Mit OPNSense verschiedene Subnetzbereiche routen (Anfänger)?

[Frank13]

Hallo allerseits!

Ich bräuchte mal eine einfache Anleitung für Einsteiger, wie ich folgendes Routing mit OPNSense hinbekomme:

Ich habe eine Fritzbox (192.168.178.1) und verschiedene Geräte in diesem Netzwerk, auch meinen PC (192.168.178.5).

Nun möchte ich von diesem aus auf einen Netzwerkswitch (172.16.2.82) zugreifen. Der hängt physikalisch im gleichen LAN, ich möchte den erstmal nur wegen "kreativen Teenagern" aus deren Blickfeld (Netzwerkumgebung) wegsortieren. Für die Einarbeitung in VLANs fehlt mir im Moment einfach die Zeit...

Was muss ich da wo in OPNSense einstellen - ich habe mich leider bisher mit LAN-Routing nicht beschäftigen können. Bisher nutze ich einen Browser in einer passend konfigurierten VirtualBox, das ist mir nur etwas zu umständlich.

Die OPNSense läuft zum Testen auch erstmal in einer VirtualBox, der Zugriff auf die Weboberfläche vom PC klappt.

Viele Grüße

Frank

[Saarbremer]

Nun möchte ich von diesem aus auf einen Netzwerkswitch (172.16.2.82) zugreifen. Der hängt physikalisch im gleichen LAN, ich möchte den erstmal nur wegen "kreativen Teenagern" aus deren Blickfeld (Netzwerkumgebung) wegsortieren. Für die Einarbeitung in VLANs fehlt mir im Moment einfach die Zeit...

Wenn du es "richtig" machen willst wirst du an Segmentierung, d.h. Aufteilung der Netzwerke in getrennte Segmente nicht vorbei kommen. Du kannst natürlich unterschiedliche IP Bereiche im gleichen Netz verwenden und hoffen, dass das eine Segment nicht noch anderweitig in Benutzung ist. Dann sind aber alle Teilnehmer im gleichen Netz durch Rekonfiguration ihrer Netzwerkadresse in der Lage, sich Zugang zu den vermeintlich versteckten Geräten zu verschaffen. Ist also letzten Endes nur Zeitverschwendung, wenn man so will.

In deinem Setup würde man die Fritzbox nur ein Transfernetz anbieten lassen, in dem dann nur die OPNsense hängt. Dort definiert man verschiedene VLANs mit eigenen IP-Bereichen und was erlaubt sein soll, bzw. was nicht. Dann noch die Routen auf der Fritzbox korrekt setzen.

Natürlich braucht man dafür entweder einen managebaren Switch für VLANs oder mehrere physikalische NICs + separate Kabel und Switches an der OPNSense, um die Netzwerke zu trennen (physische Trennung - teuer, unflexibel).

[Frank13]

Das ist mir schon klar. Das Netz ist ein über die Zeit "gewachsenes" Netz in einem Altbau - da komme ich teilweise nicht mit neuen Kabeln oder Geräten irgendwo hin.
Daher die Idee, das jetzt erstmal unsauber und unsicher zu trennen (für die Neugier der Teenager reicht das) und später mal ein neues dann sauber aufgebautes Netz zu ziehen. Dafür fehlt mir im Moment aber Zeit und Geld, daher wollte ich mir die Verwaltung mit OPNSense etwas vereinfachen...

[Bob.Dig]

daher wollte ich mir die Verwaltung mit OPNSense etwas vereinfachen...

Du hast also kein Geld, keine Zeit und keine Ahnung, aber dafür Teenager... Und die sollen irgendwie nicht auf deinen PC zugreifen können? Und dann kommst Du auf die Idee, eine OPNsense in VirtualBox zu installieren und das soll irgendwie helfen?

[Frank13]

Die sollen nur einfach die Netzwerkswitche und ein paar IoT Geräte nicht sehen können in ihrer Netzwerkumgebung. Wenn ich (nächstes oder übernächstes Jahr) endlich mal Zeit finde, werde ich ein sauberes Netz mit VLANs einrichten - aber bis dahin habe ich leider keine Zeit, mich damit zu beschäftigen.
Da dachte ich an eine temporäre (unsaubere) Übergangslösung. Wenn OPNSense das nicht kann, muss ich mir halt weiter mit der Krücke in den VMs behelfen...

[kruemelmonster]

Da dachte ich an eine temporäre (unsaubere) Übergangslösung. Wenn OPNSense das nicht kann, muss ich mir halt weiter mit der Krücke in den VMs behelfen...

OpnSense kann das sehr wohl. Dummerweise macht es damit aber nur Sinn, wenn du eine OpnSense durchgehend zu laufen hast. Egal ob auf dem Blech oder virtualisiert. Und du brauchst dann entweder einen managed Switch oder mehrerer unmanaged. Wobei insbesondere letztere für deine Teenis unerreichbar sein müssen, weil du dort keine  Bindung der Ports an Subnetze bekommst.
Sobald du diese Bedingungen nicht erfüllen kannst oder willst, wirst du ziemlich sicher keine Freude an OpnSense  haben. Dann bleibe besser bei deiner jetzigen Lösung und pass auf, das deine Teenis niemals die IP-Adressen deiner zu versteckenden Geräte zu sehen bekommen.

[Saarbremer]

Du brauchst kein Opnsense dafür.

Die Geräte, die nicht sichtbar sein sollen bekommen halt eine IP aus einem anderen Netzwerkbereich. Also statt z.B. 192.168.158.x/24 bekommen die 192.168.159.x/24.

Schon sind sie für die 192.168.158.x Fraktion nicht mehr zu sehen. Internet geht aber dann auch nicht mehr - und wer drauf zugreifen will, braucht im gleichen Netz eine zweite IP Adresse.

Also 192.168.158.x (von der Fritzbox per DHCP) und zusätzlich noch 192.168.159.x 

Ob das mit deiner Hardware/Treiber/Windows funktioniert weiß ich nicht.
Keine Gewähr, dass das funktioniert oder sonst keine schädlichen Auswirkungen hat.

[Frank13]

Ich hatte schon länger mit dem sauberen Neuaufbau des Netzes geliebäugelt und war da an OPNSense als Router/Firewall-Kombination hängen geblieben und wollte mich einfach schonmal mit beschäftigen damit ich es dann wenn ich es brauche auch gut nutzen kann...
Eine separate Hardware brauche ich zur Zeit nicht, da ich einfach nur von meinem PC aus auf die Geräte in anderen IP-Bereich zugreifen wollte.

Aber vielleicht ist die 2. IP im Windows wirklich die einfachere Übergangslösung und wenn es soweit ist, suche ich was für mich als Softwarelösung (in Verbindung mit einer passenden Hardware) in Frage kommt...

[Bob.Dig]

Auch mit einfachen, VLAN-fähigen Switchen kann man Geräte voneinander trennen. Die bleiben dann aber in einem Subnet.
https://geizhals.de/?cat=switchgi&xf=14846_802.1Qonly&asuch=&bpmin=&bpmax=&v=k&hloc=at&hloc=de&plz=&dist=&mail=&sort=p&bl1_id=30
Kostet 30€ für einen 8-Port-Switch, keine OPNsense nötig. Diese Switche kann man hinterher auch wunderbar mit einer OPNsense kombinieren.

[chemlud]

Welche Hersteller von managed switches haben denn eine Servicesoftware, die auch in Linux läuft oder ein Webportal auf dem Router? Wobei mir dann schon wieder die Frage kommt, wie lange/regelmäßig gibt es dazu Sicherheitsupdates...?

Ein "dummer" Switch hält praktisch ewig und wenn man die Interfaces seiner sense nicht sinnfrei zu ein einem Softwareswitch degradiert ist das m.E. immer noch die bessere Lösung für sauber getrennte Netze.

[Bob.Dig]

für sauber getrennte Netze.

Wie ich bereits sagte, so ein VLAN-fähiger Smart-Managed-Switch alleine trennt keine Netze, sondern nur seine Ports. Dass der OP mit einer *Sense wahrscheinlich überfordert ist, sollte klar sein. So wie auch die meisten Eintagsfliegen, die (warum auch immer) hier aufschlagen.

[chemlud]

...das ist eher eine Frage der Geduld. Und zu Anfang einfach keinen komplizierten Mist einbauen wollen. Später dann DNS, ggf. DynDNS, Tunnel etc. nach eigenen Wünschen optimieren. Wenn man dran bleibt und vorsichtig aufbaut (backups, falls mal was schief geht, rollback in der GUI kennen) ist das im privaten Bereich machbar. Mit ordentlichem Support aus dem Forum...

[Frank13]

Genau nach dem Support hatte ich ja gefragt!

Ich wollte mich langsam in OPNSense einarbeiten und hatte ein aktuelles Problem was ich damit lösen wollte - auch wenn es nicht unbedingt die perfekte Lösung (und dazu in einer etwas exotischen Konfiguration zu Anfang) ist, hätte es mir durchaus einen Lernerfolg beschert...

[cadzen]

Genau nach dem Support hatte ich ja gefragt!

Du bist aber hier im OPNsense Forum. Netzwerkgrundlagen sollte man sich vorher erarbeiten.

Ich wollte mich langsam in OPNSense einarbeiten und hatte ein aktuelles Problem was ich damit lösen wollte - auch wenn es nicht unbedingt die perfekte Lösung (und dazu in einer etwas exotischen Konfiguration zu Anfang) ist, hätte es mir durchaus einen Lernerfolg beschert...

Dazu gehört vordergründig mal, dass man sich mit der Dokumentation befasst. Und wenn du dann eine wirklich "exotische Konfiguration" hast und nicht weiterkommst, wird dir sicherlich gern geholfen. Aber Fragen die mit "Ich habe eine Fritzbox ..." und "Ich bräuchte mal eine einfache Anleitung für Einsteiger ..." anfangen ... naja, siehst ja selbst. 

[chemlud]

Genau nach dem Support hatte ich ja gefragt!

Ähm, nö. Irgendwas von hinten durch die Fritzbox und das Knie deiner Kinder in's Auge :-D

Einfach wäre z. B. die Kiddies hinter einer Sense, die an der Fritte hängt. Netzwerkgrundlagen on the go, würde ich sagen. Aber nicht erwarten, dass einer kommt und dir das Netz designt und aufsetzt ;-)