OPNsense über die WAN Schnittstelle nicht erreichbar

[cpugriller]

Guten Tag zusammen,
ich bin grade dabei, OPNsense und FlexiWAN auf Proxmox zu realisieren und habe als OPNsense Einsteiger leider einige Verständnisprobleme bezüglich der Netzwerkonfiguration.

Da jede OPNsense Struktur ja so individuell ist, habe ich durch Recherche leider keine Lösung finden können und hoffe, dass jemand von Euch mir bei meiner Problematik helfen kann.

Folgende Ausgangssituation:

Als Hardware nutze ich eine Appliance mit Intel C3558 CPU und 6 RJ45 Gbe Ports.
Die Appliance ist in einem seperaten Netz 192.168.137.0, welches per LAN Kabel an meinem Heimnetzwerk 192.168.0.0 anliegt, in dem sich auch der Heim Router befindet.

Auf der Hardware habe ich debian 10 und Proxmox 6.3-1 per serielle Konsole installiert.

Im Proxmox Webinterface habe ich:
-   Neue VM erzeugt
-   VM weitere vNIC hinzugefügt
-   Bridges vmbr0 und vmbr1 erstellt
-   OPNsense auf VM installiert

Die automatisch erstellte virtuelle Netzwerkkarte net0 ist der vmbr0 bridge zugeordnet.
Die von mir hinzugefügte Netzwerkkarte net1 ist der vmbr1 bridge zugeordnet.

Hier die Konfiguration der bridges
Name        Typ        Active Autostart VLAN              Ports/Slaves                      CIDR                     Gateway
vmbr0  Linux Bridge  Yes      Yes         No      enp3s0(NIC der Appliance)  192.168.137.117/24  192.168.137.1
vmbr1  Linux Bridge  No       Yes         No             nichts                                  nichts                      nichts

In der debian console sieht die Netzwerkkonfiguration folgendermaßen aus:
auto lo
iface lo inet loopback

auto enp3s0
iface enp3s0 inet manual

iface enp4s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address 192.168.137.117/24
        hwaddress 00:90:0b:5f:7f:82
        gateway 192.168.137.1
        bridge-ports enp3s0
        bridge-stp off
        bridge-fd 0

Mit diesen Einstellungen habe ich sowohl Zugriff auf das WebUI von Proxmox, als auch das von der OPNsense.

Hier habe ich eine Struktur erstellt, die ich erreichen möchte.
Wie man sieht, handelt es sich ausschließlich um lokale Adressen.

Router   - WLAN -  Laptop       -      Laptop      -      Proxmox        -    OPNsense      -     virt. LAN   -   virt.Host
102.168.0.1     192.168.0.254  192.168.137.1  192.168.137.117   192.168.137.55    192.168.5.0   192.168.5.5

Nun zu meinem Problem.

Das WebUI der OPNsense kann ich nur von der LAN Schnittstelle aufrufen, wenn diese eine IP Adresse im Netz 192.168.137.x hat.
Über die WAN Schnittstelle erreiche ich das Webinterface nicht, auch wenn es sich in demselben Netz befindet.
Sobald ich der LAN Schnittstelle eine andere IP statisch in der OPNsense Konsole vergebe, z.B 192.168.5.1, wird die Kommunikation unterbrochen und ich habe keinen Zugriff mehr.

Was ich jedoch erreichen will, ist, dass Pakete, die vom Internet/Heimnetzwerk über 192.168.137.1 kommen, von der WAN Schnittstelle aufgefangen und in das Private, von der OPNsense geschützte Netzwerk 192.168.5.0 geleitet werden, wenn ich dies, per Firewall Regel erlaube. Gleiches gilt natürlich andersherum.

Leider fehlt mir scheinbar das nötige Fachwissen, da ich es einfach nicht hinbekomme, die OPNsense über die WAN Schnittstelle zu erreichen.

Kann es sein, dass ich einfach ein paar Schritte nicht mache, die den Zugang über WAN zulassen?
Ist diese Lösung so überhaupt realisierbar oder habe ich einfach einen Denkfehler?
Vielleicht fällt Euch ja auf, woran es bei mir scheitert.

Vielen Dank im Voraus
Beste Grüße

Patrick

[Evil_Sense]

Hallo

Per default ist die Weboberfläche nicht aus dem WAN erreichbar (soll es normalerweise auch nicht).

Das müsstest du auf der Firewall beim WAN Interface erlauben, bin nicht sicher ob die per default überhaupt auf dem WAN Interface hört.

Den Rest habe ich nicht ganz verstanden, ein Netzwerkplan würde helfen..
Wahrscheinlich läuft's aber auf eine statische Route heraus, da das Gerät, welches die Pakete in das Netz hinter der FW schicken will, wissen muss, wie es das erreichen kann.

Gruss

[cpugriller]

Guten Morgen,

Danke für die Antwort.

Ich habe jetzt ein Netzdiagramm erstellt. Ich hoffe, damit wird es deutlicher.

                            WAN / Internet
                                      :
                                      :
                        öffentliche Adresse
                              .-----+-----.
                             |  Gateway  | 
                             '-----+-----'
                           192.168.0.1/24
                                     :
                                     : WLAN
                                     :
                         192.168.0.254/24
                              .-----+-----.
                              |  Client1  | 
                              '-----+-----'
                            192.168.137.1/24
                                      |
                                      |
                                 ---------
                                 /         \
                                /           \
  192.168.137.55/24 /             \ 192.168.137.117/24
      .-----+------.                       .------------.
      | OPNsense+                      + Proxmox |
      '-----+------'                       '------------'
       192.168.5.1/24
            |
            |
            |
      192.168.5.5/24
      .-----+------.
      |vmLAN Client|
      '-----+------' 

Im Grunde sieht die Struktur ja nicht kompliziert aus.
In meinem Verständnis sollte die WAN Schnittstelle der OPNsense in Richtung Internet gehen und die LAN Schnittstelle in Richtung des LANs, in das sie die Pakete durchlässt.
Deshalb hatte ich versucht, die OPNsense so einzustellen, dass die WAN Adresse im Raum 192.168.137.x ist und die LAN Adresse im Raum 192.168.5.x

Das ist aber nicht möglich, da eine Verbindung nur per LAN Schnittstelle besteht und das auch nur, wenn die LAN Schnittstelle sich im Raum 192.168.137.x befindet.

Heißt das, dass die LAN Schnittstelle ruhig im 192.168.137.0 Netz bleiben kann und ich die WAN Schnittstelle benutzen kann, um in das 192.158.5.0 Netz weiter zu leiten?

Des Weiteren frage ich mich, ob es reicht, die von mir selbst erstellte virtuelle Netzwerkkarte(net1) in der OPNsense VM und den VM Client jeweils mit der vmbr1 Bridge zu verbinden, damit diese sich im 192.168.5.0 Netz gegenseitig finden? Irgendwie hat das bis jetzt nicht geklappt.

Weiß vielleicht auch jemand von euch, wieso ich in der VM des virtuellen Clients unter debian die /etc/network/interfaces nicht bearbeiten kann? Wenn ich ihm eine IP Adresse vergeben will, und die Konfiguration abspeicher, meldet die Konsole, dass ich nicht berechtigt bin, hier änderungen vorzunehmen.

Das kann doch alles nicht so kompliziert sein aber leider klappt es nicht so auf anhieb.

Vergesse ich irgendwelche Einstellungen vorzunehmen?

[Evil_Sense]

Damit du von deinem Client1 über das WAN der OPNsense auf die Weboberfläche kommst, musst Du, wie gesagt, dies auf dem WAN Interface in der Firewall entsprechend erlauben.

Ich kenne mich zwar nicht so gut mit Proxmox aus, ich meine aber das 2 VM's, welche ihre Interfaces an der selben Bridge haben, sich gegenseitig erreichen sollten (soweit die Einstellungen passen).

Was die Netzkonfiguration auf Debian anbelangt, hast du's mit sudo probiert?

[kosta]

Wenn ich mich nicht täusche, Default bei der OPNsense ist "All (Recommended)". D.h. die Sense ist auch auf WAN erreichbar.
Aber ich mir ziemlich sicher dass unter Firewall - Rules - WAN kein Port auf WAN automatisch erstellt wird, auch nicht wenn Anti-Lockout an ist.
Das würde die Erreichbarkeit über LAN aber nicht über WAN erklären.
Nachdem die OPNsense bei dir nicht direkt am Internet hängt, sehe ich die Erreichbarkeit über WAN als nicht sonderlich kritisch.

[cpugriller]

hi, sudo habe ich probiert. Er fragt dann nach dem admin passwort, um sudo nutzen zu können und meckert bei korrekter Eingabe, dass "user" nicht in der sudoerlist ist und das versuchte Eindringen gemeldet wird. An wen auch immer

ich habe die IP des Client 2 in den Linux Netzwerkeinstellungen eingetragen. Scheint er angenommen zu haben.
Da nichts anderes funktioniert, habe ich versucht, die WAN Schnittstelle als gateway für das Netz 192.168.5.0 zu nutzen. Macht wahrscheinlich keinen Sinn aber habe es einfach ausprobiert. Naja, ping funktioniert von Client 2 auf OPNsense WAN natürlich nicht.

Ich habe auch versucht, das LAN Kabel in den WAN Port der Appliance zu stecken und in/etc/network/interfaces den Port auch eine neue IP gegeben. Auch das blieb erfolglos.
OPNsense erkennt dann auch keine Interfaces, Proxmox/OPNsense haben kein Internetzugang und somit keine WebUI.

Demnach komme ich mit OPNsense ausschließlich raus, wenn der LAN Port eine IP Adresse im 192.168.137.0 hat.

In der WebUI dem WAN eine IP zu vergeben reicht anscheinend nicht. Vorallem, da das WAN bei mir die vtnet1 ist und das LAN die vtnet0. Sobald ich das ändern will, ist die Verbindung futsch.

Des weiteren habe ich in OPNsense/Firewall/rules/WAN eine Regel mit Pass Any Any erstellt und dem WAN eine IP in 192.168.137.0 gegeben. WAN geht leider auch dann nicht raus.

[Evil_Sense]

Der vmLAN Client (nehme an den meinst du mit "Client 2") soll als Gateway 192.168.5.1 nutzten, also die LAN Adresse der OPNsense, diese muss auch pingbar sein (selbes Netz).
Dann sollte auch die WAN Adresse der OPNsense pingbar sein.

Das WAN der OPNsense, soll als Gateway den nächsten Hop nach draussen benutzen, laut deinem Netzplan also 192.168.137.1.

So müsste es eigentlich gehen, ansonsten verstehe ich dein Vorhaben nicht.

[cpugriller]

@Evil_Sense, das habe ich genau so versucht. Nur wie gesagt, wenn ich der LAN die IP 192.168.5.1 gebe, kann ich nichts weiter machen, da ich somit sofort keine Internetverbindung und somit keine WebUi von OPNsense habe.

Im Grunde, will ich, dass es genauso läuft, wie Du sagst. Aber wie soll ich das erreichen, wenn ich die LAN Schnittstelle nicht aus dem 192.168.137.0 entfernen darf, da sonst nichts mehr läuft?

Mir scheint es so, als würde es normalerweise reichen, die Interfaces WAN auf vtnet0 zu setzen und die LAN auf vtnet1 und denen dann die IPs zuzuteilen und per Firewall Regel den Datentransfer für WAN zu erlauben.

verstehe nicht, wieso das bei mir nicht geht.

[Evil_Sense]

Ohne das ausprobiert zu haben: Wenn die Interface Zuweisung gleich bleibt und auf WAN die Rule aktiv ist die (mindestens) den Zugriff auf die Weboberfläche erlaubt, müsstest Du über die Konsole eine neue IP vergeben können, danach sollte es gehen.

[cpugriller]

@Evil_Sense werde das mal ausprobieren.

[cpugriller]

Guten Abend, ich konnte mich leider erst jetzt wieder mit der OPNsense beschäftigen.

Ich kann der WAN Schnittstelle eine IP im Adressraum 192.168.137.0 geben. Die nimmt die OPNsense auch an. Leider ist dann auch trotz erstellter WAN Regel das WebUI nicht erreichbar. Somit kann ich nicht weiter gehen und die LAN IP ändern, da sonst, wie schon erwähnt, alles den Geist aufgibt.

Hat vielleicht sonst noch jemand eine Idee, die ich probieren könnte?

allen einen angenehmen Abend.

[cpugriller]

kann als SOLVED markiert werden.

Ich habe mich jetzt nochmal da rein gefuchst und bin tatsächlich auf die Lösung gekommen.
Im nachhinein war die Lösung recht einfach. Aber als OPNsense Neuling verliert man hier und da auch mal den Überblick.

Folgende Schritte führten zur Lösung des Problems:

- über LAN Schnittstelle auf das WebUI
- LAN befindet sich im 192.168.137.x Netz
- WAN ebenfalls eine IP im 192.168.137.x Netz vergeben
 - bei LAN UND WAN in den Interfaces
   block private networks und block bogon networks
  checkmark entfernen
- Firewall/WAN in Regel reply to Disable ! und pass any any
- Firewall/WAN out Regel pass any any erstmal zu testzwecken
- Firewall/LAN out Regel pass any any
- LAN Interface in der Shell die IP 192.168.5.1 für das virtuelle Netzwerk vergeben
- Bridges gewechselt/ vmbr0 für WAN, vmbr1 für LAN

Ergebnis: WebUI über WAN erreichbar
               Client 192.168.5.5 - ping 192.168.5.1 ok, ping 192.168.137.55 (OPNs WAN) ok

trotzdem danke, dass Ihr euch die Zeit genommen habt.

[Evil_Sense]

Ah sorry "Block private networks" herausnehmen hatte ich komplett vergessen..