OPT als LAN Port nutzen

[greeno]

hi zusammen,

wie kann man den OPT1 Port als zusätzlichen LAN Port nutzen damit man diesen als "Switch Port" nutzen kann?
geht das überhaupt?

thanks

[evildevil]

Hi,

das sollte gehen, indem du LAN + OPT als Bridge definierst nehme ich an.

Gruß,
Patrick

[micneu]

ich gebe evildevil recht, erstelle eine bridge.

[greeno]

ok danke...

also die brigde habe ich mit beiden Interfaces erstellt die nennt sich nun bridge0... aber das wars ?!?!?!?

[rantwolf]

Du mußt noch zwei Sachen in den Tunables einstellen.
BSD filtert sonst den Traffic auf Schnitstellen.
Du willst ja auf der Brücke filtern....

Code Select Expand

net.link.bridge.pfil_member > 0
net.link.bridge.pfil_bridge > 1

[chemlud]

Ich habe es schon mehrfach geschrieben: Ein Port an der Firewall ist viel zu wertvoll, als dass man ihn so benutzen sollte. Spätestens in einem halben Jahr möchtest du ein weiteres Netz für Kinder/Gäste/Arbeitsrechner/Windows/Devices, die sich in aller Welt schon mal mit WLANs verbunden haben und dann ist dein schönes OPT Interface mit LAN zugemüllt.

Ein 5er Switch kostet 10 Euro oder so und kann das was du suchst OOTB, kein Filter oder so. Ich würde es lassen, 2 wertvolle Interfaces an der Firewall zu bridgen...

[superwinni2]

Sehe ich anderst... Vielleicht ist es bei ihm auch eine "Client" Firewall (VPN Client oder so) und er hat hintendran 2 oder mehr Clients hängen und möchte nicht einen weiteren Switch als Fehlerquelle haben.
Habe dies z.B. bei mir so im Einsatz.
Hier dient die OPNsense als Router welche eine VPN als Route benutzt und so alles über einen Hauptstandort sendet.

So habe ich regelmäßig das Problem (dass jemand den Switch aussteckt) eliminiert. Und ja.. ich hatte solche anrufe damals... Teilweise 5 Mal pro Woche...

[chemlud]

OMG, du solltest deine Hardware wegschließen. Was nutzt eine Firewall, wenn Hinz und Kunz den Stecker ziehen kann :-o)

[superwinni2]

Nein wieso denn auch?
In der VPN OPnsense sind 2 Netzwerke: extern(Internet) und intern (lan) zudem baut sie eine VPN zu mir nach Hause auf.
In der Firewall ist eingestellt, dass jeder von LAN nach extern darf (sprich kompletten Internetzugriff hat. Als wenn die FW nicht da wäre)
Eine weitere Regel besagt, dass jeder von intern auf die VPN Verbindung darf.
Auf der "großen" Firewall zuhause hingegen bestimme ich wer wohin darf und wohin nicht etc....
Wenn die Menschen dann meinen die FW zu umgehen oder auszustecken, bekomme ich dies erstens mit und zweitens sind sie dann selbst schuld wenn sie nicht mehr in mein Netzwerk kommen.  Da kann ich dann auch nicht mehr helfen und kann nur fragen ob es noch läuft oder nicht.

Im Endeffekt missbrauche ich die OPNsense als reiner VPN Zugang zu mir nach Hause.

Über Regeln damit ich von meinem Netzwerk zum VPN Netzwerk komme weil ich nun gar nicht reden :D

Da dies aber ordentlich von Thema abschweift, sollten wir dies meiner Meinung nach über PNs klären oder einen extra thread dafür eröffnen...
Vielleicht denke ich auch zu leichtsinnig... Dann bin ich auch froh über konstruktive Kritik :)

[chemlud]

Nicht übel nehmen, aber ich habe jede didaktische Ader hinsichtlich security und Überwachung vor Jahren erfolgreich unterdrückt. Je weniger Leute sichere Systeme wollen, um so weniger kommen die Techniken dafür in den Fokus der Überwachungsfetischisten. ;-)

In diesem Sinne: Weitermachen... :-o)

[greeno]

interessant... ok anders rum...
ich wollte eigentlich den den OPT als zusätzlichen LAN nutzen damit ich über diesen Port meinen Accesspoint mittels 2 VLAN taggen kann...
Vlan1 LAN
Vlan2 Gäste

deshalb brauche ich OPT als LAN interface... ist das nich gescheit?

[superwinni2]

Doch alles gut ;)

Andere Idee um den Port trotz allem zu sparen:
Auf dem LAN Interface das VLAN 1 untagged und dazu das VLAN2 taggen..

Wie dies jedoch genau funktioniert bei der OPNsense kann ich dir nicht sagen....
Dein AccessPoint muss dies natürlich dementsprechen auch mitmachen.

[mike69]

interessant... ok anders rum...
ich wollte eigentlich den den OPT als zusätzlichen LAN nutzen damit ich über diesen Port meinen Accesspoint mittels 2 VLAN taggen kann...
Vlan1 LAN
Vlan2 Gäste

deshalb brauche ich OPT als LAN interface... ist das nich gescheit?

Du brauchst OPT1 nicht, kannst auf LAN die VLANs packen so viel Du willst. Naja, max 4096, aber das ist jenseits von gut und böse.

Gescheit biste, alleine die Idee sich mit den Sensen zu beschäftigen.  ;D

[greeno]

HILFEEEE ich brauche Hilfe,

ich hab nun das OPT interface (igb3) genommen für Management LAN Zwischen OPNsense und Switch mit DHCP Server das geht.

Danach habe ich 5 x virt. VLAN Interfaces gemacht alle auf diese igb3 angebunden ... jede VLAN macht eigene DHCP ... auch das geht ... für alle 5 VLAN ...

aber was nicht geht ... ist Internet... mein Notebook zeigt immer alles als OK an aber wenn ich versuche die VLAN IP des virt. Interface zu pingen geht das nicht logischerweise auch dann das WAN nicht...

also habe ich auf der OPNsense unter VLANxx noch eine Regel für ausgehend **** Default GW erstellt...
wieso geht das nicht :-[ :-[ :-[ :-[ :-[ :-[ :-[ :-[

thanks a lot.

[mike69]

Mach mal ein Screenshot von den Rules.