individuelles Gateway Subnetze/VLAN zuweisen

[DerTom]

Hallo zusammen,

nach diversen Stunden mit Konfigurationsversuchen bin ich kurz davor aufzugeben. OPNsense-Dokumentation und Mr. Google bringen mich nicht weiter. Seit 05:40h sitze ich vor dem Rechner und installiere neu, installiere neu, installiere neu,...

Ich möchte einzelnen Subnetzen/VLANs eigene Gateways zuweisen, bei denen es sich um VPN-Verbindungen handeln soll. Doch da bin ich noch nicht. Allein die Einrichtung eines Test-VLANs (VLAN einrichten, Schnittstelle definieren, DHCP-Server einrichten) endet in dem Moment, in dem ich das Default-Gateway (Fritzbox) definieren möchte. In dem Moment, im dem ich die Regel einrichte, dass alle für das VLAN-Gateway (192.168.11.1) gedachten Pakete an die Fritzbox weitergeleitet werden sollen, ist es vorbei - puff - und die Netzverbindung verabschiedet sich.

Vielleicht bin ich einfach zu blind, um das Problem zu sehen... Ich bitte inständig um eine kurze Information, wo ich eine entsprechende Anleitung finden kann. Weitergehende Hinweise sind auch herzlich willkommen.

Viele Grüße und einen schönen vierten Advent!

[Gauss23]

Leider bist du etwas sparsam mit den Informationen. Erstelle uns doch mal einen Netzwerkplan. In den angepinnten Themen findest du Vorlagen dafür. Dann kann man dir bestimmt helfen.

[DerTom]

Hallo Gauss23,

hier der Netzplan. Mehr ist da noch nicht, da ich noch im Aufbau begriffen bin.

       Internet
            :
            : Cable-Provider
            :
      .-----+-----.
      |  Fritzbox |  192.168.11.1
      '-----+-----'
            |
        WAN
            |
      .-----+------. 192.168.11.2 (bce0: WAN-Schnittstelle mit Gateway 192.168.11.1)
      |  OPNsense  192.168.1.1 (bce1: LAN-Schnittstelle)
      '-----+------'  192.168.12.1/24 (bce1.12:VLAN)
           
  Da ich noch nicht an dem Punkt bin, an dem ich auf bce0 die VPN-Schnittstellen einrichte, möchte ich einfach nur für das LAN-Netz das Gateway festlegen. Wann immer ich nun 192.168.11.1 als Gateway vorgebe, ist die Netzwerkverbindung zum Teufel.
   

[Gauss23]

Wie machst Du das? Wo trägst Du das ein?

Das Stichwort was Du hier suchst ist: Policy Routing. Zum Testen brauchst Du natürlich 2 WAN Gateways (WAN und VPN z.B.). Denn die Fritzbox dürfte ja jetzt bereits Dein default Gateway an der OPNsense sein.

[DerTom]

Die Fritzbox 192.168.11.1 ist unter 'System - Gateways - einzeln' eingerichtet und 'online'.

Unter der Schnittstelle LAN kann ich 192.168.11.1 nicht als Gateway angeben, da es dieses schon gibt. Setzte ich die Regel, dass alle Pakete an 192.168.1.1 an 192.168.11.1 zu leiten sind, dann bricht die Verbindung ab.

[Gauss23]

Also ich glaube Du hast da einen falschen Denkansatz.

Wenn Du nur einen Gateway hast, was genau soll denn da anders passieren?

Und nochmal: wo konfigurierst Du das?

Du willst Policy based routing machen, dazu legt man die Gateways an, die man braucht. Du hast nur eins, also ist das schon da.

Dann geht man in Firewall: Rules: LAN_der_Wahl
und legt dort regeln an, die unten am Ende der Regel den Gateway umbiegen.

Wie gesagt: ohne zweiten echten Gateway ziemlich sinnlos.

[DerTom]

Ich versuche das unter 'Firewall - Regeln - LAN' einzurichten. Alles aus LAN-Net kriegt das (ja, zzt. einzige) Gateway per Regel.

Passieren soll da eigentlich nichts. Ich möchte vielmehr sicherstellen, dass diese Regel unverändert zum Erfolg führt... was es leider nicht tut.

Ich hatte vorher auch ein VLAN eingerichtet, welches (auch mit dem WAN-Gateway) keinen Zugang zum Internet hatte. Da wollte ich nicht Wireguard einrichten, wenn ich noch nicht mal eine Gateway-Zuweisung hinkriege.

Ich weiß, ich bin hier unter Profis und die Frage, die ich hier stelle, ist vielleicht lächerlich - ich denke aber, dass ein eingerichtetes Gateway, welches als online gekennzeichnet ist und funktioniert, auch dann noch funktienieren sollte, wenn man eine Regel erstellt, die für alles aus LAN-Net das Gateway 'WANGW' definiert. Dies tut es aber nicht. Da fehlt noch etwas bei meinen Einstellungen. Dies kann ich aus der Dokumentation aber nicht erkennen...

Trotzdem vielen Dank!

[Gauss23]

Du brauchst eine Regel, die als Destination dein lokales Netz hat und dort setzt du das Häkchen Destination invert. Diese Regel sollte dann möglichst direkt oben stehen. Geht es dann?

Keine Ahnung, was passiert, wenn man nur den einen Gateway hat und den dann per Regel auf sich selbst ändert. Habe ich noch nie getestet. Ich nutze die Funktion erfolgreich.

[micneu]

Bitte mal mehr informationen zu deinem VPN Providern
- richte deinen VPN-Client Verbindung auf der Sense ein (ich verwende OpenVPN)
- wenn diese richtig Konfiguriert ist und Läuft
- für diese angelegte VPN-Verbundung das interface anlegen
- danach kannst du eine firewall regel erstelle auf deinem VLAN-der wahl in dem du das Default gateway änderst.
alles ganz simpel (hier nur in küre und alles sehr vereinfacht erklärt)
Zeitansatz ca. 10-15 Minuten

[DerTom]

@Gauss23
@micneu
Vielen Dank für die kurzfristige Hilfe. Ich habe mir etwas Ablenkung gegönnt und nochmals ganz von vorn angefangen... Die Internetverbindung steht jetzt - ohne VPN.

Jetzt geht es an die VPN-Verbindung (TorGuard)...

Viele Grüße