Messages

Man findet reichlich Mini PCs mit 2x LAN Schnittstellen, Blackview, SOYO Mini, GMKtec...:

Mini-PC SOYO M4 Mini Intel Twin Lake N150 Prozessor LPDDR5 12 GB RAM 512 GB ROM Windows 11 Pro WiFi 5
https://de.aliexpress.com/item/1005010734755262.html
138,75€

Ich habe u.a. Blackview und kann nicht meckern, auch welche die seit Monaten 24/7 laufen.

Nutzererfahrung findest du auch hier: https://www.mydealz.de/gruppe/mini-pc

Man findet reichlich Mini PCs mit 2x LAN Schnittstellen, Blackview, SOYO Mini, GMKtec... welche man vor der Krise für ca. 150€ bekommen konnte. Backup/Restore ist bei OPNsense schnell gemacht, d.h. wenn man einen weiteren davon (vorinstalliert) hat, umso schneller.
Ich habe davon in div. Umgebungen welche 24/7/365 laufen. Und wenn's den Zweck nicht mehr erfüllt, könnte man wieder das mitgelieferte Windows 11 Pro draufmachen. Also Office Client mehr als ausreichend, vor allem unter Linux.

Synology hat tolle kostenlose Backuptools, somit hatte ich Veeam ausgemustert (welches davor in der CE Version unter W11 lief).

Die Clients welche nicht unter W11 laufen würde ich mit Linux Mint bestücken, per Remmina kommen diese per RDP auf den Server.

[PC1 (LAN) <> OPNsense <> Fritzbox (WAN) <> PC2]

Um mein Ziel* zu erreichen hatte ich folgendes gemacht. Vielleicht hat jemand noch einen Tipp oder kann bestätigen, es möglichst richtig gemacht zu haben :-)

PC1 (LAN) <> OPNsense <> Fritzbox (WAN) <> PC2
*
PC1 hat ein Datenverzeichnis (Windows Freigabe)
PC2 ist der einzige PC welcher auf die Daten zugreifen darf (Datenaustausch)
PC1 soll im Datenverkehr maximal eingeschränkt werden.

Firewall: Rules: LAN
Ich habe alle Regeln gelöscht, somit wird automatisch alles geblockt. PC1 kann keine Verbindung mehr aufbauen.

Firewall: Rules: WAN
Source: IP-PC2
Destination: IP-PC1
Port: 443
Description: Datenzugriff Windowsfreigabe

Source: IP-PC2
Destination: IP-PC1
Port: 445
Description: Datenzugriff Windowsfreigabe

optional:
Source: IP-PC2
Destination: IP-OPNsense
Port: 443
Description: Zugriff auf OPNsense Web

Frage
Sehe ich mir den Live Log vom "WAN" anschauen, herrscht hier auch ein reger Datenaustausch. Welche der "Automatically generated rules" sind denn wirklich notwendig (für mein Szenario).
Firewall: Rules: WAN

[> Fritzbox Setup]

@osmom
Danke für den Hinweis, den Fehler habe ich ausgebessert, so ist es richtig:
WAN: Fritzbox
LAN: PC1

@viragomann
Danke für den Schupser, es war zielführend:
Ich habe auf der Fritbox eine Route erstellt.

PC1 <> OPNsense <> Fritzbox <> PC2

> Fritzbox Setup
OPNsense eine feste IP zuweisen:
Details für OPNsense > Heimnetz
IP anpassen, z.B. mit 192.168.178.250
Haken setzen: "IPv4-Adresse dauerhaft zuweisen"
OPNsense neu starten

Heimnetz > Netzwerk > Netzwerkeinstellungen > weitere Einstellungen
Tabelle für statische Routen > IPv4-Routen

Route zur OPNsense erstellen
Netzwerk: 192.168.1.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.250

> OPNsense Setup
Interfaces > WAN
Haken raus: Block private networks

Firewall: Rules: WAN
Regel erstellen: alles zulassen (NUR für den Test)

Ich konnte danach von PC2 auf die Weboberfläche der OPNsense.
Auch konnte ich dann von PC2 auf die Dateifreigabe auf PC1 zugreifen, eine Route auf der OPNsense musste nicht erstellt werden.

Jetzt wird das Firewall Regelwerk nochmal verifiziert.

Ziel ist es, dass
nur PC2 auf die Datenfreigabe von PC1 kommt
und PC1 selbst so gut wie gar nichts im Netzwerk darf.

Dafür ist der Live Log sehr hilfreich.

[PC2 wird an Fritzbox angeschlossen]

Hallo Forum,

die Tage möchte ich mich ein wenig mit OPNsense befassen und habe dazu ein einfaches Szenario aufgebaut:

Mini PC mit zwei LAN Schnittstellen:
WAN: Fritzbox
LAN: PC1

OPNsense installiert
192.168.1.1 über Browser erreichbar
Updates durchgeführt
PC1 kann ins Internet (Firewall > Rules > LAN: Default Regel "LAN to any rule" aktiv)
PC1 bekommt IP Adresse von OPNsense

Ich habe etwas mit dem Regelwerk (Firewall > Rules > LAN) experimentiert und kann den Datenverkehr für PC1 einschränken.

Soweit, so gut, ich lasse jedoch erstmal die Default Regel für den Test aktiv.

PC2 wird an Fritzbox angeschlossen
Ein weiterer PC2 wird an die Fritzbox angeschlossen.
PC2 bekommt IP Adresse von Fritzbox

Frage
Ist es möglich von PC2 auf PC1 zu kommen, z.B. für eine Netzwerkfreigabe (SMB) und wenn ja, wo stelle ich das ein?
Schließe ich PC1 und PC2 an die Fritzbox an, also beide im gleichen Netz, funktioniert es.

Nun aber soll
PC1: 192.168.1.DHCP nach
PC2: 192.178.1.DHCP verbunden werden.

Vielen Dank für die Hilfe beim nächsten Schritt.