Messages

Als ich Informationstechnikermeister Abschlussprüfung gemacht habe, ist nicht mal mein Netzwerkprojekt so umfangreich gewesen. Und ich musste noch eine Elektro Unterverteilung etc bauen und einen DSLAM und KNX programmieren.

Für "Gesellen" oder "Fachkraft" Niveau ist das gezeigte Projekt schon ziemlich happig als praktisches Projekt.

In meiner Gesellenprüfung hab ich in nem Windows Server eine IP addresse eingeben müssen und alle haben geklatscht (so ungefär).

Danke für Deinen Kommentar. Dafür muss ich kein DSLAM und KNX programmieren und kann E-Technik im Projekt ausgrenzen ;-)
Ich finde das Projekt gar nicht so schwierig, wenn man weiß wie es geht. mDNS ist halt für nen Laien ziemlich tricky zu konfigurieren, da bin ich in OPNsense noch nicht durchgestiegen. In OpenWRT geht das auch etwas einfacher tbh, aber dort gibt es die HA Funktion nicht.

Aus Deinem Text entnehme ich, dass Du zumindest teilweise von dem Thema überfordert bist und/oder Dich noch nicht damit beschäftigt hast.

Das weiß ich selbst, dass mich das Thema überfordert - sonst hätte ich keinen Hilfepost ins Forum geschrieben. Hoffentlich bleiben Sie lange genug in Ihrem Job und sind nicht gezwungen umzuschulen!

Viel Erfolg!

Was er Dir durch die Blume sagen wollte: Specke Dein Projekt massiv ab. Du brauchst nicht unbedingt einen Firewallcluster und auch nicht IPv6.
Auch Deinen Drucker kannst Du über interne DNS-Server (auf der OPNsense) mit A- und C-Records bekannt machen.

Danke Dir für den Hinweis - das war eher Zaunpfahl als Blume ;-). Ich kann das nicht abspecken, da die OpenWRT Konfiguration (inkl. Drucker) so vom Betreiber der Infrastruktur vorgegeben ist. Der Auftrag war mit VLAN zu segmentieren und ins Office Netz das Firewallcluster einzubauen - der Betreiber möchte im Hochverfügbarkeitskontext in der neuen Infrastruktur Tests durchführen und Fehler beheben, bevor solche Szenarien beim Kunden eingebaut werden. Zudem müsste ich den Projektantrag bei der IHK ändern was aktuell nicht mehr möglich ist, da schreibe ich dann lieber ich konnte mDNS wegen fehlender Kenntnis nicht umsetzen, der Großteil funktioniert ja dank KEA DHCP. Für den Drucker gibt es die Interimslösung per WLAN über den AP zu drucken, ist aber halt nicht sauber.

Hallo zusammen,

erstmal danke für eure Rückmeldungen. Eine Ergänzung zum besseren Verständnis: es handelt sich um eine Bürogemeinschaft mit mehreren Akteuren, daher führe ich statt Subnetting VLANs ein.

Anscheinend ist der Aufbau aus meinem Netzplan und den Angaben nicht so ganz ersichtlich, daher noch einige Erläuterungen dazu:

1) Ich habe den VDSL Router (Fritzbox 7530) mit einem HP 1810-G Switch verbunden und die Switchports 2-10 mit Transfernetz 10.128.0.0/24 = VLAN #200 untagged konfiguriert

2) am Transfernetz hängen weitere Netze:

• Gast Netz 10.128.20.0/24 = VLAN #220
• Drucker Netz 10.128.50.0/24 = VLAN #250
• Freelancer Netz 10.128.30.0/24 = VLAN #230

3) VLAN #220 & #250 sind per OpenWRT im TP Link Router mit TAGGED VLANs konfiguriert; die verbundenen Ports am Switch ebenfalls auf die entsprechenden VLANs per TAGGED konfiguriert. In OpenWRT ist auch der Printer per mDNS konfiguriert und announced sich ins Transfernetz - konkret an den VDSL Router mit 10.128.0.254

4) VLAN #230 ist über nen simplen Router ebenfalls per OpenWRT konfiguriert und hängt mit untagged VLAN am Transfernetz

5) das Office Netz 10.128.64.0/24 hängt ebenfalls am Transfernetz, nur dieses erhält die Absicherung durch das Firewallcluster mit OPNsense. Die Schnittstellen in OPNsense und am Switch sind TAGGED konfiguriert, damit ich im weiteren Verlauf ein weiteres Office Netz (VLAN #270) hinzufügen kann. Das Firewallcluster (2x Pokini F2 Modul mit je 4 Ethernet Anschlüssen) soll nur die Office Netze absichern! Dazu konfiguriert: CARP WAN = 10.128.0.64, CARP LAN = 10.128.64.254

6) ein DNS Server mit BIND Einbindung kommt in diesem Setup nicht in Frage, da die einzelnen Router ihr jeweiliges VLAN Segmente selbst verwalten sollen und nicht ein übergeordneter Server (ist mir bewusst, dass es mehr Verwaltungsaufwand bedeutet, ist so gewollt).
Der Sinn dahinter ist, dass jedes VLAN komplett autark agieren soll, ohne zusätzliche Hardware oder VM für DNS und es keine Netzwerk übergreifende Konfiguration gibt.
Diese würde sich auf die gesamte Infrastruktur auswirken. Wenn dann z.B. die Freelancer im VLAN #230 Experiemnete machen wollte, wäre das kontraproduktiv.

7) das eigentliche Problem: mDNS in OPNsense zu konfigurieren, damit ich vom Office VLAN #264 den Drucker im VLAN #250 erreichen kann und die Namensauflösung lokal im VLAN #264 klappt. Alle relevanten Netzgeräte die zur gewünschten Funktion beitragen, sind im Office Netz 10.128.64.0/24 verortet, außer dem Drucker (dieser soll aus allen Netzsegmenten erreichbar sein, daher ein separates VLAN).
Aktuell funktioniert alles im Office Netz (VLAN #264), per KEA DHCP (habe ich als Zwischenlösung genommen damit die Infrastruktur funktionsfähig bleibt).
Ich möchte als nächsten Schritt IPv6 ausrollen und das macht ja ohne DNS nicht viel Sinn.

Hat jemand Erfahrung zu so einem Szenario, wie man das richtig konfiguriert?

Als Anhnag nochmal ein Update des Netzplans:

Falls noch Punkte unklar sind, gerne rückfragen, vielen Dank vorab.

Grüsse aus Berlin
Christian

Prima Beitrag, gerade für Anfänger.

Ich bin schon einen - oder zwei - Schritte weiter und schreibe gerade an meiner Abschlussarbeit im Rahmen einer Umschulung zum FiSi.

Die richtigen Einstellungen in OPNsense (vers. 26.1.4) zu konfigurieren überfordert mich total: im Prinzip geht es darum wie ich ein Firewallcluster (2x Pokini F2 Module) im VLAN 264 (10.128.64.0/24) so konfiguriere, dass ich einen Drucker im VLAN 250 (10.128.50.0/24) erreichen kann. Der Drucker ist mit mDNS konfiguriert und announced sich an den VDSL Router (10.128.0.254) im Transfernetz VLAN 200 (10.128.0.0/24). Ich möchte aus bestimmten Gründen keinen extra DNS Server mit BIND installieren.
Es geht wohl mit einem DNS Repeater der ins andere Netz spiegelt, ich habe bisher aber keine Doku gefunden wo das richtig gut erklärt wird.

Würde mich freuen wenn jemand den Nerv hat die Einstellungen dazu in OPNsense einem Newbie zu erklären :-)

Netzplan ist hier zu finden:
https://my.hidrive.com/lnk/Hx3sjxYeX

Danke für eine Rückmeldung vorab.

Grüsse aus Berlin
Chris

Es gibt hier immer wieder einen Stammtisch (der ist virtuell mit Video etc...), vielleicht kann dort jemand helfen. Dort sind immer "alte Hasen" unterwegs was Netzwerktechnik und IT angeht.

https://forum.opnsense.org/index.php?topic=18183.0

Einfach mal dort reinschreiben und fragen ob jemand helfen kann.

Vielen Dank für den Hinweis!

Aus Deinem Text entnehme ich, dass Du zumindest teilweise von dem Thema überfordert bist und/oder Dich noch nicht damit beschäftigt hast.

Das weiß ich selbst, dass mich das Thema überfordert - sonst hätte ich keinen Hilfepost ins Forum geschrieben. Hoffentlich bleiben Sie lange genug in Ihrem Job und sind nicht gezwungen umzuschulen!

Viel Erfolg!

Guten Abend zusammen,

ich mache eine Umschulung zum Fachinformatiker für Systemintegration und arbeite gerade an meiner Abschlussarbeit zum Thema "IPv4 Netzwerkerweiterung mit IPv6 und Integration eines Firewall Clusters" und brauche dazu dringend Unterstützung.

Ich möchte folgendes Szenario umsetzen:
- verschiedene VLANs die an einem Transfernetz (via HP-1810 Switch) angeschlossen sind
- davon ein VLAN (#264) mit dem Netzbereich 10.128.64.0/24; soll durch das Firewallcluster vom Rest abgeschirmt sein
- Drucker im VLAN #250 soll dennoch von VLAN #264 erreichbar sein; der Drucker ist im Netz 10.128.50.0/24 und druckt über eine mDNS Konfiguration

Bereits umgesetzt:
- OPNSense V 26.1.4 ist bereits auf zwei Einplatinenrechnern (Pokini F2) eingerichtet, alle LAN Adressen und Internet erreichbar
- KEA DHCP ist manuell (ohne Agent) eingerichtet, Vergabe von IPv4 Adressen funktioniert. Mir ist bewusst, dass KEA ein simpler DHCP Server ist.
  ich musste das Netz online bekommen, daher diese Zwischenlösung

Offen:
- DNS über mDNS konfigurieren, damit die Namen der Geräte aufgelöst werden und der Drucker im VLAN #250 erreichbar ist.
- IPv6 Einstellungen: ich habe verstanden, dass IPv6 spezielle Firewall Einstellungen benötigt, weil die Adressen aus dem Internet direkt erreichbar sind. Wie ich das genau einstellen muss habe ich nicht verstanden.

Es gibt viele Tutorials im Internet, leider werden aber die wichtigen Details nicht gezeigt bzw. habe ich kein Tutorial gefunden in dem VLAN, mDNS und IPv6 zusammen behandelt werden.

Netzplan:

https://my.hidrive.com/lnk/Hx3sjxYeX
(Bild aus Hidrive wird leider nicht eingefügt)

Hat jemand hilfreiche Tipps für mich oder wäre u.U. bereit mir das in einer Online Session zu zeigen?

Vielen Dank für eure Rückmeldung dafür vorab!

Gruß
Chris

Vielen Dank für Deine Antwort @Patrick M. Hausen

ja, bin ich - soweit ich das beurteilen kann.

- HA Master Einstellungen wie beschrieben, 'root' als Sync Benutzer mit root Passwort gesetzt.
- mit Patchkabel verbunden von 10.128.60.12 auf 10.128.60.11
- auf Backup unter 'Firewall > Regeln' neue 'In'- Regel mit any erstellt, damit die Instanzen kommunizieren können (wenn ich keine Regel im Backup erstelle, kommt auch am Master eine Authoriserungsfehlermeldung wenn ich synchronisieren will)

Wie schalte ich denn die virt. IP des WAN von 'Backup' auf 'Master' zurück?

Danke!
Chris

Hallo in die Runde,

OPNsense Newbie hier. Beim Synchcronisieren der OPNsense Master Instanz auf die Backup Instanz ist mir ein mir nicht bewusster Fehler unterlaufen: nun steht in der Master Instanz wie virt. IP des WAN auf 'Backup' und die virt. IP des LAN auf 'Master', wodurch ich Probleme beim Synchronisieren habe.

Ich verwende OPNsense 26.1 mit folgendem Setup: VDSL > Switch > 2er OPNsense Cluster > LAN Switch; die zwei OPNsense Hardwaremodule haben vier 802.3 Interfaces, Synchronisation über das PFSYNC Interface.

Mir ist auch die richtige HA Konfiguration der Backup Instanz nicht ganz klar.
- am PFSYNC Interface beider OPNsense Instanz habe ich eine Firewall "In Regel" definiert damit die Instanzen miteinander kommunizieren
- User mit PW nur in HA Einstellungen des Masters

Synchronisiere ich, erscheinen beim Status der Master Instanz die Dienste, bei der Backup Instanz kommt die Fehlermeldung "Auf die Absicherungs-Firewall kann nicht zugegriffen werden (Benutzerberechtigungen prüfen)".

Der Missmatch der virt. IPs liegt wahrscheinlich daran dass ich die  Backup Instanz  kurz in den Wartungsmodus geschaltet habe.
Wie kann ich die virt. IP des WAN auf 'Master' zurück setzen? Was könnte eine eine mögliche Ursache der Berechtigungs Fehlermeldung sein? Eine Kommunikation zwischen den Instanzen findet ja statt, sonst würde die Amster Instanz ja statt der Dienste im HA Status einen Fehleranzeigen anzeigen?

Besten Dank für eure Hilfe vorab!