Interims-Internetzugang: OPNSense hinter Router betreiben

[hop2341]

Hallo,

wir ziehen in einen Neubau und der Glasfaser-Anschluss ist nicht rechtzeitig fertig geworden. Nun möchte ich aus dem Vorderhaus meiner Oma eine Richtfunkstrecke zu unserem Neubau legen. Meine Oma hat eine Fritzbox am DSL-Anschluss, nutzt aber ausschließlich die Telefonie. Am liebsten möchte ich unsere Infrastruktur (mit IP-Bereich, DHCP-Server auf OPNSense, etc.) so lassen, wie sie in unserer bisherigen Wohnung läuft.

Mir fallen erst einmal folgende Möglichkeiten ein:

• IP-Range auf der Fritzbox anpassen, so dass sie dem bisher auf der OPNSense genutzten Schema entspricht. DHCP auf der OPNSense ausschalten und von Fritzbox machen lassen.
• Fritzbox unverändert lassen und OPNSense dahinter einen eigenen Addressbereich verwalten lassen.
• OPNSense temporär ganz rausnehmen - will ich vermeiden wegen VLANs für IoT-Geräte und Smart Home/KNX

Ich kann nicht einschätzen, welche Lösung die eleganteste ist vor dem Hintergrund, dass an irgendeinem unbekannten Tag X ein Glasfaseranschluss direkt an unser Haus gelegt wird. Meine Erfahrung im Umgang mit OPNSense ist noch nicht wirklich groß, ich betreibe das Ganze seit etwa einem halben Jahr, habe aber außer ein paar Firewall und NAT-Regeln sowie WIreguard noch nicht viel Zeit gehabt, mich tiefer reinzuarbeiten.

Wenn jemand eine ähnliche Situation schon einmal hatte, würde ich mich über Tipps freuen.

Viele Grüße
Micha

[Monviech (Cedrik)]

Die Router Kaskade ist hier die beste temporäre Lösung.

Die OPNsense bekommt per DHCP eine interne IP von der Fritzbox. An der OPNsense muss nur auf dem WAN Interface "Block private IP addresses" ausgeschalten werden.

Wenn es Port Forwards gibt, muss auf der Fritzbox z.B. ein Exposed Host auf die neue interne IP Adresse der OPNsense gemacht werden.

Da ein Doppel NAT entsteht, kann es zu Problemen kommen, z.B. mit FTP, SIP, etc... aber der Großteil von normalen TCP Diensten wird funktionieren.

[kruemelmonster]

Hallo,

wir ziehen in einen Neubau und der Glasfaser-Anschluss ist nicht rechtzeitig fertig geworden. Nun möchte ich aus dem Vorderhaus meiner Oma eine Richtfunkstrecke zu unserem Neubau legen.

Das klingt für mich irgendwie nach Wohneigentum? Sofern deine Oma's Vorderhaus nicht zu weit weg ist, könntest du vielleicht auch über die Lichtwellenleiter der Fa. FUBA (fuba.de) nachdenken. Ist u. U. günstiger (kenne mich mit Richtfunk nicht aus) und auf Grund der technischen Ausführung absolut Potential-frei zwischen unterschiedlichen Gebäuden/Elektroverteilungen zu verlegen.

[hop2341]

Die Router Kaskade ist hier die beste temporäre Lösung.

Werde ich so machen, klingt erstmal nach der minimalinvasiven Lösung. Danke!

[hop2341]

Das klingt für mich irgendwie nach Wohneigentum? Sofern deine Oma's Vorderhaus nicht zu weit weg ist, könntest du vielleicht auch über die Lichtwellenleiter der Fa. FUBA (fuba.de) nachdenken.

Ist in der Tat Wohneigentum. 20 Meter gilt es zu überbrücken und LWL hatte ich mir auch angeschaut. Aber bei allem, was hier so geschachtet wurde in den letzten Monaten, wollte ich nicht noch einen drauf setzen ;-) und die Hoffnung auf FTTH hatte ich eine ganze Zeit noch...

Für eine etwas ältere Unifi Richtfunkstrecke und ein paar Saugnäpfe hab ich unter 100 Euro bezahlt. Die Fenster sind unbeschichtet an beiden Häusern. Vielleicht geht es ja auch so.

[mooh]

Da die Fritzbox schon NAT macht, kann man NAT auf der OPNsense abschalten. Dann wählt man ein Netzwerk, das in den LANs der OPNsense nicht verwendet wird. Man muss dann nur noch der Fritzbox erklären, dass sie die internen Adressen der OPNsense an deren WAN Adresse schicken soll und die Fritte zum Default Gateway der OPNsense machen. Also z.B. Transfernetz zwischen Fritte und OPNsense sei 172.16/12, die Fritte 172.16.0.1 und die LANs der OPNsense aus 192.168/16. Dann ist das WAN der OPNsense statisch 172.16.0.2 und 172.16.0.1 das Default Gateway. Unter Firewall->NAT->Outbound das automatische Erzeugen von NAT Regeln abschalten. Das geht auch mit jedem anderen Router.