Anfänger: Wie füge ich OPNSense in ein existierendes Netzwerk ein?

Started by tkhobbes, December 31, 2024, 05:13:37 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 31, 2024, 05:13:37 PM
Hi alle, ich bin sicher dass ich etwas ganz grundlegendes nicht verstanden habe.
Ich versuche, eine dedicated kleine Box mit OPNSense in mein existierendes Netz einzufügen. Ich habe leider nur teilweise Erfolg, da Geräte im existierenden Netz danach nicht erreichbar sind.

Existierendes Netzwerk:
  • Router (Kabelmodem) 192.168.0.1, vergibt IP Adressen 192.168.0.100-240
  • Managed Switch im Keller (von Unify), daran hängen mehrere andere Switches welche aber für die Diskussion irrelevant sind.
  • Am Managed Switch im Keller hängt ein Raspi mit pihole 192.168.0.3, sowie ein kleines Homelab 192.168.0.41 und zwei NAS 192.168.0.11 und 192.168.0.12

Läuft alles ok.

Ich möchte nun die OPNSense Box zwischen Router und Managed Switch hängen.
Ich habe die OPNSense Box mit einer statischen IP 192.168.0.2 versehen auf dem WAN-Interface, sowie 192.168.10.1 auf dem LAN-Interface. Am LAN-Interface ist ausserdem ein DCHP-Server konfiguriert (192.168.10.100-240).

Ich hänge also OPNSense an, und restarte den Managed Switch.
Dieser erhält brav eine IP von OPNSense - 192.168.10.115 zum Beispiel. Hänge ich danach meinen Laptop an den Managed Switch, erhält er wiederum eine IP von OPNSense - 192.168.10.103 zum Beispiel.
Ich kann vom Laptop aus auf das OPNSense Webinterface unter https://192.168.10.1 zugreifen, sowie auch auf das Webinterface vom Router http://192.168.0.1. Ich kann ebenfalls öffentlich IP-Adressen - zum Beispiel diejenige von google.ch pingen (142.250.203.99)

Jedoch sind weder der pihole noch das Homelab noch die NAS erreichbar - weder per Ping noch per Webinterface.
Ich verstehe nicht, wie das sein kann, zumal ja der Router erreichbar ist.
Ich habe sicherheitshalber eine Firewall-Rule für den LAN Port (inbound) angelegt, welche sämtlichen IPv4 Traffic von allen Quellen auf alle Destinationen für alle Ports freigibt. Hat nichts genutzt.

Wo ist mein Denkfehler?

Code Select

      WAN / Internet
            :
            : Kabel-Provider
            :
      .-----+-------.
      |  Kabelmodem |  intern: 192.168.0.1
      '-----+-------'
            |
        WAN |
            |
      .-----+------. WAN: 192.168.0.2 (fix)
      |  OPNsense  +
      '-----+------' LAN: 192.168.10.1
            |
        LAN | 192.168.10.1/24
            |
      .-----+----------.
      | Managed Switch | IP via DHCP
      '-----+----------'
            |
    +-------+----------------+---------------------------+
    |                        |                           |
 .--+-----. IP via        .--+-----. fixe IP         .---+-----. fixe IP
 | Laptop | DHCP          | pihole | 192.168.0.3     | Homelab | 192.168.0.41
 '--------'               '--------'                 '---------'
December 31, 2024, 05:26:28 PM #1
Quote from: tkhobbes on December 31, 2024, 05:13:37 PMJedoch sind weder der pihole noch das Homelab noch die NAS erreichbar - weder per Ping noch per Webinterface.
Hast du die Geräte neu gestartet bzw. die DHCP IP neu gezogen?

Ohne dem behalten die Geräte ihre IP aus dem alten Netz mit der Gateway-Konfiguration. Das Gateway war da der Kabelrouter, der ist jetzt allerdings jenseits der OPNsense und damit nicht mehr direkt erreichbar.

Du hast ja nun ein anderes LAN Subnetz und die Geräte müssen dieses erst mal übernehmen. Am einfachsten geht das durch neu starten. Dann beziehen sie vom DHCP die neue IP und das Standardgateway.
December 31, 2024, 05:59:14 PM #2
Ah - sowohl pihole wie auch Homelab haben fixe IPs.
Ich will eigentlich die IP Adressen beider Geräte nicht ändern - dh auf 192.168.0.3 bzw .41 belassen - also nicht ins 192.168.10 Subnetz, sondern im 192.168.0 Subnetz belassen....
Ist das nicht möglich?
(Das Kabelmodem ist ja auch im 192.168.0 Subnetz, und es IST weiterhin erreichbar...?)
December 31, 2024, 06:06:39 PM #3
Dann musst du das LAN deiner OPNsense auf 192.168.0.x ändern, z.B. 192.168.0.1/24. Alle Geräte, die miteinander kommunizieren sollen, müssen im selben Netz sein.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 31, 2024, 06:29:05 PM #4
Quote from: tkhobbes on December 31, 2024, 05:59:14 PMDas Kabelmodem ist ja auch im 192.168.0 Subnetz, und es IST weiterhin erreichbar...?
Das Subnetz müsstest du dann ebenfalls ändern.

Du kannst nicht auf beiden Seiten der OPNsense dasselbe Subnetz haben, ausgenommen du würdest die die Interface bridgen. Da wäre ein Routing unmöglich.

Der übliche Weg, einen zusätzlichen Router zwischen Internetrouter und LANs zu integrieren, ist eh, das LAN Subnetz auf den neuen Router zu übernehmen und das LAN des Upstream-Routers, das dann lediglich als Transitnetz dient, zu ändern. Aber du hattest ja damit begonnen, dein LAN zu ändern. Falls alle Geräte im LAN die IP vom DHCP beziehen, wäre das auch kein großes Unterfangen.
December 31, 2024, 06:36:56 PM #5
Ok ich fasse zusammen:

Ich kann vom Laptop - der jetzt im 192.168.10 Subnetz ist - das Kabelmodem/den Router auch 192.168.0.1 weiterhin erreichen weil er das Upstream Gateway der OPNsense Box ist? Habe da in einem Artikel was aufgeschnappt...?
Ich kann alle anderen Geräte im .0 Subnetz nicht erreichen. Kann ich da temporär ein NAT Forwarding einrichten? Oder ist die Empfehlung, auf alle statischen IPs zu verzichten bis die Umstellung komplett ist?
(Übrigens ist dies nur der erste Teil der Umstellung - getrennte VLANS folgen).

Mein Problem ist im Prinzip nur, wie ich einige existierende Geräte migriere, ohne komplett die Verbindung zu verbauen - einige davon sind schwer zugänglich und ich möchte lokale Anmeldungen zb am Raspi vermeiden, dh einer möglichen Verkonfigurierung / einem möglichen Aussperren entgegenwirken...
December 31, 2024, 06:39:39 PM #6
Die Frage ist natürlich, wie ich die neue IP Adresse vom pihole / homelab rausfinde, wenn ich die auf dhcp umstelle...? pihole ist ja der DNS Server...
December 31, 2024, 06:42:14 PM #7
Lass sie doch statisch aber ändere sie so, dass das Netwerk passt.

Ansonsten - bei DHCP - findest du alle Geräte im OPNsense UI unter Services > ISC DHCPv4 > Leases.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 31, 2024, 06:45:19 PM #8
Wenn auf LAN und WAN dasselbe Subnetz konfiguriert ist, ist zwischen den beiden Interfaces kein Routing möglich. Da hilft NAT auch nicht weiter.

Ist es nicht möglich, das LAN des Kabelmodems zu ändern?
December 31, 2024, 07:50:59 PM #9
Ich konfiguriere verschiedene Subnetze für WAN und LAN Seite. Ist mir zu kompliziert sonst.
Ich werde mal versuchen, das Netz der Geräte zu ändern - mir ist eingefallen, dass ich am Router noch unbenutzte Netzwerkanschlüsse habe, damit sollte das eigentlich mit ein bisschen hin- und her-stecken klappen.

Danke für die Tipps!
January 01, 2025, 12:48:41 PM #10
Das einfachste wäre, dass Dein Router z.B. die 192.168.2.1 bekommt, das WAN-Interface der OPNsense die 192.168.2.2 und das LAN-Interface der OPNsense bekommt dann die 192.168.0.1, welche vorher Dein Router hatte. Dann läuft das. Ggfs. noch ein Gateway in der OPNsense setzen. Deinen DHCP-Server stellst Du dann wieder auf das 192.168.0.0-Netz.
Print
Go Up Pages1
User actions