Ändern der kompletten IP-Netze per Config-File

Tuxtom007 · October 17, 2025, 01:53:24 PM

Hallo,

ich möchte bei mir zuhause die kompletten IP-Netze ändern, weil ich Probleme mit der Nutzung von
lokalen Anwendungen von meinem Firmennotebook aus habe, Drucker, etc.
Ich nutze aktuell 10.0.x.x IP-Netze, in der Firma aber genauso und alles mit 10.x.x.x
geht demnach in den VPN rein.

Mein Idee - ich weiss nicht ob das funktioniert, daher mal die Frage:

- ich exportiere mit die Config der OPNSense
- editiere diese und ersetzte alle IP-Adressen mit 10.0. beginnend durch 172.16.
- damit würde ich die VLAN aber auch alle DHCP-Pools, Reservations, Aliase usw. mitnehmen.
- spiele die Config wieder ein
- Reboote und hoffe, das es funktioniert.

Notfalls hätte ich noch einen LAN-Port an der OPNSense mit einem 192.168 IP als Notfallzugang und könnte
auf ne vorherige Sicherung zurück.

Was denkt ihr, würde das funktionieren ?

Die Client müssten sich dann eben nach einem Zeit neue IP's holen über DHCP-Reservation, Server, NAS etc. würde ich ausschalten für die Zeit bzw. vorher editieren, dort wo statische IP's eingetragen sind.

Patrick M. Hausen · October 17, 2025, 02:06:50 PM

Quote from: Tuxtom007 on October 17, 2025, 01:53:24 PMich möchte bei mir zuhause die kompletten IP-Netze ändern, weil ich Probleme mit der Nutzung von
lokalen Anwendungen von meinem Firmennotebook aus habe, Drucker, etc.
Ich nutze aktuell 10.0.x.x IP-Netze, in der Firma aber genauso und alles mit 10.x.x.x
geht demnach in den VPN rein.

Network 10 considered harmful. 🙂

Quote from: Tuxtom007 on October 17, 2025, 01:53:24 PMMein Idee - ich weiss nicht ob das funktioniert, daher mal die Frage:

- ich exportiere mit die Config der OPNSense
- editiere diese und ersetzte alle IP-Adressen mit 10.0. beginnend durch 172.16.
- damit würde ich die VLAN aber auch alle DHCP-Pools, Reservations, Aliase usw. mitnehmen.
- spiele die Config wieder ein
- Reboote und hoffe, das es funktioniert.

Klar funktioniert das. BTDT. Alle daran hängenden Geräte anschließend einmal durchstarten und fertig.

HDH,
Patrick

chemlud · October 17, 2025, 02:15:30 PM

...solange auf keinem Client NTP, DNS oder ähnliches im 10.0.x.x fest gesetzt sind...

Tuxtom007 · October 17, 2025, 02:44:48 PM

Quote from: Patrick M. Hausen on October 17, 2025, 02:06:50 PMNetwork 10 considered harmful. 🙂

Wird bei uns in der Firmengröße aber nicht anders machbar sein

Quote from: chemlud on October 17, 2025, 02:15:30 PM...solange auf keinem Client NTP, DNS oder ähnliches im 10.0.x.x fest gesetzt sind...

Überschaubare Anzahl, Proxmox-Server, NAS, das wars schon.
Schlimmer wird eher nach die Änderung der Smarthomegeräte die z.b. für MQTT eine IP als Ziel drin haben, aber die sind erst mal nicht Lebensnotwendig und kann ich nach und nach ändern.

Dann werde ich das am Wochenende mal angehen.

meyergru · October 18, 2025, 12:14:55 AM

Ich weiß nicht, ob 172.16 so geschickt ist...

1. Es ist 172.16.0.0/12, nicht 172.16.0.0/8 - Eine 1:1-Übertragung von 10/8 ist also per se problematisch.
2. 172.16/12 wird u.a. von Docker et.al. für internes Networking genutzt - ich habe nie probiert, was dann passiert, wenn das LAN auch Adressen darauf verwendet.
3. Schau mal hier und überleg' Dir, ob nicht unter dem Gesichtspunkt einer aktuellen oder späteren Segmentierung mehrere 192.168.x/24-Netze sinnvoller sind.

Tuxtom007 · October 21, 2025, 10:20:33 AM

Moin,

Quote from: meyergru on October 18, 2025, 12:14:55 AM1. Es ist 172.16.0.0/12, nicht 172.16.0.0/8 - Eine 1:1-Übertragung von 10/8 ist also per se problematisch.

ist ja mein Netz zuhause, da hab ich 10 VLAN's a /24 , ergo kein Problem.
Docker nutze ich eh nicht zuhause, daher kein Problem.

Die Umstellung per Configfile war übrigens problemlos möglich, Client bekamen sofort neue IP's nach einem Restart.
Da aber mein Proxmox-Server ein HW-Problem hat, kann ich das Unifi-Zeug nicht umstellen ( Controller läuft auf dem Proxmox ) und bin wieder zurück auf die alten IP's bis der Proxmox wieder läuft.

JeGr · October 21, 2025, 11:17:37 AM

Quote from: meyergru on October 18, 2025, 12:14:55 AM2. 172.16/12 wird u.a. von Docker et.al. für internes Networking genutzt - ich habe nie probiert, was dann passiert, wenn das LAN auch Adressen darauf verwendet.

Eigentlich egal, außer jemand hat Docker oder Container fix in spezifische Netze gemappt. Docker macht eigentlich ein Probing, ob das entsprechende Netz was es sich greifen will (random) frei ist oder nicht.

Ich würde auch eine ordentliche Netzplanung vorschlagen, aber IM 172.16-32.x.y Bereich. Für die meisten Homelab oder halbwegs normalen Firmennetze ist 172.16-32 eigentlich ideal. Ich empfehle da zwar auch 16 und 32 zu vermeiden weils immer in Dokus gern rangezogen wird, aber bspw. 172.24 etc. ist keine schlechte Idee. Mit einem /19er Bereich hat man da genug Platz für allerhand VLANs, kann sich passende VLAN IDs zusammen murmeln und wenn man im Design nicht gerade die massiven Fehler macht, ist das ganze noch topp erweiterbar.

Warum 172.? Weil 192er gern für irgendwelche SoHo Boxen/Router/Modems/blah in use ist und 10.x dann eben meist bei Hostern, ISPs, Cloud, etc. verbummelt wird. Da hat man mit 172 noch eine super Ausgangsposition, auch mal was Privates mit 192 anzubinden oder was Corpo/Cloud-mäßiges im 10er ohne dass man Kollisionen hat.
Wenn man sich dann ordentlich intern umschaut, was man sinnvoll in VLANs packen sollte (merke: kleinere Netze bevorzugt, gerade und auch wegen IPv6 auch wenns im ersten Moment doof klingt), dann hat man sehr fix nen Dutzend VLANs beisammen. Bei mehr als 60% Usage von Netzen würde ich eine um 1 größere Maske nehmen.

Sprich: Beispiel - 172.24.0.0/20 reicht mir doch dicke! -> sind 16 Netze à 24/VLANs. Dann fang ich an zu zählen... oh. Management, Server, VoIP, Drucker, Kameras, IoT Gebimsel, Medienkram, Admin-only Zeugs, Isolierte Sachen, Clients1, Clients2, Gäste, Portal... hoppla sind schon 13-14. Also >60% in use -> größere Maske

Also nochmal Grübeln und komme noch auf Clients3, WLAN1, WLAN2 -> 16 Stk. Und weil voll nehm ich die Maske eins Größer -> also 172.24.0.0/19

Wenn ich dann irgendwas mit meinem Netz machen muss was Routing angeht, bspw. via VPN, etc. hab ich alles sofort mit einer einzigen Netzmaske erschlagen. 172.24.0.0/19.

Ein kleines Beispiel für ein Homelab mit Segmentierung und Planung:
Subnet Calculator für 172.24.0.0/20 (Homelab Beispiel)

Dann noch VLANs drunter, die man schön mit 24 (2. Teil der IP), xx (3. Teil der IP) vereinfachen kann. Also bspw. 2400, 2401, 2402 jeweils zu den Netzen. Ja das klappt nur bis 99 und nicht immer. Aber wenn man schon alles neu macht, kann man das auch "handlich" machen, damit man an Hand der IP auch gleich das VLAN hat und damit einfacher debuggen :)

Cheers!
\jens

Tuxtom007 · October 21, 2025, 12:29:12 PM

Moin,

Quote from: JeGr on October 21, 2025, 11:17:37 AMDann noch VLANs drunter, die man schön mit 24 (2. Teil der IP), xx (3. Teil der IP) vereinfachen kann. Also bspw. 2400, 2401, 2402 jeweils zu den Netzen. Ja das klappt nur bis 99 und nicht immer. Aber wenn man schon alles neu macht, kann man das auch "handlich" machen, damit man an Hand der IP auch gleich das VLAN hat und damit einfacher debuggen :)

Ich mache weiterhin so, wie mein aktuelle Netz im 10.0.x.y - Bereich, wobei x = die VLAN-ID ist, nur nehme ich eben jetzt den 172.20.x.y Bereich.
Zwar sind /24 komplett übertrieben, in einzelnen VLAN sind nur wenige Geräte drin - Büronetz z.b. nur das Firmennotebook, aber ist mir egal.

Und da ich über das Configfiles alle DCHP-Reservations und Aliase mit geändert habe, sind auch direkt alle Firewall-Regeln aktuell, weil auf Aliasen basieren.

JeGr · October 21, 2025, 02:57:26 PM

Quote from: Tuxtom007 on October 21, 2025, 12:29:12 PMZwar sind /24 komplett übertrieben, in einzelnen VLAN sind nur wenige Geräte drin - Büronetz z.b. nur das Firmennotebook, aber ist mir egal.

Das ist auch nicht falsch, das zu tun. Genauso wie bei IPv6, wo du überall /64 anlegst, auch wenns ggf. nur ne Hand voll Geräte sind. Bei v6 hat es zwar tatsächlich Hardware/technische Gründe, aber im privaten Adressbereich macht es Sinn, das genauso zu handhaben. Prinzip der kleinsten Überraschung (POLS), dann hat man es beim Debugging leichter.

Quote from: Tuxtom007 on October 21, 2025, 12:29:12 PMUnd da ich über das Configfiles alle DCHP-Reservations und Aliase mit geändert habe, sind auch direkt alle Firewall-Regeln aktuell, weil auf Aliasen basieren.

So soll das auch sein :)

Quote from: Tuxtom007 on October 21, 2025, 12:29:12 PMIch mache weiterhin so, wie mein aktuelle Netz im 10.0.x.y - Bereich, wobei x = die VLAN-ID ist, nur nehme ich eben jetzt den 172.20.x.y Bereich.

Das würde bei mir eben krachen, weil ich bspw. 172.27.0/1 nutze und da kann ich schlecht VLAN ID 0/1 nehmen ;) Zudem geht man bei VLANs gern aus den Einstelligen/kleinen IDs raus, da da gerne andere Geräte mal reingrätschen. Siehe DSL mit seinem VLAN 7 Geraffel.
Darum war sowas wie 270/271 oder 2700, 2701 einfacher und gibt weniger Fläche für Probleme später.

Aber klar, du machst was für dich passt, sind alles nur Vorschläge und eine Art "best practice" was sich eben über die Zeit als sehr gelegen ergeben hat.

Cheers :)

Ändern der kompletten IP-Netze per Config-File

Tuxtom007

October 17, 2025, 01:53:24 PM

Patrick M. Hausen

October 17, 2025, 02:06:50 PM #1

chemlud

October 17, 2025, 02:15:30 PM #2

Tuxtom007

October 17, 2025, 02:44:48 PM #3

meyergru

October 18, 2025, 12:14:55 AM #4

Tuxtom007

October 21, 2025, 10:20:33 AM #5

JeGr

October 21, 2025, 11:17:37 AM #6

Tuxtom007

October 21, 2025, 12:29:12 PM #7

JeGr

October 21, 2025, 02:57:26 PM #8