Grundkonfiguration opnsense hinter fritzbox

X_Burner · August 20, 2020, 10:50:45 PM

Hallo,
ich habe mir ein barebone zugelegt, auf dem ich opnsense installiert habe.
Für WAN auf opnsense habe ich eine IP 192.168.1.254 mit Gateway 192.168.1.1 (Fritzbox) aus dem IP-Bereich der Fritzbox genommen.
Für LAN 10.1.1.254.

Ich vermute an dem Konstrukt ist schon etwas falsch, da ich mit dem Rechner an dem Interface LAN ausser der opnsense noch nicht erreichen kann. Von der opnsense kann ich google anpingen.

Mein Ziel ist es die Fritzbox als Firewall zu ersetzen, so dass der gesamte WAN-Verkehr zur opnsense kommt.

Ich habe bei der Suche nach einer Anleitung für die Grundkonfiguration leider nichts gefunden.

Welche Schritte muss ich durchführen?

Benötigt ihr noch weitere Infos?

Bin Netzwerk- und Firewall-Newbie...habt Gnade ;)

Gruß
X_Burner

tiermutter · August 21, 2020, 07:16:56 AM

Moin,

da gehört noch einiges dazu, alles entsprechend einzurichten...
Du willst die Fritte also nur noch als Modem verwenden oder soll die komplett raus?
Verwendest Du Telefonie und willst sie weiter verwenden? Kann/ soll das über die opnsense laufen?
Was hast Du sonst noch vor mit der opnsense, bzw. was versprichst Du Dir davon?

QuoteBin Netzwerk- und Firewall-Newbie...

Das ist natürlich relativ... wenn Du Dich wirklich noch so gar nicht mit Netzwerken auseinander gesetzt hast solltest Du Dir wenigstens ein bisschen Grundwissen aneignen. Man muss sicherlich kein Experte sein, ich bin es auch nicht, aber eine opnsense erfordert schon etwas mehr Wissen, ohne baut man sich unter Umständen mehr Sicherheitsrisiken ein als man denkt!

Auf den ersten Blick fallen mir die Gateways LAN und LAN2 auf. Gibt es eine explizite Verwendung dafür bzw. wozu sollen die sein? Ich würde sagen: raus damit!
Für das verbleibende WAN_GW setzt Du dann den Haken bei Upstream Gateway, sofern das dann nicht automatisch passiert.

Wie sind Deine Geräte/ Clients konfiguriert? Mit fester Angabe von IP, DNS, Gateway oder per DHCP?
Sollten sie per DHCP konfiguriert werden, so muss auch ein DHCP Server laufen, den aktivierst Du unter Services/DHCPv4/LAN1. IPv6 vernachlässigen wir hier erstmal.

Damit sollte die opnsense den Traffic vom LAN schonmal in Richtung Fritzbox routen und Deine DHCP Clients sollten eine funktionierende LAN-Konfiguration erhalten.

Was hast Du sonst noch an Einstellungen der opnsense getätigt? Hast Du schon was bei den Firewallregeln gemacht? Wie sehen diese momentan aus?

An der Fritte muss bis hierhin soweit ich mich erinnere noch nichts eingestellt werden, noch ist die Firewall darauf aktiv, sofern Du dort noch nichts geändert hast.

lebernd · August 21, 2020, 01:25:21 PM

Zuviele Gateways für meinen Geschmack für den Anfang...

Ein WAN_GW sollte reichen. D.h. +1 zu dem was @tiermutter meint.

Ob die Fritzbox es so toll findet, wenn lauter 10.1.1.0/24-Adressen über ihr LAN ins Internet wollen, ist eine andere Sache (=die der Fritzbox).

Ein sinnvoller Einsatz für die Fritzbox ist eher hinter der Sense... dort hat man dann die ganzen schicken Dienste im LAN. Für opnsense lieber ein modem über das sie sich einwählt.

Meine 2ct, Grüße,
Bernd

X_Burner · August 21, 2020, 05:02:30 PM

Hi,
die Fritzbox soll nur als Modem fungieren und die Telefonie soll auf der Fritzbox bleiben.
Ich habe einen Kabelanschluß bei Unitymedia (jetzt Vodafone) und möchte nicht auf ein extra Modem umstellen.

Ich verspreche mir davon mehr Transparenz (im Vergleich zur Fritzbox) höhre Sicherheit und mehr Möglichkeiten.
Ich sehe es auch als Möglichkeit mein Wissen im Bereich Netzwerk zu verbessern und mit der Konfig von opnsense zu wachsen.

Mittelfristig würde ich gerne auf VLANs umstellen und die auf meine Access Points mappen, so dass die Clients in ein VLAN kommen und Smart Home Geräte in ein anderes.

Sowas finde ich auch sehr reizvoll:
https://homenetworkguy.com/how-to/configure-dns-over-https-dnscrypt-proxy-opnsense/

Das mit den Gateways muss bei der Installation passiert sein. Habe ich gelöscht und so konfiguriert, wie Du es geschrieben hast.
Leider komme ich immer noch nicht mit dem Client ins Internet oder zur Fritzbox.

Konfig der WAN Schnittstelle:

DHCP IP des Clients:

Die Clients bekommen ihre IPs über DHCP. Nur meine NAS hat eine feste IP.

Bei der WAN-Schnittstelle habe ich die Checkbox "Blockiere private Netze" deaktiviert und "Blockiere Bogon-Netze" aktiviert.
Anbei die automatisch generierten Regel (Fließend, LAN und WAN)

Fließend:

LAN:

WAN:

Auf der Fritzbox hatte ich die 192.168.1.254 als Exposed Host konfiguriert, aber jetzt wieder deaktiviert.

Danke für eure Geduld und Feedback.

X_Burner

tiermutter · August 21, 2020, 05:20:01 PM

Hast du unter System/Routes eine default Route zur IP deiner Fritte?
Was sagt ein traceroute zu z. B. 8.8.8.8 vom client?
Kannst du vom client grundsätzlich IPs im Internet anpingen oder geht nur die Namenauflösung (zb google.de) nicht?
Was sagt das livelog der Firewall wenn du aufs Internet zugreifen willst? (ggf. muss das logging für manche Ereignisse erst aktiviert werden, irgendwo unter Systemeinstellungen)

lebernd · August 21, 2020, 06:09:54 PM

Mein Senf:

- Wie sieht es mit NAT so aus?

Der Tipp mit dem extra Modem kommt letztlich daher: Du hast mit der Fbox, wenn mich nicht alles täuscht, immer doppeltes NAT. Einmal sense, einmal fbox - und das macht die Sache eben immer recht kompliziert. Denn häufig liegt es dann am Rückweg, dass "man nicht ins Internet kommt".

X_Burner · August 21, 2020, 06:17:17 PM

Nein, ich habe keine Route angelegt, aber folgendes steht bei den Routen:

Beim traceroute kommen nur Sterne:
1 opnsense.localdomain (10.1.1.254) 0.424 ms 0.201 ms 0.188 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
...

Ich kann vom Client weder 8.8.8.8 anpingen noch www.google.de.

Hier das aktuelle livelog:

Suche noch die Einstellungen für das live logging...

Bzgl. Modem ist halt Action mit Vodafone das Ding dort reggen zu lassen und ab das ist dann ein Point of no return.
Mit Fritzbox bin ich weiterhin online und kann parallel an der opnsense schrauben.

lebernd · August 21, 2020, 06:28:45 PM

QuoteBzgl. Modem ist halt Action mit Vodafone das Ding dort reggen zu lassen und ab das ist dann ein Point of no return. Mit Fritzbox bin ich weiterhin online und kann parallel an der opnsense schrauben.

Ist verständlich - dennoch bleiben die Probleme mit dem doppelten NAT. Wie sieht es auf der sense denn damit aus?

X_Burner · August 21, 2020, 07:53:18 PM

NAT-Regeln hab ich noch keine.

tiermutter · August 21, 2020, 08:48:36 PM

An der Stelle bin ich aus der Ferne am Ende...
Gib deiner sense aber mal eine andere IP als die .254
Die Fritte soll bei der. 254 wohl speziell sein, wobei ich mir dann nicht erklären kann weshalb die sense self Internetzugriff hat.
Default Route sieht gut aus, FW Regeln ist mir nix aufgefallen und deine clients kommen bis zur sense mit ihren Anfragen
.. Und da geht es dann nicht weiter...

Patrick M. Hausen · August 21, 2020, 09:35:21 PM

Man kann natürlich vor und hinter der Sense jeweils ein unterschiedliches /24 verwenden, NAT auf der OPNsense deaktivieren, und auf der Fritzbox eine statische Route eintragen ...

X_Burner · August 21, 2020, 10:49:09 PM

Habe die IP auf der Fritzbox auf 192.168.1.250 geändert...hat nichts geändert.

Was mir nicht klar ist, wie kommt denn der Client aus dem 10er Netz an das Gateway im 192er Netz?
Da muss man doch bestimmt noch was konfigurieren.

@pmhausen
Welche Route müsste ich dann auf der Fritzbox anlegen?

Patrick M. Hausen · August 22, 2020, 12:12:33 AM

10.1.1.0/24 mit Gateway OPNsense. Und dann auf der das NAT ausmachen, das macht die Fritte dann ganz prima.

X_Burner · August 22, 2020, 07:39:23 AM

Hier die Konfig von LAN-Schnittstelle und Gateway auf opnsense:

Die statische Route auf der Fritzbox:

Wie deaktiviere ich denn NAT?
Habe jetzt die IP (192.168.1.254) von der opnsense als exposed host konfiguriert.

Die beide o.g. Einstellungen an der Fritzbox hatten keinen Effekt :/

lebernd · August 22, 2020, 12:10:49 PM

Ändere mal gar nicht so viel, nur:
! Gateway für das 10er-Netz ist die sense-WAN-IP: also 192.168.1.254

(bei System - Einstellungen - Allgemein trägst Du 192.168.1.1 als DNS-Server ein)

In der Route auf der FB hast Du das auch so geändert, auch dort Gateway: 192.168.1.254

("Exposed Host" auf der FB solltest Du nicht brauchen Ddas ist auch NAT - auf der Fritzbox. Jedoch das, was auf der sense: "Portweiterleitung" heißt. Es ist gut, wenn Du möchtest, dass alle möglichen Leute sich die WAN-Schnittstelle von deiner sense angucken... (also 192.168.1.254) Bzw. Du dort einen Server laufen hast. Im Normalfall heißt das, ist das nicht gut. Andere NAT-Sachen findest du auf der sense unter Firewall - NAT und dort v.a. "Ausgehend")

Ich würde über das Ping-Tool der Sense (Schnittstellen - Diagnose - Ping) die einzelnen Strecken von deinem LAN Interface aus testen... z.B.:
1) nach 192.168.1.1
2) 8.8.8.8
3) google.com

Grundkonfiguration opnsense hinter fritzbox

X_Burner

August 20, 2020, 10:50:45 PM Last Edit: August 20, 2020, 11:43:30 PM by X_Burner

tiermutter

August 21, 2020, 07:16:56 AM #1

lebernd

August 21, 2020, 01:25:21 PM #2 Last Edit: August 21, 2020, 01:29:05 PM by lebernd

X_Burner

August 21, 2020, 05:02:30 PM #3

tiermutter

August 21, 2020, 05:20:01 PM #4

lebernd

August 21, 2020, 06:09:54 PM #5

X_Burner

August 21, 2020, 06:17:17 PM #6

lebernd

August 21, 2020, 06:28:45 PM #7

X_Burner

August 21, 2020, 07:53:18 PM #8

tiermutter

August 21, 2020, 08:48:36 PM #9

Patrick M. Hausen

August 21, 2020, 09:35:21 PM #10

X_Burner

August 21, 2020, 10:49:09 PM #11

Patrick M. Hausen

August 22, 2020, 12:12:33 AM #12

X_Burner

August 22, 2020, 07:39:23 AM #13

lebernd

August 22, 2020, 12:10:49 PM #14