OPNsense hinter Fritzbox kein Internet obwohl Ping und Routing Okay ist

[Swen1977]

Ich fange das mal so an wie Tuxtom007 mit Lappi und so :)

a) Keine Ahnung
b) Keine Ahnung
Ich bin damals in das Netzwerkzeugs so rein gerutscht und habe es so beibehalten mit den fixen IPs.
MQTT nutze ich auch u.a. für Tasmota, aber da muss ich auch überall dann den Server ändern.

Ich muss mich da wohl auch mal etwas neu sortieren, aber so wusste ich halt anhand der IP welches Gerät es ist.
Für mich wars einfacher von der Übersicht her.

[JeGr]

> MQTT nutze ich auch u.a. für Tasmota, aber da muss ich auch überall dann den Server ändern.

Ah MQTTserver setting. Wenn du damit rumspielen möchtest als Hinweis: Es gibt für Ansible eine Klasse für ansible-tasmota mit der man Deployments da sehr einfach automatisieren kann. Ein Aufruf und man hat direkt mal für drei Dutzend Geräte so ein Setting geändert :)
https://github.com/tobias-richter/ansible-tasmota/

Davon ab, kenne und fühle ich. Hatte ich ganz ganz früher auch mal eingetrichtert bekommen mit lustigen Bereichen (10-20 sind Server, 20-50 Clients, etc.) die heute alle nicht mehr klappen und gerade wenn man mit CIDR Bereichen rumspielt ganz übel sind wenn man alle mal per Maske greifen möchte.

Wenn dus daher jetzt eh neu designest, direkt mal schön mit weißer Fläche anfangen, genug IPs und Subnetze reservieren, kleinen Plan in Tabellentool (oder du hast was Schickes wie Netbox oder ein IPAM) erstellen/einpflegen und dann entsprechend DHCP und Co nutzen, dann hast dus in Zukunft um ein Vielfaches leichter :) Und dabei kannst du ja trotzdem Bereiche Schaffen die du dir merken kannst ohne bspw. CIDR Bereiche zu ignorieren, die du dann in Regeln bspw. sinnvoll nutzen kannst.

Wenn du bspw. deine IoT Clients nicht in .101-.119 packst, sondern die eben sauber ab .97 bis .126 setzt (und vllt. dann einfach die ersten frei lässt) hast du die noch genauso einfach im Kopf, aber kannst mit nem einfachen x.y.z.96/27 alle Geräte auf einmal in dem CIDR Block mitnehmen, filtern, routen, sonstwas machen.

Genauso bei DHCP Bereichen. Je nachdem ob du deine Firewall oben oder unten ins Netz packst (ich bin ja .1 als GW Nutzender - also unten) kann man eben das erste /28er oder /27er Segment leer lassen und hat dann noch eines frei für ein paar einzelne statische Clients und sagt dann ab .65 fängt DHCP an und geht bis .190. Das sind dann die mittleren beiden /26er eines /24 für DHCP genutzt, das erste /26er zerschnitten in Netzwerk und statische IPs und das letzte /26 ist noch frei für wasauchimmer.

So planen wir bspw. bei Kunden das Netzdesign bzw. die Netzwerkarchitektur vor und versuchen das sinnvoll abzudecken. Denn dadurch wird später auch in Regeln - selbst wenn man natürlich Aliase hat - das Leben leichter. Gerade wenn dann Teilbereiche per VPN erreichbar sein müssen.

Cheers :)

[Swen1977]

mit lustigen Bereichen (10-20 sind Server, 20-50 Clients, etc.)

;D So halt ...

kann man eben das erste /28er oder /27er Segment leer lassen und hat dann noch eines frei für ein paar einzelne statische Clients und sagt dann ab .65 fängt DHCP an und geht bis .190. Das sind dann die mittleren beiden /26er eines /24 für DHCP genutzt, das erste /26er zerschnitten in Netzwerk und statische IPs und das letzte /26 ist noch frei für wasauchimmer.

Kannst Du mir das etwas näher erklären? Ich bin da total ahnungslos mit dem Subnetting. Ich bin da jetzt mal drüber gestolpert und weiß nun das /24 eigentlich 255.255.255.0 ist und fühle mich da in die diskrete TTL-Welt zurück versetzt.  :o Mir erschließt sich das nur noch nicht so richtig :-[

Das mit dem ansible-Tasmota kommt mal auch meine andere ToDo Liste ;)

[JeGr]

> Kannst Du mir das etwas näher erklären? Ich bin da total ahnungslos mit dem Subnetting. Ich bin da jetzt mal drüber gestolpert und weiß nun das /24 eigentlich 255.255.255.0 ist und fühle mich da in die diskrete TTL-Welt zurück versetzt.  :o Mir erschließt sich das nur noch nicht so richtig :-[

Am Einfachsten klaust du dir einen Subnet Calculator. Entweder auf der Console (ich hab das in meiner WSL2 miniVM direkt drin auf der ich arbeite) oder einfach als graphisches Tool  wie https://www.calculator.net/ip-subnet-calculator.html

Das Prinzip ist aber einfach. Wir sind mal wieder bei MATHE-MANN - denn alles in der IT ist ja verrückt nach 2er-Potenzen. Darum gibts ja auch 256 Hosts in so einem /24er Subnetz.
IPv4 Adressen sind 32bittig. Darum gibt /32 auch exakt eine IPv4 also genau einen Host an. Das kannst du als 10.20.30.145/32 oder als 10.20.30.145 mit Subnet Mask 255.255.255.255 schreiben. Die Maske invertiert dabei die Bits und gibt wie ne Schablone an, was austauschbar ist (also im Subnetz existieren darf) und was nicht. Eine volle Maske von 32 Bits (alles 255 bzw. /32) sagt also "GENAU DAS DA!".

Bei /24 fehlen die hinteren 8 Bit -> 32-8=24. Damit sind alle 8 Bit adressierbar in einem Netz, ergo 2^8=256 Hosts. Jetzt müssen da noch 2 abgezogen werden wegen Netzadresse (.0) und Broadcast (.255) weil das halt IPv4 so braucht aber bleiben 254 Hosts über.

Subnetting/Supernetting adressiert das Ganze wie mit einer Subnet Maske, nur wird die Maske eben in Bits abgekürzt.

Annahme: Dein LAN wäre 172.22.2.0/24 - also 255.255.255.0. Dann hast du in diesem LAN die 254 Adressen zur Verfügung. Jetzt packst du da auf die .1 deine Firewall als Default GW. Damit dir da aber keiner reinfunkt, wenn du später vielleicht mal was ausbauen willst (bspw. 2. Firewall und Cluster) lässt du ein paar Adressen frei.

Jetzt kann man old school hergehen und einfach 10er Schritte oder sowas machen. Geht. Kollidiert aber eben hart mit der IT und ihren 2^x Adressierungen. Darum schaut man sich kleinere Subnetze an:

/24 = 255.255.255.0 => 2^8 = 256 Hosts
/25 = 255.255.255.128 => 2^7 = 128 Hosts
/26 = 255.255.255.192 => 2^6 = 64 Hosts
/27 = 255.255.255.224 => 2^5 = 32 Hosts
...

Na? Verstehst dus? Mit jedem Bit mehr, dass die Maske adressiert, halbiert sich die Anzahl der Hosts. Weil du eine Zweierpotenz weniger hast. Jedes Bit mehr in der Maske wird von den 32 Bits abgezogen, die man adressieren kann, also schrumpfen die Anzahl der Hosts auf die Hälfte. Bis man nur noch 4, 2, 1 Adressen hat.

Der Witz ist jetzt mit diesen 2^x artigen Grenzen zu arbeiten, statt einfache Dezimalgrenzen zu nehmen. Also sowas wie

Wenn du bspw. deine IoT Clients nicht in .101-.119 packst, sondern die eben sauber ab .97 bis .126 setzt (und vllt. dann einfach die ersten frei lässt) hast du die noch genauso einfach im Kopf, aber kannst mit nem einfachen x.y.z.96/27 alle Geräte auf einmal in dem CIDR Block mitnehmen, filtern, routen, sonstwas machen.

Siehe: https://www.calculator.net/ip-subnet-calculator.html?cclass=any&csubnet=27&cip=172.22.2.96&ctype=ipv4&x=Calculate

Eine /27er Maske adressiert 32 IPs, davon 30 Hosts (weil wir 2 abziehen müssen). Man braucht dabei das Netz nicht mit /27 wirklich zu konfigurieren, darum geht es gar nicht.

Du adressierst einfach dein IOT Netz bspw. mit /24, aber deine DHCP Reservierungen für die Geräte packst du z.B. alle in einen Bereich, den du eben mit /28 oder /27 oder sogar /26 greifen kannst. Dafür gibts wie oben gezeigt schöne Tools die dir das dann auch grafisch anzeigen können. Denn nicht immer kann man einfach sagen, ich will mit /27 einfach 32 Hosts adressieren startend ab X, das klappt nicht, denn die Netzgrenzen sind fix damit sie auf die Bits passen. Die /27er Bereiche gehen also bspw. alle von 0-31, 32-63, 64-95, 96-127 etc. etc. - du kannst nicht einfach .16/27 sagen und von 16-48 wollen - das passt in die Bitmaske nicht rein. Bits sind eben fies ;)

Aber wenn man das ein wenig durchspielt, bekommt man da Ordnung hinein und hat dann den Vorteil z.B. in einer Regel direkt 172.22.2.96/27 schreiben zu können und damit hast du auf einmal gleich alle IOT Geräte erwischt statt einen Alias mit allen einzelnen IPs zu brauchen. Das spart dann Zeit und Nerven. Und im Zweifelsfall einfach nen größeren Bereich wählen damit du Platz hast oder einen wählen, der vergrößert werden kann, bei dem die NetzIP also auch die StartIP für einen größeren Bereich wäre. Bei /27 wären das bspw. 0, 64, 128 und 192 weil dort die /26er Netze anfangen würden. Wenn du sowas dann berücksichtigst oder frei lässt, kannst du Bereiche auch später vergrößern und dann einfach auf /26 in den Regeln abändern. Auf den Geräten ist es durch DHCP eh egal, die sind ja alle im großen /24er aber du nutzt die kleinen Masken eben geschickt für Routing oder Regelwerk und das kann man mit etwas Übung dann eben hinbekommen ;)

Cheers

[Tuxtom007]

a) Warum?
b) Warum keine DHCP Reservierungen? Gerade bei dem IoT Rempel wenn man da mal was neu flashen muss, will man ja schon, dass das ohne irgendwelche Konfiguration nicht gerade in nen IP Konflikt reinhämmert und daher das sauber im DHCP hinterlegen? Würde ich zumindest so machen wenn es schon fixe IPs sein müssen. Ich kenne da IObroker nicht, aber meinen Tasmotas im Homeassistant ist die IP egal, die werden eh via MQTT reingeholt und haben über diese ID interne Zuordnungen. Die IP unter der die funken ist da egal.

Eben, da kann ich JeGr nir beipflichten.

Feste IP's in den Geräte eintragen ist ziemlicher Mist, erlebe ich immer wieder. Da ändern Leute ihre DNS-Einstellungen, weil die z.b. nen PiHole nutzen wollen und schon geht im Netz nichts mehr, weil die vergessen, den Pihole als DNS dann in alle Geräte einzutragen.

Mache das per DHCP-Reservation, das funktioniert bei der OPNSense einwandfrei - ich mache nichts anderes bei mir über VLANs
Ziehe dir die Liste der MacAdresse aus der FritzBox raus und dann ist es ne reine Fleissaufgaben die dann in der OPNSense als DHCP-Reservation in den einzelnen VLAN direkt richtig mit IP-Adresse, MAC und Hostnamen einzutragen.

[Swen1977]

Hi zusammen und erstmal vielen Dank für Eure Hilfe und auch Deine Geduld und Ausführlichkeit(vorallem wegen der Netzwerkgrundlagen im OPNsense-Forum) @JeGr  :)

Mal gucken, ob ich das richtig verstanden habe.

Wenn ich mich der Maske bediene zum Organisieren kann ich aus dem Bereich
192.168.178.0 - 255(1-254) Teilbereiche erstellen (0-31/32-63/...usw.) welche ich getrennt
voneinander aber Zeitgleich nutzen kann in dem ich einfach 192.168.178.0/27 (1-30);192.168.178.32/27(33-62); usw. angebe?

Und durch diese Unterteilung kann ich dann in OPNsense die Teilereiche durch die Maske besser Routen/Filtern mittels Firewall-Regeln?

Du adressierst einfach dein IOT Netz bspw. mit /24, aber deine DHCP Reservierungen für die Geräte packst du z.B. alle in einen Bereich, den du eben mit /28 oder /27 oder sogar /26 greifen kannst.

Wie das funktioniert verstehe ich nicht, in dem /24er Netz ein /27er Netz erstellen?
Erstelle ich das /24er unter Schnittstelle und das /27er dann irgendwo im DHCP Bereich oder sogar in den Firewall-Regeln?

Ich muss mir Sonntag die Einstellmöglichkeiten der OPNsense mal genauer ansehen, immerhin bin ich Online mit dem Laptop über die OPNsense zur Fritzbox wie Tuxtom007 es gemacht hat :)

Aktuell habe ich den Pihole einfach in die Fritzbox eingetragen, alle Clients nutzen ja die Fritzbox als DNS-Server. In OPNsense war ich mal am überlegen das Adguard später zu nutzen  ???
Die MAC-Adressen habe ich schon alle in Excel  ;D

Einen schönen Abend und schönes Wochenende wünsche ich

[Tuxtom007]

Wenn ich mich der Maske bediene zum Organisieren kann ich aus dem Bereich
192.168.178.0 - 255(1-254) Teilbereiche erstellen (0-31/32-63/...usw.) welche ich getrennt
voneinander aber Zeitgleich nutzen kann in dem ich einfach 192.168.178.0/27 (1-30);192.168.178.32/27(33-62); usw. angebe?
......
Aktuell habe ich den Pihole einfach in die Fritzbox eingetragen, alle Clients nutzen ja die Fritzbox als DNS-Server. In OPNsense war ich mal am überlegen das Adguard später zu nutzen  ???
Die MAC-Adressen habe ich schon alle in Excel  ;D

Ja, kann man mit den IP-Netzen so machen, ich persönlich finde das unübersichtlich und zu kompliziert.

Ich würde eher den weg gehen, VLAN's einzurichten und jedem davon sein eigenen /24 Netz geben, so hab ich das überall bisher gemacht.

Dann hast ein VLAN(x) z.b. für IoT mit  192.168(x).0/24 , wobei (x), dann z.b. 10 ist undn dann am einfachsten gleich der VLAN-ID ist. Aus dem Bereich nimmst die untere Hälfte für DHCP-Reservierung, die obere Hälfte für DHCP-Vergabe.
Dann das nächste VLAN20 mit 192.168.20.0/24 für Kids, wieder obere Hälfte DHCP, untere Hälfte der IP's für Reservation.
( die Bereiche kann ja selber bestimmen, ob dir evtl. ein kleiner DHCP-Bereich reicht, ich hab z.b. nur 240 bis 250 für DHCP, da ich ausschlielich mit DHCP-Reservation arbeite.
Einzige Ausnahme ist das Gäste-VLAN, das hat nur DHCP

Mit den VLAN kannst du dann - meiner Meinung nach - wesentlich übersichtlicher Arbeiten und deine Firewall-Regeln bauen.

Mein Tip, nutze die Funkion der Aliase um dort z.b. einen Alias für gleiche Geräte anzulegen, die eh die selben Rechte bekommen.
Beispiel:  Aliase "Drucker_IPs", packst alle IP-Adressen der Drucker rein und in den Firewall-Regeln für den Druckerzugriff aus anderen VLAN ist der Aliase dann deine Zieladresse.
Bekommst nen weiteren Drucker, packst du den nur in den Aliase rein und schon ist der allen FW-Regeln aktualisiert, die den Aliase nutzen.

Oder ein Aliase bei mir "ESP_IPs", da sind alle Mikrocontroller drin, die ich habe und die z.b. per MQTT-Protokoll an mein Smarthomeserver sprechen müssen, der in einem andere VLAN hängt.
Das ist der Grund, warum ich DHCP-Reservierungen nutze.

AdGuard auf der OPNSense: nutze ich länger schon, läuft super gut, vor allem funktioniert der auch direkt mit IPV6 ohne das ich Klimmzüge machen muss, meinen PiHole ( die ich vorher hatte ) feste IPv6-Adressen geben zu müssen.
Als Upstream nutze ich dann noch Unbound auf der OPNSense, der dann die lokalen Adressen auflösst.

[Swen1977]

Moin,
ich nochmal ganz kurz...
Muss ich was beachten, wenn ich die WAN-IP von DHCP auf Fest einstelle?
Sobald ich die IP (unvergeben lt. Fritzbox (254 weil unten alles belegt ist :o )) vergebe bin ich mit OPNsense ohne Internetzugang... Gehe ich auf DHCP zurück, bin ich wieder Online.

Noch eine Frage, falls Ihr das wisst. Ich möchte später gerne VLANs auf meinen Unifi AP AC Pro und 1x Lite nutzen.
Benötige ich dazu die UDM/Gateway oder reicht die Network Application welche ich auf meiner Synology im Container laufen habe und mein Zyxel Switch GS1900?

Ich nehme heute nochmal Anlauf mit dem Umstellen der IPs. Am Sonntag habe ich mir mein Videoüberwachungsnetzwerk zerschossen und musste mangels Zeit noch mal alles auf die alten IPs umstellen weil mit dem DHCP usw. irgendwas nicht passte. Einige Kameras bekamen keine IP obwohl ich alle auf DHCP umgestellt habe.

[JeGr]

> Noch eine Frage, falls Ihr das wisst. Ich möchte später gerne VLANs auf meinen Unifi AP AC Pro und 1x Lite nutzen.
Benötige ich dazu die UDM/Gateway oder reicht die Network Application welche ich auf meiner Synology im Container laufen habe und mein Zyxel Switch GS1900?

Niemand braucht eine UDM ;) Controller reicht für APs aus, wenn du kein Roaming zwischen den APs bräuchtest bzw. einen AP hättest, müsstest du nichtmal den Controller haben. Inzwischen kann man die Dinger auch ohne Controller (nur die APs) einrichten und betreiben.

> Muss ich was beachten, wenn ich die WAN-IP von DHCP auf Fest einstelle?

Dass die Daten korrekt sind. Also Gateway - die Fritte - und deine IP. Aber die Fritte kann sich da sehr dumm anstellen, daher würde ich in deren Heimnetz Bereich erstmal die OPNsense jetzt löschen die da drin ist, die taucht da gern automagisch auf. Weglöschen wo die MAC der Sense auftaucht, abstecken und dann auf statisch konfigurieren und neu anstecken, damit die Fritte nicht denkt das Gerät hätte noch ne alte IP oder es zwingt auf die andere IP zu gehen. Sonst setzt die nen fixen ARP Eintrag.

[Swen1977]

Hallo mal wieder, vielen Dank für Eure Hilfe.

Kurze Zusammenfassung:
Ich konnte einiges Umsetzen und anderes habe ich noch nicht verstanden (Masken und IP Eingrenzung oder so) :)
Mittlerweile läuft die Kommunikatio über die OPNsense zur Fritzbox als Gateway d.h. IoT ist in einem Netz und VLAN, IPCs ebenso und LAN deckt den Rest ab noch im VLAN 1 ab. Telekom MagentaOne läuft auch dank Google. Im Moment dürfen auch noch alle überall hin, da ich in jeden Interface (ausser WAN) eine All-Regel habe und die Fritte ist noch meine Firewall. Muss auch erstmal so bleiben wegen Telefonie und dem DECT-Universum(Thermostate, Steckdosen und Tastern).
(Ich brauche immer länger zum Umsetzen, da ich nicht sooo viel Zeit habe und vieles zwischendurch oder im Frei versuche um zu setzen...)

DA fängt aktuell mein Problem an (kurz vor dem Urlaub)...
Ich weiß nicht ob ich dafür jetzt was neues aufmachen soll oder doch "meinen" Problem-Thread nutzen sollte...

Also, Wireguard... :) Ich nutze auf der Fritte Wireguard und das klappte immer wie ich es braucht und wollte.
Jetzt natürlich nicht mehr, da ich von der Fritte nicht auf das Netzwerk hinter der OPNsense komme.
Ich möchte/müsste aber wegen der Kameras (IPCs) auf das Netzwerk aus der Ferne auf die Kameras zugreifen können.

WIE stelle ich das jetzt am geschicktesten an? Wenn ich google dann kommt immer was von Site2Site VPN mit Fritzboxen o.ä. was es ja nicht ist, oder? Ich würde aktuell einfach gerne das VPN von der Fritte über die VPN zu dem Kamera-Netzwerk durchleiten ohne das ein erhöhtes Sicherheitsrisiko entsteht. Oder ein VPN von der OPNsense durch die CPN der Fritte zugänglich machen.

Ich steh da echt auf dem Schlauch... Mir sind da auch Schlagwörter für ne Suchmaschine recht, die mich zum gewünschten Ergebnis bringen...

Vielen Dank schon mal fürs Lesen und Hilfe :)