Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPT1 erreicht nicht die Hosts im LAN
« previous
next »
Print
Pages: [
1
]
Author
Topic: OPT1 erreicht nicht die Hosts im LAN (Read 1689 times)
robots2
Newbie
Posts: 3
Karma: 0
OPT1 erreicht nicht die Hosts im LAN
«
on:
April 16, 2022, 12:05:24 am »
Guten Abend Zusammen!
Ich habe meine OPNsense in einer Proxmox VE installiert für "lernzwecke". Mein Host hat leider nur 1 physikalischen Netzwerkadapter (eth0).
Folgende Netzwerkkonfiguration auf der OPNsense:
- eth0=>vmbr0 --> "LAN" 192.168.0.101/24
- vmbr1 --> "WAN" DHCP4
- vmbr2 --> "OPT1" 172.16.0.254/24
Mein Host mit der Proxmox VE und der installierten OPNsense hängt in meinem Heimnetzwerk. Der vmbr0/LAN ist im Adressbereich meines Heimnetzwerks, mein GW zum Internet ist die 192.168.0.1. Der Adapter vmbr1/WAN ist nicht belegt, da ich diesen Port ja physikalisch auch nicht besitze. vmbr2/OPT1 stellt mein virtuelles Netz innerhalb von Proxmox dar, um weitere Server-VMs zu installieren und sozusagen hinter die OPNsense zu schalten.
Mein Problem aktuell ist, dass ich von meinem ersten installiertem VM-Server mein GW (192.168.0.1) nicht erreiche und somit auch nicht das Internet. Ich habe die entsprechenden FW regeln erstellt (pass any any - auf OPT1 und LAN) jedoch bisher ohne erfolg.
Unter Interfaces-Diagnostics-Ping kann ich folgende richtungen Pingen:
Interface: LAN (192.168.0.101)
Host: 172.16.0.254 (OPT1) - erfolgreich
Host: 172.16.0.100 (VM-Server hinter OPT1) - erfolgreich
Host: 192.168.0.1 (GW) - erfolgreich
Interface: OPT1 (172.16.0.254)
Host: 192.168.0.1 (GW) - 100% PACKET LOSS
Host: 192.168.0.101 (LAN) - erfolgreich
Host: 172.16.0.100 (VM-Server) - erfolgreich
Ich verstehe aktuell nicht warum er mich nicht auf andere Host/GW im 192.168.0.0/24 Netz lässt. Hat vielleicht jemand eine Idee?
Logged
zerwes
Full Member
Posts: 125
Karma: 8
Re: OPT1 erreicht nicht die Hosts im LAN
«
Reply #1 on:
April 16, 2022, 05:45:26 am »
Hat den dein default GW (192.168.0.1) od. alternativ jedes einzelne andere Gerät im 192.168.0.0/24 Netz denn eine Route zu dem 172.16.0.0/24 Netz via 192.168.0.101 (opnsense)?
Wenn nicht, haben die ja auch keine Idee wie sie denn das Netz für einen icmp echo reply erreichen sollen ...
Logged
zerwes
Full Member
Posts: 125
Karma: 8
Re: OPT1 erreicht nicht die Hosts im LAN
«
Reply #2 on:
April 16, 2022, 09:26:21 am »
... und sobald das routing dann korrekt konfiguriert ist, müssen allow Regeln in der Firewall auf den entsprechenden Interfaces den Zugriff erlauben ...
Logged
robots2
Newbie
Posts: 3
Karma: 0
Re: OPT1 erreicht nicht die Hosts im LAN
«
Reply #3 on:
April 16, 2022, 10:01:51 am »
Danke zerwes für den Hinweis, ich dachte OPNsense übernimmt automatisch das routing von einem Netz in das andere. Ich habe jetzt bzgl. des routings einen OpenWrt (VirtuellenRouter) installiert. Im Endeffekt habe ich jetzt innerhalb meines Proxmox VE die OPNsense durch diesen Router ersetzt, sprich:
WAN vom Router ist mein LAN(eth0-physikalisch)
LAN vom Router ist mein VirtuellesLAN(vmbr1)
Die WAN Seite hat jetzt auch von meinem Heimrouter per DHCP eine IP bekommen (192.168.0.X/24). Die LAN Seite vom Router habe ich mit 172.16.0.254/24 vergeben. Meine Server-VM hat die 172.16.0.102/24 und greift auf den VirtuellenSwitch (vmbr1) zu.
Mit OpenWrt musste ich keine weiteren Einstellungen vornehmen und mein VM-Server kann z.B.
www.google.de
pingen! Womöglich muss ich der OPNsense auch sagen das er die WAN Schnittstelle als GW zum Internet hat, und kann das ganze nicht "faken" über LAN-OPT1.
Long Story short:
Habe die selbe Schnittstellenkonfiguration anstatt mit OPNsense mit OpenWrt durchgeführt und das Routing funktioniert innerhalb meiner VMs zum Internet.
Eventuell muss ich tatsächlich meiner OPNsense sagen das WAN=WAN ist, teste das die Tage.
Logged
robots2
Newbie
Posts: 3
Karma: 0
Re: OPT1 erreicht nicht die Hosts im LAN
«
Reply #4 on:
April 16, 2022, 10:19:39 am »
Ich habe es nochmal versucht mit einem Bild zu verdeutlichen:
https://ibb.co/LYrXgSV
Logged
zerwes
Full Member
Posts: 125
Karma: 8
Re: OPT1 erreicht nicht die Hosts im LAN
«
Reply #5 on:
April 16, 2022, 10:30:07 am »
WAN=WAN ist ein guter Ansatz :-)
De facto kannst du über jedes Interface die default route setzen. (Stichwort Upstream Gateway).
Vermutlich NATed dein openwrt sogar deine Verbindungen aus einem isn andere Netz ...
De facto kochen alle nur mit Wasser. Und für alle Anbieter hast du die gleichen Grundeinstellungen:
* routing
* fw Regeln (bei einigen ist der default allow, bei anderen wiederum deny/block/drop)
* u.U. kommt noch NAT hinzu. NAT benötigst du immer aus einem privaten Netz (
https://en.wikipedia.org/wiki/Private_network#Private_IPv4_addresses
) ins INET hinaus. Innerhalb eine Netzes sollte man es eigentlich durch routing ersetzen. (einzelne Ausnahmen kann es auch da berechtigter Weise geben)
Routing bedeutet grob "die Bekanntmachung eines Weges von A nach B"
Wenn du die Netzwerke 192.168.0.0/24 und 172.16.0.0/24 miteinander verbinden willst, müssen zumindest die default gateways in jedem Netz einen Weg in das andere kennen. Die opnsense kennt das per default, wenn sie in beiden Netzen zu Hause ist (wie in deine Setup) aber das Netz 192.168.0.0/24 hat davon keine Ahnung. (hier verschleiert dir der opnwrt durch das NAT nur die fehlende Route).
Experimentiere einfach weiter und versuch dir dabei die Grundlagen der Netzwerktechnik beizubringen. Ist alles kein Hexenwerk.
PS: du kannst auch auf den proxmox bridges mittels tcpdump lauschen und herausfinden ob der opnwrt NATed oder nur routed ...
Viel Spaß noch ...
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OPT1 erreicht nicht die Hosts im LAN