Messages

Danke. Hat jetzt geklappt. War wohl schon auf dem richtigen Weg. Hatte vorher nur noch n Pi-Hole dazwischen, deswegen ging mein erster Versuch nicht.

Liebes Forum,

bin noch relativ neu mit OPNsense. Mit Netzwerk und Linux bin ich recht fit. Ich möchte hier ein Webhosting mit mehreren TLD-Domains simulieren, um gefahrlos einen uralten Strato-VServer zu aktualisieren, auf dem diese Webseiten derzeit laufen. Diesen VServer hab ich erfolgreich in eine lokale VM geklont. Die läuft nun unter 192.168.1.135 hinter der OPNsense. Was muss ich wo in der OPNsense nun einstellen, damit ich dessen Websites lokal aufrufen kann? Sie laufen unter www.meineseite1.de, www.meineseite2.de etc. Ich will also nicht die Seiten auf dem Strato-VServer aufrufen, sondern die von meiner VM. (Ändere ich auf meinem Laptop die /etc/hosts entsprechend ab, funktioniert das auch schon wunderbar. Aber ich möchte das natürlich hier netzwerkweit.)

Danke schon mal.

Habe mir nun ein Netz aus OPNsense und Fritzbox mit zwei FritzRepeatern gebaut. Auf einem alten Mac Mini mit Thunderbolt-Ethernet-Adapter läuft OPNsense sehr gut. Am Adapter hängt das Glasfaser-Modem (Zugangsdaten per PPPoE), am normalen Ethernet-Anschluss hängt ein Switch. Am Switch hängen dann die AVM-Produkte. Die Fritzbox ist als IP-Client eingerichtet. Sie kann WLAN wie gehabt inkl. Mesh. Und es hängen natürlich noch andere Clients dran (Server, Drucker etc.). Was natürlich nicht mehr geht sind der MyFritz-Zugang zur Box und VPN. Aber VPN soll ja nun auch OPNSense machen. Alles in allem eine schöne Lösung. Ich hatte mit deutlich mehr Einschränkungen bei der Fritz gerechnet.

Mein Beispiel war exemplarisch gemeint für Fälle, in denen man das Modem der Fritzbox nutzen muss/möchte. Hätte auch eine "Glasfaser-Fritzbox" sein können.

Ja, da ist wohl mein Denkfehler. Sobald ein Client dann die Fritzbox entdeckt und sie für WAN-Routing selbst nutzt, ist die OPNsense für die Katz...

Super erklärt. Vielen Dank. Eine Idee hätte ich noch: ich habe Glasfaser, also ein Glasfasermodem. Nehmen wir an, ich hänge die Frizbox dort dran mit ihrem WAN-Port, deaktiviere DHCP und gebe ihr eine IP aus dem Intranet der OPNsense. In der OPNsense stelle ich dann eine Route ein, dass Internet über die IP der Fritzbox hinaus geroutet werden soll. So müssten doch alle Funktionen der Fritzbox (ausser DHCP und NAT) noch gehen? Und die OPNsense sollte wie gewünscht für die anderen Clients funktionieren? Oder mache ich da einen Denkfehler?

Weiß denn eigentlich jemand, wie die Fritzboxen die Trennung des Gast-WLANs erzeugen, wenn Fritz-Repeater standardmäßig (also ohne OPNsense) in deren Netz hängen? Wenn dazu kein VLAN genutzt wird, könnte wohl Packet Sniffing zwischen den Netzen betrieben werden?

Thanks Maurice. I did a first test with tcpdump in a simple demo setup and two switches. Seems to be okay. Will test it with real traffic. I wish, I could have done it all within the gateway router, a Fritzbox. One could connect its WAN directly to its LAN and connect that to a managed switch. But no info anywhere about the internal VLAN handling of a Fritzbox.

Seems like you need to set up firewall rules allowing this.

Hello,

my hardware has only one ethernet port. Is it save to use the same ethernet cable for LAN and WAN, when WAN is via PPPoE with VLAN tag 7 and LAN is untagged? On the other side the VLAN gets separated by a managed switch, so LAN goes to the rest of the intranet and VLAN 7 goes to the modem. Could an attacker from the WAN side be sniffing packets from the LAN?

Thanks for any hints.

Sorry, wrong place. Please delete.

Unfortunately VPN is not an option. Most of the clients do not have enough ressources for a vpn and its routing. It's really stupid that LibreNMS doesn't allow redundant hostnames.

Ah, got your idea. Thanks for your efforts. Yes, that's what I had in mind it nothing else would work. The downside is the ability to manage that as there are a few dozens. That's why I'm hoping for a local solution.

You could use a separate port for each target host.

Won't help much, as different ports would use the same hostname.

Yes, a DNS provider would be my last resort. Another idea was to setup something on the LibreNMS VM that does something cname-like. As /etc/hosts uses IPs it is of no use there. Not sure, if dnsmasq would be an option.

 :'(

I'm using LibreNMS for monitoring. Each host needs an unique dns name there. This is okay, if every server or service has its own IP. But this cannot be accomplished over WAN, where I use SNMP proxying behind a single WAN IP on the target site. For example, there are some VMs behind a WAN address I want to monitor via SNMP. A single port 161 is openend on the target router and a SNMP proxy behind splits requests by their community string to each vm.

It's kind of a cname feature in terms of DNS.

Hello,

couldn't find any hint in the documentation. Maybe someone can help? From some LAN clients I need to reach some WAN sites under different DNS names. For example host.somedomain.com should be reachable by server1.somedomain.com, server2.somedomain.com, server3.somedomain.com and so on. Sometimes these hosts have dynamic IPs, so IP aliases won't help here. Any hints would be great.

Awado