OPNSense Einsteiger: OPNSense hinter Provider Router - kein Internet ohne Nat

[xenon2008]

Guten Abend zusammen,

Ich bin noch ganz neu hier und beschäftige mich erst seit ein par Tagen mit der OPNSense.
Aktuell habe ich seit Jahren einen Sophos UTM im Einsatz, welche auch noch läuft, aber die Software ist ja nun EOL.
Daher wollte ich auf OPNSense umsteigen, hab da aber ganz ehrlich gesagt noch einige Schwierigkeiten, und ich dachte bzw. hoffte, dass mir hier jemand helfen könnte    ?

Folgendes Szenario:
Meine OPNSense hängt hinter dem Modem/Router meines Providers...
Dort wiederrum ein Switch, auf dem div. VLANs eingerichtet sind....
Das alles funktioniert auch wie gewünscht, inkl. meiner Sopohs UTM.

Doch anstelle der Sophos hängt ja nun die OPNSense drinnen, und da habe ich so meine Schwierigkeiten.
Hier nochmal alles kurz auf skizziert:



Auf der OPNSense habe ich auch schon die Schnittstellen wie LAN & WAN konfiguriert, soweit ich es für richtig hielt.
Die VLANS habe ich ebenfalls schon angelegt, und auch schon Schnittstellen zugewiesen.

Mein aktuelles Hauptproblem ist, dass das man z.B. vom Internal LAN nicht ins Internet kommt, obwohl es eine entsprechende Firewall Regel gibt.
Knackpunkt ist, dass ich bei "NAT=> Ausgehend" die Funktion "automatische Regeln erstellen" deaktiviert habe.
Sprich NAT ist auf der OPNSense deaktiviert, weil ich kein Doppeltes NAT mehr haben wollte.....
NAT soll ja nur der Router vom Provider machen, und genau das ist aktuell mein Problem.

Von der OPNSense vom Webinterface aus kann ich ins Internet, egal ob mit oder ohne DNS.... alles pingbar & die OPNSense zieht auch schon brav ihre Updates.

Anfangs dachte ich, dass ich noch eine Statische Route auf der OPNSense machen muss, aber was soll ich da als Zielnetzwerk eingeben??

Zum testen hab ich dann NAT auf "manuell" gestellt, und probeweise folgende NAT Regel erstellt:

Schittstelle: WAN
Quelle: LAN Network
Protokoll: any
Port: any
Zielport & Zieladresse: any
Übersetzung/Ziel: Schnittstellenadresse

Und schon klappt das mit dem Internet.... aber genau das wollte ich ja eigentlich nicht.

Gibt es da keine andere Möglichkeit, das ohne NAT zu machen?
Falls ja wie ? =)

Bzw. müsste ich ja sonst für jedes VLAN auch so eine NAT Regel machen, wenn ich das richtig verstehe oder?
Und bei der Übersetzung/Ziel sollte man hier nicht WAN ADDRESS auswählen, anstelle von SCHNITTSTELLENADRESSE?

Steh da ehrlich gesagt gerade am Schlauch, weil es auch schon ne ganze Weile her ist, als ich die UTM mal eingerichtet habe...
Und das lief nun Jahrelang alles Top, aber nun seh ich den Wald vor lauter Bäumen nicht mehr.

Würde mich freuen, wenn ihr mir hier ein bisschen unter die Arme greifen könntet. bitte - danke =)

danke & LG
xenon

EDIT:
Was ich noch vergessen habe *sorry*
Bei der manuell erstellen NAT Regel... was ist denn da mit "statischer port" gemeint?
Das erschließt sich mir auch noch nicht so recht...

[meyergru]

Du hast im Wesentlichen zwei Optionen:

1. Entweder Du richtest auf der OpnSense Deinen ISP-Router mit dessen IP aus 10.0.0.0/24 als Default-Route ein - und richtest dort auch eine Route auf alle (V)LANs hinter Deiner OpnSense mit deren IP aus 10.0.0.0/24 als Gateway ein - wie soll sonst der ISP-Router wissen, wohin die Pakete in 192.168.x.y sollen? Dann muss allerdings der ISP-Router für alle (V)LAN-IPs auch NAT machen - oder:

2. Du machst eben NAT an Deiner OpnSense, so dass alle (V)LANs dahinter dem ISP-Router als die IP der OpnSense aus 10.0.0.0/24 erscheinen, diese Route ist ja bekannt. Das ist dann eben Doppel-NAT, das Du zu Recht nicht willst.

"Statischer Port" ist eine Spezialform von NAT, die z.T. für USP/SIP benötigt wird, damit die Antwortpakete auch zurückfinden.

Besser wäre es, die OpnSense selbst die Internet-Verbindung aufbauen zu lassen. Du erfährst gerade, wieso. Lies mal hier.

[xenon2008]

@meyergru

Danke für deine ausführliche Antwort.
Das ich auf das nicht selbst gedacht habe 

hab ja alles so gemacht wie du in Möglichkeit 1 geschrieben hast, aber ich hatte irgendwie den Rückweg vom Router des Provides retour nicht am Schirm...
Da A1 in Österreich aber statische Routen am Zyxel Modem gesperrt hat, fällt das eh schon mal flach.

Dann wird es vermutlich wieder wie vorher Möglichkeit 2 werden, indem die OPNSense wieder NATet...

Das die OPNSense die Verbindung aufbauen soll, werde ich mir noch durchlesen - danke dafür!
Ich kenn es eben bisweilen nur von der Sophus UTM, da hat das immer nicht richtig funktioniert - dann konnte man tlw. Seite nicht öffnen obwohl alles verbunden war usw.
Daher bin ich von der Option mit der UTM wieder weg, hin zum Doppelten NAT.

LG
Xenon