Mit OPNSense verschiedene Subnetzbereiche routen (Anfänger)?

Started by Frank13, May 02, 2024, 02:07:45 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
May 02, 2024, 02:07:45 PM
Hallo allerseits!

Ich bräuchte mal eine einfache Anleitung für Einsteiger, wie ich folgendes Routing mit OPNSense hinbekomme:

Ich habe eine Fritzbox (192.168.178.1) und verschiedene Geräte in diesem Netzwerk, auch meinen PC (192.168.178.5).

Nun möchte ich von diesem aus auf einen Netzwerkswitch (172.16.2.82) zugreifen. Der hängt physikalisch im gleichen LAN, ich möchte den erstmal nur wegen "kreativen Teenagern" aus deren Blickfeld (Netzwerkumgebung) wegsortieren. Für die Einarbeitung in VLANs fehlt mir im Moment einfach die Zeit...

Was muss ich da wo in OPNSense einstellen - ich habe mich leider bisher mit LAN-Routing nicht beschäftigen können. Bisher nutze ich einen Browser in einer passend konfigurierten VirtualBox, das ist mir nur etwas zu umständlich.

Die OPNSense läuft zum Testen auch erstmal in einer VirtualBox, der Zugriff auf die Weboberfläche vom PC klappt.

Viele Grüße

Frank
May 02, 2024, 02:18:40 PM #1
QuoteNun möchte ich von diesem aus auf einen Netzwerkswitch (172.16.2.82) zugreifen. Der hängt physikalisch im gleichen LAN, ich möchte den erstmal nur wegen "kreativen Teenagern" aus deren Blickfeld (Netzwerkumgebung) wegsortieren. Für die Einarbeitung in VLANs fehlt mir im Moment einfach die Zeit...

Wenn du es "richtig" machen willst wirst du an Segmentierung, d.h. Aufteilung der Netzwerke in getrennte Segmente nicht vorbei kommen. Du kannst natürlich unterschiedliche IP Bereiche im gleichen Netz verwenden und hoffen, dass das eine Segment nicht noch anderweitig in Benutzung ist. Dann sind aber alle Teilnehmer im gleichen Netz durch Rekonfiguration ihrer Netzwerkadresse in der Lage, sich Zugang zu den vermeintlich versteckten Geräten zu verschaffen. Ist also letzten Endes nur Zeitverschwendung, wenn man so will.

In deinem Setup würde man die Fritzbox nur ein Transfernetz anbieten lassen, in dem dann nur die OPNsense hängt. Dort definiert man verschiedene VLANs mit eigenen IP-Bereichen und was erlaubt sein soll, bzw. was nicht. Dann noch die Routen auf der Fritzbox korrekt setzen.

Natürlich braucht man dafür entweder einen managebaren Switch für VLANs oder mehrere physikalische NICs + separate Kabel und Switches an der OPNSense, um die Netzwerke zu trennen (physische Trennung - teuer, unflexibel).
May 02, 2024, 02:27:14 PM #2
Das ist mir schon klar. Das Netz ist ein über die Zeit "gewachsenes" Netz in einem Altbau - da komme ich teilweise nicht mit neuen Kabeln oder Geräten irgendwo hin.
Daher die Idee, das jetzt erstmal unsauber und unsicher zu trennen (für die Neugier der Teenager reicht das) und später mal ein neues dann sauber aufgebautes Netz zu ziehen. Dafür fehlt mir im Moment aber Zeit und Geld, daher wollte ich mir die Verwaltung mit OPNSense etwas vereinfachen...
May 02, 2024, 02:35:10 PM #3
Quote from: Frank13 on May 02, 2024, 02:27:14 PM
daher wollte ich mir die Verwaltung mit OPNSense etwas vereinfachen...
Du hast also kein Geld, keine Zeit und keine Ahnung, aber dafür Teenager... Und die sollen irgendwie nicht auf deinen PC zugreifen können? Und dann kommst Du auf die Idee, eine OPNsense in VirtualBox zu installieren und das soll irgendwie helfen?
May 02, 2024, 02:42:33 PM #4
Die sollen nur einfach die Netzwerkswitche und ein paar IoT Geräte nicht sehen können in ihrer Netzwerkumgebung. Wenn ich (nächstes oder übernächstes Jahr) endlich mal Zeit finde, werde ich ein sauberes Netz mit VLANs einrichten - aber bis dahin habe ich leider keine Zeit, mich damit zu beschäftigen.
Da dachte ich an eine temporäre (unsaubere) Übergangslösung. Wenn OPNSense das nicht kann, muss ich mir halt weiter mit der Krücke in den VMs behelfen...
May 02, 2024, 03:17:29 PM #5
Quote from: Frank13 on May 02, 2024, 02:42:33 PM
Da dachte ich an eine temporäre (unsaubere) Übergangslösung. Wenn OPNSense das nicht kann, muss ich mir halt weiter mit der Krücke in den VMs behelfen...

OpnSense kann das sehr wohl. Dummerweise macht es damit aber nur Sinn, wenn du eine OpnSense durchgehend zu laufen hast. Egal ob auf dem Blech oder virtualisiert. Und du brauchst dann entweder einen managed Switch oder mehrerer unmanaged. Wobei insbesondere letztere für deine Teenis unerreichbar sein müssen, weil du dort keine  Bindung der Ports an Subnetze bekommst.
Sobald du diese Bedingungen nicht erfüllen kannst oder willst, wirst du ziemlich sicher keine Freude an OpnSense  haben. Dann bleibe besser bei deiner jetzigen Lösung und pass auf, das deine Teenis niemals die IP-Adressen deiner zu versteckenden Geräte zu sehen bekommen.

Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
May 02, 2024, 03:19:26 PM #6
Du brauchst kein Opnsense dafür.

Die Geräte, die nicht sichtbar sein sollen bekommen halt eine IP aus einem anderen Netzwerkbereich. Also statt z.B. 192.168.158.x/24 bekommen die 192.168.159.x/24.

Schon sind sie für die 192.168.158.x Fraktion nicht mehr zu sehen. Internet geht aber dann auch nicht mehr - und wer drauf zugreifen will, braucht im gleichen Netz eine zweite IP Adresse.

Also 192.168.158.x (von der Fritzbox per DHCP) und zusätzlich noch 192.168.159.x 

Ob das mit deiner Hardware/Treiber/Windows funktioniert weiß ich nicht.
Keine Gewähr, dass das funktioniert oder sonst keine schädlichen Auswirkungen hat.
May 02, 2024, 03:24:27 PM #7
Ich hatte schon länger mit dem sauberen Neuaufbau des Netzes geliebäugelt und war da an OPNSense als Router/Firewall-Kombination hängen geblieben und wollte mich einfach schonmal mit beschäftigen damit ich es dann wenn ich es brauche auch gut nutzen kann...
Eine separate Hardware brauche ich zur Zeit nicht, da ich einfach nur von meinem PC aus auf die Geräte in anderen IP-Bereich zugreifen wollte.

Aber vielleicht ist die 2. IP im Windows wirklich die einfachere Übergangslösung und wenn es soweit ist, suche ich was für mich als Softwarelösung (in Verbindung mit einer passenden Hardware) in Frage kommt...
May 02, 2024, 03:55:40 PM #8 Last Edit: May 02, 2024, 03:57:26 PM by Bob.Dig
Auch mit einfachen, VLAN-fähigen Switchen kann man Geräte voneinander trennen. Die bleiben dann aber in einem Subnet.
https://geizhals.de/?cat=switchgi&xf=14846_802.1Qonly&asuch=&bpmin=&bpmax=&v=k&hloc=at&hloc=de&plz=&dist=&mail=&sort=p&bl1_id=30
Kostet 30€ für einen 8-Port-Switch, keine OPNsense nötig. Diese Switche kann man hinterher auch wunderbar mit einer OPNsense kombinieren.
May 02, 2024, 04:17:55 PM #9
Welche Hersteller von managed switches haben denn eine Servicesoftware, die auch in Linux läuft oder ein Webportal auf dem Router? Wobei mir dann schon wieder die Frage kommt, wie lange/regelmäßig gibt es dazu Sicherheitsupdates...?

Ein "dummer" Switch hält praktisch ewig und wenn man die Interfaces seiner sense nicht sinnfrei zu ein einem Softwareswitch degradiert ist das m.E. immer noch die bessere Lösung für sauber getrennte Netze.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
May 02, 2024, 04:30:30 PM #10
Quote from: chemlud on May 02, 2024, 04:17:55 PM
für sauber getrennte Netze.
Wie ich bereits sagte, so ein VLAN-fähiger Smart-Managed-Switch alleine trennt keine Netze, sondern nur seine Ports. Dass der OP mit einer *Sense wahrscheinlich überfordert ist, sollte klar sein. So wie auch die meisten Eintagsfliegen, die (warum auch immer) hier aufschlagen.
May 02, 2024, 04:38:36 PM #11
...das ist eher eine Frage der Geduld. Und zu Anfang einfach keinen komplizierten Mist einbauen wollen. Später dann DNS, ggf. DynDNS, Tunnel etc. nach eigenen Wünschen optimieren. Wenn man dran bleibt und vorsichtig aufbaut (backups, falls mal was schief geht, rollback in der GUI kennen) ist das im privaten Bereich machbar. Mit ordentlichem Support aus dem Forum...
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
May 02, 2024, 05:02:22 PM #12
Genau nach dem Support hatte ich ja gefragt!

Ich wollte mich langsam in OPNSense einarbeiten und hatte ein aktuelles Problem was ich damit lösen wollte - auch wenn es nicht unbedingt die perfekte Lösung (und dazu in einer etwas exotischen Konfiguration zu Anfang) ist, hätte es mir durchaus einen Lernerfolg beschert...
May 02, 2024, 05:51:01 PM #13 Last Edit: May 02, 2024, 05:53:56 PM by cadzen
Quote from: Frank13 on May 02, 2024, 05:02:22 PM
Genau nach dem Support hatte ich ja gefragt!

Du bist aber hier im OPNsense Forum. Netzwerkgrundlagen sollte man sich vorher erarbeiten.

QuoteIch wollte mich langsam in OPNSense einarbeiten und hatte ein aktuelles Problem was ich damit lösen wollte - auch wenn es nicht unbedingt die perfekte Lösung (und dazu in einer etwas exotischen Konfiguration zu Anfang) ist, hätte es mir durchaus einen Lernerfolg beschert...

Dazu gehört vordergründig mal, dass man sich mit der Dokumentation befasst. Und wenn du dann eine wirklich "exotische Konfiguration" hast und nicht weiterkommst, wird dir sicherlich gern geholfen. Aber Fragen die mit "Ich habe eine Fritzbox ..." und "Ich bräuchte mal eine einfache Anleitung für Einsteiger ..." anfangen ... naja, siehst ja selbst.  ;)
May 02, 2024, 06:08:42 PM #14
Quote from: Frank13 on May 02, 2024, 05:02:22 PM
Genau nach dem Support hatte ich ja gefragt!


Ähm, nö. Irgendwas von hinten durch die Fritzbox und das Knie deiner Kinder in's Auge :-D

Einfach wäre z. B. die Kiddies hinter einer Sense, die an der Fritte hängt. Netzwerkgrundlagen on the go, würde ich sagen. Aber nicht erwarten, dass einer kommt und dir das Netz designt und aufsetzt ;-)
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Print
Go Up Pages1 2
User actions