Firtzbox + Opnsense + VLAN

Mitglied: cyberdott

cyberdott (Level 1) - Jetzt verbinden

08.03.2021 um 13:54 Uhr, 400 Aufrufe, 3 Kommentare

Hallo,

ich benötige bitte einmal Eure Unterstützung. Ich möchte gerne das in der Anlage ersichtliche Konstrukt realisieren. Es funktioniert soweit auch nur das ich in meinem Transfernetz 192.168.15.x die Switche nicht erreiche. Mit meinem Client müsste ich im selben Subnetz (angeschlossen an der Fritte oder an einem zusätzlichen Port meiner Opnsense) diese doch erreichen? Alles andere funktioniert, die Clients bekommen aus dem jeweiligen Vlan ihre korrekte IP (von der Oppnsense) und kommen auch ins Internet. Muss ich der Opnsense auch das VLAN 1 mitteilen/konfigurieren? Muss ich an meinem Client als Gateway meine Opnsense angeben? Da ich mich im selben Netz befinde mach das sicherlich keinen Sinn...
Manchmal sieht man den Baum vor lauter Wald nicht...Danke für Eure Unterstützung!
network - Klicke auf das Bild, um es zu vergrößern
Mitglied: ChriBo
08.03.2021 um 15:50 Uhr
Hallo,
wie hast du die OPNsense eingerichtet ?
Ist IF re0 das WAN Interface ?
Macht die FW von igb0 nach re0 NAT oder echtes Routing ?
Wenn du vom Transfernetz auf Geräte im VLAN zugreifen willst/musst solltest du Routing einrichten.

Gruß
CH
Bitte warten ..
Mitglied: cyberdott
08.03.2021 um 16:40 Uhr
Ja, IF re0 ist das WAN-Interface. Opnsense macht das Routing. Innerhalb der VLAN´s kann ich als Client auf den Switch und Opnsense zugreifen. Nur eben nicht, wenn ich mich an die Fritte anstöpsel. Dann geht nur die Opnsense aber keiner der Switche auf die im VLAN 1 konfigurierten IP´s.
Bitte warten ..
Mitglied: aqui
08.03.2021, aktualisiert um 17:38 Uhr
Vorab erstmal der Hinweis das du einen fatalen IP Adressierungsfehler gemacht hast in deinem Netzwerk. Niemals dürfen 2 oder mehr IP Netze doppelt vorkommen wie bei dir das Transfernetz am WAN Port der FW und das interne Management Netz (vermutlich VLAN 1 ?!).
Solche simplen TCP/IP Grundlagen kennt man auch als als blutiger Laie. Sowas ist im TCP/IP nicht standardkonform, denn IP Netze müssen einzigartig sein. Logisch, denn wie sollte es im IP Netzwerk Routing sonst eine eindeutige Wegeführung geben ?! Lernt jeder Azubi im ersten Lehrjahr. Dein Transfernetz musst du also zwingend umadressieren in 192.168.215.0 /24 oder was auch immer so das es nicht doppelt vorkommt.
nur das ich in meinem Transfernetz 192.168.15.x die Switche nicht erreiche.
Das ist ja auch klar und zu erwarten, denn für die Firewall bist du mit dem Transfernetz logischerweise ja schon im "Internet" !! Folglich blockt sie also alles was von außen auf sie und die internen Netze zugreifen will. Ist ja auch ein selbstverständliches und gewolltes Verhalten einer Firewall und deshalb hat man sie ja !!
Das Transfer Netz sollte deshalb rein nur ein Transfernetz bleiben und niemals behandelt werden wie ein internes Netz.
Ideal wäre es in so einem Design immer wenn man die FritzBox durch ein reines NUR Modem ersetzt wie es hier beschrieben ist:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Denn dann ist der Internet Port der FW wirklich das Internet und man erspart sich die Frickelei mit einer doppelten Firewall und doppeltem NAT in einer Kaskade was auf die Performance geht. Sollte die FritzBox Voice machen betreibt man sie als einfachen IP Host nur mit der VoIP Anlagenfunktion im internen Netzwerk !
Alle deine anderen Fragen beantwortet das hiesige VLAN Tutorial im Detail:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...

Wenn du dennoch das Risiko eingehen willst weil du unbedingt aus dem Transfer Netz auf die Switches zugreifen willst schaffst du das nur wenn du Löcher in die Firewall bohrst und diesen Traffic durch das geschützte Interface durchlässt. Dazu erstellst du 3 Dinge:
  • eine FW Port Forwarding Regel für 3 Ports von TCP 8081 auf die interne Switch 1 IP, TCP 8082 auf die interne Switch 2 IP und TCP 8083 auf die interne Switch 3 IP. Ohne das kannst du niemals das NAT von außerhalb überwinden.
  • Dann eine Regel die den Traffic TCP 8081, TCP 8082 und TCP 8083 auf die WAN IP der Firewall erlaubt
  • Zusätzlich eine statische Route die dir das .15.0er Management Netz (VLAN 1) an die WAN IP der Firewall routet.
Wenn du jetzt im Transfernetz im Browser http://<FW_WAN_IP>:8081 eingibst landest du durchs Port Forwarding in der FW auf dem GUI von Switch 1 analog mit http://<FW_WAN_IP>:8082 auf Switch 2 und Switch 3.

Du solltest dir aber genau überlegen ob du solchen Unsinn machst, denn damit konterkarierst du eigentlich dein an sich sinnvolles und sicheres Firewall Setup wenn du das Sicherheitskonzept so aushöhlst und die FW zu einem schweizer Käse und damit verwundbar machst. Mal gar nicht zu reden das so ein direkter ungeschützter Zugang zu deinen internen Netzen besteht. Ein NoGo normalerweise wenn man auf Datenschutz aus ist.
Zudem solltest du dir das o.a. VLAN Tutorial nochmals genau zu Gemüte führen, denn deine Fragestellung zu Gateways und die falsche Adressierung lässt befürchten das du nicht wirklich genau weisst was du da machst.

P.S.: Und korrigiere mal das peinliche "Firtzbox" in der Überschrift !! Hört deine FB sicher nicht gerne. 🤣
Texte an solch prominenter Stelle liest man doch erstmal Korrektur bevor man den Sende Knopf drückt !
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit11 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 16 StundenFrageOff Topic17 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 1 TagFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...

Windows 10
Windows 10 keine Eingabegeräte mehr erkannt - Anmelden nicht möglich
akira2012Vor 1 TagFrageWindows 108 Kommentare

Hallo Zusammen! Ich habe hier einen Windows 10 Rechner. Er bootet ganz normal aber nach dem hochfahren, werden die Eingabegeräte nicht mehr erkannt. Weder ...

Notebook & Zubehör
Funktionieren keine USB-DVD-RW an Surfaces?
StefanKittelVor 18 StundenFrageNotebook & Zubehör14 Kommentare

Hallo, ein Kunde von mir hat ein Surface Pro. Wenn er ein USB-DVD-RW-Laufwerk an die Dockingstation anschliesst funktioniert es nicht. - Es bekommt Strom ...

LAN, WAN, Wireless
Router der mehrere VLANs per WLAN empfangen kann?
gelöst Rainer117Vor 1 TagFrageLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem Router, der mehrere SSIDs (ursprünglich getrennte VLANs) über WLAN empfangen kann und dann per LAN ...