[Gelöst] Unterstützung bei Konfiguration von OpnSense

[rowein]

Hallo Zusammen,

habe hier und da schon einiges gelesen und im Internet diverse Tutorials gefunden um mein neues Vorhaben zu Hause umzusetzen.
Leider scheitere ich dabei derzeit und nur durch Lesen komme ich nicht mehr weiter und benötige Unterstützung.
Ich habe OpnSense als VM auf einem ESXI laufen. Diese ist aktuell hinter einer Fritzbox. Zumindest anfangs, damit die gute Hälfte weiterhin wie gewohnt arbeiten kann.

Auf dem ESXI habe ich eine NIC für WAN (von OpnSense zur Fritzbox) und eine NIC für die VMs inkl. Vlans zu einem Switch eingerichtet.

Die Fritzbox hat die IP 192.168.178.1
OpnSense hat auf WAN statisch die 192.168.178.32 bekommen und als Upstream-Gateway die IP der Fritzbox (192.168.178.1)
In OpnSense gibt es die Vlans 10 (10.0.1.0/24), 20 (10.0.2.0/24) und 30 (10.0.3.0/24).
Diese sind an das LAN-Interface (10.0.0.0/24) gebunden.
Die VLANS machen alle DHCP und haben als Upstream-Gateway "auto-detect" und als Gateway jeweils die 10.0.x.1 eingetragen.
Auf VLAN-Seite scheint alles zu funktionieren.
Die Clients und Maschinen, die ich bisher in das entsprechende VLAN gepackt habe, erhalten alle die zugewiesen IPs innerhalb des Vlans.

Nun zu den Problemen.
Ich kann von einem Vlan das Gateway pingen und die WAN-Adresse von Opnsense.
Also z. B. von 10.0.1.23 nach 10.0.1.1 und 192.168.178.32 funktioniert. Nach 192.168.178.1 nicht.
Außerdem komme ich auch nicht auf die GUI von Opnsense. Die sollte ja über 10.0.1.1 erreichbar sein?

Das Internet funktioniert gar nicht. Ich komme nirgends hin.

Aktuell habe ich sowohl in den Vlans als auch in WAN eine Any to Any Regel drin.
Outbound-Firewall steht auf automatisch.
Unter System - Gateways steht die IP der Fritzbox drin.

Ich hoffe mir kann jemand bei den Problemen (GUI-Zugriff aus intern und Internetzugriff) weiterhelfen.

Viele Grüße

rowein

Edit:
Von der OpnSense-Konsole aus kann ich über den Ping-Aufruf alles anpingen.
Ich bekomme einen Ping aus den Vlans als auch aus dem Netzt der Fritzbox und z. B. von Google oder Heise.

[gerry]

Hallo Rowein,

klingt nach Routing (NAT/Masquerading) Problem, da es zu 99% auf dein Fehlerbild passt.
Das Problem besteht darin das die FB (Fritzbox) die IP Bereiche 10.0.X.0 nicht kennt.
Und bei dir scheinbar dein OpenSense die IP nicht Umsetzt auf "FB" Adressen.

Was jetzt passiert (zb. von 10.0.1.23 Ping an FB/192.168.178.1):

• 10.0.1.23 ping geht als erstes an Default GW weil ja anderes Netz und nicht 10.0.1.X
  was bei dir also die OpenSense ist mit 10.0.1.1.
• OpenSense leitet ping weiter mit Absender 10.0.1.23 an FB über 192.168.178.32
• FB Bekommt ping und will Antworten an 10.0.1.23 kennt es aber nicht und sendet es am ende je nach
  Einstellung vielleicht sogar ins WAN

Was du jetzt machen musst ist NAT/Masquerading so einstellen das bei dem Dick/Unterstrichenen
die IP von der OpenSense Schnittstelle steht [192.168.178.32] damit die FB weiß wo die Antwort hin muss.
Wenn du das gelöst hast sollte auch Internet gehen da dann eben auch WAN Anfragen wieder den weg "zurück" finde.

In dem Bild siehst du den Bereich wo man das ganze Einstellt, hier bitte einmal Prüfen wie deine Konfig ist.

EDIT: Je nach dem was du dort im oberen Bereich nutzt also zb. eben auch Manuelles NAT was vielleicht bei dir nötig ist weil du Zugriff in beide Richtungen WAN <> VLAN willst musst du die Regeln dann selbst anlegen.

Gruß Gerry

[rowein]

Hallo Gerry,

Vielen Dank für die Rückmeldung.
Ich habe mich am Wochenende dann nochmal dran gesetzt und bei er Firewall nochmal von vorne begonnen, da ich auch nicht mehr ganz nachvollziehen konnte, wo ich schon überall rumgepfuscht habe.
Nach der Neuinstallation die Vlans neu eingerichtet und sonstige Einstellungen Stück für Stück geprüft und dann ging es.
Ich weiß leider nicht an was es letztlich lag aber aufjedenfall war der Fehler im Routing.
Danke vielmals.

Grüße
rowein