WLAN-Rechner an Fritzbox ins LAN

[anknv]

Moin Gemeinde,
ich habe eine Frage, bei der ich gerade nicht weiter komme.
Ich habe 2 Vlan Netze. Eines am LAN-Port der Opnsense mit dem Adressbereich 192.168.172.0/24 und eines am WAN-Port mit dem Adressbereich 192.168.10.0/24. Das WAN geht in eine Fritzbox, welche das Internet bereitstellt und Verbindung über WLAN mit einem Rechner hat, der die IP 192.168.10.7 hat. Wie kann dieser Rechner mit dem LAN kommunizieren, um z.B. Dateien zu speichern? Leider kann ich den nicht ans LAN hängen, sonst wäre es einfacher.
Anbei mal einige Grafiken des Netzes. Auch die Rules, bei denen ich vermutlich einen Denkfehler habe. Meiner Meinung nach kommt ja der Rechner beim WAN Port an. Dort muss ich ihn ins Lan heben. Außerdem muss er wieder zurück zur Fritzbox, um ins Internet zu kommen, denn das Getaway ist ja die Opnsense. Meine "Lösung"  sieht man im Bild, die funktioniert leider nicht. Weder LAN noch Internet klappen Hat jemand eine Idee?

[micneu]

Ich verstehe den Aufbau nicht, warum ist der Client vor der Sense?
Was genau ist dein Ziel?
- eine Möglichkeit VPN aber wie schon geschrieben, warum ist der Client vor der Sense?


Gesendet von iPhone mit Tapatalk Pro

[anknv]

Der Client ist eben leider örtlich so blöd gestellt, dass er nur über das WLAN der Fritzbox eingebunden werden kann. Da die Fritte im WAN ist, ist es deren WLAN Netz auch. Wie sollte ich das anders lösen? AUßer von den Räumlichkeiten, die sich leider nicht ändern lassen (daher auch der Repeater) bin ich offen für Veränderungsvorschläge.

[micneu]

wozu dann die sense. ich verstehe immer noch nicht warum?
hier mal wie ich mein netz gebaut habe (alles ganz normal, deinen aufbau verstehe ich nicht)
- meine empfehlung nutze ordentliche APs (die meisten nutzen UBNT, am besten mal die Forum suche nutzen) und hänge die in das Sense netz, der Fritzbox kram ist nett aber für die sense nicht wirklich praktikabel.
- wenn du die AVM Produkte nutzen wills, wozu brauchst du denn eine Sense?

Code Select Expand


                                            ┌──────────────────────────┐
                                            │                          │
                                            │  WAN / Internet (PPPoE)  │
                                            │        Willy.tel         │
                                            │ 1000/250Mbit/s Glasfaser │
                                            │                          │
                                            └─────────────┬────────────┘
─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─
                                                          │
┌────────────────┐   ┌────────────────┐                  │
│                │   │     Switch     │         ╔════════╩══════════════ pfSense+ 23.01 ══╗    Stand: ─ ─ ┐
│    TrueNAS     ├───┤  USW-Flex-XG   ├─────────╣                                         ║  │
│                │   │                │         ║                Intel NUC BNUC11TNHV50L00║    29.03.2023 │
└────────────────┘   └───┬────┬───────┘         ║                      LAN: 192.168.3.0/24║  │
┌────────────────┐       │    │                 ║   Gäste (W)LAN (VLAN33): 192.168.33.0/24║   ─ ─ ─ ─ ─ ─ ┘
│      UBNT      │       │    │                 ║       IoT WLAN (VLAN34): 192.168.34.0/24║
│UniFI AP AC Pro ├───────┘    │                 ║     DynDNS über deSEC mit eigener Domain║
│                │            │                 ║                                   VPN's:║
└────────────────┘            │                 ║         2 x Fritzbox (7490 & 6591) IPSec║
                               │                 ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║
                               │                 ║               1 x WireGuard Road Warrior║
                               │                 ║                         (172.16.33.0/24)║
                               │                 ╚═════════════════════════════════════════╝
                               │
┌────────────────┐   ┌────────┴───────┐ ┌────────────────┐ ┌────────────────┐
│ Fritzbox 7490  │   │     Switch     │ │      UBNT      │ │    1 x UBNT    │
│   (Nur VoIP)   ├───┤  USW-Flex-XG   ├─┤USW-ENTERPRISE-8├─┤UniFi AP-Flex-HD│
│                │   │                │ │      -POE      │ │                │
└────────────────┘   └────┬───────────┘ └──────┬─────────┘ └────────────────┘
┌────────────────┐        │                    │
│      UBNT      │        │                    │    ┌───────────┐
│UniFI AP AC Pro ├────────┘                    │    │           │
│                │                             └────┤  Clients  │
└────────────────┘                                  │           │
                                                     └───────────┘



[anknv]

wozu dann die sense. ich verstehe immer noch nicht warum?
hier mal wie ich mein netz gebaut habe (alles ganz normal, deinen aufbau verstehe ich nicht)
- meine empfehlung nutze ordentliche APs (die meisten nutzen UBNT, am besten mal die Forum suche nutzen) und hänge die in das Sense netz, der Fritzbox kram ist nett aber für die sense nicht wirklich praktikabel.
- wenn du die AVM Produkte nutzen wills, wozu brauchst du denn eine Sense?

Im LAN der Opnsense sind bei mir samt Server etc. etwa 13 Rechner. Zum Schutz des LAN ist also die sense da. Dasa funktioniert auch wunderbar. Die Fritte ist nur fürs Internet und das Telefon da. Den einen Rechner, der im WAN ist, bekomme ich mangels Vernetzung nicht ins LAN, der steht nämlich 200qm weit weg. Daher muss der leider über WLAN eingebunden werden. Wegen eines Rechners wollte ich mir eben kein Ubiquiti Kram holen, daher habe ich den über die Fritzbox drin. Jetzt wollte ich diesen einzelnen Rechner eben ins LAN routen. Ich dachte, mit einer gescheiten Rule geht das, habe aber noch nicht rausgefunden, wie. 

[TimoB]

Das heißt, Du hast im der Fritzbox das Routing abgeschaltet quasi nur Modem?

Dann kann das ja auch nicht gehen.
Also mit einem weiteren AP das WLAn erweitern...

[anknv]

Das heißt, Du hast im der Fritzbox das Routing abgeschaltet quasi nur Modem?

Dann kann das ja auch nicht gehen.
Also mit einem weiteren AP das WLAn erweitern...

Nein, kein Bridge-Modus. Die Sense ist nur exposed host auf der Fritzbox. Außerdem hat sich der WLAN-Rechner von der sense auch eine IP abgeholt, ich sehe den in den Leases.

[meyergru]

Da die Fritzbox vermutlich nur das 192.168.10.0/24 kennt und nach draußen gibt, wirst Du vermutlich auf der OpnSense Outbound NAT konfiguriert haben, oder? Schließlich würde die Fritzbox ja Deine grünen IPs (192.168.178.0/24) gar nicht erst routen.

Und gegen die Rückwärtsübersetzung der Outbound NAT der OpnSense kommt Dein WLAN-Rechner halt nicht an. Da müsstest Du schon mit Portfreigaben arbeiten.

Tatsächlich stimme ich micneu zu: Ich sehe nicht, wozu die OpnSense in dieser Konstellation gut sein soll.

Ich halte sowieso nichts von der Variante "OpnSense hinter Fritzbox als Exposed Host", ich nehme die Dinger nur noch als IP-Client für VoIP und SmartHome her - man könnte sie dann auch noch als AP nutzen (Variante A).

Wenn man die AP-Funktion nicht benötigt, funktioniert ja trotz anderslautender Aussagen auch noch der VDSL-Bridge-Modus, bei dem dann wirklich die OpnSense als Router wirkt und man zumindest die Modem-Funktion erhalten kann (Variante B).

Ich nehme aber aufgrund der Grafik an, dass es sich um eine Kabelbox handelt und Du sowohl die AP - als auch die Modem-Funktion der Fritzbox nutzen willst. Dann allerdings kommt man bei so einer "ungewöhnlichen" Konstruktion C an, die mehr schlecht als recht funktioniert. Wo da der Mehrwert der OpnSense liegt, sehe ich nicht.

Ich würde mich für A oder B entscheiden und dann einen anständigen AP oder ein anderes Kabelmodem einsetzen.

[anknv]

Da die Fritzbox vermutlich nur das 192.168.10.0/24 kennt und nach draußen gibt, wirst Du vermutlich auf der OpnSense Outbound NAT konfiguriert haben, oder? Schließlich würde die Fritzbox ja Deine grünen IPs (192.168.178.0/24) gar nicht erst routen.

korrekt.

Und gegen die Rückwärtsübersetzung der Outbound NAT der OpnSense kommt Dein WLAN-Rechner halt nicht an. Da müsstest Du schon mit Portfreigaben arbeiten.

da ist vermutlich mein erster Denkfehler, weil ich damit Schwierigkeiten habe, die Rückwärtsbewegung hinzubekommen.

Tatsächlich stimme ich micneu zu: Ich sehe nicht, wozu die OpnSense in dieser Konstellation gut sein soll.

Wie ich oben schon sagte, da hängen im LAN 13 Rechner hinter der Sense. Die sense sortiert also schön, wer was darf und was nicht mit den üblichen Firewallregeln für Internet, Mailverkehr etc. Irgendwie fand ich das gar keine schlechte Idee, hinter der Firitzbox eine ordentliche Firewall zu haben mit allem drum und dran ohne an der bereits vorhandenen Infrastruktur etwas zu ändern. Das ist ja nicht einfach ein Kinderzimmer mit zwei Zockrechnern, sondern 200qm Fläche mit zig Rechnern, die bis jetzt nur den Paketfilter der Fritzbox als "Schutz" hatten.

Ich halte sowieso nichts von der Variante "OpnSense hinter Fritzbox als Exposed Host", ich nehme die Dinger nur noch als IP-Client für VoIP und SmartHome her - man könnte sie dann auch noch als AP nutzen (Variante A).

Wenn man die AP-Funktion nicht benötigt, funktioniert ja trotz anderslautender Aussagen auch noch der VDSL-Bridge-Modus, bei dem dann wirklich die OpnSense als Router wirkt und man zumindest die Modem-Funktion erhalten kann (Variante B).

Ich nehme aber aufgrund der Grafik an, dass es sich um eine Kabelbox handelt und Du sowohl die AP - als auch die Modem-Funktion der Fritzbox nutzen willst. Dann allerdings kommt man bei so einer "ungewöhnlichen" Konstruktion C an, die mehr schlecht als recht funktioniert. Wo da der Mehrwert der OpnSense liegt, sehe ich nicht.

Ich würde mich für A oder B entscheiden und dann einen anständigen AP oder ein anderes Kabelmodem einsetzen.

An der Fritzbox hängt leider die Telefonanlage mit zwei Telefonen und einem Fax. Wenn man die Fritzbox bridged, funktioniert die dann noch? Anbieter ist Telekom mit DSL und Telefon. Wenn das geht, wäre das natürlich der Königsweg, daran habe ich noch gar nicht gedacht.

[meyergru]

Nein, funktioniert nicht. Für Dich wäre dann die Variante A interessant mit Fritzbox hinter OpnSense als VoIP-GW, AP und SmartHome-Controller - dazu brauchst Du aber ein zusätzliches Kabelmodem im Bridge-Modus. Selbst als AP im IP-Client-Modus hat die Fritzbox so Ihre Einschränkungen, weil sie dann keine VLANs kann und eine IoT- oder Gast-WLAN nicht abgetrennt werden kann. Ich tue alle IoT-Geräte in ein separates W/VLAN, weil die oft genug nach Hause telefonieren (Cloud) und mir das zu heiß ist.

Zu Deiner Variante C: Zwar ist die OpnSense mächtig, aber man muss sie auch beherrschen. Und als Exposed Host hinter einer Fritzbox tut diese praktisch gar nichts, sondern lässt alles an die OpnSense durch.

Das ist also nicht einmal eine "Two-Vendor-Strategy" mit zwei kaskadierten Firewalls, d.h. es bringt nicht mehr Sicherheit als die OpnSense allein.

Ich kaufe Deine Argumente also nicht, weil die Gefahr, bei einer Nicht-Standard-Konfiguration etwas falsch zu machen, einfach zu groß ist. Die Schwelle von "läuft erst gar nicht" hin zu "jetzt geht es - aber zuviel" ist sehr klein.

[Bob.Dig]

Würde bei dermaßen beschränktem Wissen auch von der Sense abraten wollen. Zwar finde ich deinen Anwendungsfall jetzt nicht so seltsam, aber vermutlich wärst Du einfach mit deiner Fritte besser dran, dazu noch ein Pihole oder ähnliches.

[anknv]

Würde bei dermaßen beschränktem Wissen auch von der Sense abraten wollen. Zwar finde ich deinen Anwendungsfall jetzt nicht so seltsam, aber vermutlich wärst Du einfach mit deiner Fritte besser dran, dazu noch ein Pihole oder ähnliches.

Ach, ich lerne schnell. Finde das alles zwar eine Menge Stoff aber nicht sonderlich kompliziert und sogar recht logisch. Aber stimmt, es fehlt mir Wissen, daher bin ich ja hier.

[Bob.Dig]

Bin auch kein Experte. Du kannst natürlich eine Route in der Fritzbox hinterlegen und die Firewall am WAN für diesen einen Rechner öffnen. Ins LAN "heben" wüsste ich jetzt nicht, wie das gehen sollte.

[anknv]

Bin auch kein Experte. Du kannst natürlich eine Route in der Fritzbox hinterlegen und die Firewall am WAN für diesen einen Rechner öffnen. Ins LAN "heben" wüsste ich jetzt nicht, wie das gehen sollte.

Ich probiere das jetzt mal über PPPoE, ist vermutlich die sauberste Lösung. Fritte macht das Modem und die Opnsense die Einwahl. Ich berichte.