Zugriff von LAN ins Internet bei opnsense HINTER FritzBox

Started by MartinMV, April 28, 2018, 12:51:23 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
May 12, 2018, 10:57:36 PM #15 Last Edit: May 12, 2018, 11:02:41 PM by NicholasRush
Quote from: JasMan on May 12, 2018, 02:41:59 PM
Den Wunsch möglichst wenig Arbeit bei einem Routertausch zu haben kann ich nachvollziehen.
Und die Schmerzen beim Wunsch das Fritten-WLAN zu nutzen auch.  :D

Ersteres bekomme ich aber auch im OPNsense Routingbetrieb hin. Wenn ich die neue Fritte oder was auch immer eh anpassen muss um z.B. den exposed Host einzurichten, kann ich auch noch schnell ne Rückroute für das LAN Subnetz hinter der Sense einrichten.
Falls mein Kunde oder wer auch immer die Subnetze der Sense-LANs ständig ändert und/oder erweitert, kann man auch eine komplette Netz-Klasse als Rückroute (z.B. 10.0.0.0/8) auf der Fritte einrichten. Dann spart man sich das nachträgliche Anpassen und Erweitern der Routen.

Letztlich führen aber beide Varianten zum Ziel. Ich versuche jedoch NAT zu vermeiden wo es geht. Es ist und bleibt eine Krücke, und bietet im LAN keinerlei Mehrwert an Sicherheit. Die Fritte zeigt in ihrer SmartHome Übersicht auch nur die Sense an, da alle anderen Clients hinter der Sense bis auf deren IP für sie nicht sichtbar sind.

Ob du nun NAT machst oder nicht spielt z B. Performance-technisch nur noch eine untergeordnete Rolle, da bei OPNsense ohnehin egal ob Firewall oder NAT alles durch den PF Prozess, bzw. durch dessen Kernel Module muss, also letztendlich durch die CPU. Sicherheitstechnisch gesehen hat Source-NAT zwar "theoretisch" keine Vorteile, aber um einheitliche Portforwarding Regeln (Destination-NAT) zu erstellen und möglichst wenig bis gar keine Arbeit bei einem Routertausch zu haben, empfiehlt es sich NAT auf der Sense eingeschaltet zu lassen. Da du ansonsten Portfreigaben alle in der FritzBox machen musst und in der OPNsense Firewall für den jeweiligen Host den Port freischalten. Warum deine FritzBox auch so die Geräte hinter OPNsense nicht anzeigt liegt daran, das die FritzBox die Netzwerkgeräte alle anhand der MAC Adresse identifiziert (ARP Tabelle IPv4, NDP IPv6).

Das kann sie bei Geräten hinter einem Nachgelagerten Router natürlich auf die Weise nicht. Ein Datenpaket welches aus deinem Lokalen Netzwerk über eine Routergrenze hinweg soll, trägt immer im Layer 2 die Zielmac-Adresse deines Routers im Netzwerk. Schaltest du jetzt also z.B. in deiner aktuellen Konfiguration auf der FritzBox die Kindersicherung ein, und sperrst z. B. einen HOST im Nachgelagerten Netzwerk den Internetzugang, haben Automatisch alle Geräte die an der OPNsense hängen keinen Internetzugang mehr.

Probier es mal aus. Falls dich das interessiert.

Gruß
NR
Print
Go Up Pages 1 2
User actions