Hilfe Stellung für Anfänger

[Fingers]

Moin nach langem Hin und her habe ich jetzt übergangsweise geeignete Hardware gekauft auf der ich OPNsense betreibe.

Meine ersten versuche OPNsense einzurichten gingen völlig in die Hose . Angefangen Habe ich mit dem Standard Setup LAN-WAN-NAT.

Jetzt habe ich meine 2 Switch getrennt voneinander an die Sense angeschlossen mit jeweils 2 x LAN  im LAAG LACP Bonding was auch funktioniert .Auf dem Switch 1 laufen meine Privaten Geräte auf dem Switch 2 sind alle anderen Geräte angeschlossen wie Drucker Konsolen TV usw.

Ich habe Gelsen das  VLANS mit Bonding besser laufen soll  durch den Hörern Durchsatz Trift dies zu und ist es überhaupt möglich mit LACP VLANs zu betreiben ?.

Mein Ziel ist es mit der Trennung der beiden Netze zu erreichen das Gäste nicht auf bestimme Geräte in meinem LAN1 zugreifen können.

So wie ich es verstanden habe kann es durch VLANS erreichen , auch wen das keine DMZ ersetzt.

Da Ich eine Verbindung zu beiden Netzen brauche habe ich eine Bridge von Switch2 in mein LAN Netzwerk eingerichtet das an Switch1 angeschlossen ist. Ich erreiche so gut wie alle Geräte außer die WebGUI vom Zyxel Switch kann ich nicht erreichen .

Durch den Brigdmode liegt die lasst komplett auf der OPNsense , welche Lösung gibt es noch eine Verbindung mit den beiden Netzen zu realisieren?


Meine Access Points habe ich an meinen Switch angeschlossen um später ein VLAN zu erstellen und eventuell mit Captive Portal die WLANZugriffe zu kontrollieren so hab ich es mir gedacht .


Mit den Firewall Regeln habe ich immer noch zu kämpfen , was ich jetzt verstanden habe ist das es von innen nach außen definiert wird nicht andersherum .

Die Regel In bedeutet von innen nach außen

Die Regel out bedeute von außen nach innen

Ist das richtig ?

Auf dem WAN Interface definiere ich Regeln in Internet ?

NAT Port Forwarding auf gezielte IP Andreassen in meinem Netzwerk wie Server usw ?

Wald vor lauter Bäumen nicht sehen das trifft ganz gut auf meine Situation zu. Auch habe ich Google bemüht und auch dieses forum . Ich bin dankbar für jede Hilfe oder Links zu aktuellen guides.

Weiter Informationen zu meinem Setup werde ich heute Abend nachreichen .
 

Gruß Ben

[Fingers]

Vodafone Station Bridge-Mode

OPNsense: 8xLAN

Switch:1 NETGEAR PROSAFE XS716T

Switch2: Zyxel GS1900-24E

Access Point:1

Access Point:2


Ports an der OPNsense


E1: WAN Vodafone Station
E2: Zyxel Switch aktiv
E3: Zyxel Switch inaktiv
E4: Zyxel AP WAX610D Flur OG 
E5: Zyxel AP WAX610D Flur EG
E6: NETGEAR PROSAFE XS716T LAGG LACP
E7: NETGEAR PROSAFE XS716T LAGG LACP

[meschmesch]

Hi, fange doch mal einfach an. Ein Interface für Switch 1, ein Interface für Switch 2. Interface 1 bekommt ein Subnetz, Interface 2 ein anderes (jeweils Static IPv4, z.B. 192.168.1.1 und 192.168.2.1). DHCP aktivieren.

WAN Firewall erst mal keine Einträge, Interface 1 und 2 jeweils alles überall hin zulassen (zum Testen). NAT nicht anfassen.

Damit müssten erst mal alle Geräte ins Internet kommen und entsprechend ihrem Subnetz eine IP bekommen. Erst wenn das klappt, dann kannst du die Sache verfeinern (z.B. Firewall auf Interface 2 so einstellen, dass alle Pakete nach Interface 1 (Interface1Net) blockiert werden und umgekehrt, wodurch Du eine Trennung der Subnetze erreicht hast).

Zu Deiner Frage. Firewall-Regeln auf dem WAN-Interface brauchst Du nur, wenn Du von außen (vom Internet aus) auf Dienste in Deinem Heimnetzwerk zugreifen willst. Das würde ich aber erst mal lassen und zusehen, dass Dein Netzwerk richtig konfiguriert ist.