OPNsense mit MGMT Interface konfigurieren

Started by Alex78, March 27, 2025, 11:18:01 PM

Previous topic - Next topic
Print
Go Down Pages 1 2 3 4
User actions
March 28, 2025, 09:03:34 PM #30
Quote from: Patrick M. Hausen on March 28, 2025, 08:58:16 PMWarum willst du eine OPNsense hinter der Fritzbox? Was soll die tun?
Warum willst du die OPNsense als transparente Bridge betreiben?

Weil ich die OPNsense nur als Firewall, Sicherheit und Analyse zwecken, Filterung des Datenverkehrs nutzen möchte, das Routing soll die FritzBox weiterhin übernehmen.
March 28, 2025, 09:07:37 PM #31
Macht die Sache halt unnötig kompliziert. Eine Firewall ist in 99% aller Fälle ein Router.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 28, 2025, 09:11:41 PM #32
Aber im Bridge Modus über nimmt die OPNsense kein Routing nur die Filterung.
Das reicht vorerst für mich.
March 28, 2025, 09:14:19 PM #33
Was willst du denn da filtern was die Fritzbox nicht schon tut?

OK, ich nehme an, ich nerve ... aber ganze User Story hilft immer, speziell, wenn du nach einem kompletten Design fragst. Dabei bin ich dann übrigens raus, muss jemand anders übernehmen. Ich vermeide Bridging wie die Pest wenn ich routen kann.

Ernsthaft: Routing ist einfacher als "nur filtern und das Routing soll jemand anders machen". Die Kiste routet sowieso - ganz von alleine.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 28, 2025, 09:20:18 PM #34
Nein, du nervst nicht.
Ich hatte eine Idee für mich die reicht.
Und hab hier gefragt ob man mir helfen kann das umzusetzen, damit ich das auch verstehe.
Deswegen die einfache Frage:

Quote from: Alex78 on March 28, 2025, 08:51:33 PM1. Wo, wie und was schließe ich an die OPNsense an. Zu Verfügung steht mir die Fritz Box, ein Netgear Switch und zwei Rechner
2. Welche IP Adressen trage ich wo ein etc.

Wenn mir das einer sagt, mache ich das genau so.
z.b.
LAN 192.168.xxx
MGMT 192.168.xxx
DHCPiv4 MGMT 192.168.xxx
und so weiter...

Vielleicht ist das besser und wir schaffen es die Kiste zum laufen kriegen über das MGMT Interface.

March 28, 2025, 09:27:34 PM #35
Quote from: Alex78 on March 28, 2025, 09:20:18 PMLAN 192.168.xxx
MGMT 192.168.xxx
DHCPiv4 MGMT 192.168.xxx
Sollen alle 3 Interfaces gebrückt werden?
March 28, 2025, 09:32:50 PM #36
Bei einer Bridge haben die beiden (mindestens) Interfaces keine IP-Adressen. Du willst ja nicht routen.

Also du legst ein Management-Interface an, gibst dem eine IP-Adresse aus einem anderen Netz als die Fritzbox hat, richtest DHCP ein, und sorgst dafür, dass ein dort angeschlossener PC das UI aufrufen kann.

Dann entfernst du IP-Adressen von LAN und WAN und richtest eine Bridge zwischen LAN und WAN ein.

Verkabeln dann Fritzbox - WAN | Sense | LAN - Switch für alle restlichen Geräte.

Der Rest dann nach der Doku "transparent filtering bridge" in den offiziellen Docs.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 28, 2025, 09:42:56 PM #37
March 28, 2025, 09:44:25 PM #38
Quote from: Patrick M. Hausen on March 28, 2025, 09:32:50 PMBei einer Bridge haben die beiden (mindestens) Interfaces keine IP-Adressen. Du willst ja nicht routen.

Also du legst ein Management-Interface an, gibst dem eine IP-Adresse aus einem anderen Netz als die Fritzbox hat, richtest DHCP ein, und sorgst dafür, dass ein dort angeschlossener PC das UI aufrufen kann.

Dann entfernst du IP-Adressen von LAN und WAN und richtest eine Bridge zwischen LAN und WAN ein.

Verkabeln dann Fritzbox - WAN | Sense | LAN - Switch für alle restlichen Geräte.

Der Rest dann nach der Doku "transparent filtering bridge" in den offiziellen Docs.

Okay werde das so machen, das ganze mache ich aber nur mit einem PC der direkt mit der OPNsense verbunden ist?
March 28, 2025, 09:52:13 PM #39
Korrekt. Dein Management-PC. So lange bis alles läuft, dann können wir gucken, wie man das besser machen kann. Klar kannst du der Sense auch auf der Bridge eine Adresse aus dem Fritzbox-Netz geben und dann diese zum Management benutzen. Du musst kein separates MGMT-Interface haben.

Aber wenn du eines hast, musst du natürlich den Management-PC da rein stecken ;-)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 28, 2025, 10:33:42 PM #40
MGMT Interface hab ich eingerichtet Static IPv4 IP 192.168.1.99/24
DHCPv4 MGMT Enable
Subnet 192.168.1.0
Subnet mask 255.255.255.0 
Available range  192.168.1.1-192.168.1.254 
Range from 192.168.1.100-192.168.1.199

Firewall Rules
Protocol: IPv4 TCP
Source: 192.168.1.0/24
Port: any
Destination: MGMT adress
Destination Port: HTTPS

Hab umgesteckt auf MGMT und hab 192.168.1.99 aufgeraufen im Browser....nicht erreichbar.
March 28, 2025, 10:47:09 PM #41
Warum nur TCP? Etc. pp. Mach da doch mal eine Kopie der Default-Regel vom LAN rein - allow any. Und dann teste die Konnektivität. Einschränken kann man dann doch später, du hängst ja nicht am GBI (Großes Böses Internet).
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 28, 2025, 11:06:41 PM #42
Hab die default Regel kopiert und alles auf any, durch das kopieren war Destination noch auf LAN Net, das steht jetzt auf any.
Komme jetzt rauf...
komisch ist jetzt das ich mit der 192.168.1.99 und der 192.168.178.3 gleichzeitig auf die WebGUI rauf komme.
March 28, 2025, 11:11:22 PM #43
Völlig normal. Nu mach die Adressen weg und bastel die Bridge. Doku hier:

https://docs.opnsense.org/manual/how-tos/transparent_bridge.html
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 28, 2025, 11:15:17 PM #44
Okay, können die Regeln die jetzt im LAN noch stehen auch raus, da stehen die IPv4 und IPv6 default allow noch drinne?
Print
Go Up Pages 1 2 3 4
User actions