OPNsense hinter FritzBox – Konfiguration: Gateway, NAT, Routing-Policy [Newbee]

Rokko · March 11, 2023, 05:14:22 PM

Hallo an die OPNsense-Community,

ich habe ein kleines Heimnetzwerk, in dem ich verschiedene VLANs für unterschiedliche Geräte und Zugriffe betreiben möchte und richte mir die OPNsense aktuell als "Freizeit-Hobby" und Weiterbildungsmöglichkeit ein. Ich würde mich über Denksanstöße und über Hilfe zur Selbsthilfe sehr freuen. Aktuell scheitere ich daran, "Internet" in meinen eingerichteten VLANs zu beziehen.

Grober Aufbau:

Internet
:
: Cable-Provider
:
.-----+-----.
FritzBox| 192.168.178.1
'-----+-----'
|
WAN
|
.--------+---------.
OPNsense-VM LAN: 192.168.178.97 aus VLAN-178 und WAN 192.168.178.178 aus VLAN-178
'--------+---------'
     |- VLAN-100   192.168.100.0   Server
     |- VLAN-110   192.168.110.0   Clients LAN
     |- VLAN-120   192.168.120.0   OTC
     |- ...
     |- VLAN-160   192.168.160.0   Smarthome
     |- VLAN-178 192.168.178.0   FritzBox!

MEIN ZIEL:
Meine VLANs sollen über die FritzBox ins Internet kommen.
Ich würde mein VLAN für mein Smarthome nun gern in Betrieb nehmen wollen und habe gedacht, dass das jetzt doch ein guter Zeitpunkt für eine FWsei und das ja nicht so schwer sein kann. Zia, da lag ich etwas falsch. Ich bin anscheinend nicht in der Lage zu verstehen, wie ich dem VLAN160 das Gateway "FritzBox" zuweisen kann.

==================================================
Die OPNsense ist virtualisiert auf Proxmox und hat alle VLANs als Schnittelle angeschlossen (VLAN-ID ist drin). Die VLANs sind auf meinem Switch bereits eingerichtet und funktionieren. Die FitzBox ist als Gateway in der OPNsense hinterlegt und die Firewall-Regeln für die Netze sind erstmal nach überallhin (in/out) komplett offen.

VLAN-160 (Schnittstelle hat die 192.168.160.254) hat den DHCP auf der OPNsense. Der Test-Windows-VM-Client bekommt Netzwerk (IP: 192.168.160.1, Subnet: 255.255.255.0, GW: 192.168.160.254).
Meine Netzwerkgeräte befinden sich momentan noch ALLE im VLAN-178 in dem ein Windows-Server DHCP und DNS macht. Statisches Routingvon VLAN-178 nach VLAN-160 ist im DHCP des Windows-Servers konfiguriert und funktioniert. Statisches Routing auf dem DHCP von VLAN-160 nach VLAN-178 ist ebenfalls eingerichtet und funktioniert.

Anmerkung: Internetaufbau erstmal noch über meine FritzBox, weil ich die OPNsense nicht exposen will, ohne dass ich das Regelwerk sinnvoll erarbeiten konnte
==================================================

MEIN PROBLEM:
Aktuell scheitere ich daran, "Internet" über die VLANs zu beziehen, weil ich nicht verstehe, wie ich die FritzBox als Gateway in der OPNsense konfigurieren muss. Hierzu hatte ich Artikel gelesen, in denen darauf verwiesen wurde, NAT zu konfigurieren, Policy Routing einzurichten oder über die Einrichtung einer Virtual-IP und über NAT "ans Internet" zu kommen.

https://forum.opnsense.org/index.php?topic=20546.0
https://forum.opnsense.org/index.php?topic=18678.0
https://forum.opnsense.org/index.php?topic=23766.0

Wie sollte ich nun vorgehen?
Ich würde mich riesig freuen, würde mich jemand von euch auf den rechten Pfad führen können.

micneu · March 11, 2023, 05:45:19 PM

leider verstehe ich nicht ganz deinen netzwerkplan
- warum hast du 2 x das 178er netz (einmal mit und ohne VLAN)?

- screenshot Firewall regeln:
-- WAN
-- LAN
-- VLANS

Rokko · March 11, 2023, 06:55:57 PM

Hallo micneu,

vielen Dank für deinen Post.
VLAN-178 ist als Standard-VLAN im Switch hinterlegt. Das Netz 192.168.178.0/24 gibt es somit nur in dem definierten VLAN-178. LAN und WAN der OPNsense stehen also beide zusammen im VLAN-178.

Wie gebeten, habe ich einmal Screenshots von den Firewall-Regeln hinterlegt. (Wie gesagt, alles offen)
Die anderen VLANs sind noch nicht weiter konfiguriert.

Ich habe den Netzwerkplan nochmal überarbeitet und bitte den Fauxpas zu entschudligen. Ich dachte, dass diese grobe Skizze so i.O. wäre.

Internet
:
: Cable-Provider
:
.-----+-----.
FritzBox 192.168.178.1
'-----+-----'
|
|
.--------+---------.
Switch
'--------+---------'
|
|
.--------+---------.
PROXMOX
'--------+---------'
|
|
WAN/LAN
|
.--------+---------.
OPNsense-VM LAN: 192.168.178.97 aus VLAN-178 und WAN 192.168.178.178 aus VLAN-178
'--------+---------' --> 8 Networkdevices. Von denen 2x VLAN-178 an LAN und WAN der FW geht
|
|
|- VLAN-100 192.168.100.0 Server
|- VLAN-110 192.168.110.0 Clients LAN
|- VLAN-120 192.168.120.0 OTC
|- ...
|- VLAN-160 192.168.160.0 Smarthome
|- VLAN-178 192.168.178.0 FritzBox!

Ich hoffe der Plan ergibt mehr Sinn und trägt noch weiter zu Verwirrung bei :/

Mit bestem Gruß :)

kruemelmonster · March 11, 2023, 08:47:10 PM

Quote from: Rokko on March 11, 2023, 06:55:57 PM
... Das Netz 192.168.178.0/24 gibt es somit nur in dem definierten VLAN-178. LAN und WAN der OPNsense stehen also beide zusammen im VLAN-178. ...

Also ich würde mich ja beileibe nicht als Netzwerk-Spezialist ansehen. Aber 2 gleiche Netze auf LAN und WAN machen selbst mich stutzig. Warum nimmst du denn das 178-er Netz auf dem Switch nur weil es "da ist"? Nimm ein anderes, notfalls auch auf der Fritz!Box. Nur weil ein Subnetz auf den Switch eingerichtet ist, musst du es nicht benutzen. Ich habe selbst auch mehrere vlans auf meiner OpnSense, allerdings direkt auf dem System. Nix virtualisiert. Alle vlans auf der LAN-Schnittstelle und Internet ging sofort. Ohne Verrenkungen. ich braucht nicht mal ein Standard-Gateway einrichten. ging alles automatisch.

micneu · March 12, 2023, 01:12:03 AM

Ich bin immer noch verwirrt, nochmal die Frage warum hast du 2 x das 178er netz.
Wenn du es als WAN hast, wozu dann noch zusätzlich als vlan. Was ist dein Ziel?
Ich verstehe es nicht

Gesendet von iPhone mit Tapatalk Pro

OPNsense hinter FritzBox – Konfiguration: Gateway, NAT, Routing-Policy [Newbee]

Rokko

March 11, 2023, 05:14:22 PM Last Edit: March 11, 2023, 05:16:13 PM by Rokko

micneu

March 11, 2023, 05:45:19 PM #1

Rokko

March 11, 2023, 06:55:57 PM #2 Last Edit: March 11, 2023, 06:58:42 PM by Rokko

kruemelmonster

March 11, 2023, 08:47:10 PM #3

micneu

March 12, 2023, 01:12:03 AM #4