2 x LAN, gleicher IP-Adressbereich, Blocking UPNP usw...

[axlemoxle]

Hallo Forum,

ich bin dabei eine Opnsense aufzusetzen. Erreichen möchte ich dass ich 2 Lan Interfaces habe, die jeweils an eine Wohnung gehen. Es gibt gemeinsam genutzte Dinge im Netzwerk, daher hätte ich gerne den gleichen IP Adressbereich.

Jetzt gibt es ja mittlerweile so tolle Funktionen wie Youtube Streaming von Handy an TV (bzw. dass der TV überhaupt am Handy sichtbar wird), oder das Steuern von Sonos Lautsprechern via app....(ich denke auch via upnp)
Das soll natürlich nicht von der einen in die andere Wohnung stattfinden.

Wie gestalte ich das am einfachsten, dass Zugriff auf z.b. SMB Freigaben, Remotedesktops usw problemlos läuft aber sowas wie Sichtbarkeit TV usw nur in der jeweiligen Wohnung klappen....

Macht ein IP-Adressbereich Sinn ?? Besser 2 Subnetze ?? Funktioniert diese Streamingeschichte überhaupt über UPNP ?

Danke schonmal vorab

[axlemoxle]

Keiner ne Idee?

[Patrick M. Hausen]

Du kannst eine Bridge mit den beiden Interfaces konfigurieren. Dann hast du praktische einen 2-Port-Switch. Dann geht das mit dem einen Adressbereich.

Ausführliche Anleitung in der Doku:
 https://docs.opnsense.org/manual/how-tos/lan_bridge.html

[Rolly82]

Soweit ich weiß funktionieren die Sonos Geschichten nicht über UPNP sondern über Multicast.
Nachdem was du beschreibst, würde ich 3 Netze aufziehen:

• Wohnung 1
• Wohnung 2
• Server/NAS/etc.

Dann eben „nur“ Zugriff von den Wohnungen ins Server/NAS-Netz, damit sollte es auch nicht dazu kommen, das das Handy in „Wohnung 1“ den TV in „Wohnung 2“ sieht/auf diesen streamen will.

MfG
Roland

[Patrick M. Hausen]

Nachdem "Hilfe, Sonos funktioniert nicht über verschiedene Netze hinweg" hier ein Dauerbrenner ist, empfehle ich nach wie vor die Bridge.

[Rolly82]

So wie ich das verstanden habe, möchte @alxemosel dies ja genau so haben.
Also das die UPNP/Multicast Geschichten nicht über die Netze hinweg funktionieren.
Des Weiteren sollen aber RemoteDesktop, SMB-Freigaben etc. aus beiden Netzen erreichbar sein.

So habe ich es zumindest verstanden

[Patrick M. Hausen]

Ach so - ich hatte mich an seinem "ein Adressbereich" aufgehängt. Nun ja, jetzt kann er sich ein Bild machen und entscheiden.

@alxemosel - ein Adressbereich heißt alle Geräte sehen alle anderen Geräte. Wenn du das nicht haben willst, dann musst du getrennte Adressbereiche verwenden.

[Rolly82]

Wenn er aber in jeder Wohnung das gleiche Netz (Die Gleiche Netz-Adresse) haben will, so müsste er mit NAT arbeiten, oder?

[Patrick M. Hausen]

Geht nicht mit einem Device. Wenn ein Client mit 192.168.178.99 existiert - an welchem Interface hängt der dann?
Du kannst auf ein und demselben Gerät nicht zwei Interfaces mit demselben Prefix haben. So funktioniert IP nicht.

Mit zwei Geräten und NAT - klar. Und natürlich gibt es $KiSTEN, die sind von außen eine Maschine, aber innen drin mehrere unabhängige Instanzen und Doppel-NAT und lauter so unschönes Zeug ...

[axlemoxle]

Wow, jetzt ist hier ja richtig Aktivität...danke erstmal...

Bin etwas ratlos ehrlichgesagt und suche nach der vernünftigsten Lösung.

Ein Adressbereich war daher die Idee, da ich dann nicht eventuelle Probleme mit verschiedenen Netzen haben, das Nas, Server usw nicht in der Netzwerkumgebung gesehen werden können usw....
Das war der Gedanke dahinter.

Ich dachte den Rest könnte dann die FW ja quasi regeln...

Nachdem "Hilfe, Sonos funktioniert nicht über verschiedene Netze hinweg" hier ein Dauerbrenner ist, empfehle ich nach wie vor die Bridge.

    Wohnung 1
    Wohnung 2
    Server/NAS/etc.

Der Aufbaugedanke gefällt mir irgendwie...


Die nächste Frage die ich mir dann stelle ist ob auf meinem Supermicro x11sba-ln4f Mainboard ich die Firewall besser direkt laufen lasse, oder virtualisiert in proxmox oder ähnlichem, damit ich noch weitere VM´s für Pihole oder so erstellen könnte....
Frage ist dann halt wieder ob das Board genug Leistung hat....

Fragen über Fragen...

[Patrick M. Hausen]

Ja Moment ...

Sollen Geräte in beiden Wohnung sich jetzt gegenseitig sehen oder nicht? Wenn ja, dann Bridge. Dann sehen aber alle Geräte in Wohnung 1 alle Geräte in Wohnung 2.

Wenn nicht, dann zwei getrennte Adressbereiche. Hat denn dann jede Wohnung ihr eigenes NAS oder wie? Und weshalb sollten die unterschiedlichen Adressen dann Probleme machen?

Oder gilt: Geräte in Wohnung 1 und Geräte in Wohnung 2 sollen sich nicht sehen aber es gibt X (eher wenige) Geräte, die von beiden Wohnungen aus erreichbar sein sollen?

Gruß
Patrick

[axlemoxle]

Ok, die ganze Sache ist ein bisschen komplizierter...

Die Wohnungen sind nicht im selben Gebäude, die beiden Gebäude sind mit einer Richtfunkstrecke verbunden.

Es gibt an beiden Standorten ein Nas, wobei das Haupt NAS und der Server an Standort A sind. An Standort B gibt es noch ein Nas, das speichert unter anderem die Überwachungskamerabilder der dort hängenden Kameras und dient als Backup von Standort A. Sonos gibts an beiden Standorten, genau so wie TV Geräte.

Der Internetzugang ist auch an Standort A und wird von allen genutzt.

von A soll Zugriff auf B für die Kameras, NAS, Zugangskontrollsystem usw. stattfinden. Der Server vom Zugangskontrollsystem steht z.b. an A, das System hängt aber an B.

Andersrum gibts an B auch ein Büro das auf Dienste des Servers an A zugreifen muss und auch das NAS an A erreichen sollte....

Aber eben die TV-Geräte sollten nur am jeweiligen Standort erscheinen und die Sonos Lautsprecher auch...damit nicht jemand von Standort A den TV an Standort B bedient...oder anders rum

Ich hoffe das ist halbwegs verständlich

[Patrick M. Hausen]

Dann brauchst du zwei Adressbereiche. Und ein gepflegtes DNS, damit Dienste im jeweils anderen Bereich gefunden werden. Und einfach über die "Netzwerkumgebung" browsen funktioniert erstmal nur in jedem Bereich für sich. Je nach NAS kann da eines der Multicast-Repeater-Plugins helfen.

Aber das ganze klingt doch eindeutig gewerblich? Und deine Fragen nicht so als hättest du viel Erfahrung. Holt euch einen Profi, der das einrichtet und dich dabei einweist, was, warum, wieso ...

[axlemoxle]

Von Opnsense habe ich bislang noch gar nix zu tun gehabt, daher arbeite ich mich da ja ein...
Ein Profi nützt mir nix da ich mich ja einarbeiten und damit auskennen möchte. So lernt man am Besten

Die Idee mit dem einen adressbereich kam mir ja eben wegen der Sichtbarkeit der Netzwerkumgebung....2 adressbereiche klingen einleuchtend...dann muss man eben über die ip arbeiten. Geht auch, das andere wäre halt.etwas schicker gewesen

[Patrick M. Hausen]

Ein Profi hilft dir beim auskennen. Ein komplettes Setup in dieser Komplexität hier im Forum durchzukauen kostet Tage mit Stunden real verbratener Zeit und Ungenauigkeiten durch das dauernde hin und her.

Würde ich zu dir kommen, setzten wir uns eine Stunde hin, bemalen ein paar Blätter Papier und den Rest vom Tag würde ich das einrichten und dir dabei erklären, was ich tue. Kosten: 1 Manntag. Für einen weiteren halben Tag gibt's abschließend einen Netzplan und weitere Doku.

Ich werde nicht hier im Forum einen Tag für dich arbeiten. Und wahrscheinlich auch sonst niemand. Und dann kommt nich das Haftungsproblem dazu. Willst du allein verantwortlich für die Firewall dieser Firma sein? Wirklich?