Hilfe und Verständnisfrage

[Richard090969]

Hallo,

ich habe kürzlich ein Protectli Barbone mit 4Ports erworben, auf dem OPNsense läuft, da ich mein NAS nicht ungeschützt betreiben möchte. Ich habe die Grundinstallation durchgeführt, jedoch noch keine Regeln festgelegt.

Bevor ich weitere Änderungen vornehme, möchte ich zunächst verstehen, wie alles funktioniert.

Leider ist es mir nicht gelungen, ein Bild einzufügen, daher beschreibe ich die Konfiguration in Textform.

Mein Netzwerk ist recht übersichtlich: Es besteht aus einer Fritzbox (Kabel) als Einstieg, gefolgt von einer Firewall, die OPNsense ausführt. An die Firewall sind zwei LAN-Ports angeschlossen: LAN1 für meinen PC und LAN2 für das NAS. Die IP-Adressen wurden vom System zugewiesen.

DHCP auf LAN1 (192.168.1.1) wurde vom OPNsense eingerichtet , und leider kann ich es nicht deaktivieren. Zuerst habe ich die IP-Adresse von LAN2 statisch auf 192.168.1.2 gesetzt. Allerdings stellte ich fest, dass mein PC plötzlich keinen Internetzugang mehr hatte, sobald ich das NAS ausschaltete. Nachdem ich die Einstellung von statisch auf DHCP für LAN2 geändert habe, konnte ich das NAS ein- und ausschalten, und mein PC behielt den Internetzugang. Erste Frage: ist das normal?

Ich stehe vor der Herausforderung, von meinem PC (LAN1) nicht auf mein NAS (LAN2) zugreifen zu können. Nach einiger Recherche bin ich auf die Möglichkeit gestoßen, dies über eine Bridge zu lösen. Ich habe die Anleitung unter https://docs.opnsense.org/manual/how-tos/lan_bridge.html gelesen, aber ich komme bei der Umsetzung nicht weiter.

Das Problem, dem ich gegenüberstehe, ist folgendes: Ich habe einen "Bridge" unter "Other Type" erstellt und die Schnittstellen für LAN1 und LAN2 hinzugefügt. Bei den Einstellungen der Schnittstelle für LAN2 habe ich den IPv4-Typ auf "none" gesetzt. Allerdings ist es mir nicht möglich, dies für die Schnittstelle von LAN1 zu tun, da hier DHCP aktiviert ist.

Frage2: Wie kann ich dieses Problem lösen?

[Saarbremer]

Hi,

Erste Frage: ist das normal?

Ja

Wie kann ich dieses Problem lösen?

Lass den Bridge Mode sein.

Zwei Interfaces im Bridge-Mode betreiben ist wie einen Switch benutzen. Der braucht aber weniger Strom und weniger Aufmerksamkeit.

Wenn du wirklich dein NAS absichern willst, brauchst du ein kleines Netzkonzept. Du hast ein WAN-Zugangsnetz (von deiner Kabel-Box), du hast ein LAN #1 für deinen Rechner und willst ein LAN #2 für dein NAS. Da stellt man sich die Frage:

* Was sollen Rechner im LAN #1 können dürfen? Alles, nur Internet, nur NAS, gar nichts?
* Was sollen Rechner im LAN #2 können dürfen? Alles, nur Internet, nur LAN#1 bedienen, gar nichts?

Und dann definierst du für jedes LAN:
* Eigene IP-Adresse auf OPN-Sense z.B. 192.168.x.1/24 mit unterschiedlichen (!!!) x oder andere aus dem RFC 1918 Bereich
* Konfiguriere DHCP
* Konfiguriere DNS (Resolver (z.B.unbound), Relay (z.B.dnsmasq) oder nichts)
* Definiere Regeln für die Infrastruktur (ICMP für mögliche Pings, Erreichbarkeit der DNS Server, NTP - vieles wird von OPNSense automatisch gemacht, wenn du die internen Dienste nutzt)
* Definiere Regeln, was erlaubt sein soll (und zwar nur das).

[Richard090969]

Hallo,

Lass den Bridge Mode sein.

Ok, ist mir sowieso lieber.

* Was sollen Rechner im LAN #1 können dürfen? Alles, nur Internet, nur NAS, gar nichts?
* Was sollen Rechner im LAN #2 können dürfen? Alles, nur Internet, nur LAN#1 bedienen, gar nichts?

LAN#1 (PC) darf alles. Internet Zugang und zugriff auf LAN#2
LAN#2 (NAS) soll über das Internet erreichbar sein.

Beide Clients dürfen unabhängig Zugang haben. Egal ob der jeweilige Client an oder aus ist.

 

Konfiguriere DHCP

Da gibt es nicht viel was ich Konfigurieren kann. Siehe Anlage. oder ich schaue an der falschen Stellen nach.

Ich habe zu Anfang testweise (bei meinen ersten versuchen) alles freigegeben. Sowol LAN #1 als auch LAN #2.
Trotzdem konnte ich vom PC nicht auf das NAS zugreifen.   

Beim DNS(unbound)  hatte ich die Einstellung auf "Standard" gelassen, aber kannst du mir ein Tipp geben wo  an welcher
Einstellung ich drehen kann?

[Saarbremer]

Hallo,

du solltest dich mit der Funktionsweise von IP beschäftigen. Beide Netzwerke (LAN 1 und 2) sollten eigene IP Bereiche erhalten. Dann musst du klären, welches DNS du benutzen willst. Den vom ISP / Box oder einen eigenen auf OPNsense (unbound). Außerdem scheint die Box auf WAN eine private IP zu verwenden, weil du noch eine ISP Box davor hast. Ergo musst du Routen auf der Box setzen können, bevor irgendwas von außen erreichbar wird. Alternativ kann man auch mit NAT und Port Forwarding arbeiten - ist aber noch umständlicher.

Die Wahlmöglichkeiten sind wie gesagt vielfältig.

Darüberhinaus muss du dann entsprechende Firewall-Regeln für beide Netzwerke einstellen. Die IP-Adressebereiche dürfen sich nicht überlappen. D.h. z.B. 192.168.1.1/24 und 192.168.2.1/24 als Interface Adressen. Aber nur, wenn 192.168.1 bzw 192.168.2 noch nicht in Benutzung sind von der ISP Box.

Damit du auch in Zukunft Herr über die Anlage bist, würde ich empfehlen, die Basics durchzugehen.

Einen guten Einstieg könnten z.B. die offiziellen Docs sein, oder auch die hier

https://www.thomas-krenn.com/de/wiki/OPNsense_installieren
https://www.thomas-krenn.com/de/wiki/OPNsense_Interface_hinzuf%C3%BCgen

Was du mit deinem NAS machen willst, sollte im Internet auch unter dem Stichwort DMZ zu finden sein. Und vielfältige Überlegungen dazu.

[trixter]

Moin,

ich glaube Du hast den Sinn einer Firewall nicht so ganz verstanden?

Mal ganz Basic: eine Firewall ist erst einmal ein Router der Netzwerke verbindet. Zusätzlich werden für den Übergang von einem dieser Netzwerke in ein anderes Regeln festgelegt (Wer darf von wo wohin?).

Wenn Du alles flach in ein Subnetz packst macht eine klassische Firewall keinen Sinn.

Mögliche Topologie :

Internet (62.21.34.56) Fritzbox LAN (192.168.1.1) - (192.168.1.2) WAN OPNSense LAN (192.168.2.1) - (192.168.2.10) PC (Gateway 192.168.2.1)
OPNSense Opt1 (192.168.3.1) - (192.168.3.10) NAS (Gateway 192.168.3.1)

Gateway in der OPNsese wäre hier (192.168.1.1) also die Fritzbox

Bsp für Regeln:Wenn man jetzt auf den Regen für LAN der 2.10 den Zugriif auf die 3.10 erlaubt kommt man aufs NAS.
und so weiter ...

[Richard090969]

Hallo,

[...] Beide Netzwerke (LAN 1 und 2) sollten eigene IP Bereiche erhalten. Dann musst du klären, welches DNS du benutzen willst. Den vom ISP / Box oder einen eigenen auf OPNsense (unbound). Außerdem scheint die Box auf WAN eine private IP zu verwenden, weil du noch eine ISP Box davor hast. Ergo musst du Routen auf der Box setzen können, bevor irgendwas von außen erreichbar wird. Alternativ kann man auch mit NAT und Port Forwarding arbeiten - ist aber noch umständlicher.

[...]

Darüberhinaus muss du dann entsprechende Firewall-Regeln für beide Netzwerke einstellen. Die IP-Adressebereiche dürfen sich nicht überlappen. D.h. z.B. 192.168.1.1/24 und 192.168.2.1/24 als Interface Adressen. Aber nur, wenn 192.168.1 bzw 192.168.2 noch nicht in Benutzung sind von der ISP Box. [...]

Danke ich werde mir das anschauen