Netzwerkstruktur mit Firewall und wohin mit den Zugangsdaten?

[Heikiel]

Hallo, OPNsense Community!

Eine Anfängerfrage habe ich und bitte um Nachsicht, wenn ich etwas Offensichtliches übersehe oder Fachtermini falsch benutze: Ich habe OPNsense auf einem Mini-PC/Firewall mit 4 LAN/Ethernet-Ports installiert. Am WAN-Port des Mini-PC ist ein DSL-Modem (Zyxel VMG1312-B Serie im Bridge Modus, 3 freie Ethernet-Ports) angesteckt. Ich kann nun das GUI über meinen WIN10 PC erreichen. Andere Webseiten kann ich  nicht aufrufen, da noch keine Zugangsdaten (Telekom DSL, kein Glasfaser) hinterlegt sind. Der weitere Plan sieht vor, meine Fritzbox 7490 weiter zu nutzen. Über die Fritzbox laufen DECT-Telefonie (VoIP), DECT-Heizkörperthermostate, integrierter Anrufbeantworter und Faxfunktion (mittels Fritzfax-App). Diese Funktionen möchte ich gerne weiter nutzen. (Die Fritzbox müsste aber nicht unbedingt hinter der Firewall sein.) Über D-LAN sollen noch ein Drucker vom durch die Firewall geschützten PC erreichbar sein. Daneben gibt es noch einen weiteren Windows-PC im Netzwerk, der den Drucker erreichen können, aber nicht unbedingt hinter der Firewall sein muss. Ich habe eine Zeichnung angehängt. Meine Frage ist, wie werden die weiteren Netzwerkkomponenten eingebunden? Wo trage ich dann die DSL-Zugangsdaten ein, um ins Internet zu gelangen? Schon einmal vielen Dank für's Lesen, Hein aus Kiel

[Maurice]

Zugangsdaten in das Gerät, das die PPPoE-Verbindung aufbauen soll. Also wahrscheinlich OPNsense. Es gibt aber auch DSL-Modems, die im Bridge-Mode die PPPoE-Verbindung selbst aufbauen können. Kommt darauf an.

Falls die beiden PCs und der Drucker im selben LAN sein sollen: Die Fritzbox als Switch verwenden. Einen Port mit OPNsense verbinden und an die übrigen drei die PCs und den Drucker anschließen. Wichtig nur, in der Fritzbox alle Routing- / NAT- / Firewall-Funktion zu deaktivieren.

Grüße
Maurice

[Heikiel]

Okay, dann versuche ich das mal herauszufinden, ob mein Zyxel Modem das kann. Falls nicht, wo wäre das in der OPNsense-Konfiguration einzutragen?

Beste Grüße
Hein

[Maurice]

https://docs.opnsense.org/manual/interfaces.html?highlight=pppoe
https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html

[opn-stb]

Hallo,


ich habe das gleiche Modem in Benutzung.
Die Zugangsdaten sollten in die OPNsense, da das Zyxel-Modem nur als reines Modem (ohne PPPoE) oder als Router (mit PPPoE und mit NAT) funktioniert.

Mach noch ein Firmware-Update auf dem Zyxel und wenn du es einfach haben willst, dann lade die Konfig-datei "Netzumstellung". Dabei wird am LAN-Port4 des Zyxel-Modems der VLAN7-Tag automatich gesetzt und das muss nicht die OPNsene machen. Damit hast du die freie Wahl, ob du WAN-seitig VLAN machen wilsst oder nicht.

Telekom hilft Zyxel-VMG1312-B30A:
https://www.telekom.de/hilfe/geraete-zubehoer/router/zyxel/vmg1312-b30a?samChecked=true


VG

[Heikiel]

Danke für den Link und die Empfehlungen. Mit VLAN kenne ich mich noch weniger aus. Hoffe erst einmal, es ohne hinzubekommen. VG

[Heikiel]

Hallo zusammen!

Die Links und Hinweise haben mir sehr geholfen. Vielen Dank dafür! Ich habe die Zugangsdaten in OPNsense hinterlegt und kann jetzt an dem direkt angeschlossenen Haupt-PC ins Internet. Der Mini-PC den ich als Firewall einsetze hat 4 Ethernet-Ports, die mit LAN1 bis LAN4 gekennzeichnet sind. LAN3 ist jetzt mein WAN, dort steckt das Zyxel-Modem dran. LAN4 ist die Buchse für meinen Haupt-PC. LAN1 und LAN2 habe ich unter Schnittstellen konfiguriert: statisches IPv4, kein IPv6. Leider kann ich das an LAN1 angeschlossene Gerät über die definierte IP-Adresse nicht aufrufen. Ich vermute jetzt, dass die IP-Adresse, die ich definiert habe, für die Schnittstelle gilt, nicht aber für das Netzwerkgerät. Wenn das richtig ist, wie finde ich dann die per DHCP diesem Gerät automatisch zugewiesene IP-Adresse heraus? Wenn ich total auf dem Holzweg bin, klärt mich bitte auf. Ich hänge hier schon ein paar Stunden fest..

VG
Hein

[Bob.Dig]

Läuft denn überhaupt ein DHCP Server auf diesem Interface? Das sieht Du im Web-UI, Du kannst aber auch probeweise deinen PC an den Port anschließen. Und die Regeln auf dem Interface nicht vergessen.

[Heikiel]

Ich bin überfragt. Wo sehe ich das mit dem DHCP-Server?  Ich bin ganz neu in diesem Business und tappe herum wie ein Maulwurf bei Hochwasser... 

[Bob.Dig]

Das findest Du! Wenn nicht, dann bist Du mit einer Hardwarefirewall eh nicht gut beraten. Die sind tatsächlich in erster Linie für echte Businesses.

[JeGr]

> Wenn nicht, dann bist Du mit einer Hardwarefirewall eh nicht gut beraten. Die sind tatsächlich in erster Linie für echte Businesses.

Das ist bezogen auf die Fragestellung ja nicht unbedingt hilfreich! Das hat auch nichts mit "HW Firewall" zu tun.

> Ich bin überfragt. Wo sehe ich das mit dem DHCP-Server

Der versteckt sich unter "Services" / "DHCPv4" / <Interface> und kann für jedes Interface einzeln aktiviert oder deaktiviert werden. Für das Standard-LAN Interface ist der DHCP von Haus aus an. Definiert man zusätzliche Interfaces (opt1, ...) muss das alles für diese Interfaces erstmal noch eingestellt werden. Ob DHCP benötigt wird, ob DNS darauf erreichbar ist, welcher IP-Bereich verwendet wird, etc. etc.

>  Ich vermute jetzt, dass die IP-Adresse, die ich definiert habe, für die Schnittstelle gilt, nicht aber für das Netzwerkgerät.

Natürlich, denn die Firewall hat mit deinen Geräten im ersten Schritt erstmal gar nichts zu tun, außer dass sie für die konfigurierten Netze (bspw. LAN) das Gateway ist und Dienste wie DHCP, DNS und Co. bereitstellt. Darum braucht sie natürlich eine Adresse in dem Netz dass sie bedient über das andere Geräte sie erreichen können. Klassisch ist das meistens die .1 oder .254 in normalen /24er Netzen aber je nach lokalen Gegebenheiten kann das auch abweichen.

Du definierst also auf dem Interface nicht die Adresse irgendeines Rechners sondern der Firewall und das Netz dass diese dort verwaltet. Es darf also auch nicht das gleiche Subnetz mehrfach verwendet werden nur mit anderen Adressen. Beispiel: LAN auf 192.168.1.1/24 und OPT1 auf 192.168.1.15/24 konfigurieren bringt nichts und wird nicht funktionieren, denn das ist logisch das gleiche Netz (192.168.1.0-255) und es dürfen nicht zwei unterschiedliche Interfaces das gleiche Netz bedienen, da ansonsten das Gerät nicht weiß, wohin es die Pakete jetzt schicken soll.

Wenn du hier mehrere Geräte einfach im gleichen Netz zusammenschalten willst, nimm lieber einen normalen Switch und schließe den dann an das LAN (ich vermute LAN4 wo dein PC sitzt) an, dann erhältst du wahrscheinlich eher das was dir gerade vorschwebt.

> Wenn das richtig ist, wie finde ich dann die per DHCP diesem Gerät automatisch zugewiesene IP-Adresse heraus?

Wenn auf der Schnittstelle DHCP läuft, dann siehst du vergebene Adressen unter Services / DHCP / Leases.

[Heikiel]

Danke @JeGr, für die ausführliche, verständliche - und nachsichtige - Antwort. Das hilft mir sehr weiter und mein Verständnis für die Zusammenhänge nimmt allmählich zu.

Danke auch an @Bob.Dig, das war wahrscheinlich motivierend gemeint. Ein "echtes Business" betreibe ich schon, aber keines, das die Kosten für eine HW-Firewall inkl. Servicedienstleistungen tragen würde. ;-)

Ich tüftle dann gleich mal weiter!
LG

[Heikiel]

Update zu meinem Problem:

Der DHCP-Server läuft auf dem Standard-LAN Interface. Ich hatte an den anderen Schnittstellen falsche IP-Adressen und Adressbereiche definiert und versucht, die Firewall wie einen Netzwerk-Switch zu verwenden. 

Das Gerät, das ich im Ursprungspost nicht aufrufen konnte, habe ich jetzt wieder an die Fritzbox geklemmt (wie vor der Installation der OPNsense). Leider kann ich es im Fritzbox-Heimnetz-Mesh immer noch nicht sehen. Kann es sein, dass das daran liegt, dass in diesem Netzwerkgerät eine feste IP-Adresse eingetragen ist, die von dem Adressbereich der Fritzbox abweicht?

Soll ich mir nun einen Netzwerk-Switch besorgen oder kann die Fritzbox dazu dienen?

Schönen Abend allen,

Hein

[micneu]

also, ich habe mir nicht mehr alles durchgelesen, aber ich würde ganz einfach:
modem <--> sense <--> lan (z.b. switch) wenn du telefinie benötigst würde ich eine  fritz im clientmodus nehmen und da voip einrichten. ganz simpel
ähnlich ist mein setup, nur das ich kein modem brache da ich glas habe
alles was aus dem lan erreichbar sein soll kommt an den switch der sense (am besten einen managed Layer 2)
wenn du noch auf ideen kommst mit gästelan oder was auch immer

[Heikiel]

Okay, Switch ist der Weg. Danke für den Plan, ich habe das gleiche Fritzbox-Modell. Mal sehen, wie weit ich damit komme.

VG