gateway fragen für statisches /29 Netz

[chrismaster]

Bei meinem Provider hab ich 4 statische IPs bestellt und ein /29 Netz bekommen.

Aktuell läuft statt der vom Provider zur Verfügung gestellten Fritzbox eine OPNsense-FW direkt an der Glasfaseranschlußbox. Das funktioniert und die OPNsense-FW holt sich per DHCP eine statische IP.

Meine OPNsense-FW hat 4 Ethernetanschlüsse bzw. Interfaces.
Am ersten ist nun der WAN Anschluß und dient als GW für mein LAN.
Am zweiten ist der LAN Anschluß geht in den Router in ein VLAN.
Am dritten soll nun das /29 drann kommen und dem Interface hab ich die erste statische IP vom /29 Netz gegeben und mit einem eigenen VLAN am Router verbunden.

Welches GW setzt man nun für diesen dritten Anschluß? Braucht so eine statische IP kein GW oder ist Interface 1 (WAN) GW? Momentan hab ich Auto-detect eingestellt, das dachte ich funktioniert, jedoch gabe es Probleme zwischen zwei VOIP Anlagen zwischen Anschluß zwei und drei. Dachte die sind komplett getrennt, aber nachdem dies beim selben Provider ist, gab es eine Sperre.

Code: [Select]

        WAN | public static IP über DHCP zugeteilt
                |
        .-----+------.   LAN                             .-------------.
        |  OPNsense  +-----------------------------------+ private LAN |
        '-----+------'   192.168.16.1/24 private IPs         '--------------'
                |
         DMZ | 50.60.70.1/29 public static IPs per DHCP verteilt
                |
             Webserver/VOIPserver/Cloud FileServer


[JeGr]

> Welches GW setzt man nun für diesen dritten Anschluß?

Gar keinen weil es kein WAN ist?

> Bei meinem Provider hab ich 4 statische IPs bestellt und ein /29 Netz bekommen.

Zusätzlich zu der vorhandenen public IP die via DHCP kommt? Und wird das Netz auf die IP geroutet? Oder wie wird das Netz "geliefert"?

[chrismaster]

Mein einziger Anschluß ans öffentliche Netz ist Interface 1.
Darüber bekomme ich meine statische IP per DHCP.

Sorry die dumme Frage, aber muß ich das /29er Netz auch auf das Interface 1 geben? Das wüßte ich jedoch nicht wie.

Momentan habe ich Automatic outbound NAT eingestellt, dadurch wird mein Interface 3 (DMZ mit /29 public IP) wohl über NAT bereitgestellt. Das ist wohl auch ein Fehler.

[chrismaster]

Ich glaube Outbound NAT auf Hybrid und Interface 3 (DMZ /29 public IPs) auf NO NAT zu stellen ist der richtige Weg.

[Patrick M. Hausen]

Wenn dein ISP das /29 in Richtung deiner statischen Adresse routet, dann kannst du das natürlich einem anderen Interface zuweisen, indem z.B. die erste oder die letzte Adresse für das Interface benutzt.

An diesem Interface gibt es dann keinen Gateway. Die OPNsense ist dort der Gateway für die anderen Systeme. Gateways gibt es nur dort, wo die OPNsense selbst einen anderen Router ansprechen muss. Also typischerweise am WAN-Interface und evtl. dort, wo man mehrere Netze und/oder Standorte über weitere Router miteinander verknubbelt.

Achte darauf, dass auf einem Ethernet "die erste oder letzte Adresse" jeweils noch eine Adresse überspringen müssen, da das ein Broadcast-Medium ist. Z.B. dein /29 sei 192.168.42.240/29:

- dann kannst du die 192.168.42.240 nicht verwenden
- 192.168.42.241 könnte deine OPNsense sein
- 192.168.42.242-246 können andere Rechner in diesem Netz nutzen
- 192.168.42.247 ist die Broadcast-Adresse, kannst du auch nicht verwenden
- 192.168.42.246 kannst du natürlich auch für die Sense nehmen und dann 192.168.42.241-245 für die anderen Rechner

NAT stellst du global erstmal auf "aus" und legst für dein LAN mit RFC1918-Adressen die NAT-Regeln manuell an. In dein /29 wird einfach ohne NAT geroutet und über Firewall-Regeln sagst du, was du erlauben willst und was nicht.

<RANT>
NAT ist nicht der Normalfall im Internet.
Normal ist "kein NAT".
NAT derserves to die.
</RANT> 

[chrismaster]

Danke für die ausführliche Antwort!
c.

[JeGr]

> - dann kannst du die 192.168.42.240 nicht verwenden
> - 192.168.42.241 könnte deine OPNsense sein
> - 192.168.42.242-246 können andere Rechner in diesem Netz nutzen
> - 192.168.42.247 ist die Broadcast-Adresse, kannst du auch nicht verwenden
> - 192.168.42.246 kannst du natürlich auch für die Sense nehmen und dann 192.168.42.241-245 für die anderen Rechner

Zusatz dazu und kleiner "Lifehack": Die .240 und .246 könnte man THEORETISCH(!) (DANGER!) trotzdem verwenden wenn man Sie outbound bspw. für ausgehendes NATting für ein/mehrere interne Netze mit privatem IP Range nutzen möchte. Da die Netz- und Broadcast IPs logisch betrachtet immer wieder zum WAN der Sense zurück kommen, kann man Sie theoretisch für Dinge benutzen, die KEINE wirkliche IP Zuweisung auf der Sense benutzen. Wie eben bspw. outbound NAT IP oder auch für ein Forwarding nach innen.

Ja, das ist ein Hack und hat nichts mit sauberer IP Vergabe zu tun.
Ja, wir haben IP Mangel und da versucht man gerne was zu sparen was geht

[Patrick M. Hausen]

Die Einschränkung gilt tatsächlich nur, wenn man das Netz einem lokalen Broadcast-Medium zuweist. Punkt-zu-Punkt oder jeweils auf einem Loopback oder ... funktionieren alle 8, wie Jens richtig schrieb.

Die Art und Weise, wie IP auf Ethernet abgebildet wird, und die ganze Notwendigkeit von Layer-2-Adressen sind kaputt. Hätte man bei IPv6 wegwerfen können, aber man hat wieder denselben Fehler gemacht.

https://apenwarr.ca/log/20170810

Gruß
Patrick

[Jo A. Kim]

Wenn dein ISP das /29 in Richtung deiner statischen Adresse routet, dann kannst du das natürlich einem anderen Interface zuweisen, indem z.B. die erste oder die letzte Adresse für das Interface benutzt.

An diesem Interface gibt es dann keinen Gateway. Die OPNsense ist dort der Gateway für die anderen Systeme. Gateways gibt es nur dort, wo die OPNsense selbst einen anderen Router ansprechen muss. Also typischerweise am WAN-Interface und evtl. dort, wo man mehrere Netze und/oder Standorte über weitere Router miteinander verknubbelt.

Achte darauf, dass auf einem Ethernet "die erste oder letzte Adresse" jeweils noch eine Adresse überspringen müssen, da das ein Broadcast-Medium ist. Z.B. dein /29 sei 192.168.42.240/29:

- dann kannst du die 192.168.42.240 nicht verwenden
- 192.168.42.241 könnte deine OPNsense sein
- 192.168.42.242-246 können andere Rechner in diesem Netz nutzen
- 192.168.42.247 ist die Broadcast-Adresse, kannst du auch nicht verwenden
- 192.168.42.246 kannst du natürlich auch für die Sense nehmen und dann 192.168.42.241-245 für die anderen Rechner

NAT stellst du global erstmal auf "aus" und legst für dein LAN mit RFC1918-Adressen die NAT-Regeln manuell an. In dein /29 wird einfach ohne NAT geroutet und über Firewall-Regeln sagst du, was du erlauben willst und was nicht.

<RANT>
NAT ist nicht der Normalfall im Internet.
Normal ist "kein NAT".
NAT derserves to die.
</RANT> 

Hallo Gemeinde,
ich habe auch ein /29er Netz am Start, habe dennoch nur Verbindung zur Adresse (die erste) die der OPNsense eingetragen ist. Die anderen kommen gar nicht an. Was mache mache ich da noch falsch?

Vielen Dank schon mal
Jo A. Kim

[Patrick M. Hausen]

Was genau hast du denn konfiguriert? Wie routet dein Provider das /29?