Mit OPNSense verschiedene Subnetzbereiche routen (Anfänger)?

[Frank13]

Ich hatte explizit nach der folgenden Möglichkeit gefragt:

Ich habe ein physikalisches Netz mit Geräte in 2 verschiedenen Subnetzbereichen (A: 192.168.178x, B: 172.16.2.x). Gibt es eine einfache Möglichkeit, OPNSense (zum ersten Test installiert in einer virtuellen Umgebung) so zu konfigurieren, dass ich mit einem Gerät aus Bereich A auf ein Gerät in Bereich B zugreifen kann?

Wenn hier allerdings solche grundlegenden Fragen zu OPNSense unerwünscht sind, werde ich das respektieren.

[chemlud]

Das hat nichts mit sense zu tun. Natürlich kannst du an jedem Router (ausser Fritte?) mehrere LAN-Interfaces betreiben und auch den Traffic zwischen den LANs beliebig über FW-Regeln steuern. Mit nur einem LAN-Interface: VLANs, wie erklärt.

Sauberere und für den Anfang einfachere Lösung: 2 LAN Interfaces. Eine Steckkarte mit 2-4 RJ45 von Intel kostet nicht die Welt. Oder halt, wie gesagt, die sense mit nur einem Interface hinter die Fritte, gibt auch in total 2 getrennte LANs. Traffic aus dem WAN der sense (= zweites LAN in dieser Konfiguration) kann  einen Haken extra brauchen, dazu gibt's viele, viele Threads im Forum. Einfach rumlesen, ausprobieren und wenn es konkrete Probleme gibt konkret fragen.

Wenn du dir viel Ärger am Anfang ersparen willst: Echte Hardware, kein virtuelles Maschinchen.

[Patrick M. Hausen]

Weshalb nicht den Kindern das Gästenetz der Fritzbox geben?

[Frank13]

Damit sie auch an den internen Server für die Hörspiele kommen - da hätte ich die Gäste ungern drin.

[chemlud]

Ein Raspi mit einer externen Festplatte als NAS reicht da nicht im Gästenetz?

[Frank13]

Das ganze Netzwerk ist etwas komplexer als hier dargestellt - ich hatte versucht, das Problem auf einen möglichst einfachen Teilaspekt zu reduzieren. Und da fehlte mir im Moment halt einfach die beschriebene Zugriffsmöglichkeit.
Ich werde das Ganze aber nach den aktuellen Erfahrungen innerhalb der nächsten 2-3 Jahre wahrscheinlich komplett einmal neu aufbauen. Solange kann ich auch mit den "Problemen" leben. Vorher geht das auf Grund von aktuellen Zeitengpässen einfach nicht.

[Patrick M. Hausen]

Trennung geht halt nur durch Trennung - also was auch immer die Firewall wird muss zwischen die einzelnen Teilbereiche. Schon kabelseitig.

[micneu]

Ich hatte explizit nach der folgenden Möglichkeit gefragt:

Ich habe ein physikalisches Netz mit Geräte in 2 verschiedenen Subnetzbereichen (A: 192.168.178x, B: 172.16.2.x). Gibt es eine einfache Möglichkeit, OPNSense (zum ersten Test installiert in einer virtuellen Umgebung) so zu konfigurieren, dass ich mit einem Gerät aus Bereich A auf ein Gerät in Bereich B zugreifen kann?

Wenn hier allerdings solche grundlegenden Fragen zu OPNSense unerwünscht sind, werde ich das respektieren.

Bau dir doch ein virtuelles Netzwerk in virtualbox (keine Ahnung ob das geht, ich habe es bei mir unter proxmox & parallels laufen) so kannst du ohne stress und kosten deine Kenntnisse erweitern und lernen wie du es dann in 2 Jahren richtig umsetzen kannst


Gesendet von iPhone mit Tapatalk Pro

[Patrick M. Hausen]

Bau dir doch ein virtuelles Netzwerk in virtualbox (keine Ahnung ob das geht, ich habe es bei mir unter proxmox & parallels laufen) so kannst du ohne stress und kosten deine Kenntnisse erweitern und lernen wie du es dann in 2 Jahren richtig umsetzen kannst.

Und wie packt er dann die Virtualbox OPNsense zwischen seine beiden Netzwerkbereiche?

Abgesehen davon geht das natürlich mit einem einfachen "vagrant up": https://github.com/punktDe/vagrant-opnsense

Aber nochmal an den Frank gerichtet:

Ich verstehe das mit den Teenagern vom Ansatz her schon, kann aber deine Begründung nicht ganz nachvollziehen. Also wenn man z.B. einen Jugendschutzfilter oder so etwas für die Kids implementieren möchte - klar. Aber weshalb machst du dir Sorgen um den Switch? Pack auf deine Geräte doch einfach ordentliche zufällig gewürfelte Passwörter, diese in einen Passwort-Manager, und fertig.

Übersehe ich was oder hast du uns nicht alles erzählt? 

[Frank13]

Das nicht alles erzählt ist eigentlich nur, dass ich mein (gewachsenes und mittlerweile chaotisches Netzwerk) erstmal in diverse IP-Bereiche aufteilen wollte (ziemlich viel IoT-Bastelkram) und dann in 1-2 Jahren das Ganze sauber neu aufsetzen wollte. Daher erstmal diese "IP-Sortiererei"...
Der Switch war halt das Erste, in ein anderen IP-Bereich wegsortiert habe. Und da dachte ich halt an eine einfache Möglichkeit, um auf von meinem Hauptrechner aus zugreifen zu können.

[cadzen]

...
 ich möchte den erstmal nur wegen "kreativen Teenagern" aus deren Blickfeld (Netzwerkumgebung) wegsortieren.
...

Ich wäre übrigens froh, wenn sich die Teenager im Haus fürs Netz interessieren würden. So eine kleine interne Hacking Challenge macht sicher nicht dümmer.