Testnetz parallel zum LAN

[cklahn]

Hallo Forum,
ich habe eine OPNsense mit dem WAN-Port an einem Draytek 165 und mache PPPoE. Das LAN-Netz lautet 10.0.10.0/24 und der physikalische LAN-Port hat die 10.0.10.1.

Ich möchte nun an einem weiteren physikalischen Port ein Testnetz bereitstellen. Das Testnetz soll z.B. 192.168.1.0/24 lauten und der Port soll die 192.168.1.254 bekommen.

Ich möchte nun aus meinem LAN-Netz auf ein am Testnetz-Port angeschlossenes Gerät mit der IP 192.168.1.1 zugreifen.

Ich habe für das Testnetz die gleiche Firewall-Rule aufgestellt wie sie standardmäßig beim LAN vorhanden ist. Also die Regel, daß alles nach draußen erlaubt ist.
Des weiteren habe ich das Testnetz noch in den Unbound-DNS eingetragen, damit die Auflösung auch im Testnetz klappt. Eine NAT-Regel für den Verkehr ins Internet gibt es auch.

Ich habe mal gelernt, daß die Netze standardmäßig alle aufeinander zugreifen können.

Nun kann ich aber aus meinem LAN nicht auf das Gerät im Testnetz zugreifen. Was fehlt denn noch?

Gruß
Christoph

[Baender]

Für mich hört es sich so an, als hättest du keine Regeln dem LAN hinzugefügt. Wenn mich meine Erinnerung nicht täuscht, dann ist im LAN im vanilla eingestellt, dass alles raus darf, was nicht RFC1918 ist. Sprich, alles ins Internet ja, aber anderes Subnet nein.

[Bob.Dig]

Ich habe mal gelernt, daß die Netze standardmäßig alle aufeinander zugreifen können.

Stell doch einen Screenshot aller LAN-Regeln hier ein, dann kann man dir vielleicht eher helfen.

[cklahn]

Hi,
hier die Regeln aus dem LAN und aus dem Testnetz:

[Bob.Dig]

Also an den Regeln liegt es schon mal nicht.

[cklahn]

Der Witz:
Aus dem Testnetz kann ich auf Geräte im LAN zugreifen. Andersrum (LAN auf Testnetz) nicht. Das Gerät im Testnetz ist eine Test-OPNsense, die mit
Dem LAN-Bein im Testnetz hängt. Den Port habe ich auf 4444 stehen. Ich schaue nochmal,
auf welches LAN das Webinterface hören darf. Vielleicht ist da noch das Problem...

[Bob.Dig]

Das ist ein schrottiger Test. Deine test-Sense wird einfach nicht wissen, wohin sie die Antworten senden soll. Teste nicht einen Router.

[cklahn]

Es ist nur der LAN-Anschluss im Testnetz angeschlossen. Wenn ich das GUI aufrufe, dann sollte es auch antworten. Ist doch egal, ob es ein Router ist oder nicht.

Mir gehts darum, daß ich OPNsense für Kunden vorbereiten kann und dieses aus meinem LAN. Das Testnetz wird dann immer auf das vorhandene Kundennetz eingestellt. So der Plan ... :-)

[Bob.Dig]

Mir gehts darum, daß ich OPNsense für Kunden vorbereiten kann und dieses aus meinem LAN.

Good Luck!  ;)

[Patrick M. Hausen]

Hast du auf deiner Regel auf LAN evtl. einen Gateway konfiguriert?

[cklahn]

Hi,
das steht in der LAN-Regel auf "Default". Das WebGui der Test-OPNsense lauscht auf "All".
Wenn ich ein Traceroute aus dem LAN-Netz zu einem Gerät aus dem Test-Netz mache, dann sehe ich noch die IP des Ports des LAN-Netzes und dann ein Timeout. Es wird also garnicht erst geroutet.

Wenn ich ein Traceroute vom Testnetz ins LAN-Netz mache, dann löst er komplett auf.

Hier noch ein Screenshot der Gateway-Einstellungen der LAN-Regel.

[Patrick M. Hausen]

Mach mal auf dem Testnetz NAT Outbound an. Source/Destination *, Interface address für NAT.

[cklahn]

Jo, das war's nun klappts. Vielen Dank.

Magst Du mir kurz erklären, wofür das gut ist :-).

Ich habe den Eintrag nochmal rangehängt. So meintest Du das doch, oder?

[Patrick M. Hausen]

Das brauchst du dann, wenn aus was für Gründen auch immer $host in deinem Testnetz nicht die 192.168.1.254 als Defaultgateway hat. Wie soll er dann den Weg zum LAN kennen.

Wenn du einen PC ins Testnetz stöpselst, kriegt er die Route wohl per DHCP. Aber deine Kunden-OPNsense ist auf LAN natürlich kein DHCP-Client.

[cklahn]

Jo, wenn man darüber nachdenkt, wird da ein Schuh draus :-). Vielen Dank für den entscheidenden Hinweis.

Gruß
Christoph