[Gelöst, Fremdproblem!] Kommunikation zwischen 2 Subnetzen

[bbm1995]

Guten Abend miteinander!

Zuerst mal die Vorgeschichte:
Ich habe eine einzige Maschine die ich als eierlegende Wollmilchsau und aus Platzgründen eine kleinere für jemand anderen benutze, um den Modem/Router/Switch vom ISP zu ersetzen. Der Einsatzort ist natürlich das eigene Heim und soll nur vor Gefahren von aussen schützen, (noch) nicht von innen.
Nach langem Suchen und Zurücksetzen der Firewall habe ich es hingekriegt, dass ich eine IPv4 Adresse von meinem ISP erhalte über VLAN 10 und an die Interfaces weitergebe; die gewünschten LAN Ports als Bridge verbunden; OpenVPN Tunnel erstellt und erfolgreich verbunden UND cron jobs funktionieren.

Anbei drei Bilder von meiner Einstellungen (wäre zu gross in diesem Post):
Netzwerktopologie, Firewall Regel (für alle LAN Interfaces), Schnittstellenüberblick

Nun die Frage:
Ich möchte eine Verbindung zwischen den Geräten im Subnetz 10.10.1.0/24, 10.10.2.0/24, 10.10.3.0/24 und im besten Fall auch über OpenVPN aufbauen, so dass alle Geräte miteinander kommunizieren können, egal welcher Port. Alle Interfaces haben bereits eine "Allow LAN IP... to any Rule" Firewallregel.

Wie kriege ich das hin möglichst ohne neue Interfaces oder Bridges zu erstellen? Zum Beispiel werden Verbindungen von 10.10.1.5 > 10.10.3.56 von der Firewall zugelassen, aber die beiden Geräte verbinden sich nicht miteinander...

Ich habe über Gateways und Routen gelesen, aber leider hatten die Lösungswege überhaupt nichts mit meinem Problem zu tun (Defekte Kabel, falsche Firewallregeln, separate Geräte, unklare Fragestellungen und fehlende Lösungen.

Leider bin ich ein kompletter Netzwerklaie und bei mir ist learning-by-doing effektiver als Bücher über Firmennetzwerke zu lesen, die überhaupt keine einfachen Heimnetze thematisieren... (Ich sehe dich an, Practical-OPNsense)

MfG
BBM

EDIT [Gelöst]: Der Fehler liegt an dem WLAN AP von TP-Link TL-WR902AC, Pings und Verbindungen funktionieren völlig normal über verschiedene Subnetze!

[Gauss23]

Wozu nutzt Du in diesem Szenario Bridges?

Ist Deine restliche Netzwerkinfrastruktur VLAN fähig oder wie separierst Du die Netze?

habe ich es hingekriegt, dass ich eine IPv4 Adresse von meinem ISP erhalte über VLAN 10 und an die Interfaces weitergebe

Was soll das bedeuten? An was für Interfaces gibst Du Deine WAN IP(v4) weiter?

Ein richtiger Netzwerkplan wäre hilfreich.

[bbm1995]

Wozu nutzt Du in diesem Szenario Bridges?

Derzeit um mir ein externes Gerät (Switch) zu sparen und DHCP drauf laufen zu lassen für Geräte die ich mal ein/ausstecke. Also im Grunde genommen dass alle Geräte auf dieser Bridge miteinander kommunizieren können.

Ist Deine restliche Netzwerkinfrastruktur VLAN fähig oder wie separierst Du die Netze?

Ich gehe davon aus dass das problemlos funktioniert auf allen Ports. Wie ich das testen könnte wüsste ich momentan noch nicht.
Ansonsten weiss ich nicht was du damit meinst, wie ich meine Netze separiere. Ich dachte mein Bild mit der Netzwerktopologie würde das aufklären.

Was soll das bedeuten? An was für Interfaces gibst Du Deine WAN IP(v4) weiter?

Mein ISP (Schweiz, Sunrise) stellt mir das Internet nicht direkt über die WAN Schnittstelle ohne Konfiguration zur Verfügung (Leitung ist möglicherweise gemietet von Swisscom), ich muss auf meinem WAN Interface eine VLAN Schnittstelle mit ID/Tag 10 laufen lassen und erst dann erhalte ich über DHCP eine IP Adresse von Sunrise.

Hoffentlich ist dieser Netzwerkplan einfacher, sonst bräuchte ich ein Darstellungsbeispiel.

Code: [Select]

      WAN / Internet
            :           Glasfaser
            :
     Medienkonverter
            |           Kupfer RJ45
            |
      .-----+------.
      |  OPNsense  |
      |  igb0 WAN  |
      '-----+------'
            |           VLAN Schnittstelle
      .-----+------.
      |  OPNsense  |
      |   VLAN 10  |    Erhalte hier Internet IP Adresse
      '-----+------'
            |           
            |
            |
      .-----+-------------------------------------------------------------------------------.
      |                                        OPNsense                                     |
      '-----+------------------------+------------------------+------------------------+----'
            |                        |                        |                        |
            |                        |                        |                        |
            |                        |                        |                        |
      .-----+------.           .-----+------.                 |                  .-----+------.
      | Bridge left|           |Bridge right|                 |                  |  OpenVPN   |
      '-----+------'           '-----+------'                 |                  '-----+------'
            |                        |                        |
            |                        |                        |
            |                        |                        |
      .-----+------.           .-----+------.           .-----+------.
      |  LAN 1-4   |           |  LAN 5-8   |           | LAN hinten |
      |   igb6-9   |           |   igb2-5   |           |   igb1     |
      '-----+------'           '-----+------'           |Service Port|
            |                        |                  '-----+------'
            |                        |                        |
            | 10.10.2.1/24           | 10.10.3.1/24           | 10.10.1.1/24
            |                        |                        |
            |                        |                        |
    ...-----+------...       ...-----+------...       ...-----+------... (Clients/Servers)


Habe neue Informationen:
Die Verbindung von einem Subnetz zum anderen funktioniert merkwürdigerweise (getestet mit RDP Verbindung von 10.10.1.5 zu 10.10.3.56), aber Windows CMD PING Befehl von 10.10.1.5 zu 10.10.3.56 meldet mir "Zeitüberschreitung der Anforderung". Woran kann das liegen?

[micneu]

das mit dem ping liegt an windows, da kommt dir die windows firewall in die quere.
zum testen nimm lieber einen linux client

[Gauss23]

Sorry, habe in Deinem Eingangspost die ersten beiden Links zu den Bildern nicht wahrgenommen und nur das letzte Bild mit den Netzwerkzuweisungen in OPNsense gesehen. Der Plan war schon gut wie er war .

Ich denke auch, dass es an der Windows Firewall liegt. Entweder deaktivieren (nur zu Testzwecken) oder einen Linux Client zum Testen nehmen.

[bbm1995]

Höchst interessant, ich habe eine Raspberry Pi an den Subnetz 10.10.2.1/24 angeschlossen und der Ping über Windows funktioniert mit und ohne Windows Firewall. Ich vermute mal dass mein WLAN AP (eine TP-Link TL-WR902AC) mir irgendwie die Ping Verbindungen zu den Clients blockiert. Leider kann ich im AP Modus vom WLAN auch kein Remote Management vornehmen, bei anderen Modis schon... Werde wohl OpenWRT drauf installieren.

In dem Fall ist die Firewall nicht schuld und der Thread ist somit gelöst.

Vielen Dank euch allen für eure Vorschläge!