OPNsense mit MGMT Interface konfigurieren

Started by Alex78, March 27, 2025, 11:18:01 PM

Previous topic - Next topic
Hallo,
hab OPNsense auf ein n100 Micro Firewall Appliance, Mini PC installiert.
Und wollte mir eine MGMT Managment Interface erstellen. Leider klappt das nicht so wie ich es mir durchgelesen und im Video angeschaut hab.

Mein n100 Micro Firewall Appliance, Mini PC hat folgende Anschlüße:
WAN jgc0
LAN jgc1
---- jgc2 ist frei
MGMT jgc3

MGMT Interface hab ich mit fester IPv4 angelegt.

Firewall Rules
Action: Pass,
Interface: MGMT,
Protocol: TCP,
Source: Single host Network IP Adresse von dem Rechner ich auf die Web GUI über MGMT drauf zu greifen möchte,
Destination: MGMT adress,
Destination port range: HTTPS,
Description: Allow access to OPNsense Web UI.

So hab ich es gelesen und im Video gesehen, aber trotzdem komme ich dann nicht auf die Web GUI drauf.

Kleine Info noch, die OPNsense soll später im Bridge Modus laufen. 1 FritzBox 2. OPNsense 3. Switch

Könnt ihr mir da mal weiter helfen?

Gruß
Alex

Quote from: Alex78 on March 27, 2025, 11:18:01 PMFirewall Rules
Action: Pass,
Interface: MGMT,
Protocol: TCP,
Source: Single host Network IP Adresse von dem Rechner ich auf die Web GUI über MGMT drauf zu greifen möchte,
Destination: MGMT adress,
Destination port range: HTTPS,

Lauscht die GUI auch noch auf Port 443?
Die meisten Leute stellen das um, weil sie 443 anderweitig nutzen möchten.

Und der Rechner ist bereits im MGMT Subnetz?

OPNsense ist frisch aufgesetzt, da wurde nichts verändert.
Hab aber noch kein Zertifikat installiert, das kommt wenn alles fertig konfiguriert.
Im Browser zeigt er mir ja an das die Seite nicht sicher ist und leitet mich auf die ungesicherte Seite weiter.
Mein gesamtes Sub-Netz ist gleich: 192.168.178.0

Quote from: Alex78 on March 27, 2025, 11:39:33 PMIm Browser zeigt er mir ja an das die Seite nicht sicher ist und leitet mich auf die ungesicherte Seite weiter.
Du wirst auf Port 80 weitergeleitet? Das wäre wohl eine Eigenheit des Browsers.
Dann gib doch mal alle Ports in der Regel frei, um zu sehen, ob du so auf die GUI kommst. Ist ja das Management Interface.

Quote from: Alex78 on March 27, 2025, 11:39:33 PMMein gesamtes Sub-Netz ist gleich: 192.168.178.0
Das gesamte Subnetz?
MGMT, LAN und WAN haben doch aktuell unterschiedliche Bereiche, oder?

So lange die Fritzbox im 192.168.178.0 Netz ist wird es doch weiter gegeben an alle anderen Geräte.
Deswegen hab ich OPNsense auch auf dem gleichen Subnetz.
Habe alle Ports frei gegen in der Regel, komme aber trotzdem nicht auf die WEBGui.

Wenn die Interfaces nicht gebrückt sind, müssen sie verschiedene Subnetze haben, um mit den Geräten (diese ebenfalls natürlich) kommunizieren zu können. Und das sind sie ja aktuell noch nicht, wie ich es verstanden habe.

Das stimmt!
Hab mich an das Video gehalten und da wird der Bridge Modus erst nach dem MGMT Interface eingestellt.
Und bei ihm klappt das auf anhieb, hab mich genau daran gehalt wie er das macht, nur mit meinem Subnetz.


QuoteHab mich an das Video gehalten und da wird der Bridge Modus erst nach dem MGMT Interface eingestellt.
Hast Du dem MGMT Interface eine IP aus dem 192.168.178.0/24 Bereich gegeben, ausserhalb des DHCP Bereichs? Und Du hast das MGMT Interface an den bestehenden Switch im Fritzbox LAN gehängt?
Deciso DEC740

Glaube das Problem ist das ich das gleiche Subnetz für die Verwaltungsschnittstelle wie die LAN Schnittstelle benutze.
Wenn ich veschieden Subnetze benutze müsste es doch gehen.


Schnittstelle   IP-Adresse   Subnetz   Zweck
WAN    Dynamisch (vom ISP)   / (Internet)   Internet-Zugang

LAN    192.168.178.1/24   255.255.255.0   Hauptnetz für Clients

Management (OPT1)   192.168.179.1/24   255.255.255.0   Admin-Zugang zu OPNsense

Quote from: Alex78 on March 28, 2025, 04:39:44 PMManagement (OPT1)  192.168.179.1/24  255.255.255.0  Admin-Zugang zu OPNsense
Das OPNsense MGMT Interface _muss_ im LAN sein, so wie im Video. In Deinem Falle also eine freie IP vom LAN vergeben, z.B. 192.168.178.99/24 (nicht 192.168.179.1/24).
Deciso DEC740

Im Video hat er die IP 192.168.2.1, als die MGMT fertig ist stellt er sie auf 192.168.1.99
Das sind für mich zwei verschieden Subnetze.
Auch in der Firewall Rules: MGMT, stellt er die Source auf 192.168.1.0/24 mit der Destination auf MGMT Adresse.
Weil die MGMT Adresse 192.168.1.99 ist

MGMT die Schnittstelle 192.168.1.99
Bridge Schnittstelle 192.168.2.1

Oder verstehe ich da was nicht richtig?

Quote from: Alex78 on March 28, 2025, 05:01:52 PMIm Video hat er die IP 192.168.2.1, als die MGMT fertig ist stellt er sie auf 192.168.1.99
Das sind für mich zwei verschieden Subnetze.
Auch in der Firewall Rules: MGMT, stellt er die Source auf 192.168.1.0/24 mit der Destination auf MGMT Adresse.
Weil die MGMT Adresse 192.168.1.99 ist

MGMT die Schnittstelle 192.168.1.99
Bridge Schnittstelle 192.168.2.1

Oder verstehe ich da was nicht richtig?
Er hat leider nicht erklärt wie sein bestehendes Netz IP-technisch aussieht (meine ich).

Er hat am Anfang LAN auf .2.1 gewechselt, damit er im nächsten Schritt das MGMT Interface auf .1.99 setzen konnte, in seinem bestehenden LAN.

Die Bridge hat keine IP bekommen, siehe 21:27, es wird keine benötigt.
Damit Du die OPNsense verwalten kannst, ist das MGMT Interface über Dein normales LAN - also .178.99 - erreichbar.
Deciso DEC740

Quote from: Alex78 on March 28, 2025, 05:01:52 PMIm Video hat er die IP 192.168.2.1, als die MGMT fertig ist stellt er sie auf 192.168.1.99
Wenn es jeweils /24er sind, dann ja.
Aber auch kein Problem, solange er auf sein Rechner IPs in den jeweiligen Subnetzen hat. Das kann auf ein und demselben Interface sein.

Aber nochmal, dasselbe Subnetz auf mehreren Interfaces geht nicht ohne Bridge. => Kein Routing möglich, und das braucht es auch, um nur auf die Web GUI zu verbinden.

Quote from: viragomann on March 28, 2025, 05:25:58 PMAber nochmal, dasselbe Subnetz auf mehreren Interfaces geht nicht ohne Bridge. => Kein Routing möglich, und das braucht es auch, um nur auf die Web GUI zu verbinden.
Yep, stimme Dir voll zu. Im Video verbindet er darum nur das MGMT Interface mit dem LAN Switch, bevor er die Bridge erstellt.
Deciso DEC740

Quote from: patient0 on March 28, 2025, 05:51:13 PMIm Video verbindet er darum nur das MGMT Interface mit dem LAN Switch, bevor er die Bridge erstellt
Ich habe das Video nicht gesehen, nachdem es hier schon fundamentale Fehler zu klären gab.

Aber gut, das Video zielt also auch darauf, die Interfaces zu brücken.
Dann sollten wir die Frage an Alex stellen, warum er das nicht auch gleich macht, wenn es ohnehin am Ende seine Zielkonfiguration ist. Ist ja keine große Sache.