Grundkonfiguration opnsense hinter fritzbox

[X_Burner]

Ändere mal gar nicht so viel, nur:
! Gateway für das 10er-Netz ist die sense-WAN-IP: also 192.168.1.254

Yeah!
Das wars :D

Vielen Dank lebernd!!!
Stehe in deiner Schuld!

Hast Du noch Tipps oder Ratschläge wie ich jetzt weiter vorgehen sollte?
Bedeutet das mit doppelten NAT, dass ich jede Einstellung die ich in der opnsense für ausgend mache, auch auf der Fritzbox konfigurieren muss?

[lebernd]

Bedeutet das mit doppelten NAT...

Du musst mal probieren, ob das die Clients an der Sense oder Fritze überhaupt stört. Vielleicht, v.a. wenn es nicht zu viele Verbindungen gibt, ist es auch egal.

Das weitere Vorgehen hängt natürlich sehr vom Ziel ab... aber das sind vlt. andere Threads...

[hkp]

Du kannst auf der Fritzbox deine Opnsense als "Exposed host" vereinbaren. Du musst dann nichts mehr irgendwie doppelt einstellen. Du hättest danach die Telefonie noch auf der Fritzbox, der ganze Rest wird einfach auf die sense durchgereicht. Die ist dann deine (einzige) Firewall.
Ich hab das so (wahrscheinlich geht es auch anders auf der Fritte). Ich sehe bei mir keinen Nachteil im Doppel-NAT (ich merke es nicht). Da ich keine statische IP habe, war das für mich einfachste Lösung. Das funktioniert auch, wenn du eigene Serverdienste bereit stellen willst (siehe HAProxy)... da musst du dich aber reinlesen.

[X_Burner]

Moin,
jetzt bin ich bei der Konfiguration weiterer Schnittstellen.

WAN und LAN1 funktionieren soweit, dachte ich.
Was total merkwürdig ist, ist das meine Playstation keine IP an LAN1 bekommt, wenn ich sie von der Fritzbox auf die opnsense umstecke. Mein Notebook bekommt sofort eine ^^

Ich habe versucht LAN2 so zu konfigurieren, so das dort DHCP läuft und IP aus dem gleichen Bereich wie auf LAN1 bekommt.
LAN2 hat eine feste IP im gleichen IP Bereich ausserhalb des DHCP Bereichs.
Das muss wohl anders konfiguriert werden, weil so geht es bei mir nicht.

Wie konfiguriert man 2 Schnittstellen auf einen DHCP?

Auf LAN3 sollen mehrere VLANs drauf mit eignen Netzen, aber eins nach dem anderen ;)

[lebernd]

Mahlzeit,

1) Wie ist denn DHCP jetzt auf "LAN1" konfiguriert?

2) Wie sieht es überhaupt mit den Ports aus? Gibt es einen Switch oder werden die Geräte direkt an opnsense geteckt?

3) LAN1 und LAN2 sind auf der opnse zunächst nicht mit LAN1 und LAN2 an der ritzbox zu vergleichen, auch wenn sie am Gerät ähnlich aussehn. LAN1...LANX sind auf der fribox bereits Schnittstellen im Bridge-Betrieb. D.h. eigentlich gibt es ein LAN. Bei Opnsense wird pro Schnittstelle ein LAN, also ein internes Netzwerk, angelegt. D.h. geht es auch nicht gut, wenn man versucht ein internes Netzwerk auf zwei Schnittstellen anzulegen.
Also das ist bisher Murks. Ein zweites LAN sollte ein zweites Netzwerk bekommen. (So wie die VLAN nachher auch)

4) Um so ein Verhalten wie an der Fbox hinzubekommen - also zwei Ethernet-Ports für 1 LAN - musst du vorher bei den Schnittstellen gucken, wie man Schnittstelle - andere Typen - Brücke, eine Brücke aus LAN1 und LAN2 baut. Da auch in Doku nachlesen! So läuft dann auf 2 Schnittstellen - eigentlich weiter 1 Schnittstelle (Brücke) mit zwei Ports - ein DHCP...

5) Was sagt der Log, wenn Du die Playstation anstöpselst?

Schönen Lantag, Bernd

[X_Burner]

Das mit der Bridge hatte ich gelesen, aber stand, dass man das nur wenn unbedingt nötig machen soll.

Hab jetzt ein wenig hin- und hergestöpselt, so dass der Switch frei wurde und siehe da, jetzt bekommt auch die PS4 ne IP ;)

Jetzt habe ich für die Schnittstelle LAN3 einen neuen IP-Bereich mit DHCP angelegt und auf der Schnittstelle 2 VLAN Tags gesetzt.

Jetzt stehe ich aber etwas auf dem Schlauch, wie ich weiter vorgehen muss, damit in dem DHCP Bereich der Schnittstelle die ungetaggten landen und die beiden getaggten wieder in anderen IP Bereich.

Ich habe auf der der Schnittstelle ein Netz /16 angelegt mit 3 IP Bereichen
10.30.1.0 für untagged
10.30.100.0 und 10.30.200.0 für tagged

Macht das Sinn?
Wie kommen die VLANs in die IP Bereiche?
Wie kann ich überprüfen, ob die VLANs am Gerät ankommen?

[JeGr]

> Das mit der Bridge hatte ich gelesen, aber stand, dass man das nur wenn unbedingt nötig machen soll.

Richtig, willst du nicht, lass es sein.
Außerdem: NIEMALS 2x das gleiche Netz auf unterschiedliche Ports konfigurieren. Ganz egal ob andere IPs oder nicht. 10.30.1.0/24 liegt entweder auf LAN1 oder 2. Aber nicht auf beidem. Sonst bumm.

> Ich habe auf der der Schnittstelle ein Netz /16 angelegt mit 3 IP Bereichen

Warum zum Geier brauchst du ein /16? Macht doch keinen Sinn? Und was machst du mit tagged/untagged da für Kram?

VLANs sind Layer 2 nicht 3, die werden nicht einfach "magisch" per DHCP vergeben. VLAN muss dein Switch können, nicht die OPNSense. Und optimalerweise bekommt dein Gerät auch NIE mit, wenn es in einem VLAN ist, dafür gibts ja untagged VLAN settings auf dem Switch :)

Ich glaube da solltest du dich dringend ein wenig mehr in VLANs einlesen bevor du dir da einen Moloch baust, der ziemlich übel wird :)

[Patrick M. Hausen]

Wieder so ein Ding ... weshalb will man das mit der Bridge nicht?

So ein APU4D4 hat 4 Gigabit-Ethernet-Schnittstellen. Protectli Geräte sogar bis zu 6. Ich würde als Default immer eines als WAN definieren (ist ja auch schon nach der Installation so) und alle übrigen zusammenbridgen und die Bridge als LAN einrichten. Benutzt Ihr alle separate Switche in einem kleinen Heimnetz?

Größere Firmeninstallationen sind was anderes, aber die kleinen Boxen laden doch gerade dazu ein, sie an den Uplink zu hängen und alle internen Geräte an die Box ...

BTW: mit FreeBSD 12.2 kommen dramatische Verbesserungen in der Bridge-Performance. Faktor 5 ...

[JeGr]

> Wieder so ein Ding ... weshalb will man das mit der Bridge nicht?

Weil die Firewall ein L3 Gerät ist und eine kleine 08/15 Hardware nie die Performance und das Backbone von echten L2 Switchen wiedergeben kann. Sonst wären echte Switche schon vor langer Zeit ausgestorben, wenn das easy-peasy einfach immer mit Stangen-Hardware funktionieren würde. Netzports bridgen ist eben nicht dasselbe wie ein L2 Switch, der an einer entsprechend performanten Backplane hängt und echtes Gigabit Switching auf jedem Port machen kann. Zudem sieht man allein hier im Forum, dass es durchaus immer wieder heckmeck mit solchen Bridges gibt was die Konfiguration angeht.

>  Benutzt Ihr alle separate Switche in einem kleinen Heimnetz?

Wenn ein Switch, der sogar halbwegs gut VLAN kann heute locker unterhalb von 30€ liegt? JA. Warum soll ich mir da Software Streß basteln mit irgendwelchen gebridgten Ports die dann doch nicht genau so funktionieren wie der Switch es einfach tut? Klar kann man es machen. Man kann viel machen. Muss man aber nicht. Und man hat hinterher keinen Streß wenn man doch mal noch ein zwei Geräte mehr bekommt. Basteln des Bastelns wegen, aus dem Alter bin ich raus ;) Allein der unnötige Krimskrams: Erst sind das alles noch Geräte im gleichen Netz, dann will ich das doch in VLANs trennen weils Sinn macht, dann müsste man Port 1-3 zu einer Bridge und dann 4-6 zu ner anderen Bridge basteln etc. etc. das ist ein einziger Software Salat und wenn man dabei dann noch was falsch macht, hängt man sich einfach ab und darf per Konsole o.ä. versuchen die Schritte Rückgängig zu machen.

Darf jeder halten wie jener auf'm Dach ;) aber zum einen komme ich aus größeren Installationen und mag es sauber. Und wer schonmal gesehen hat wie ne Bridge geroutet wurde, weiß, dass er das nicht mag. Heute mag alles viel toller, performanter und besser sein, aber sauberes Networking bleibt trotz allem meiner Meinung nach wichtig. Auch und gerade für transparentes Debugging und klare Wege zu haben. Und nicht auf dem Gerät, das eigentlich meine Sicherheit erhöhen soll nen Paketmischer zu installieren :D

Aber as said: to each its own :)

[Patrick M. Hausen]

Bridge bleibt Bridge, da wird nichts drauf geroutet. Ich erwarte von einem SOHO-Router/Firewall einfach 1 WAN und N LAN Ports. Hat jeder Ubiquiti oder Mikrotik Router auch ... je weniger Kistchen desto besser.

Aber wie Du magst, natürlich.

[hayfire]

Servus beinander,

sorry, dass ich den alten Faden rauskrame, der entspricht genau meinem gewollten Setup, ich komm aber mangels Bilder und Verständnisproblemen nicht weiter.

Mein Heimnetz besteht nur aus dem Netz 192.168.3.0, die FritzBox (FB) hat die .3.1. Ich möchte nun gerne die Opnsense (OS) integrieren, will aber nicht meine bestehenden Server mit neuen IPs versorgen müssen.

Somit ist die Idee, dass ich der OS die LAN IP .3.1 zuweise (somit OS die FB als Gateway ersetzt), die WAN IP .4.2 wird und das WAN-Gateway die neue IP der FB wird, nämlich .4.1. Ich verliere dann zwar alle bisherigen Portfreigaben, aber das soll ja sowieso zukünftig via OS funktionieren.

Konfigplan:
OS LAN IP: 192.168.3.1
OS LAN GW: Auto-detect

OS WAN IP: 192.168.4.2
OS WAN GW: 192.168.4.1
Blockiere private Netze deaktivieren

FB IP: 192.168.4.1
FB Route: 192.168.4.1 --> 192.168.4.2
Heißt das, dass dadurch sämtliche Ports offen sind und im ersten Schritt sämtlicher Internetverkehr "durchgereicht" wird, bis ich die OS mit entsprechenden Firewall-Regeln konfiguriert habe?

Sehe ich das so richtig? Und reicht es dann für die SIP Telefonie, die neue FB IP zu verwenden?

Habe de Ehre,

Stefan