Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OPNSense hinter Fritzbox mit L3-Switch

Mitglied: darkness08

darkness08 (Level 1) - Jetzt verbinden

22.10.2019 um 10:00 Uhr, 460 Aufrufe, 13 Kommentare

Hallo,

ich versuche gerade eine OPNSense Firewall in mein Netztwerk einzubinden.

Bisher habe ich folgendes

  • Den Cisco SG350 mit mehreren VLANs (172.16.10.0/24 - 172.16.10.70.0/24) im L3-Mode
  • Fritzbox (192.168.178.1) welche im VLAN70 (192.168.178.2) am Switch hängt.

  • Default-Route vom SG350 zur Fritzbox: 0.0.0.0/0 --> 192.168.178.1
  • Rückweg auf der Box: 172.16.0.0 --> 192.168.178.2


Jetzt möchte ich die OPNSense vor den Switch einbinden. Das InterVLAN-Routing soll weiterhin beim Switch bleiben.

Neues VLAN 80 über das zukünftig der Internettraffic laufen soll

  • OPNSense LAN-IP 172.16.80.1 | VLAN80 am SG-350 172.16.80.254
  • OPNSense WAN-IP 172.168.178.3

Fritzbox 192.168.178.1 <-----> 192.168.178.3 als Exposed Host -OPNSense - LAN 172.16.80.1 <-----> 172.16.80. 254 --- SG350

Im SG-350 eine DefaultRoute auf 172.16.80.1
OPNSense UpStreamgateway auf 192.168.178.1

Testhalber eine LAN/WAN-Regel die alles erlaubt.

Sollte es so funktionieren oder fehlt noch etwas?
Mitglied: Lochkartenstanzer
22.10.2019 um 10:11 Uhr
Zitat von darkness08:

Hallo,

ich versuche gerade eine OPNSense Firewall in mein Netztwerk einzubinden.

Bisher habe ich folgendes

  • Den Cisco SG350 mit mehreren VLANs (172.16.10.0/24 - 172.16.10.70.0/24) im L3-Mode

Tippfehler? Andonsten evhter Fehler.


Sollte es so funktionieren oder fehlt noch etwas?

Die statische Route in der Fritzbox korrigiert und den switch von der Fritte getrennt?

lks
Bitte warten ..
Mitglied: darkness08
22.10.2019 um 10:20 Uhr
Ups, ja Tippfehler. 172.16.10.0/24 - 172.16.70.0/24


Die statische Route in der Fritzbox korrigiert und den switch von der Fritte getrennt?


Ja, die Fritzbox geht dann in den WAN-Port der OPNSense.

Die statische Route von der Fritzbox dann auf die 192.168.178.3 ? Ich dachte das "übernimmt" der Exposed Host.
Bitte warten ..
Mitglied: Lochkartenstanzer
22.10.2019 um 10:26 Uhr
Zitat von darkness08:

Ups, ja Tippfehler. 172.16.10.0/24 - 172.16.70.0/24


Die statische Route in der Fritzbox korrigiert und den switch von der Fritte getrennt?


Ja, die Fritzbox geht dann in den WAN-Port der OPNSense.

Die statische Route von der Fritzbox dann auf die 192.168.178.3 ? Ich dachte das "übernimmt" der Exposed Host.


Nein exposed Host heißt nur, daß alles was von außen kommt, an diesen geht. Das was im LAN der Fritte und auf der Fritte selbst losgeschickt word, weiß damit den Weg nach 172.16.0.0/16 nicht.

Wenn Deine Fritte oder irgendwas anderes im Frittenlan mit Geräten hinter der pfsense kommunizieren soll, muß die Fritte den Weg wissen.

lks
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 10:48 Uhr
Sollte es so funktionieren oder fehlt noch etwas?
Alles richtig gemacht. So sollte es dann aussehen:

opnsense - Klicke auf das Bild, um es zu vergrößern

Alles Wissenswerte zu einer Router Kaskade findest du wie immer hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Grundlagen Layer 3 Switching wie immer hier:
https://www.administrator.de/forum/verst%C3%A4ndnissproblem-routing-sg30 ...
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 22.10.2019 um 10:48 Uhr
Zitat von aqui:

Sollte es so funktionieren oder fehlt noch etwas?
Alles richtig gemacht. So sollte es dann aussehen:

opnsense - Klicke auf das Bild, um es zu vergrößern


Ich würde die pfsense kein NAT machen lassen, da die Fritte das schon macht, aber das bleibt dem persönlichen Geschmack überlassen.

lks
Bitte warten ..
Mitglied: darkness08
22.10.2019, aktualisiert um 11:30 Uhr
Klappt leider noch nicht so ganz.

Muss ich in der Firewall auch statische Routen eintragen? So sieht es zumindest auf dem Bild aus.


Do not enter static routes for networks assigned on any interface of this firewall. Static routes are only used for networks reachable via a different router, and not reachable via your default gateway.

Ich habe die statische Route in der Fritzbox eingetragen.

Sobald ich alles angeschlossen habe, komme ich von meinem Rechner (VLAN40 172.16.40.10) nicht mehr in Internet und auch nicht mehr auf die Firewall.

Ein Laptop im VLAN80 funktioniert ohne Probleme zur Firewall aber ohne Internet. Wenn ich in der Firewall den WANGW deaktiviere komme ich vom VLAN40 wieder auf die Firewall.

Edit: Block private Network ist bei der Firewall am WAN-Interface aus
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 11:47 Uhr
Muss ich in der Firewall auch statische Routen eintragen? So sieht es zumindest auf dem Bild aus.
Ja, natürlich ! Routing erste Klasse, Grundschule Die muss ja wissen das deine lokalen VLAN IPs hinter dem SG-350 Router liegen.
Wenn man dir schon Tips zu Threads gibt die_das_erläutern solltest du die auch gerne mal lesen ...und verstehen !!
Ich habe die statische Route in der Fritzbox eingetragen.
Die brauchst du nicht wenn die OpnSense NAT macht am WAN Port.
Die benötigst du einzig nur wenn du, wie der Kollege LKS oben angemerkt hat, kein NAT an der Firewall machst. Sprich die FW also ohne NAT routet.
Guckst du hier was NAT in einem Netzwerk macht:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
Bitte warten ..
Mitglied: darkness08
23.10.2019 um 13:06 Uhr
Wenn man dir schon Tips zu Threads gibt die_das_erläutern solltest du die auch gerne mal lesen ...und verstehen !!

da war ich etwas voreilig


Ich habe jetzt noch mal alles der Reihe nach so gemacht wie empfohlen bzw. geschrieben.

Folgendes verhalten habe ich jetzt:

Wenn ich ein Client in das VLAN80 Netz hänge, kommt dieser auch in Internet. Klappt alles.
Aber aus meinen anderen VLANs habe ich keinen Internetzugriff.

ACLs habe ich nicht aktiviert.
DHCP macht der Router. Für die Clients habe ich in den Einstellungen "Router" auf Auto. Aber aus dem VLAN40 heraus ändert sich ja eigentlich auch nichts. Hier bleibt der Router ja die 172.16.40.254. Das Routing zwischen VLAN80 und VLAN40 sollte doch der SG350 machen.
Bitte warten ..
Mitglied: darkness08
23.10.2019 um 20:02 Uhr
Habe jetzt noch mal etwas getestet.

Die Fritzbox verbind ich mit der Firewall. In der FB lösche ich die Route (172.16.0.0/16 Gateway 192.168.178.2) <-- "altes" VLAN70
Im SG-350 setzte ich die Default-Route: 0.0.0.0/0 Gateway 172.16.80.1

In der Firewall ist ein Gateway für WAN (192.168.178.1) aktiv, Upstream
Ein weiterer Gateway für LAN (172.16.80.254) aktiv

Ich kann vom VLAN40 auf das Interface der Firewall zugreifen 172.16.80.1 ebenso auf die WAN-Adresse der Firewall (192.168.178.3)

Auf die Fritzbox (192.168.178.1) kann ich aber nicht zugreifen.

Routen auf der Firewall:
0.0.0.0/0 WANGW - 192.168.178.1
172.16.0.0/16 LAN_DHCP - 172.16.80.254
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.10.2019 um 10:56 Uhr
Aber aus meinen anderen VLANs habe ich keinen Internetzugriff.
Hast du denn auch entsprechende FW Regeln an den VLAN IP Interfaces eingerichtet ???
Das hört sich nach einer falschen oder fehlenden Regel an !
Das Routing zwischen VLAN80 und VLAN40 sollte doch der SG350 machen.
Richtig !
Der SG hat einzig und allein nur eine Default Route auf die OpnSense 172.16.80.1
Die Fritzbox verbind ich mit der Firewall.
Richtig !
LAN Port der FritzBox an WAN Port der OpnSense.
Sinnig ist hier eine statische Adresse oder dem DHCP Server der FritzBox zu konfigurieren immer eine feste, gleichbleibende IP dem WAN Port zu geben auf Basis seiner Mac Adresse !
int - Klicke auf das Bild, um es zu vergrößern
In der FB lösche ich die Route (172.16.0.0/16 Gateway 192.168.178.2) <-- "altes" VLAN70
Richtig !
Keine statischen Routen mehr in der FB, da die OpnSense ja NAT macht am dortigen WAN Port.
Im SG-350 setzte ich die Default-Route: 0.0.0.0/0 Gateway 172.16.80.1
Richtig !
ACHTUNG: Hier am OpnSense LAN Interface dann auch die entsprechenden Regeln setzen !! Alternativ erstmal Scheunentor
PASS: Source: ANY, Destination: ANY

In der Firewall ist ein Gateway für WAN (192.168.178.1) aktiv, Upstream
Richtig, das ist das Default Gateway.
Ein weiterer Gateway für LAN (172.16.80.254) aktiv
Auch richtig ! ACHTUNG !: Hier musst du auch noch zusätzlich die statischen Routen auf deine VLAN Netze an dieses Gateway (LAN) binden !!
172.16.0.0 Mask: 255.255.0.0, Gateway: LAN
Ich kann vom VLAN40 auf das Interface der Firewall zugreifen 172.16.80.1 ebenso auf die WAN-Adresse der Firewall (192.168.178.3)
So sollte es sein.
Auf die Fritzbox (192.168.178.1) kann ich aber nicht zugreifen.
Kann eigentlich nicht sein ! Mit "Zugreifen" was meinst du da ? Ping oder HTTP ?
Gut, HTTP sprich das WebGUI der FB sollte allemal gehen.
Wichtig ist hier die Frage
  • ob NAT (Adress Translation) aktiv ist auf dem WAN Port ?
  • und ob du entsprechende FW Regeln am LAN Port der pfSense .80.1 definiert hast ??
Es kann nur an diesen 2 Dingen liegen.
Bitte warten ..
Mitglied: darkness08
24.10.2019, aktualisiert um 12:05 Uhr
Kann eigentlich nicht sein ! Mit "Zugreifen" was meinst du da ? Ping oder HTTP ?

Zugriff auf die GUI

ob NAT (Adress Translation) aktiv ist auf dem WAN Port ?

Hier bin ich mit nicht sicher. Bisher habe ich die Einstellung
Automatic outbound NAT rule generation
(no manual rules can be used)

Und folgende Regeln sind vorhanden:



LAN WAN networks, 127.0.0.0/8 * * 500 LAN * YES Auto created rule for ISAKMP
LAN WAN networks, 127.0.0.0/8 * * * LAN * NO Auto created rule

Aber wenn ich das jetzt richtig verstehe, brauche ich ja auch NAT aus meinen VLANs, also 172.16.X.0, oder?
Bitte warten ..
Mitglied: darkness08
24.10.2019, aktualisiert um 12:26 Uhr
Richtig
ACHTUNG: Hier am OpnSense LAN Interface dann auch die entsprechenden Regeln setzen !! Alternativ erstmal Scheunentor
PASS: Source: ANY, Destination: ANY

Das war der Trick. Tut mir leid, dass ich es nicht gesehen habe.

Ich habe gedacht, folgende Regel macht schon alles auf:

IPv4 * LAN net * * * * * Default allow LAN to any rule

Aber scheinbar reichte die nicht aus.

Edit: Jetzt wo ich nochmals drüber Nachdenke:
LAN net ist ja 172.16.80.0/24, klar dass es also aus dem VLAN80 ging. Für den Rest fehlte die Regel, welche es erlaubt.

Tausend Dank für deine Gedult!
Bitte warten ..
Mitglied: aqui
24.10.2019, aktualisiert um 13:29 Uhr
Aber wenn ich das jetzt richtig verstehe, brauche ich ja auch NAT aus meinen VLANs, also 172.16.X.0, oder?
Ja, richtig, aber das macht die Firewall alles schon automatisch vom Default Setting solange du nichts anderes an den NAT Settings verfummelt hast.
Hast du im WAN Interface zur FritzBox die RFC 1918 Netze vom Filtern excluded ??
Das ist auch wichtig !
filter - Klicke auf das Bild, um es zu vergrößern
Ich habe gedacht, folgende Regel macht schon alles auf:
IPv4 * LAN net * * * * * Default allow LAN to any rule
Nein !
Falsch gedacht !! Denke mal selber etwas nach !!! Wie sehen IP Pakete deiner VLANs aus die da reinkommen ???
An dem Interface kommen IP Absender Adressen ALLER deiner VLANs ja vorbei ! Du aber hast diese auf IP Adressen des 172.16.80er Netzes begrenzt so ! Das Interface wird also nur IP Pakete passieren lassen die eine 172.16.80er Adresse als Absender hat und alle VLAN IP Pakete blockieren !
Wie gesagt: IP Routing erste Klasse, Grundschule !
Änder diese Regel dann klappt das auch !
So sollte sie aussehen:
PASS, Source: Network 172.16.0.0, Mask: 255.255.0.0, Port: any -> Destination: any, Port: any

Fertisch !
Das lässt dann alles durch was vorne 172.16.x.y hat ! Du hast es ja schon zum Schluß glücklicherweise auch selbst erkannt !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
L3 Switch gesucht
Frage von sebastian2608Router & Routing5 Kommentare

Guten Abend liebe Genossen, benötige Switch-Empfehlungen für folgende Anforderungen: 1HE - 19" Layer 3 2 Netzteile Durchsatz min. 1Gbit ...

LAN, WAN, Wireless
L3 Switch richtig konfigurieren
gelöst Frage von vGavenLAN, WAN, Wireless20 Kommentare

Hi Ich habe eine 3com 5500-ei-g 3 layer switch und würde gerne folgendes konfigurieren Bsp: Port 1: VLAN 10 ...

TK-Netze & Geräte
Soho L3 Managed Switch
Frage von ElmaroTK-Netze & Geräte3 Kommentare

Hi. Ich suche einen SoHo Layer 3 Switch, der nicht ganz so teuer ist. Brauche ca 8 Ports. Wichtig ...

Router & Routing
DHCP im VLAN und L3 Switch
gelöst Frage von WillheRouter & Routing15 Kommentare

Hallo, ich bin Neuling auf dem Gebiet VLAN und die Einarbeitung in das Thema DHCP im VLAN stockt gerade ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing21 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Router & Routing
Fritz VPN und WoL mit Mikrotik HEX RB750Gr2 möglich?
gelöst Frage von SionzrisRouter & Routing20 Kommentare

Hallo erstmal und danke fürs anklicken :) Ich habe folgendes Setup geplant und scheitere zurzeit an der Realisierung vom ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

LAN, WAN, Wireless
Ca. 120 Ubiquiti Unifi AP-AC Pro in einem Netz
Frage von aditzLAN, WAN, Wireless16 Kommentare

Hallo Ubiquiti-Spezialisten, geplant ist ein flächendeckendes WLAN für ein Altenheim mit den oben genannten APs. Ich habe mal auf ...