OPNsense hinter Fritzbox kein Internet obwohl Ping und Routing Okay ist

[Swen1977]

Hallo zusammen,
ich brauche mal Hilfe um meinen Knoten im N00b-Kopf zu lösen.

Ich möchte hinter meiner FB7590 eine OPNsense in einer Proxmox VM betreiben um dahinter verschiedene Bereiche per VLAN zu trennen(Videoüberwachung/IoT(ioBroker)/Clients) so das nichts unerlaubt nachhause telefoniert aber ich im Bedarfsfall von Aussen per VPN zugreifen kann(Video/IoT).
Ich erhoffte mir mit den Videos von Daniel Medic u.a. es idiotensicher hin zu bekommen, aber es rechnete wohl keiner mit mir  :o

Ich komme nicht ins Internet über LAN->WAN, sobald ich die Fritzbox aus dem 24-Switch ziehe.
Und sobald ich meinen PC direkt an den LAN von OPNsense stecke kann ich auch nicht mehr auf die OPNsense Oberfläche zugreifen obwohl er mir per DHCP eine IP zuweist aus dem erlaubten Bereich( die FB macht DHCP -.178.200 und die OPNsense auf LAN darf von .178.215-245. Der LAN hat eine feste IP .178.40 und der WAN .178.41 auch.
NAT ist in der OPNsense deaktiviert und Unbound DNS aktiviert.
Die Firewall-Rules habe ich von Daniel Medic übernommen.

Ich weiß einfach nicht was ich übersehe oder falsch gemacht habe... Ich bin allerdings auch kein Netzwerkspezialist sondern krame mich normalerweise durch YT und Ggl aber hier ist irgendwie Ende :-\


Hier erstmal mein grober Netzwerküberblick, kleine Geräte (FireTV usw.) habe ich mal weg gelassen außer den Magenta Receiver weil der ja wohl ein Spezialfall wird lt. Internetaussagen.


Ich hoffe es ist so verständlich und nachvollziehbar, ein paar Screenshots reiche ich noch nach.
Ob ich das alles so Richtig gemacht habe, weiß ich auch nicht wirklich ::)

Ping in verschiedene Richtungen


Traceroute


Vielen Dank!
Gruß
Swen

[Swen1977]

Hier noch ein Bild vom Dashboard und der DHCP Zuweisung von OPNsense an meinen PC per Direktverbindung.

[KHE]

Hallo

Der LAN hat eine feste IP .178.40 und der WAN .178.41 auch.

Das ist der Fehler. OPNsense ist vom Konzept her darauf ausgelegt, dass WAN und LAN in unterschiedlichen Netzwerkbereichen liegen. Nimm für das LAN z.b. .180.1 oder 10.1. Und vermeide .179.1, denn das ist das Gast-Netz der FB.
Für die VLANs vermeide die ID 1, denn manche Hersteller verwenden diese als Default.

Gruß KH

[Swen1977]

Danke für Deine Antwort.
Ich werde das morgen mal ausprobieren, das WAN an der FB und im LAN bzw. PC direkt auf .180.xxx einstellen.
Ich hatte gehofft, das ich einfach im 178er bleiben kann weil ich so viel zum Umstellen habe da ich meist fixe IPs vergeben habe :-\
Die VLAN Nummerierung im Bild nutze ich so natürlich nicht, hatte einfach nur  "durchgezählt" ;D

[Patrick M. Hausen]

OPNsense ist vom Konzept her darauf ausgelegt, dass WAN und LAN in unterschiedlichen Netzwerkbereichen liegen.

Nicht OPNsense. Jedes System in diesem Universum, das IP spricht, muss zwingend unterschiedliche Netzwerke für jedes aktive Interface benutzen.

Dass man z.B. einen Laptop gleichzeitig per Kabel und WLAN in dasselbe Netz hängen kann, widerspricht dem nicht, weil die Desktop-Betriebssysteme die Interfaces priorisieren und einfach nur eines davon benutzen.

Ein Interface - ein Netz - und umgekehrt.

[Swen1977]

Moin zusammen,
ich weiß nicht ob ich es mir zu einfach gemacht habe.

Zum testen habe ich den WAN der OPNsense nun mal ins Gast-LAN .179 der FB gehangen weil es ja ein anderer IP-Bereich ist und der OPNsense-LAN ist halt mit dem Rest .178 verbunden.
Aber an der Problematik hat sich leider nichts geändert.
Ich habe aktuell keine weiteren NICs eingerichtet und auch keine VLANs, ich will erstmal nur von LAN nach WAN ins Internet aber irgendwie bin ich da zu dämlich zu ::)

[Swen1977]

Hier mal noch ein Ping vom PC aus und die Firewall Rules.

[Swen1977]

Und die WAN Rules, welche Automatisch erstellt wurden.

[meyergru]

Wenn Du die OpnSense hinter die Fritzbox stellst, werden Firewall-Regeln allein wohl kaum ausreichen, da brauchst Du entweder Outbound NAT (Stichwort: Doppel-NAT) oder explizite Routen zu Deinem LAN auf der Fritzbox.

[Swen1977]

Wenn Du die OpnSense hinter die Fritzbox stellst, werden Firewall-Regeln allein wohl kaum ausreichen, da brauchst Du entweder Outbound NAT (Stichwort: Doppel-NAT) oder explizite Routen zu Deinem LAN auf der Fritzbox.

Deswegen hatte ich das NAT in der OPNsense abgeschaltet wie in einem Video von Daniel Medic gezeigt wurde.

[meyergru]

Wenn Du die OpnSense hinter die Fritzbox stellst, werden Firewall-Regeln allein wohl kaum ausreichen, da brauchst Du entweder Outbound NAT (Stichwort: Doppel-NAT) oder explizite Routen zu Deinem LAN auf der Fritzbox.

Deswegen hatte ich das NAT in der OPNsense abgeschaltet wie in einem Video von Daniel Medic gezeigt wurde.

Und hast Du also in der Fritzbox die Route auf Dein OpnSense-LAN gesetzt? Ob das mit einem Gast-LAN überhaupt geht, bezweifele ich.

[JeGr]

Moin zusammen,
ich weiß nicht ob ich es mir zu einfach gemacht habe.

Zum testen habe ich den WAN der OPNsense nun mal ins Gast-LAN .179 der FB gehangen weil es ja ein anderer IP-Bereich ist und der OPNsense-LAN ist halt mit dem Rest .178 verbunden.
Aber an der Problematik hat sich leider nichts geändert.
Ich habe aktuell keine weiteren NICs eingerichtet und auch keine VLANs, ich will erstmal nur von LAN nach WAN ins Internet aber irgendwie bin ich da zu dämlich zu ::)

Das ändert aber ja nichts daran, dass die FRITZBOX weiterhin das alte Netz mit der .178 KENNT und das auch bei sich lokal behandelt. So funktioniert Netzwerk. Du kannst dann nicht einfach das WAN der OPNsense in das Gastnetz mit .179.x schieben und dahinter dann doch wieder .178 reden. Wenn dann auch noch NAT AUSgeschaltet ist, dann quasseln über die Leitung plötzlich Geräte die aus .178.x kommen, via .179.x die Fritzbox erreichen und dann ins Netz gehen. Wenn aber die Antwort kommt will die Fritte das LOKAL zustellen, da SIE das .178.x Netz besitzt. Das wird sie nie wieder an deine OPNsense weiterrouten, weil sie gar nicht weiß, dass es da hin soll.

Du schießt dir absichtlich mit Pfeil und Bogen in jedes Knie und versuchst zu laufen ;)

Jetzt stell doch einfach hinter der OPNsense mal ein anderes Netz ein - z.B. 172.20.1.0/24 und klemm das WAN der OPNsense wieder ganz normal an die Fritte und nicht an das Gastnetz - dort gelten nämlich Sonderregeln und Beschränkungen, die man im Normalfall nicht haben will. Und dann lass einfach den DHCP der Sense den Rest erledigen. Warum willst du auf Krampf die Geräte im 192.168.178.x Netz behalten? Wenn du hinterher eh in deiner Sense mehrere VLANs erstellen willst, haben diese eh alle eigene Netze, spätestens dann ist es eh vorbei mit dem FB bekannten 192.168.er und dann macht es keinerlei Sinn mehr auf Krampf mit den alten Adressen rumzulaufen.

Vor allem wenn du danach noch weitere Netze einplanst, plane deinen zukünftigen Adressbereich groß genug und sauber ein, dass du jedem VLAN ein /24er geben kannst und das Ganze dann noch schön in einer großen Maske (ggf. ein /20 oder /19) adressieren kannst.

Also bspw.
neues LAN: 172.20.0.0/24
IoT Zeugs: 172.20.1.0/24
VoIP Geraffel: 172.20.2.0/24
Medienkram: 172.20.3.0/24
usw.
bis 172.20.7.0/24 oder .15.0/24

je nachdem wie viele Netze du brauchst. Wenn dir jetzt 4 einfallen - nimm 8 (/21), wenn dir jetzt schon 6-7 einfallen - nimm 16 (/20). Dann kannst du bei bspw. VPNs das auch sehr einfach mit einer einzigen Route adressieren und musst dann nicht zig verschiedene IP Bereiche freigeben, weil du wild Adressen vergeben hast. Einmal ordentlich durchplanen ist halb gewonnen :)

Cheers
\jens

[Tuxtom007]

Jetzt stell doch einfach hinter der OPNsense mal ein anderes Netz ein - z.B. 172.20.1.0/24 und klemm das WAN der OPNsense wieder ganz normal an die Fritte und nicht an das Gastnetz - dort gelten nämlich Sonderregeln und Beschränkungen, die man im Normalfall nicht haben will. Und dann lass einfach den DHCP der Sense den Rest erledigen. Warum willst du auf Krampf die Geräte im 192.168.178.x Netz behalten? Wenn du hinterher eh in deiner Sense mehrere VLANs erstellen willst, haben diese eh alle eigene Netze, spätestens dann ist es eh vorbei mit dem FB bekannten 192.168.er und dann macht es keinerlei Sinn mehr auf Krampf mit den alten Adressen rumzulaufen.

Da kann ich dir nur beipflichten - was der TE gebaut hat ist zum testen usw. einfach nur Mist und macht es nur unnötig kompliziert.

Ich habs damals genauso gemacht:
- OPNSense mit WAN-Interface in der LAN der Fritzbox ( bzw. Unifi-UDMPro damals )  gehangen und der OPNSense ne feste IP aus dem LAN gegeben ( als WAN-IP sozusagen )
- hinter der OPNSense ganz normal per Wizard die LAN-Konfig gemacht mit einem neuen Netz und mein MacBook dann in diese Netz reingehangen und dann damit konfiguriert und getestet und rumgespiellt.
Das hat einwandfrei funktioniert, ohne irgentwelche Krücken wie NAT abschalten usw.

Ich hab so meine komplette OPNsense-Konfiguration aufgebaut und getestet, inkl. VLAN, DHCP-Server, FW-Regeln usw. - dem MacBook dann ne VLAN-Id gegeben und schon konnte ich die VLAN's testen.

[Swen1977]

Vielen Dank für Eure Erklärungen. :)

Dann werde ich in den sauren Apfel beißen müssen und mein Netzwerk überarbeiten.
Mir grauts davor, weil ich zu 95% fixe IPs vergeben habe bei rund 75 Geräten und auch bei dem IoT Zeug in ioBroker Änderungen vornehmen muss  :o

Ich erstelle mir gerade schon Listen, was ich wo zuordnen muss/möchte  :D
Wenn ich es dann umgesetzt habe, melde ich mich mit Erfolg oder frage wegen Misserfolg  ;D

[JeGr]

> Mir grauts davor, weil ich zu 95% fixe IPs vergeben habe bei rund 75 Geräten und auch bei dem IoT Zeug in ioBroker Änderungen vornehmen muss  :o

a) Warum?
b) Warum keine DHCP Reservierungen? Gerade bei dem IoT Rempel wenn man da mal was neu flashen muss, will man ja schon, dass das ohne irgendwelche Konfiguration nicht gerade in nen IP Konflikt reinhämmert und daher das sauber im DHCP hinterlegen? Würde ich zumindest so machen wenn es schon fixe IPs sein müssen. Ich kenne da IObroker nicht, aber meinen Tasmotas im Homeassistant ist die IP egal, die werden eh via MQTT reingeholt und haben über diese ID interne Zuordnungen. Die IP unter der die funken ist da egal.

Ansonsten sich einfach die Frage stellen WOFÜR brauche ich ggf. ne statische IP außer "das hat man mal so gemacht"?
Ich habe da effektiv kaum mehr Gründe, das nicht einfach irgendwo dynamisch per DHCP vergeben zu lassen und gerade mit Auge auf IPv6 machen statische Zuordnungen oder Reservierungen mit DHCP kaum noch Sinn.

Cheers :)