Von einem Netzwerk in den anderen zugreifen

[guest30486]

Ich habe vier Netzwerke an meinem APU - WAN, LAN, WLAN und MGNT. Jetzt möchte ich, dass mein Smartphone (192.168.150.20 - WLAN) auf Raspi und A/V-Receiver in LAN (192.168.200.0) zugreifen kann. Wie richte ich das im Firewall ein?

[Patrick M. Hausen]

Mit einer "Pass" Regel in Firewall > Rules > [Interface]. Guck Dir mal die Regel für das "LAN" Interface an - so eine legst Du für alle anderen Interfaces auch an.

[guest30486]

Mir geht es darum wie ich die Regel definiere. Habs ausprobiert, aber es klappt nicht. Fehler: Gerät antwortet nicht. In Protokolldateien Liveübersicht wird die Verbindung grün angezeigt.
Folgende Konfiguration ausprobiert:
Regeln WLAN
- Aktion              erlauben
- Schnittstelle    WLAN
- Richtung         in
- Quelle            192.168.150.20 (Smartphone)
- Ziel                 192.168.200.22 (A/V-Receiver)
- Zielportbereich habe erst mal auf any gelassen um zu testen. Sonst wird für Pioneer 60128 oder 8102 benutzt.

Muss es auf der LAN Seite dann auch ein Regel erstellt werden oder in "Fließend" ein Regel für beide erstellen?

[h_frank]

Hallo Lignumium,

lies bitte mal meinen aktuellen Thread:
https://forum.opnsense.org/index.php?topic=26411.0

Ich glaube, wir haben da aktuell ein generelles Problem, in das LAN Netzwerk zu routen!

Beste Grüße,

Frank

[h_frank]

Hallo Lignumium,

mach doch mal folgenden Test:

Verändere deine Regel im WLAN und stelle bei Quelle und Ziel any ein.
Mach dann an der OPNsense über Schnittstellen > Diagnose > Ping vom Interface WLAN ein Ping auf 192.168.200.22 (A/V-Receiver).
Ich vermute, du erreichst deinen A/V-Receiver nicht.

Dann verändere im Ping Formular die IP in Host auf die IP deines LAN Interfaces an der OPNsense. Ich vermute, das ping funktioniert.

Dann stell im Ping Formular bei Quelladresse LAN ein und bei Host wieder 192.168.200.22 (A/V-Receiver). Ich vermute, dass funktioniert auch.

Wenn das so ist, liegt aus meiner Sicht ein Software Bug in der OPNsense Software vor. Da können wir an den Regeln drehen, wie wir wollen.

Beste Grüße,
Frank

[h_frank]

Vergesst meinen letzten Post! Mein Problem war die Windows Defender Firewall, die kein Ping aus anderen Subnetzen mag!

Gruß,

Frank

[guest30486]

Ich bekomme das immer noch nicht hin. Was könnte ich euch geben, dass es mir geholfen wird?

Code: [Select]

        Internet
            :
            : Wobcom FTTH
            :
      .-----+----.
      |  Router  |  (FritzBox 7530 (statische IPv4-Routen))
      '-----+----'
         .1 |
        WAN | 192.168.175.0/24
         .5 |
      .-----+------. .1    WLAN          .-------
      |  OPNsense  +---------------------+ Clients
      '-----+------'   192.168.150.0/24  '-------
         .1 |
        LAN | 192.168.200.0/24
            |
      .-----+------.
      | unm. Switch |
      '-----+------'
            |
    ...-----+------... (Clients)



[micneu]

1. warum brauchst du für einen ftth zugang eine fritzbox. ich habe auch ftth und habe mein wan direkt an der sense.

[Patrick M. Hausen]

Also ... geh doch mal systematisch vor. Du bist durch Deine Fritzbox recht ordentlich vor den bösen Buben geschützt.

1. Mach doch mal die Firewall auf Deiner OPNsense aus. Ist eine globale Einstellung. Dann ist sie ein Router.

2. Die Fritzbox braucht zwingend (!) diese beiden Routen:

192.168.150.0/24 --> 192.168.175.5
192.168.200.0/24 --> 192.168.175.5

3. Alle Clients im WLAN brauchen

- eine Adresse aus 192.168.150.0/24
- Default-Gateway: 192.168.150.1

4. Alle Clients im LAN brauchen

- eine Adresse aus 192.168.200.0/24
- Default-Gateway: 192.168.200.1

Wenn Du das alles so konfigurierst, werden sich Systeme aus allen Netz-Segmenten gegenseitig erreichen können. Isso. Wenn das bei Dir nicht funktiniert, ist noch irgendetwas anders als skizziert. So funktioniert IP.

Wenn Du darüber hinweg bist, kannst Du die Firewall wieder anknipsen und Dich mit Policies und Regeln beschäftigen ...

[guest30486]

Danke für die Unterstützung!

1. warum brauchst du für einen ftth zugang eine fritzbox. ich habe auch ftth und habe mein wan direkt an der sense.

1. Haben wir da noch Festnetztelefon drauf. Muss mit Frauchen mal absprechen ob wir das brauchen. Spart dann Strom
2. Bei Notfällen, wenn ich Opnsense kaputt konfiguriere, kann ich immer noch auf Fritzbox umschwenken.
3. Will erstmal die Opnsense Kiste fertig machen. Habe sowieso keine Zeit dafür, nur wenn die Frauchen mitm Kind ausm Haus sind.

Also ... geh doch mal systematisch vor. Du bist durch Deine Fritzbox recht ordentlich vor den bösen Buben geschützt.

1. Mach doch mal die Firewall auf Deiner OPNsense aus. Ist eine globale Einstellung. Dann ist sie ein Router.

2. Die Fritzbox braucht zwingend (!) diese beiden Routen:

192.168.150.0/24 --> 192.168.175.5
192.168.200.0/24 --> 192.168.175.5

3. Alle Clients im WLAN brauchen

- eine Adresse aus 192.168.150.0/24
- Default-Gateway: 192.168.150.1

4. Alle Clients im LAN brauchen

- eine Adresse aus 192.168.200.0/24
- Default-Gateway: 192.168.200.1

Wenn Du das alles so konfigurierst, werden sich Systeme aus allen Netz-Segmenten gegenseitig erreichen können. Isso. Wenn das bei Dir nicht funktiniert, ist noch irgendetwas anders als skizziert. So funktioniert IP.

Wenn Du darüber hinweg bist, kannst Du die Firewall wieder anknipsen und Dich mit Policies und Regeln beschäftigen ...

1. macht Sinn. Habs Firewall deaktiviert, Kiste neu gestartet und ich kann mich mitm Raspberry (Kodi) verbinden. A/V-Receiver hat anscheinend probleme mit dem App, was ich aufm Smartphone habe (original App funktioniert).
2. Die Routen in Fritbox hatte ich schon eingetragen gehabt.
3. und 4. Meine Clients sind bei mir in DHCP Einstelung (für LAN und WLAN) habe ich feste IPs definiert.
In System -> Gateways -> Single ist nur FritzBox (192.168.175.1) als WAN Upstream definiert. Sollten noch LAN und WLAN auch da eingetragen sein?
In DHCP Einstellungen für LAN und WLAN Gateway Feld ist leer - nimmt ja dann automatisch den richtigen. Richtig?

Als nächstes, dann Firewall wieder aktivieren.

[Patrick M. Hausen]

In System -> Gateways -> Single ist nur FritzBox (192.168.175.1) als WAN Upstream definiert. Sollten noch LAN und WLAN auch da eingetragen sein?

Die Fritzbox reicht. Denn diese ist ja der einzige Gateway FÜR deine OPNsense.

In DHCP Einstellungen für LAN und WLAN Gateway Feld ist leer - nimmt ja dann automatisch den richtigen. Richtig?

Nein, woher soll der DHCP-Server denn wissen, was der Default-GW in den jeweiligen Netzen sein soll? Natürlich musst Du in den DHCP-Bereichen für LAN und WLAN neben dem Adressbereich auch Gateway und DNS-Server festlegen, damit deine Clients kommunizieren können ...

Bei AV-Kram klemmt es gerne mal daran, dass Multicast verwendet wird. Dafür gibt es mehrere Plugins. Aber bring erstmal dein Routing in Ordnung. Alle Clients müssen per DHCP das passende Interface der OPNsense als Default-Gateway bekommen. Sonst kann gar nichts funktionieren.

[guest30486]

Nein, woher soll der DHCP-Server denn wissen, was der Default-GW in den jeweiligen Netzen sein soll? Natürlich musst Du in den DHCP-Bereichen für LAN und WLAN neben dem Adressbereich auch Gateway und DNS-Server festlegen, damit deine Clients kommunizieren können ...

hmm...bei mir waren die Felder halt leer und ich hatte keine Probleme mit Verbindung mit Internet. Aufm Rechner in Netzwerkeinstellungen zeigt DNS 192.168.200.1 für LAN. Für WLAN dann halt 150.1
Gateways habe ich jetzt eingetragen. Jetzt bin ich nicht ganz sicher was ich in DNS eintragen soll. Soll da 192.168.200.1 bzw für WLAN 192.168.150.1 sein? Bei mir läuft lokal auf der Opnsense Kiste Ubound.

[Patrick M. Hausen]

Du entscheidest, wo Du den Clients DNS bereitstellst. Z.B. auf der OPNsense direkt auf dem jeweiligen Interface. Dazu muss

- Unbound auf dem Interface aktiv sein
- Unbound recursive Requests aus dem jeweiligen Netzbereich erlauben
- die Firewall den Zugriff auf Port 53 TCP und UDP zulassen

Alternativ kanbst Fu auch die Fritzbox als DNS-Server benutzen. Oder einen zusätzlichen piHole. Oder ... das kann hier aber alles keiner wissen, was DU eingestellt hast bzw. willst 

[guest30486]

Soo ... Firewall ist wieder an. Für Smartphone habe ich auf LAN net komplett erlaubt und die Verbindung zu Raspbarry (Libreelec (Kodi)) steht.
A/V-Receiver streikt. Aber ich denke das liegt am App. Im App kann ich den Port von Receiver vorgeben, es wird auch Laut Live View erlaubt 192.168.200.22:8102, bloß da wird noch 255.255.255.255:60128 geblockt. Port 60128 ist standardmäßig im App eingestellt, denn ich durch 8102 getauscht habe.

Jetzt habe ich noch Fragen zu anderen Thema. Soll ich dann neue Thema aufmachen oder kann ich hier fragen?

Edit: habe jetzt noch gleichen Phänomen mitm TP-Link AP. Versuche mit dem Omada App auf AP zu zugreifen und es wird 255.255.255.255:20003 geblockt als default dany Regel. Obwohl ich per wlan am AP dran bin, findet App den AP nicht.

[Patrick M. Hausen]

255.255.255.255 ist ein Broadcast. Der funktioniert nur im gleichen Netz. Anscheinend geht das Teil davon aus, dass man die App nur dann benutzt, wenn man auch über den AP verbunden ist.