opnsense in ein bestehendes vlan netzwerk einbinden

[vovo]

Hallo zusammen,

in den letzten 3 Jahren hatte ich folgende LAN-Konstelation:
FritzBox --> L3 Switch --> VLAN10, VLAN20, VLAN30 (siehe Anhang "LAN zuvor").

Nun möchte ich zwischen FB und L3-Switch opnsense dazwischen schalten. Mein bestehendes VLAN Netzwerk soll dabei in seinem Aufbau nicht verändert werden. D.h. das Routing der VLANs soll weiterhing der Switch übernehmen.
Daher dachte ich mir, dass ich nur folgende Änderungen machen müsste:
- statische Route 0.0.0.0/0 vom Switch --> sense (statt FB)
- statische Routen (IPs der VLANs) von der sense --> Switch

Das habe ich im Bild "LAN mit opnsense" versucht darzustellen.

Nun meine Fragen:
1. sind die von mir geplanten Änderungen korrekt, habe ich was übersehen oder muss man bei opnsense mehr beachten?
2. habe versucht eine statische Route auf der sense für VLAN30 einzurichten
- Gateway anlegen (192.168.1.2 -> IP Switch) --> Route konfiguriert (192.168.30.0/26 --> Gateway 192.168.1.2)
- im Switch statische route 0.0.0.0/0 --> 192.168.1.1 (IP sense)
Komme mit PC aus VLAN30 nicht ins Internet. Was habe ich falsch gemacht? Wenn ich mich mit dem PC aus VLAN30 in den Switch über seine IP 192.168.1.2 (DHCP der sense) einlogge, dann kann ich die sense anpingen.

Komme aktuell nur ins Internet, wenn ich einen Rechner an LAN der sense direkt anschließe.

Hoffe auf eure Hilfe und sage jetzt schon Danke für jeden Tipp!!!

[KHE]

Hi

und hast du bei der Umstellung auch das Gateway im PC geändert?
Kannst du die opnsense vom PC aus anpingen?
Sind die /26 subnet wirklich so konfiguriert?

Gruß
KH

[vovo]

Hallo KH,

im VLAN30 ist der L3 Switch der DHCP-Server mit dem Interface/IP 192.168.30.1 als Gateway. Gilt selbstverständlich auch für andere VLAN (x.x.10.1 / x.x.20.1). Meine Clints im VLAN beziehen ihre IPs automatisch über DHCP (L3 Switch). Das Gateway für PC im VLAN30 muss aus dem selben IP Bereich sein --> also x.x.30.1. Ich kann die IP der sense nicht als Gateway eintragen.

Ja. Ich habe in meinen subnetz die präfix /26. Wozu mehr mögliche IPs als verfügbare Geräte.

aktuelle Situation:
- der L3 Switch bezieht über DHCP der sense die richtige IP --> 192.168.1.3
- mit dem PC aus VLAN30 kann ich mich auf dem Switch über sein Interace 192.168.1.3 einloggen und die sense 19.168.1.1 anpingen --> Verbindung zwischen Switch + sense funktioniert
- ich kann aber nicht mit dem PC aus VLAN30 die sense anpingen !!! --> die Weiterleitung der Clients aus den VLANs vom Switch an sense funktioniert nicht

[KHE]

Hi,

wie jetzt, hat der Switch jetzt die 192.168.1.2 oder die 192.168.1.3?
Im ersten Post und den Bildern hat der Switch die IP 192.168.1.2 und die Routen sind entspechend angelegt.
Im zweiten Post von dir hat der Switch die IP192.168.1.3. Tippfehler oder tatsächlich so?

Gruß
KH

[vovo]

vertippt. korrekt ist 192.168.1.2

[KHE]

Hi,

ich gehe davon aus, dass du die Firewall Regeln nicht geändert hast.
Wollte jetzt Tipps zum debuggen geben, aber wenn ich so darüber nachdenke, die Default regeln fürs LAN haben als Quelle das LAN angegeben. Da die Quelle aber im VLAN30 (bzw. 10 & 20) liegt, gibt es dafür keine Regel und werden blockiert.
D.h. du musst Regeln anlegen, das Pakete aus den VLANs angenommen werden. Dazu kannst du am einfachsten erst mal einfach die IPv4 Default allow LAN to any Regel kopieren und als Quelle Single Host or Network auswählen (oberster Punkt in der Liste) und dort dann dein VLAN30 (192.168.30.0/26) angeben. Speichern und Anwenden, dann sollte es gehen. Wenn das dann klappt, würde ich auch gleich Aliases unter Firewall:Aliases für die VLANs anlegen, dann muss man nicht immer alles tippen sondern kann es aus der Liste auswählen und dann die Regeln für die anderen VLANs anlegen.

Gruß
KH

[vovo]

Hallo KH,

danke für den Hinweis. Das hat mich zur Lösung des Problems geführt.

Folgendes habe ich gemacht (Beispiel am VLAN30):
- Gateway für die VLAN angelegt (--> IP des Switches im Netz der sense - 192.168.1.2)
- Routen angelegt (--> Netz des VLAN30 192.168.30.0/26 auf das Gateway 192.168.1.2)
- Network-Alias angelegt "VLAN30" (--> 192.168.30.0/26)
- bei Firewall/Rules/LAN habe ich eine Regel angelegt: IPV4 Default allow LAN to any rule mit Network-Alias "VLAN30" als Quelle
- bei Firewall/NAT/Outbound auf "hybrid" umgestellt und eine manuelle Regel hinzugefügt
  + Interface: WAN
  + Quelle: Network-Alias "VLAN30"
  + NAT Addresse: WAN Addresse
Einen Tipp habe ich noch bekommen: bei "Unbound DNS/Access List" -> allow 192.168.1.1

Nun funktioniert alles. Danke KH nochmals !