Anfängerfragen zur OPNSense-Konfiguration – Bitte um Unterstützung

[cptzero]

Mein Ziel ist es mein Heimnetzwerk in VLANs zu separieren.

Hier ist der Aufbau:

       WAN / Internet
            :
            : DSL also PPPoe
            :
      .-----+-----.
      |  Gateway  |  Fritzbox 7530, soll als Modem genutzt werden
      '-----+-----'
            |
            |
            |
      .-----+------.           .------------.
      |Man. Switch +-----------+   Opnsense | auf MacMini 2012 mit einem Ethernet-Anschluss
      '-----+------'           '------------'
            |    |
            |    |----Endgeräte
            |
      .-----+------.
      |     AP     |
      '-----+------'
            |
         Endgeräte

Hardware:
- Modem: Fritzbox 7530
- Router: MacMini 2012 (SSD und 16GB RAM)
- Managed Switch: TP-Link SG108PE
- AP: TP-Link EAP653

Ausgangssituation: Natürlich habe ich mich am Anfang überschätzt und nach ein par Youtube Videos gedacht, ich könnte mit etwas Halbwissen selbst einen Router konfigurieren. Nachdem ich gemerkt habe, dass ich großen Nachholbedarf der Basics brauche, bin ich hier im Forum gelandet. Bevor ich nun Opnsense komplett neu aufsetzte, wollte ich fragen, ob jemand mal grob über mein Setup drüber schauen kann und mir helfen kann das Routing besser zu verstehen.

1. Opnsense hängt immer wieder mal -> Meine Lösung wäre gewesen alle Kapazitäten des MacMini in Proxmox der Opnsense zu geben (Vorher habe ich nur die Mindestanforderung eingestellt und gehofft, ich könnte mit den restlichen Ressourcen noch weitere VMs laufen lassen.)
[Ich nutze Proxmox, um eine virtuelle Netzwerkkarte zu erstellen, damit ich mit einem Ethernet-Anschluss zurecht komme. Nach meiner Recherche sollte diese Konfiguration besser sein als ein USB-Ethernet oder Thunderbolt-Ethernet Adapter.]

2. Konfiguration:
- Fritzbox in Bridge-Mode versetzten
- 2 VLANS: VLAN10 für WAN, VLAN20 für LAN
- 2 Interfaces erstellen: vlan10 und vlan20
- WAN: PPPoe konfigurieren und IP der Fritzbox einstellen (VLAN 7 wegen Telekom?)
- LAN: andere IP-Range als WAN verwenden

Die Firewall-Regeln kommen danach. Erst ein mal muss ich verstehen welchen Weg die Signale gehen und ob dieses Setup wirklich Sinn macht.

LG

[trixter]

Hi,

Ich glaube da fehlen noch ein paar Infos Deinerseits?

Bestimmt möchtest Du die APs und die Clients im LAN separieren? Offensichtlich per VLAN?

Betrachte die VLANs in der OPNSense als Interface - bitte nicht vergessen den Switchport auf Trunk zu stellen und die entsprechenden VLans darin zu erlauben.

Unter per Terminal "7" oder Webinterface: Interfaces / Diagnostic kannst die Ping-Tests machen um die direkte Verbindung zu testen.

Du hast den Wizzard durchlaufen? Dann hast Du bestimmt WAN / LAN und Gateway angegeben?

Wenn du jetzt auf den Interfaces jeweils eine Regel (Pass Source=any, Destination=any, das sollten die Default-Werte sein) einträgst solltest Du von einem Client im Lan das WAN Gateway pingen können, vorausgesetzt Du hast die VLans richtig gesetzt.
 

[cptzero]

Danke für die Antwort aber leider bin ich noch nicht so weit gekommen. Ich habe gerade opnsense in proxmox neu aufgesetzt und beim Auswählen der Interfaces hat sich der MacMini aufgehängt. Kann es wirklich sein, dass der das nicht packt?
Hier sind meine Einstellungen in Proxmox:

OS
Gast Betriebssystem: Other

System
Standard

Disks
Bus: VirtlO Block
Disk-Größe: 50 GB
Kein Backup
Cache: Standard
Discard: enabled
IO thread: enabled

CPU
1 Socket, 4 Kerne

Speicher
Ballooning deaktiviert
Opnsense 12 GB
(Proxmox 4 GB)

Netzwerkkarte hinzufügt
net1 - tag 1 -> WAN
net0 - tag 2 -> LAN

[viragomann]

beim Auswählen der Interfaces hat sich der MacMini aufgehängt. Kann es wirklich sein, dass der das nicht packt?

Also aufgehängt hat sich wohl Proxmox. Aber dass das etwas "nicht packt", würde mich wundern.
Das BIOS zu aktualisieren, wenn Update verfügbar, könnte aber nicht schaden.

Ich glaube aber, hier kürzlich eine ähnliche Geschichte gelesen zu haben. Der TO hatte dann Proxmox neu installiert, dann lief es.

Zenamor war so freundlich und hat hierfür eine deutsche Anleitung bereitgestellt: https://www.zenarmor.com/docs/de/netzwerksicherheitstutorials/opnsense-installation

Knapper gehalten, aber wohl ausreichend ist die Anleitung von OPNsense: Virtual & Cloud based Installation
Bitte die enthaltenen Punkte beachten.

[cptzero]

Ich installiere jetzt alles noch ein mal von vorne und schaue ob es ein BIOS Update gibt.

[KHE]

Ich installiere jetzt alles noch ein mal von vorne und schaue ob es ein BIOS Update gibt.

Zum BIOS Update, das letzte kam wenn ich 2015 durch Apple (EFI Firmwareupdate v1.8). Wenn dann kannst du das nur unter macOS installieren. Auf der Firmwareseite nennen Sie OS X 10.8.5, 10.9.5 und 10.10.4.

Ich hatte einen MacMini 2012 (i5-3210M) 18 Monate unter Proxmox 7.2 bis 8.1 am laufen und der hatte immer Netzwerkaussetzer. Und ich hatte nicht OPNsense in einer VM auf dem MacMini. Meiner Meinung nach liegt es am für Apple angepassten Broadcom Netzwerk-Chip. Da der MacMini meine Spielwiese für Proxmox war, hat es mich nur etwas gestört.

Meine Lösung war andere Hardware. Das würde ich dir auch Empfehlen. Ein N100 hat mehr Leistung, braucht weniger Strom und es gibt ihn mit Dual-Netzwerkkarten.

[cptzero]

Das mit Bios habe ich auch so verstanden.
Ich hatte gehofft den Mini noch für etwas Sinnvolles gebrauchen zu können, aber ich werde es morgen Abend auf jeden Fall noch ein mal versuchen.

[cptzero]

Ich habe alles neu aufgesetzt und bis jetzt keine Abbrüche mehr gehabt.
Aktuelles Problem ist, dass ich nicht auf die web gui komme. Ich habe schon unzählige Einstellungen versucht, aber anscheinend habe ich nicht verstanden wie man eine Verbindung aufbaut.

Laut meinem Verständnis brauche ich doch nur eine IP im gleichen Netz wie mein Rechner von dem aus ich auf opnsense zugreife, heißt also wenn alle Geräte durch die FRITZ!Box im 192.168.178.1 Netz sind, brauche ich für das LAN-Interface auch 192.168.178.etc. Vorher habe ich WAN und LAN über verschiedene virtuelle Netzwerkkarten getrennt aber ich weiß nicht mehr wie ich die IPs zugewiesen hatte. Letztes Mal musste ich auch etwas ausprobieren und die Firewall deaktivieren. Dieses Mal hat das nicht funktioniert und ich habe einen anderen Weg versucht.

Aktuelle Eisntellungen:
Fritzbox läuft noch im normalen Betrieb.
Dieses Mal habe ich in opnsense 2 VLAN-Interfaces erstellt, vlan10 für LAN und vlan99 für WAN. Parent Interface ist die gleiche für beide. LAN Ip habe ich auf 192.168.178.205 eingestellt und WAN IP ist noch leer. Switch ist auch eingestellt.

[viragomann]

Laut meinem Verständnis brauche ich doch nur eine IP im gleichen Netz wie mein Rechner von dem aus ich auf opnsense zugreife

Ja, am LAN Interface. Nur da ist der Zugriff erlaubt.

Aktuelle Eisntellungen:
Fritzbox läuft noch im normalen Betrieb.
Dieses Mal habe ich in opnsense 2 VLAN-Interfaces erstellt, vlan10 für LAN und vlan99 für WAN. Parent Interface ist die gleiche für beide. LAN Ip habe ich auf 192.168.178.205 eingestellt und WAN IP ist noch leer. Switch ist auch eingestellt.

Demnach müsste ja die Fritzbox auch im VLAN10 sein, und der PC von welchem du auf die WebGUI zugreifen möchtest, ebenso.

[Patrick M. Hausen]

Wenn die OPNsense die Fritzbox als Default-Gateway benutzt, dann mach mal reply-to aus.

Firewall > Settings > Advanced > Disable reply-to.

[cptzero]

Ok dann überprüfe ich gleich nochmal ob mein Laptop auch im gleichen Vlan ist (sollte eigentlich passen aber ich habe gestern den PC benutzt). Und reply-to mache ich auch gleich aus.
Dauert aber noch etwas bis ich Zeit habe.

Nur zum Verständnis: Wenn ich den Weg über die Vlan-Interfaces in opnsense gehe, gibt es doch keinen Grund mehr Proxmox zu verwenden oder? Ich möchte höchstens noch 1-2 Plugins für opnsense installieren und das wars. Das sollte doch dann stabiler laufen oder macht das keinen großen Unterschied?

[viragomann]

Wenn ich den Weg über die Vlan-Interfaces in opnsense gehe, gibt es doch keinen Grund mehr Proxmox zu verwenden oder?

Vielleicht die Hardwarekompatibilität.

Details zu FreeBSD findest du in den FreeBSD 14.0 Hardware Notes

Das sollte doch dann stabiler laufen oder macht das keinen großen Unterschied?

Das kommt auch wieder auf die Hardwareunterstützung von Proxmox an. Erfahrungsgemäß bietet Linux eine breitere Unterstützung, allerdings muss sie nicht zwingend besser für jede Hardware sein.

[cptzero]

Ok danke für die Info.

[cptzero]

Web-gui Problem gelöst!


3 Fehler waren es:

1. In der VM von opnsense war bei der Netzwerkkarte vlan99 als VLAN-Tagg hinterlegt.
-> Leer lassen - No VLAN Tag

2. PVID war für Port 1 und 3 nicht auf 10 gesetzt worden. Ich habe keine Ahnung wie ich das nicht sehen konnte, aber es hat mich jetzt so viel Zeit gekostet, dass ich es wohl nie wieder vergessen werde. Studenlang am AP und Switch die VLAN Taggs ändern^^

3. Danke dafür. VLAN99 brauche ich natürlich erst später.

Demnach müsste ja die Fritzbox auch im VLAN10 sein, und der PC von welchem du auf die WebGUI zugreifen möchtest, ebenso.

- Alle Geräte in ein VLAN(10)


Aktuelle Einstellungen:

Port 1 - Fritzbox
Port 2 - Mini
Port 3 - AP - Laptop (mit dem ich zugreife)

Port 1 - vlan10(LAN) - untagged
Port 2 - vlan10(LAN) - tagged
Port 3 - vlan10(LAN) - untagged

Ich mache dann morgen weiter.
Vielen Dank schon mal für die Hilfe bis hierher <3