OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • IPv6, VLANs und Reverse Proxy - aber wie?
« previous next »
  • Print
Pages: [1]

Author Topic: IPv6, VLANs und Reverse Proxy - aber wie?  (Read 340 times)

MacPo

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
    • View Profile
IPv6, VLANs und Reverse Proxy - aber wie?
« on: September 30, 2024, 07:33:33 pm »
Hallo zusammen,

seit einiger Zeit überlege ich, wie ich mein Heimnetzwerk mit Smart Home (ioBroker), verschiedenen Aktoren und Sensoren (Shelly), das NAS und die Gäste sauber trenne und mit IPv4 und IPv6 über eine zentrale Stelle (Reverse Proxy) miteinander verbinde.

Verschiedene Versuche sind immer im Sande verlaufen oder ich habe es bisher nur mit NGINX Proxy Manager zum Teil hinbekommen. Nach meiner Meinung sollte der Reverse Proxy aber auf OPNsense laufen...

Netzaufbau
Code: [Select]

        Internet (Glasfaser von GigaNetz)
            :
            :
            : IPv4: DS-Lite, IPv6: 2a01:1234:0:1::12:1234/64, Präfix: 2a01:1234:2345:6700::/56
      .-----+-----.
      |  FRITZbox | Freigabe für OPNsense: Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen, Exposed Host
      '-----+-----'
            | IPv4: 192.168.128.1/24
            |
        WAN | IPv4: 192.168.128.21/24, IPv6: 2a01:1234:2345:6700:1111:2222:3333:4444/128
      .-----:-------.
      |  OPNsense   | HAProxy, opnsense.mynet.lan
      '-----:-------'             
   LAN      | igb0,  - IPv4: 10.1.1.1/24, IPv6: Track IPv6 Interface, Parent: WAN, Prefix ID: 0x1, Allow manual adjustment of DHCPv6 and Router Advertisments
   LAN2IoT  | vlan02 - IPv4: 10.1.2.1/24, IPv6: Track IPv6 Interface, Parent: WAN, Prefix ID: 0x2, Allow manual adjustment of DHCPv6 and Router Advertisments
   LAN3Gast | vlan03 - IPv4: 10.1.3.1/24, IPv6: Track IPv6 Interface, Parent: WAN, Prefix ID: 0x3, Allow manual adjustment of DHCPv6 and Router Advertisments
   WG       | wg0    - Wireguard
            |
      .-----+------.             
      | LAN-Switch |
      '-----+------'
            |

DynDNS (AAAA): juhu.ddns.net -> Zeigt auf OPNsense 2a01:1234:2345:6700:1111:2222:3333:4444

Folgende Anforderungen gibt es:
* Internet: Zugriff über DynDNS auf NAS erlaubt
* LAN: NAS, PC, Handys, Docker...
  - Zugriff auf Internet, LAN2IoT, LAN3Gast erlaubt
* LAN2IoT: ioBroker, Shellys, Waschmaschine... (nicht alles beherrst IPv6!)
  - Zugriff auf Internet erlaubt
  - Zugriff auf LAN      nicht erlaubt. Ausnahme: ioBroker auf NAS (Backup) und Docker
  - Zugriff auf LAN3Gast nicht erlaubt. Ausnahme: ioBroker auf Sonos
* LAN3Gast: Drucker, Sonos, Gäste...
  - Zugriff auf Internet erlaubt
  - Zugriff auf LAN      nicht erlaubt
  - Zugriff auf LAN2IoT  nicht erlaubt. Ausnahme: Gäste auf ioBroker, Sonos auf NAS (Musik)
* WG: Zugriff auf LAN, LAN2IoT, LAN3Gast erlaubt
* LAN, LAN2IoT, LAN3Gast, WG: Zugriff mit https auf alle internen Dienste wie NAS, Docker, ioBroker... über HAProxy?! auf OPNsense

Das Ziel ist es, IoT und Gäste soweit möglich aus meinem internen Netzwerk auszuschließen und den Konfigurations und vor allem Wartungsaufwand gering zu halten.
Ist das beschriebene Szenario nachvollziehbar? Ist es sinnvoll? Wie bekomme ich IPv6 und HAProxy unter einen Hut?
Wie kann ich das konfigurieren? Wer kann helfen?

Viele Fragen und viel Hoffnung auf hilfreiche Antworten...

Vielen Dank im Voraus

Mark
Logged

Monviech (Cedrik)

  • Global Moderator
  • Hero Member
  • *****
  • Posts: 1662
  • Karma: 178
    • View Profile
Re: IPv6, VLANs und Reverse Proxy - aber wie?
« Reply #1 on: September 30, 2024, 10:16:14 pm »
Was soll denn der Reverse Proxy da machen?

Das sieht für mich einfach nach gerouteten Netzen aus die durch eine Firewall und verschiedene VLANs getrennt werden.

Die zentrale Stelle ist hier die routing Instanz der OPNsense auf Layer3, sowie ein Switch auf Layer2 der die VLANs an die Geräte verteilt.
« Last Edit: September 30, 2024, 10:18:00 pm by Monviech »
Logged
Hardware:
DEC740

Patrick M. Hausen

  • Moderator
  • Hero Member
  • *****
  • Posts: 6934
  • Karma: 584
    • View Profile
Re: IPv6, VLANs und Reverse Proxy - aber wie?
« Reply #2 on: September 30, 2024, 10:46:40 pm »
Kann trotzdem sinnvoll sein für IPv4 und IPv6 nur eine Adresse samt TLS-Termination für Ingress zu haben. Erst recht, wenn manche Dienste nur IPv4 sprechen, man sie aber mit beiden Protokollen im Internet haben will.

Sieht nach einem Paradebeispiel für os-caddy aus  ;)
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

MacPo

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
    • View Profile
Re: IPv6, VLANs und Reverse Proxy - aber wie?
« Reply #3 on: October 01, 2024, 10:38:23 am »
Den Reverse Proxy verwende ich aktuell, um auf die verschiedenen Container wie z.B. Paperless über http mit gültigem Zertifikat zuzugreifen. Zum anderen erhoffe ich mir, dass der Zugriff über Wireguard damit möglich wird, ohne die anderen IP-Adressen immer fest zu hinterlegen (falls sich der Container auf einem anderen Host verschiebt).

Quote
Die zentrale Stelle ist hier die routing Instanz der OPNsense auf Layer3, sowie ein Switch auf Layer2 der die VLANs an die Geräte verteilt.
Wahrscheinlich brauche ich zwingend einen Switch, der Layer2 an Geräte verteilen kann, oder? Für IPv4 könnte ich mir vielleicht noch mit dem DHCP-Server und festen Zuordnungen helfen, aber mit IPv6?

Aber macht das grundsätzlich Sinn, was ich vorhabe oder ist das für das Heimnetz mit Kanonen auf Spatzen geschossen?
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • IPv6, VLANs und Reverse Proxy - aber wie?
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2