Hilfe bei Opensense

Started by opensenser, February 20, 2026, 04:45:25 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 20, 2026, 04:45:25 PM
Hallo zusammen,

ich betreibe eine OPNsense-Firewall als virtuelle Maschine auf einem Proxmox VE-Host.

Die zugrunde liegende Hardware verfügt über fünf physische Ethernet-Ports, sodass eine physische Trennung der Netzsegmente möglich ist. In Proxmox habe ich zwei Netzwerk-Bridges (LinuxBridge) konfiguriert:

vmbr0 → WAN

vmbr1 → LAN

Ziel ist es, innerhalb eines bestehenden (Schul-)Netzwerks ein separates, eigenes Netzwerksegment über OPNsense zu betreiben.

Die OPNsense Installation in der VM verlief erfolgreich, ebenso die Zuweisung der Interfaces (WAN und LAN). Kurz nach der Inbetriebnahme wurde jedoch der Internetzugang seitens der zentralen IT unterbunden.

Laut Rückmeldung der Schul-IT wurde an einem Switch-Port ein DHCP-Server erkannt, woraufhin der Port automatisch gesperrt wurde. Offenbar wurde dies durch meine Installation ausgelöst.

Wichtig:

Auf dem WAN-Interface ist kein DHCP-Server aktiviert, nur das OPNsense eine IP via DHCP bekommt.

Hat jemand Erfahrung mit einem ähnlichen Setup (OPNsense hinter einem bestehenden, administrierten Netzwerk mit Port-Security/DHCP-Snooping)?
Welche typischen Konfigurationsfehler könnten dazu führen, dass ein DHCP-Server im Upstream-Netz erkannt wird, obwohl WAN korrekt konfiguriert ist?

Vielen Dank im Voraus für eure Unterstützung.

Viele Grüße
Opensenser
February 20, 2026, 05:07:26 PM #1
Hallo,

Quote from: opensenser on February 20, 2026, 04:45:25 PMIn Proxmox habe ich zwei Netzwerk-Bridges (LinuxBridge) konfiguriert:

vmbr0 → WAN

vmbr1 → LAN
und beide Bridges sind mit dem physischen Netz verbunden?
Das sollte man vermeiden. Und wenn, müsste es entsprechend konfiguriert werden, aber DHCP ginge da wohl nicht.

Quote from: opensenser on February 20, 2026, 04:45:25 PMZiel ist es, innerhalb eines bestehenden (Schul-)Netzwerks ein separates, eigenes Netzwerksegment über OPNsense zu betreiben.
Ein isoliertes Netzwerk auf Proxmox oder soll das ebenfalls im physischen Netz bereit stehen?
February 20, 2026, 06:09:26 PM #2
Ich habe dunkel in Errinnerung das die Opensens auf dem Internen Interface = LAN einen DHCP bereitstellt. Wenn der in eurem SchulInternet sichtbar ist stimmt was mit deiner Promox Konfig nicht.
February 20, 2026, 08:09:24 PM #3
Schließe mich den Vorrednern an,

allerdings wissen wir zu wenig über Eure Struktur, um konkrete Fehleranalysen machen zu können.

Eine weitere Möglichkeit ist es, dasss Du die beiden Interfaces vertauscht hast...sei es physikalisch oder über die Schnittstellenzuordnung.

Habt ihr denn überhaupt ein getrenntes LAN? Oder ist das alles ein flaches Netz, auch über die externe Anbindung hinaus? Wer stellt denn aktuell den DHCP-Server?

Fragen über Fragen, ohne DEtails läßt sich da nicht viel helfen.

/KNEBB
February 21, 2026, 12:50:16 PM #4
Hallo, also die verschieden Bridges sind physisch getrennt.
Siehe Bild in Proxmox.
Zum Verständnis,Proxmox ist auf einem HP Proliant dl360 gen9 Server installiert.


Der Proxmox-Host ist mit 4 physischen Netzwerkkarten ausgestattet.
Die Netzwerkkarte eno1 ist dem Schulnetzwerk zugeordnet und als Linux-Bridge vmbr0 konfiguriert.
Das WAN-Interface der OPNsense-VM ist mit vmbr0 verbunden und erhält seine IP-Adresse per DHCP vom Schulnetz (IServ).

Die zweite Netzwerkkarte eno2 ist als Linux-Bridge vmbr1 konfiguriert.
Das LAN-Interface der OPNsense-VM ist mit vmbr1 verbunden.
OPNsense stellt hier ein eigenes internes Netzwerk bereit und betreibt den DHCP-Server ausschließlich auf dem LAN-Interface.
Die dritte Netzwerkkatze eno3 ist nur für Management( PC zu Server) und ist mit vmbr2 konfiguriert.

Hier eine Übersicht:
 Schulnetzwerk (IServ DHCP)
        │
        ▼
      eno1
        │
        ▼
     vmbr0  (WAN-Bridge in Proxmox)
        │
        ▼
   ┌────────────────┐
   │  OPNsense VM   │
   │                │
   │  WAN  → vmbr0  │  ← bekommt IP via DHCP vom Schulnetz
   │  LAN  → vmbr1  │  <- Hier läuft DHCP-Server
   └────────────────┘
        ▲
        │
     vmbr1  (LAN-Bridge in Proxmox für Intranet Dienste)
        │
        ▼
      eno2 wird mit Switch verbunden (unmanaged Switch)
        │
        ▼
   Internes Netzwerk
    (Clients)

Ich habe auch nach der Installation in OPNsense nichts weiter eingestellt. Nach der Installation hat es funktioniert und OPNsense hat eine IP vom Schulnetz bekommen. Dann ich habe das Setup gemacht in der WebUI und es lief, doch dann Sperrung. Könnte es sein,dass Irgendwelche Dienste Automatisch nach dem Setup aktiviert werden,die dazu führen?

Viele Grüße Opensenser
February 21, 2026, 04:16:19 PM #5
Hast Du eventuell vergessen, ein Outbound NAT auf der OpnSense zu machen? Wenn Du das nämlich nur als geroutetes Netz machst, "sieht" Eure interne IT die IPs von vmbr2 und vmbr1. Da reagieren die natürlich allergisch, wenn Quell-IPs auftauchen, die sie nicht verwalten. Da muss nur ein Client eine IP ansprechen, die nicht in ihrem Netz liegt, dann geht das über das Default-Gateway (die OpnSense) an deren Default-Gateway (interne IT) raus.

Richtest Du Outbound NAT ein, passiert das nicht. Das Maximum, was noch leakt, sind dann Ziel-IPs im RFC1918-Bereich. Das kann man durch Null-Routes verhindern: https://forum.opnsense.org/index.php?msg=258980
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Print
Go Up Pages1
User actions