Adressen im GuestNet über LAN erreichen

[NausB]

OPNsense 20.7-amd64
FreeBSD 12.1-RELEASE-p7-HBSD
OpenSSL 1.1.1g 21 Apr 2020

Ich habe eine opnsense mit 3 Lan Anschlüssen
WAN (statische IP vom Provider)
LAN 192.168.0.1 /24
GUESTNET 10.0.1.1 /24
und einem VLAN
USERPC 10.0.10.1 /24

Am LAN hängen alle internen Rechner, Drucker, etc....
Im GUESTNET ist CaptivePortal aktiviert und dient Hotelgästen als Internetzugang.
Daran hängen mehrere Access Points
USERPC ist ein VLAN an der GUESTNET-Schnittstelle, daran hängen zwei PCs für Gäste


Aufbau im Prinzip wie folgt:

                           |-LAN (192.168.0.1)
                           |
WAN (statische IP)---------|-GUESTNET (10.0.1.1)
                               |
                               |-USERPC (10.0.10.1)

funktioniert so weit auch ganz gut.
Nun würde ich gerne mit einem Managed-Switch vom LAN auf die APs im GUESTNET zugreifen.

VLAN-IDs usw. sind zugeteilt, funktioniert auch soweit so gut.
Allerdings kann ich mit dem PC im LAN, der in der IP Konfiguration zwei statische IP4 Adressen zugewiesen bekommen hat, lediglich auf den opnSense zugreifen.

IP4 vom PC im LAN ist: 192.168.0.55 und im GUESTNET 10.0.1.2

Mit dem Tool "Portscan" werden im LAN alle vergebenen Adressen angezeigt,
Im GUESTNET ist nur die 10.0.1.1 aufzufinden.

Ich vermute mal, dass es irgendeine Firewall-Regel sein wird.
Komme jetzt aber auf anhieb nicht darauf, wie diese aussehen sollte.
Nach Möglichkeit sollten die APs, die im GUESTNET außerhalb des DHCP liegen NUR vom LAN aus erreichbar sein und vom GUESTNET ein Zugriff weiterhin gesperrt bleiben.

Anbei mal meine Firewall Regeln für die beiden Schnittstellen und meine NATs.

Bitte um Hilfe.

Danke

[JeGr]

> Nun würde ich gerne mit einem Managed-Switch vom LAN auf die APs im GUESTNET zugreifen.

Was hat der Managed Switch mit den VLANs zu tun?

> Allerdings kann ich mit dem PC im LAN, der in der IP Konfiguration zwei statische IP4 Adressen zugewiesen bekommen hat, lediglich auf den opnSense zugreifen.

Also hast du dem Port des PCs quasi beide VLANs gegeben? Wie sind überhaupt die Netze getrennt? Alle auf dem Switch in verschiedenen VLANs und die auf die Sense dann aufgelegt (und das UserPC eben tagged weil keine Ports mehr frei waren)? Oder wie ist das jetzt organisiert?

> Ich vermute mal, dass es irgendeine Firewall-Regel sein wird.

Ich vermute eher deine VLAN/Verkabelung. Dazu müsstest du aber ein paar Takte mehr schreiben und beschreiben, wie das technisch genau aufgelegt ist.
Denn wenn dein PC jetzt wirklich 2 IPs hat und beide IPs auch mit Netzwerkkarte(n) und getaggten VLANs korrekt eingerichtet sind (was ich aktuell noch bezweifle), dann wäre dein PC mit dem 2. NIC/Interface und der 10er IP im gleichen Netzabschnitt wie der andere PC. Das geht überhaupt nicht via Sense, weil die da nicht involviert ist, wenn sich Geräte im gleichen Netz suchen.

Verstehe auch nicht ganz, warum du überhaupt den einen PC mit 2 IPs ausstatten willst? Warum nicht den Zugriff auf den anderen PC freigeben? Was soll damit erreicht werden, außer dass du die Firewall komplett unterläufst?

[NausB]

Ich ging davon aus es sei ausreichend beschrieben.

OPNSense mit DREI LAN-Anschlüssen.
1x WAN (statische IP vom Provider)
1x LAN für das Firmennetzwerk (IP 192.168.0.1/24)
1x LAN für GUESTNET (IP 10.0.1.1) und an der Schnittstelle noch ein virtuelle IP (IP 10.0.10.1) zugeordnet.
GUESTNET ist Captive Portal für Hotelgäste, daran hängen mehrere APs.
Das VIP ist für 2 Gäste PCs und ein paar LAN-Buchsen, die Gäste im Aufenthaltsraum nutzen können ohne sich am CP anmelden zu müssen.

Hinter der OPNSense hängt ein 24 Port Managed Switch von TP-Link mit drei VLAN IDs
IP 192.168.0.1 ist VLAN ID 2 zugewiesene Ports: 1 + 13-24
IP 10.0.1.1 ist VLAN ID 1 zugewiesene Ports: 1-8 + 24
IP 10.0.10.1 ist VLAN ID 10 zugewiesene Ports: 1 + 9-12

Verbindung an die OPNSense
LAN Anschluss für 192.168.0.1 ist verbunden mit Port 13
LAN Anschluss für 10.0.1.1 ist verbunden mit Port 1

Komischerweise kam die Verbindung an die 10.0.1.1 und damit auch der Zugriff auf die OPNSense erst zustande nachdem ich auch den Port 1 mit ID2 verbunden habe. (oder ich hab nicht lange genug gewartet)

Aber ein Scan listet mir halt keinen der APs auf.

Also meine VLAN Verkabelung passt, das funktioniert ja soweit.
Die Geräte an ID2 können mit einander kommunzieren und werden alle gefunden
Die Geräte an ID1 kommen alle an die LogIn Seite vom Captive Portal, melden sich an und ab ins Internet
Die Geräte an ID10 haben Internet ohne sich vorher einloggen zu müssen
Das Problem ist doch eher, dass die Erreichbarkeit der Captive Portal Schnittstelle ins LAN (und vermutlich auch in die andere Richtung) unterbunden ist.
Ich möchte aber nun einmal gerne mit dem PC, der an Port 24 hängt auf die APs zugreifen die im VLAN 1 sind.
Irgendwie muss man die Teile ja auch mal neustarten oder Einstellungen ändern ohne das mit die APs ständig abbauen muss um sie mit nem Rechner zu verbinden an dem man vorher ne entsprechende IP eingetragen hat.
Ich ging davon aus, dass würde gehen, wenn ich diesem PC ebenfalls eine statische IP im 10.0.1.X Bereich gebe und über das Managed Switch auch mit dem Netzwerk verbinde.

Man kann übrigens einem PC beliebig viele IP Adressen auf einer Netzwerkkarte zuweisen.

Und was meinst du mit:

Verstehe auch nicht ganz, warum du überhaupt den einen PC mit 2 IPs ausstatten willst? Warum nicht den Zugriff auf den anderen PC freigeben? Was soll damit erreicht werden, außer dass du die Firewall komplett unterläufst?

Ne Portweiterleitung oder Routing von dem PC am Port 24 an die entsprechenden APs?
Das ist ja am Ende das was ich hinbekommen möchte.
Hab nur keinen Plan wie diese Regel aussehen sollte.

[NausB]

Der Thread kann gerne geschlossen werden.
Ich habe mich dazu entschieden besagten PC für die Zeit der Konfiguration einfach an nen anderen Port im Switch zu stecken.
Alles andere scheint mir zu umständlich.
Trotzdem Danke für die Hilfe