[UPDATE#3] OPNSense hinter FB 6490 Cable

[Thargor]

Hi Oxy

Danke für Deine Ausführungen.

Mir geht es in erster Linie darum wie ich unter Firewall die Regeln und die NAT Regeln einstellen soll.
Weil darauf wird in der Anleitung nicht näher eingegangen, ob die sich ergänzen oder ob z.b. die BLOCK BYPASS Regeln wieder rausgenommen werden müssen wenn der Transparent Proxy aktiviert ist.

Wenn mir das mal einer etwas näher bringen würde, wäre mir schon etwas geholfen.

Zum WLAN:

glaub da ich mit der jetzigen verbauten WLAN Karte wenig Durchsatz und Stabilität habe, würde ich gern versuchen, den jetzigen IPCOP hinter die OPNSense an den OPT1 Ausgang zu hängen und nur das WLAN des IPCOP zu nutzen.

Wie stell ich das dann am besten in den Regeln ein? Der IPCOP nutzt einen anderen SSH Port: 8443 derzeit.

Müsste ich dazu eine Brücke bauen?

Fragen über Fragen

Und kann man das generell so machen?

[Oxygen61]

Hi Thargor,

wie gesagt zum Proxy könnte ich dir was sagen, aber da mir selber noch die Umsetzung fehlt, sag ich lieber nix.

Zum WLAN:
Wenn du den AP/IPCop direkt an das Firewall Interface der OPNsense hängen willst (opt1) dann sind die Schritte auf seiten der OPNsense schnell erklärt.
1. den AP an das Interface OPT1 ranstöpseln
2. auf der GUI der OPNsense unter Interface Assignments, das OPT1 Interface hinzufügen und raufklicken.
3. Enablen, Beschriftung auf WLAN ändern, Block bogon networks anmachen, IPv4 Configuration Type: Static IPv4 auswählen und als IPv4 address das OPNsense WLAN Interface Gateway reinschreiben mit z.B. der Subnetzmaske /24.  IPv4 Upstream Gateway auf "None".
4. Unter Services > DHCP Server auswählen und enablen. Die Range z.B.: von 192.168.X.100 - 192.168.X.254 auswählen, falls das dein privates WLAN Subnetz wär.
DNS servers:  das OPNsense WLAN Interface Gateway selber, also z.B.: 192.168.X.1
Gateway: IP deines Access Points im WLAN Subnetz, also z.B.: 192.168.X.2
NTP servers: Wieder die WLAN Interface IP der OPNsense (z.B.: 192.168.X.1)

Die WLAN Clients bekommen von der OPNsense per DHCP also als Gateway den AP zugewiesen, für den Rest aber die OPNsense. Beim AP musst du dann noch ein Default Gateway oder eine Static Route schreiben die auf die OPNsense zeigt z.B.: Destination 0.0.0.0 Subnet: 0.0.0.0 Next Hop: 192.168.X.1
5. Rules:
Die Regeln sind typisch wie immer also:
- Erlaube Source: WLAN Subnetz auf Destination: OPNsense WLAN Interface mit TCP/UDP Port 53 (DNS)
- Erlaube Source: WLAN Subnetz auf Destination: OPNsense WLAN Interface mit UDP Port 123 (NTP)
- Erlaube Source: WLAN Subnetz auf Destination: !RFC1918 (Das ist ein Alias der in der Regel umgekehrt wurde, also das Gegenteil von allen privaten IP-Adressen, aka. das Internet) mit TCP/UDP Port "irgendwas", was du halt freischalten möchtest für das Internet.

Aus deinem LAN /ADMIN VLAN ... whatever.... solltest du noch folgende zusätzliche Regeln schreiben um auf den AP zu kommen. (Per Web und/oder SSH):
- Erlaube Source: LAN Subnetz auf Destination: IPCOP WLAN Interface mit TCP Port 80 und 443 (HTTP/HTTPS)
- Erlaube Source: LAN Subnetz auf Destination: IPCOP WLAN Interface mit TCP Port 8443 (SSH)

Das wars im Grunde eigentlich auch schon.

Müsste ich dazu eine Brücke bauen?

Eine WLAN / LAN Bridge kann man bauen. (Machen auch viele). Ich würde aber davon abraten, wenn es denn nicht zwingend notwendig ist, einfach um die Firewall Regeln sauber zu halten und auch den Überblick nicht zu verlieren. Außerdem ist dann LAN und WLAN tatsächlich von einander getrennt.

Wenn du ganz viel Spaß hast, kannst du das Ganze natürlich auch nochmal eine ganze Ecke "professioneller" aufziehen mit Switchen / Link Aggregation / VLANs und und und...
Abhängig davon wie viel Lust und Laune du hast und je nachdem wie viel Platz du für alles das Zeug hast wird die Umsetzung dann halt noch performanter/sicherer für dein WLAN.

Schöne Grüße
Oxy

[Thargor]

4. Unter Services > DHCP Server auswählen und enablen. Die Range z.B.: von 192.168.X.100 - 192.168.X.254 auswählen, falls das dein privates WLAN Subnetz wär.
DNS servers:  das OPNsense WLAN Interface Gateway selber, also z.B.: 192.168.X.1
Gateway: IP deines Access Points im WLAN Subnetz, also z.B.: 192.168.X.2
NTP servers: Wieder die WLAN Interface IP der OPNsense (z.B.: 192.168.X.1)

Die WLAN Clients bekommen von der OPNsense per DHCP also als Gateway den AP zugewiesen, für den Rest aber die OPNsense. Beim AP musst du dann noch ein Default Gateway oder eine Static Route schreiben die auf die OPNsense zeigt z.B.: Destination 0.0.0.0 Subnet: 0.0.0.0 Next Hop: 192.168.X.1
5. Rules:
Die Regeln sind typisch wie immer also:
- Erlaube Source: WLAN Subnetz auf Destination: OPNsense WLAN Interface mit TCP/UDP Port 53 (DNS)
- Erlaube Source: WLAN Subnetz auf Destination: OPNsense WLAN Interface mit UDP Port 123 (NTP)
- Erlaube Source: WLAN Subnetz auf Destination: !RFC1918 (Das ist ein Alias der in der Regel umgekehrt wurde, also das Gegenteil von allen privaten IP-Adressen, aka. das Internet) mit TCP/UDP Port "irgendwas", was du halt freischalten möchtest für das Internet.


Oxy

Hi

danke für die ausführliche Anleitung, aber so ganz verstanden habe ich das noch nicht....
Ich versuche das mal zu resümieren in weit ich das so verstehe:
 - als Bsp: mein IPCOP hat das WLAN im Bereich 192.168.5.2 - 192.168.5.200 prim. DNS ist 192.168.5.1
 - das neue unter OPT1 genannte WLAN_IPCOP hat den Bereich 192.168.8.2 bis 192.168.8.200
 - die "rote" WAN Schnittstelle des IPCOP bekommt per DHCP vom OPNSense WLAN_IPCOP Interface eine IP zugewiesen, also 192.168.8.x - oder besser wäre noch eine statische IP zuweisen? Wäre diese IP dann gleichzeitg das Default Gateway?

 - Prinzipiell wäre das dann ja so, wie es momentan läuft: der IPCOP hängt ja noch an der FB 6490. das würde dann ja das neue OPT1 WLAN_IPCOP Interface übernehmen, korrekt?

[Oxygen61]

Oh okay ich sehe was du meinst... dann is dein IPCOP aber kein "richtiger" Access Point, sondern selbst ein Router/Firewall mit WLAN Bastellösung... verstehe.... klingt sehr umständlich aber gut sei es drum.

Hast du denn dein Netzwerk bildlich schon mal aufgemalt? Also alle Komponenten mal verkabelt und dir nen Überblick verschafft? Die meisten Fragen klären sich dann meist von selbst.
https://www.draw.io/ ist dafür ganz gut.

Ansonsten soweit ich das richtig verstanden habe, ist zwischen der Verbindung vom IPCOP (WAN) und der OPNsense (WLAN_IPCOP) kein anderes Netzwerkgerät mehr oder? Point-to point Verbindung werden in einem /30 Subnetz dargestellt, da es nur zwei mögliche IP Adressen gibt, die des OPNsense Interfaces und die des IPCOP Interfaces, die beiden anderen sind Broadcast und Netzmaske.
Was dein IPCOP dann zusätzlich für ein Netzwerk ausstrahlt für die WLAN Clients sollte eigenständig sein, aber das hast du mit 192.168.8.X /24 ja gut im Griff.

Wie gesagt am Besten ist, du malst dir das ganze mal bildlich auf, schön und übersichtlich. Schnell wirst du dann merken, welche Fragen/Probleme nicht ganz aufgehen und offen bleiben.
Im Grunde gibt es also mehrere Möglichkeiten wie du das umsetzen kannst, soweit ich dein Netzwerk verstanden habe. Entweder du lässt die IPCOP selber die Firewall/Router/AP sein oder die IPCOP wird wirklich nur Access Point spielen.
Im zweiten Fall, muss das OPNsense Interface, welches an der IPCOP hängt UND auch jeder Client der sich in das WLAN über Funk anmeldet und von der OPNsense per DHCP eine IP kriegt, im selben Subnetz sein.
Z.B.: OPNsense Interface <192.168.8.1-------192.168.8.2> IPCOP Interface >>> WLAN Funk für die Clients.
Die Clients verbinden sich und landen bei der IPCOP und fragen 192.168.8.1 nach DHCP und bekommen eine Ip/Subnetzmaske /DNS/NTP und Default Gateway zugewiesen.

Schöne Grüße
Oxy

[Thargor]

Hi

hab das jetzt mal aufgezeichnet wie das jetzt zur Zeit aktuell ist

[monstermania]

Moin,
warum dieses Konstrukt mit dem IP-COP?
Besorg Dir einen Access Point (AP) und mach das WLAN damit. Ein vernünftiger AP mit 2,4 GHZ/5 GHZ und PoE kostet keine 100€. Die UniFi AC Lite sind m.E. sehr empfehlenswert (~ 80€).
Allein schon die Energiekosten eines PC mit IP-Cop drauf würden mich abschrecken. Noch dazu der doppelte Verwaltungsaufwand mit dem IP-COP!
Über den AP kannst Du z.B. problemlos ein ein internes WLAN und ein Gäste-WLAN bereitstellen. Der AC Lite unterstützt max. 4 unterschiedliche SSID.

Du musst dann noch für Deine Anforderungen klären, ob Du Dein LAN und Dein WLAN per Bridge verbindest um ein gemeinsames internes Netz aus LAN/WLAN zu erhalten, oder ob Du das WLAN als eigenständiges Netz laufen lässt.
Beide Optionen haben Vor- und Nachteile.
Ein gemeinsames LAN/WLAN ist einfacher in der Konfiguration da z.B. Firewall-Regeln nur einmalig auf der Bridge eingerichtet werden müssen und dann gleichzeitig auf das LAN/WLAN angewandt werden. Auch Streaming von einem LAN Device (z.B. NAS) zu einem WLAN-Device (z.B. Tablet) ist bei einem gebridgten LAN/WLAN-Netz unproblematisch.
Sicherheitstechnisch bietet ein eigenes WLAN natürlich gewisse Vorteile, da die Kommunikation zwischen den Netzwerken dann natürlich individuell gesteuert werden kann.

Gemäß Deiner Zeichnung sehe ich jetzt keinen Grund das WLAN als eigenes Netz zu betreiben.

Gruß
Dirk

[Thargor]

@Dirk

Danke für die Erläuterung.  Der Ipcop läuft ja aufm nem Alix 2D4. Und das ganz unproblematisch und stabil. Hab halt gedacht das ich den weiter nutzen könnte... oder als Alternative ein DD-WRT von der Hardware zu machen....

Daher die Frage was nun mehr Sinn macht... das System wäre dann über und wäre Schade drum....

Wenn würde ich wie bisher WLAN und LAN getrennt behandeln wollen. Ist ja jetzt auch so und ich kann aufs interne LAN  zugreifen.

[monstermania]

Danke für die Erläuterung.  Der Ipcop läuft ja aufm nem Alix 2D4. Und das ganz unproblematisch und stabil. Hab halt gedacht das ich den weiter nutzen könnte... oder als Alternative ein DD-WRT von der Hardware zu machen....

Daher die Frage was nun mehr Sinn macht... das System wäre dann über und wäre Schade drum....

Na ja,
dann würde es m.E. sinnvoller sein auf der 2. ten APU 2D4 (das ist kein ALIX!!!) eine 2'te OPNsense zu betrieben und einen HA Cluster einzurichten (CARP). 
Ansonsten den einfach eines der APU-Boards verkaufen. Die werden m.W. nach ganz gut bei ebay gehandelt, so dass sich ein Verlust in Grenzen halten sollte.
Das wäre auf jedem Fall sinnvoller als einen IP-Cop rein als AP zu mißbrauchen!

Mit der WLAN/LAN Bridge kannst Du es so machen, wie es Dir beliebt! 
Da gibt es kein Richtig oder falsch, sondern nur ein 'Paßt zu meinen Anforderungen'!

Gruß
Dirk

[Thargor]

Na ja,
dann würde es m.E. sinnvoller sein auf der 2. ten APU 2D4 (das ist kein ALIX!!!) eine 2'te OPNsense zu betrieben und einen HA Cluster einzurichten (CARP). 

Ups.. ja stimmt ist ja ein Alix 2D3... wie dem auch sei... ich glaube echt die Tendenz geht zum AP...

Dann ist das alles irgendwie stimmiger...

[Thargor]

So kurzes Feedback

habe mir jetzt wie empfohlen die die UAC-AP_lite gekauft.

[Thargor]

Moin

bin gerade am verzweifeln.... versuche den neuen unifi_AP seit Stunden schon zu installieren, aber ich komme da echt nicht weiter....

Was habe ich gemacht:
 - Proxy und dementsprechende NAT und FW Regeln deaktiviert siehe Bilder
1. OPT1 Interface auf re2 eingerichtet und auf WLAN_AP umgenannt
2. Statische IPv4 vergeben 192.168.8.1/24
3. DHCP Server für WLAN_AP eingerichtet im Bereich von 192.168.8.10-200
4. Erstmal die üblichen Rules aufgestellt, siehe Bilder, probehalber auch erstmal alles auf Deny ALL
5. Bekomm unter Leases auch eine IP des AP angezeigt: 192.168.8.10
6. anpingen kann ich die IP aber es  kommen auch nur 3 Pakete an???
7. Über das Unifi Controller Tool bekomm ich den AP nicht angezeigt
8. spaßeshalber den AP mal an den Switch für das LAN gehängt , dort klappt das sofort mit dem Tool
9. was mache ich falsch???

LAN Regeln - Proxy deaktiviert


WLAN_AP Regeln

[monstermania]

Leider keine Bilder...

[Thargor]

Hmm

Über LTE seh ich das....

[franco]

Von hier geht es auch mit den Bildern.

[NilsS]

lass mal die Bogons aus dem AP-LAN raus.
Das macht in einem von dir kontrolliertem Netzwerk nicht so viel Sinn
Stattdessen kannst du Source ja immer auf AP-LAN Net stellen

Was heißt bei dir denn das nur 3 Pings ankommen?
Danach gibt es einen Timeouts? Sind die pings von der Firewall oder aus dem LAN Netz?
Versuch mal von der Diagnose Seite unter -Interface?(hab gerade kein Zugriff auf die GUI)