opnsense anfaenger braucht unterstützung

Started by elektron, July 17, 2018, 01:17:07 PM

Previous topic - Next topic
moin moin

da ich anfaenger bei opnsense bin habe ich ein problem

aufbau

fritzbox 192.168.178.1 ( wird bald ausgetauscht)

----wan

opnsense 192.168.1.1

----lan

switch (managed)

clients

----------------------------------------------------------------

clients bekomen eine 192.168.1.xxx ip zugeteilt. z.b 192.168.1.104 (nas)

will ich von einem client auf die nas zugreifen geht das nicht. will ich vom selben
client ins internet geht das anstandslos.

hat jemand eine tipp ?

lg

elektron

Hey,

- was bekommt denn der Client für eine IP Adresse zugewiesen?
- Siehst Du die ausgegebenen IP Adressen in der OPNsense unter "DHCP Leases"?
- Kannst Du die NAS vom Client aus anpingen?
- Ist der managed Switch irgendwie konfiguriert (z.B. VLAN oder PVLAN)

Traffic zwischen Clients im selben Subnetz geht eigentlich nicht über das Gateway / OPNsense. Da müsste schon sowas wie PVLAN eingerichtet sein, was per ARP jeglichen Traffic zum Gateway schickt.

Jas
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose


Quote from: JasMan on July 17, 2018, 01:38:11 PM

- Siehst Du die ausgegebenen IP Adressen in der OPNsense unter "DHCP Leases"?

- Ist der managed Switch irgendwie konfiguriert (z.B. VLAN oder PVLAN)

Traffic zwischen Clients im selben Subnetz geht eigentlich nicht über das Gateway / OPNsense. Da müsste schon sowas wie PVLAN eingerichtet sein, was per ARP jeglichen Traffic zum Gateway schickt.


ich sehe hier grade alle clients in dem internen netz, also 192.168.1.xxx ausser der nas. ich vermute
also die nas hat noch die alte adresse also 192.168.178.xxx. ich gehe davon aus dass ich dann die nas in die 192.168.1.xxx einbsuen muss.

der switch wird im selben netz wie alle anderen  clients angezeigt, also 192.168.1.xxx

nochmal zum verstaendniss:

es existieren 2 netze vor und hinter der firewall ?

vor der fw ist das modem (momentan fritzbox - wird durch die vigor 130 ersetzt) dann kommt die fw
und danach der interne teil. vorn befindet sich die 192.168.178.xxx,  dann die fw und intern wird die 192.168.1.xxx verwendet.

es muessen also weiterleitunmgen definiert werden, je nachdem was von aussen nach innen oder
umgekehrt erlaubt werden soll. die fw ist dann die sperre zwischen den beiden netzen und schuetzt
das interne netz ( so soll es sein ).

selbstverständlich kann man auch mischformen zusammenstellen.

ich will noch einen wlan-ap ins interne netz einbauen. die fritzbox wird dann nur noch als telefonanlage
benutzt. ich nehme an das die fb dann direkt an die fw angeschlossen wird damit telefonie und daten
strikt voneinander getrennt sind.

danke nochmal fuer deine hilfe !!!!

lg

elektron

danke nochmal fuer deine hilfe.

Hey,

hört sich soweit alles gut an. Wenn die Chance besteht, dass die NAS noch die alte 192.168.178.xxx Adresse fest eingetragen hat, würde ich erst mal danach schauen. Brauchst die ja nur wieder gemeinsam mit einem Client an die Fritz!Box zu hängen und dann auf DHCP stellen.

Die Weiterleitung in Deinem momentanem Konstrukt ist auch nicht schwierig. Du gibts dem WAN Interface der OPNsense eine feste IP im Netz der Fritz!Box (z.b. 192.168.178.5), und richtest dann auf der Fritz!Box unter Freigaben eine Portweiterleitung von Port 1-65535 auf die WAN IP der OPNsense ein.

Sobald der Vigor 130 im Einsatz ist, liegt die öffentliche IP direkt auf dem WAN Interface der Fritz!Box (vorausgesetzt Du nutzt dann PPPoE). Die Fritz!Box kannst Du dann auf ein separates Interface der OPNsense legen, falls verfügbar. Über das Interface kann der VoIP Verkehr an die Fritz!Box weitergeleitet werden.
Man kann die Fritz!Box aber auch mit ins normale LAN hängen. Stört ja nicht. Außerdem könntest Du sie dann auch als WLAN AP nutzen.
Gruß
Jas

Gruß
Jas
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

moin

bevor ich an die fritzbox gehe werde ich erst einmal die vigor einbauen. an die firewall wird dann die fritzbox angeklemmt da ich noch 2 ports an der fw. frei habe.

ich habe von und zur der nas eine ssl verbindung (563) ins i-net laufen.

wird das ueber - dienste - webproxy realisiert ?

danke fuer die unterstuetzung !

lg

elektron

Nein, das wird einfach genattet. Wenn du die Standard regeln verwendest geht das auch gleich

Wofür SSL zur NAS? Nutzt Du den VPN Server der NAS zum Verbinden mit mobilen Clients? Dann würde ich lieber den OpenVPN Server der OPNsense nehmen. Ist wesentlich sinnvoller die Verbindung da terminieren zu lassen.

@mimugmail: Die eingehende SSL Verbindung mit Endpunkt NAS würde ich aber wenigstens über den Proxy schicken, oder? So geNATted direkt ins LAN ist ja net so gut.
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

Achsooo .. du meinst reverse proxy?? Ja dann sollte die NAS wenn du public erreichbar ist gleich in ne DMZ ;)

Quote from: JasMan on July 20, 2018, 07:29:40 AM
Wofür SSL zur NAS? Nutzt Du den VPN Server der NAS zum Verbinden mit mobilen Clients? Dann würde ich lieber den OpenVPN Server der OPNsense nehmen. Ist wesentlich sinnvoller die Verbindung da terminieren zu lassen.


auf der nas (synology) laeuft ein programm was zur datenuebertragung ssl auf port 563 nutzt.

derzeit möchte ich dort nur ungern etwas veraendern. erstmal nur die bestehenden sachen wieder zum laufen bekommen.

wie sollte ich jetzt vorgehen ?

lg

elektron


Was @mimugmail glaub wissen will: baut die NAS eine Verbindung/ein Tunnel nach Extern auf, oder wird eine Verbindung/ein Tunnel von Extern zur NAS aufgebaut?
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

Quote from: JasMan on July 20, 2018, 09:21:38 PM
Was @mimugmail glaub wissen will: baut die NAS eine Verbindung/ein Tunnel nach Extern auf, oder wird eine Verbindung/ein Tunnel von Extern zur NAS aufgebaut?

moin

so weit ich es erkennen kann wird von einem programm auf der nas ueber eine art startdatei eine verbindung
aufgebaut, gehalten und es werden dann sofort endsprechende unterlagen von einem externen server abgeholt.

danke euch beiden !!!

lg

elektron

   

Dann musst Du nur den Port 563 mit Source NAS und Destination Internet auf dem LAN Interface der OPNsense freigeben. 

Ein Reverse-Proxy wäre nur für den umgekehrten Fall, also ein Verbindungsaufbau von Extern nach Intern notwendig bzw. sinnvoll.
Duck, Duck, Duck, Duck, Duck, Duck, Duck, Duck, Goose

Quote from: JasMan on July 21, 2018, 01:31:49 PM
Dann musst Du nur den Port 563 mit Source NAS und Destination Internet auf dem LAN Interface der OPNsense freigeben. 

Ein Reverse-Proxy wäre nur für den umgekehrten Fall, also ein Verbindungsaufbau von Extern nach Intern notwendig bzw. sinnvoll.

Ich habe das Ganze ueber einen alias realisiert. Nach einem Neustard der NAS hat es dann endlich geklappt.

Danke !!! Euch allen besonders euch Beiden.

Jetzt erstmal nur noch die Vigor Sache dann sehe ich weiter.

lg

elektron