Knackpunkt bei mir war übrigens, dass ich der Fritz von OPNsense aus eine statische IP verpasst habe.
Dabei diktiert die natürlich auch die DNS Server.

Ich habe in der Fritz jetzt selbst die IP vorgegeben und die zwei o2 DNS Server (62.109.121.1 und .2) dort eingetragen.
Die sind auch wohl mächtiger als die, die man bei Zugangsdaten unter DNS einträgt. Bis ich das gemacht habe war die Lampe nicht grün.

Ich nehme an, das hätte sich erledigt, wenn ich die ip in der fritzbox auf dhcp und die dns alle leer lasse und stattdessen das tue?
Services: Unbound DNS: Overrides

domain            IP            Description
sip.alice-voip.de   62.109.121.2   o2 Voip   
sip.alice-voip.de   62.109.121.1   o2 voip

Hab ich jetzt noch nicht getan, da ich immerhin die Lampe habe...

Trotzdem fehlt mir noch die IP, irgendeine Idee?
Oder wird die etwa nur bei einem Telefonat aufgebaut und ich muss das Telefon in die Hand nehmen? :D




edit:

Allow external SIP Proxy for VoIP

• Action: Pass
• Interface: LAN
• Direction: in
• TCP/IP Version: IPv4
• Protocol: TCP/UDP
• Source: Fritzbox
• Source port range from: SIP_Port to: SIP_Port
• Destination: SIP_Proxy
• Destination port range: from: SIP_Port to: SIP_Port
• Gateway: WAN_VOIP_PPPOE

[/list]

Stimmt denn hier eigentlich der Destination Port? Kann/Sollte der nicht auf any stehen?

erste Geduldsprobe: Coreboot installieren mit 3 verschiedenen USB Sticks und 2 Ubuntu Versionen hat es dann tatsächlich geklappt, ein Krampf mit USB 2.0 <-- selber Schuld


zweite Geduldprobe, nachdem ich den ersten Stick vom boot wieder mit der OPNsense Installation überschrieben hatte --> Partition Error während der Installation --> FreeBSD für schnellen Shell Zugang um die Partition zu killen --> OPNsense endlich fertig installiert --> Halleluja

Logs in die Ram Disk verfrachtet, da EMMC, toi toi toi

Die Ersatz Fritzbox läuft schon mal als Client und jetzt mach ich mich ans Modem, dann ans VoIP

Was ich nicht wusste, Guest Wifi gibts trotzdem noch, das könnte immerhin die Anschaffung eines neuen APs herauszögern, bis ich wirklich sicher bin, das alles so klappt wie ich will. Switch ist derzeit unmanaged, auch das reicht erst mal aus um alles zu testen.

Ehrlicherweise weiß ich noch nicht mal, ob ich überhaupt einen managed Switch brauche.
Mein einziger Guest LAN Client kann direkt an einen freien NIC des Protectli.

Oder bieten die noch Vorteile, die auch in meinem Setup zum Tragen kämen?

24x1GbE + 4x10GbE
"nicht professionellen Heimzwecke"

lol

ich werde es bei meinen Gehversuchen jetzt so versuchen, dass die Fritz nur noch als Client agiert und sich ausschließlich ums DECT kümmert, sonst nix

Es ist ein Protectli V1410 (1Jahr alt, 200€) + Draytec Vigor 167 (halbes Jahr alt, 75€) geworden.
Ich entschuldige mich jetzt schon für weitere dumme Fragen :)

das Ding sieht ja nicht schlecht aus.
Das jetzt als ausgemustertes Teil von jemandem gebraucht zum Spielen kaufen :)

edit2:
2,5G brauch ich nicht, so oft gehen keine riesigen Datenmengen durchs Netzwerk.
habe jetzt zwei auf dem Schirm:
Protectli FW4B (Intel J3160) , 8 GB RAM, 240 GB SSD
PC Engines APU4D4, 4GB RAM, 120 GB Kingston mSATA

Was haltet ihr von denen?



Ich hab mir das jetzt auch noch mal mit der Infrastruktur überlegt...
Wenn ich so recht überlege, dann brauch ich doch gar keinen Managed Switch, oder?

Geht das so wie angehängt? TV und Dreambox könnte ich dann immer noch mit nem kleinen extra Switch anbinden, wenn ich kein wifi will

Ich hab noch nicht ganz raus wo der AP sein soll.
macht der mehr Sinn direkt am OPNsense, weil die dann etwaige Angriffe über alles was über Wifi im Privat-Netz kommt auch direkt abwehren kann?