Suche Unterstützung OPNSense für WAN und LAN

[Jitterer]

Bitte zu Post #6 runterscrollen :)

---------------------------------------------------------------------------------
Hallo zusammen,

ich suche wen, der Lust hast, mich bei meinem Aufbau einer OPNSense zu unterstützen. Budget wäre 100€ (ich weiß, das ist nicht viel Geld und würde vermutlich nur die ansprechen, die da bock drauf haben). Ich selbst habe Netzwerkgrundkenntnisse, habe mal vor einem Jahrzehnt den CCNA gemacht, aber einfach nicht mehr in der Netzwerkwelt weiter gemacht und mit IPv6 hört es bis auf minimale Basiskenntnisse komplett bei mir auf.

Zum Projekt:
Vor 2 Tagen habe ich meinen Deutsche Glasfaser Anschluss bekommen. Eigentlich hatte ich vor, sobald der Anschluss da ist, von meiner Fritzbox 7530 auf meinen Server/HTPC mit OPNSense zu wechseln.

IST Situation: vom GF-TA gehts zum ONT. Von dem per RJ45 in die Fritzbox.

SOLL Situation:
Soweit kam ich dann nach 3h, bis ich aufgegeben habe:
Die Fritzbox soll durch meinen Server, der mit Windows 10 + HyperV läuft, ersetzt werden. Dem Server stehen einem Ryzen 7 5700G mit 32GB zur Verfügung. OPNSense läuft als VM in HyperV. Es ist von IBM eine Intel I350-T4 NIC verbaut.

Diese Themen sollen durch OPNsense übernommen werden:

• Routing
• Firewall
• VLAN
• Switching
• IDS/IPS - wobei ich hier erst mal Wissen aufbauen muss wofür etc
• Sensei habe ich gehört ist ein nettes "must have" was ich natürlich auch testen möchte
• ggf. HAProxy, den ich durch eine aktuell noch seperat laufende VM dann ersetzen und direkt in OPNsense einbinden würde

DNS (v4) und DHCP (v4) bin ich mir nicht sicher, da diese aktuell auf meinem Windows Server laufen. Hier wäre so ein best practice Scenario interessant.

Nach den 3h Tests war ich irgendwann in der Lage, mittels konfiguriertem DHCPv6 und DHCPv4 am WAN Port lediglich eine IPv4 Adresse zu beziehen. Die IPv6 Adresse wollte einfach nicht. Mit den Standard Firewallregeln war ich aber nicht in der Lage, eine IPv4 Adresse aus dem Internet anzupingen. Ob dies an fehlerhaften Firewallregeln oder nicht konfiguriertem NAT oder... lag, weiß ich nicht. Da der Abend zu Ende ging und ich am nächsten Tag wieder arbeiten musste, habe ich die Fritzbox angeschlossen mit der natürlich alles direkt klappte.

Ich freue mich auf jede Person die Lust hat, ein Basis Setup mit mir aufzubauen. Ich würde mich freuen, wenn es nicht zu viel bashing bzgl. des Budgets geben würde.

Vorbereitend vor dem Termin würde ich die Infrastruktur mit HyperV, Netzwerkkarte, Bezeichnungen etc. etwas besser dokumentieren.

Arbeit Remote mit bspw. Teamviewer oder vor Ort mit Bier, Pizza oder was auch immer man möchte. PLZ: 5018x

LG

[lfirewall1243]

Also eigentlich alles Dinge die hier im Forum schon oft behandelt wurden.

An deiner Stelle würde ich die OPNsense aber als VM belassen, da du für 100€ wohl nicht wirklich viel Hardware erwarten kannst, gerade wenn du IDS oder Sensei verwenden möchtest.

Wenn du eine ipv4 Adresse schonmal bekommst, müsstest du sobald du dein Gateway auf die OPNsense ändert, ja schonmal Internet haben.

[Jitterer]

Ich habe ja direkt aus der shell von opnsense heraus versucht, zu pingen. Und über die GUI mit dem Ping tool auch. Hat leider nicht geklappt. Da also die ganze Basis WAN Konfig schon nicht wollte und ich keine Erklärung dafür hatte, wieso ein Ping ins IPv4 Internet nicht ging, habe ich mangels Zeit abgebrochen und suche daher Unterstützung um Zeit zu sparen, nur, weil ggf. irgendwo eine Checkbox nicht gesetzt wurde oder so.

Ja, OPNsense soll weiterhin als VM über HyperV laufen. Die Zuweisungen der NICs, virtuelle Switche etc hat auch etwas Zeit und Verständnis gefordert. Und ich habe aktuell einfach zu viele Baustellen...

Über das Budget lässt sich auch noch etwas verhandeln.

[micneu]

ich verstehe nur nicht warum immer ,,einsteiger" unbeding ids haben wollen. ich setze meine sense ja schon ein paar jahre ein und habe es noch nie eingesetzte (die pro/contras) haben mich nicht überzeugt (alles aus dem forum)
- hättest du deine sense auf echter hardware könnte ich dir in den meisten themen helfen, aber auf vm habe ich keine lust (gerade kein Hyper V)


Gesendet von iPad mit Tapatalk Pro

[Jitterer]

Nun, die Resonanz zur vollen Unterstützung fehlt  leider (hab ich mir schon gedacht, kann man bei dem mini Budget auch nicht verübeln).

Ich werde morgen mal einen Netzplan machen zu einer IST Situation über die aktuelle Konfiguration von HyperV, den virtuellen Switches und den 4 Ports der Intel NIC sowie von der WAN Konfig in OPNsense und den Probleme, wo ich dann fest sitze. Ggf. komme ich ja dann Schritt für Schritt mit so mancher Unterstützung hier im Forum zum Ziel :)

Ich melde mich dann wieder.

[Jitterer]

So... ich habe angefangen den Netzplan zu zeichnen, OPNsense auf default zu stellen, den ONT von Deutsche Glasfaser resettet und 15min das WAN Kabel abgestöpselt gelassen.

Dann habe ich OPNsense über den shell wizard für das WAN interface konfiguriert (einen Port zugewiesen) und LAN sowohl statisch 10.10.10.1/24 auf einen Port zugewiesen und konfiguriert.

Wie vor ein paar Tagen, bekomme ich direkt eine IPv4 Adresse aus dem CGN Bereich. Ping etc. funktionierte ca. 5 Minuten lang nicht. Danach hatte ich tatsächlich, wieso auch immer erst nach 5 Minuten, Internet (über IPv4)... wow, fortschritt! :o)

WAN DHCPv6 bekomme ich noch immer keine IP Adresse zugewiesen... das wurmt mich.

Hier erst mal der Netzplan:


So sieht der Uplink vom WAN nach ca. 20 Minuten aus:


Hier die aktuelle WAN Konfiguration (alles Standard gelassen):


Ich hatte auch vor 2 Tagen mal Send IPv6 prefix hint und prefix size auf 56 gesetzt etc... aber klappt irgendwie alles nicht so richtig.
Diesen Beitrag habe ich auch schon gesehen: https://forum.opnsense.org/index.php?topic=21225.msg99660#msg99660

Mhhh....

update: noch etwas komisches... irgendwie zieht er am WAN Port per dhcpv4 mein LAN Adresse 10.10.10.2/24 von meinem Windows Server, der aber derzeit ausgeschaltet ist und ich muss jedes mal in der GUI beim WAN Interface auf release und dann renew klicken, damit er sich die von der DG mit 100.xxx.... zieht. Ich blicks einfach nicht

[Jitterer]

Nach erneutem Reset ONT und Stundenlang abgeklemmten LAN Kabel habe ich dann irgendwann auch eine IPv6 Adresse bekommen (wohlgemerkt mit Standardconfig DHCPv6 bei Deutsche Glasfaser).

Mein derzeitiges Hauptproblem ist, dass beim Neustart der OPNsense jedes zweite Mal auf dem WAN Interface per DHCP die 10.10.10.10 als IPv4 Adresse zugewiesen wird (IPv6 gar nichts) und ich in der Interface Overview dann DHCP lease reloaden muss (was dann auch zügig geht). Das ist natürlich super unpraktisch, dass wenn ich mich bei einem Neustart nicht darauf verlassen kann, dass er sich automatisch mit dem Internet verbindet.

Hat jemand eine Idee? Das Problem besteht schon seit anfang an. Schon 10x auf Werkeinstellungen zurück gesetzt (wegen anderen Problemen) und es läuft kein weiterer DHCP Server als der, von der OPNsense selbst.

Ich habe das logfile mal angehangen.

[chemlud]

Mitschneiden, wie der traffic für ein gute/schlechte DHCP session aussieht und wenn es unterschiedliche DHCP server sind, dann einfach die Annahme von dem schlechten DHCP server verweigern (Reject leases from unter "Interfaces" -> "WAN", wenn auf Typ DHCP eingestellt)... ;-)

[Jitterer]

@chemlud ich finde es einfach nicht.
Systemlogfile sagt folgendes (siehe Uhrzeit):


Firewall Logfile sagt dieses zu der Uhrzeit:


Ich sehe da einfach nichts was auf Port 67/68 geht. Und der 10.10.10.210 ist aktuell noch mein Windows DC mit DNS (aber deaktiviertem DHCP Dienst), wobei es hier keine Änderung gibt, wenn der DC Server komplett heruntergefahren ist.

Du siehst auch im Firewall log, dass zur gegebenen Uhrzeit kein Traffic auf dem WAN Interface geloggt wird. Den ersten Traffic siehst du dann ganz oben, sobald die WAN IP gesetzt wurde.

[chemlud]

package capture auf WAN, da müsste alles zu finden sein...

[Jitterer]

ok ich schneide das in Ruhe heute Abend mal mit und schaue, ob ich den Übeltäter finde (wobei ich das schon komisch finde, dass per OPNsense default das WAN Interface nach einem DHCP Server auf LAN Interface suchen kann).

Noch eine andere Frage zwischendurch: ich habe vorhin erfolgreich einen HAProxy Dienst auf OPNsense am Laufen bekommen und nutze ihn als reverse proxy. Backendserver, Public Server sind konfiguriert, Firewall Regel eingestellt und es läuft. Allerdings läuft dieser ja auf der WAN IPv6 von OPNsense (weil aktuell so konfiguriert). Nur mal über die theoretische Sicherheit gefragt: wie sicher ist das ganze? Was ist, wenn der HAProxy eine Sicherheitslücke aufweist? Wie laufen die Plugins in OPNsense (Sandbox etc)?

Bei einer normalen VM mit HAProxy käme dieser nie auf meine Firewall drauf. Bei dem aktuellen Scenario bin ich mir irgendwie nicht ganz sicher.

edit: noch eine Frage: wie (wenn überhaupt?) kann ich automatisiert an meinen dynDNS Provider per OPNsense eine aktualisierte IPv6 übertragen? Aktuell habe ich mich auf NoIP eingeloggt und diese manuell einmal geupdated. Soweit ich weiß, sind die IPv6 Adressen nicht fix bei der DG. Hier suche ich jetzt nach Möglichkeiten, da ja jeder Client eine eigene IPv6 bekommt...

Gibt es Plugins dafür? Kann die OPNsense über MAC (Gerät) -> IPv6 zuordnen (also für jedes Device herausfinden) und dies dem dyndns Anbieter bekannt geben?

[lfirewall1243]

Ich habe ebenfalls eine OPNsense mit einem DG Anschluss am laufen.
Folgende Einstellungen habe ich auf dem WAN für ipv6 hinterlegt:
KOnfigurationstyp: DHCPv6
Modus: Einfach
Fordern Sie nur einen Präfix an: aus
Prefix Größe: /56
Präfixhinweis: aus
IPV4-Verbindung verwenden: an
VLAN-Prio: Deaktiviert

edit: noch eine Frage: wie (wenn überhaupt?) kann ich automatisiert an meinen dynDNS Provider per OPNsense eine aktualisierte IPv6 übertragen? Aktuell habe ich mich auf NoIP eingeloggt und diese manuell einmal geupdated. Soweit ich weiß, sind die IPv6 Adressen nicht fix bei der DG. Hier suche ich jetzt nach Möglichkeiten, da ja jeder Client eine eigene IPv6 bekommt...

Sollte alle Fragen dazu beantworten
https://forum.opnsense.org/index.php?topic=22481.0

[Jitterer]

Ich habe jetzt mal den Netzwerkverkehr mitgeschnitten.
Der einzige Unterschied: Wenn DHCPv4 und v6 funktioniert (also eine richtige IP vom ISP gemeldet wird), bekomme ich ein DHCP ACK gemeldet. Wenn die OPNsense (wieso auch immer) die IPv4 auf 10.10.10.10 setzt, bekomme ich ein DHCP NAK (auch hier wieso auch immer) gemeldet...

Alles äußerst merkwürdig..

@lfirewall lese ich mir später alles mal durch.

[JeGr]

> Wenn die OPNsense (wieso auch immer) die IPv4 auf 10.10.10.10 setzt, bekomme ich ein DHCP NAK (auch hier wieso auch immer) gemeldet...

Die 10.10.10.10 hat doch da nichts verloren, oder sehe ich das falsch? Du meintest doch, dass 10.10.10.x intern auf das LAN soll, was macht die dann auf dem WAN? Das liest sich eher nach falscher Konfiguration einer VM/des Hypervisors, wenn du da LAN Adressen bekommst. Da würde ich nochmal genau mein Setup der VM durchgehen.

Cheers

[Jitterer]

Tja was soll ich sagen... da gibt es halt nicht viel was man falsch konfigurieren kann (denke ich).

In meinem LAN gibt es seit mind. 3 Tagen keinen DHCP Server mehr - außer der DHCPv4 der OPNsense auf dem LAN Interface. Den habe ich aber auch schon testweise deaktiviert und trotzdem bekomme ich jedes 2.-3. mal eine 10.10.10.10 IP zugewiesen. Zudem habe ich geguckt, ob die 10.10.10.10 im OPNsense unter Lease zu finden ist, was nicht der Fall ist.

Der Paketmitschnitt zeigt nur ein DHCP NAK aus dem 100er CGNat Netz, wenn auf dem WAN Interface die 10er IP Adresse festgelegt wird. Bei einem DHCP ACK aus dem 100er CGNat Netz bekomme ich eine 100er IP Adresse dann zugewiesen, was auch richtig ist.

Ich stehe einfach auf dem Schlauch und habe keine Idee

Das ist die Zuordnung in HyperV:



edit: evtl kann ich das Thema ja auch anders angehen. Wenn ich unter Windows in der cmd ipconfig /all eingebe, listet er mir auch die IP Adresse des DHCP Servers auf, der den IP lease zur Verfügung stellt.

Unter Interfaces -> Overview in der OPNsense gibt es leider keinen Eintrag DHCP Server. Bekomme ich den evtl. irgendwie anders heraus? Sprich wir der irgendwo anders gelistet?