11
OPNSense auf Hyper-V
Hallo Zusammen,
ich versuche seit einiger Zeit eine OPNSense auf einer VM im Hyper-V zu konfigurieren.
Bisher habe ich fogendes probiert.
Die virtuellen Maschinen mit einem Internen Switch verbunden 192.168.150.0/24
OPNSense LAN 192.168.150.127/24 kein DHCP die LANadresse habe ich bei den VMs dann auch als Standardgateway eingetragen
OPNSense WAN 10.100.49.2/24 ->Gateway 10.100.49.1
WAN ist ein externer Switch
Firewall sowohl in der OPNSense (Testzwecke) deaktiviert und auch die Windowsfirewall.
Ich kann zwar nun von den virtuellen Windowsmaschinen raus (z.B. Internet) aber ich komme von meinem Clientnetz (192.168.150.0/24) nicht auf die virtuellen Windowsmaschinen und von den VMs nicht ins Clientnetz. Ich habe nun schon einige Zeit mit google verbracht aber noch keine Lösung gefunden.
Hat jemand von euch einen Tip für mich?
Vielen Dank schon einmal für eure Hilfe.
Gruß
Alex
ich versuche seit einiger Zeit eine OPNSense auf einer VM im Hyper-V zu konfigurieren.
Bisher habe ich fogendes probiert.
Die virtuellen Maschinen mit einem Internen Switch verbunden 192.168.150.0/24
OPNSense LAN 192.168.150.127/24 kein DHCP die LANadresse habe ich bei den VMs dann auch als Standardgateway eingetragen
OPNSense WAN 10.100.49.2/24 ->Gateway 10.100.49.1
WAN ist ein externer Switch
Firewall sowohl in der OPNSense (Testzwecke) deaktiviert und auch die Windowsfirewall.
Ich kann zwar nun von den virtuellen Windowsmaschinen raus (z.B. Internet) aber ich komme von meinem Clientnetz (192.168.150.0/24) nicht auf die virtuellen Windowsmaschinen und von den VMs nicht ins Clientnetz. Ich habe nun schon einige Zeit mit google verbracht aber noch keine Lösung gefunden.
Hat jemand von euch einen Tip für mich?
Vielen Dank schon einmal für eure Hilfe.
Gruß
Alex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 554087
Url: https://administrator.de/contentid/554087
Ausgedruckt am: 17.11.2024 um 06:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
damit das klappt müsstest du NAT auf der Firewall deaktivieren, Regeln erstellen welche den Traffic erlauben und aus deinem Netz zu Firewall statische Routen anlegen da deine Seite die Netze hinter der Sense ja nicht kennt.
Hast du das schon versucht?
Gruß
Spirit
damit das klappt müsstest du NAT auf der Firewall deaktivieren, Regeln erstellen welche den Traffic erlauben und aus deinem Netz zu Firewall statische Routen anlegen da deine Seite die Netze hinter der Sense ja nicht kennt.
Hast du das schon versucht?
Gruß
Spirit
Hallo,
Danke für deine schnelle Antwort.
Die statische Route auf die 10.100.49.2 oder? Wie du sagst ist das netz dahinter ja nicht bekannt....
Gruß
Alex
Danke für deine schnelle Antwort.
Die statische Route auf die 10.100.49.2 oder? Wie du sagst ist das netz dahinter ja nicht bekannt....
Gruß
Alex
Ne, auf das 192.168.150.0/24 LAN Netz vom Wan vor der Sense. Die Clients dort haben ja keine Ahnung.
Ist vermutlich völlig identisch zu pfSense auf Hyper V
https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-p ...
https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-p ...
Sorry, aber jetzt bin ich verwirrt.....
Wo setze ich da welche statische route?
Wo setze ich da welche statische route?
aber ich komme von meinem Clientnetz (192.168.150.0/24) nicht auf die virtuellen Windowsmaschinen
Das bedeutet das dann VMs und dein Clientnetz in einem gemeinsamen IP Netz, sprich einer gemeinsamen Layer 2 Domain sind ??Dann brauchst du logischerweise gar keine statischen Routen !
In einem gemeinsamen L2 Netz kann natürlich jeder mit jedem, da muss man nix konfigurieren.
Ggf. nur das ICMP Protokoll zulassen (Ping) wenn man pingen möchte, denn das ist in der lokalen Winblows Firewall per Default abgeschaltet:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Wenn dein Client Netz also extern ist, also außerhalb des Hyper V Hosts liegt, dann hast du vermutlich einen Fehler gemacht den internen vSwitch nach Extern zu bringen. In der Regel ist das ein Tagging Mismatch oder was auch immer.
Dazu müsste man wissen wie du vom vSwitch nach außen kommst sofern dein Client Netz auch außen ist. Leider sagst du dazu aber gar nix.
Hallo,
ICMP habe ich bereits zugelassen.
Als vSwitche habe ich zwei Stück erstellt.
Einen Externen den ich als WAN habe - 10.100.49.2 - Gateway 10.100.49.1
Einen internen Switch den ich uf der OPNSense als LAN habe - 192.168.150.127
Das Clientnetz ist im selben Netz wie die VMs und hat als gw bisher 192.168.150.97 - Da ist ein Bintec RT1202
Probiert hatte ich nun, den Clients als gw die 192.168.150.127 zu geben. Da diese die IP aber nicht sehen funktioniert das nicht
NAT habe ich deaktiviert. Derzeit sind auch alle Firewallregeln deaktiviert (Testzwecke).
Reicht dir das? Bitte sag mir was du noch wissen musst.
Gruss
Alex
ICMP habe ich bereits zugelassen.
Als vSwitche habe ich zwei Stück erstellt.
Einen Externen den ich als WAN habe - 10.100.49.2 - Gateway 10.100.49.1
Einen internen Switch den ich uf der OPNSense als LAN habe - 192.168.150.127
Das Clientnetz ist im selben Netz wie die VMs und hat als gw bisher 192.168.150.97 - Da ist ein Bintec RT1202
Probiert hatte ich nun, den Clients als gw die 192.168.150.127 zu geben. Da diese die IP aber nicht sehen funktioniert das nicht
NAT habe ich deaktiviert. Derzeit sind auch alle Firewallregeln deaktiviert (Testzwecke).
Reicht dir das? Bitte sag mir was du noch wissen musst.
Gruss
Alex
Als vSwitche habe ich zwei Stück erstellt.
Was auch richtig ist !Und die sind dann extern auch an 2 physische NICs des Hyper V Hosts gebunden ?
Probiert hatte ich nun, den Clients als gw die 192.168.150.127 zu geben.
Was ja auch genau richtig ist, denn das ist die Firewall über die ja alle aus dem VM Netz bzw. Client Netz gehen sollten !!!Fakt ist das es scheinbar keinerlei Layer 2 Verbindung des internen vSwitches der das Firewall LAN und die VMs vereint mit dem Clientnetz gibt.
Wir raten mal wieder das das Client Netz wohl extern liegt.
Sprich die physische NIC des HyperV die dein VL, Firewall LAN vSwitch bedient ist nicht richtig mit dem externen Switch über die NIC verbunden. So können sich externens Client Netz/Switch und internen vSwitch nicht "sehen".
Folglich stimmt also die Anbindung des vSwitches an diese NIC nicht (das muss ein Bridging Mode sein !) oder du taggst das vSwitch LAN nach draussen was dann dein externer Switch nicht versteht.
Dazu müsste man auch genau wissen über welche NIC wie der interne vSwitch nach außen kommuniziert. All das ist unbekannt bzw. fehlen die Screenshots des HyperV Setups bzw. man weiss nichtmal ob das Client Netz auch wirklich extern ist oder auch am vSwitch hängt ??
Zu all dem keinerlei Infos
Halte dich doch oben an die ToDos der pfSense. Beide Firewalls sind doch vollkommen identisch und die HyperV ToDos sind komplett gleich !!
Halte dich doch oben an die ToDos der pfSense. Beide Firewalls sind doch vollkommen identisch und die HyperV ToDos sind komplett gleich !!
Ich habe nun nochmal die Anleitung zur pfsense komplett abgearbeitet.
Somit habe ich ein NIC als externen vSwitch angelegt und dem WAN zugewiesen der vSwitch ist mit nicht dem Host geteilt
Das NIC ist ganz simpel nach extern an ein Hardware-Switch angeschlossen. Kein VLan, kein Tag
Ein LAN vSwitch angelgt (privat) und dem LAN zugewisen
Folglich stimmt also die Anbindung des vSwitches an diese NIC nicht (das muss ein Bridging Mode sein !) oder du taggst das vSwitch LAN nach draussen was dann dein externer Switch nicht versteht.
Wie richte ich das richtig ein? Hast du da ggf. eine Anleitung?
Leider nein ! Das müsste einer der Hyper V Gurus hier im Forum beantworten.
Firewalls in einer VM sind ja so oder so immer so eine Sache. Nicht gut aus Security Sicht aber wenn man mit diesem Risiko leben kann funktioniert es damit natürlich auch vollkommen fehlerlos wie dir die pfSense HyperV Anleitung von oben ja deutlich zeigt.
Firewalls in einer VM sind ja so oder so immer so eine Sache. Nicht gut aus Security Sicht aber wenn man mit diesem Risiko leben kann funktioniert es damit natürlich auch vollkommen fehlerlos wie dir die pfSense HyperV Anleitung von oben ja deutlich zeigt.
So wie du es jetzt eingerichtet hast, ist es doch richtig.
Wobei ich den LAN vSwitch erstmal als "Internes Netzwerk" definieren würde und auf dem Host nur eine IP + Subnetz ohne GW im Adapter auf Host Seite eintragen würde. Dann kommst du so herum noch an die Sense dran.
Wobei ich den LAN vSwitch erstmal als "Internes Netzwerk" definieren würde und auf dem Host nur eine IP + Subnetz ohne GW im Adapter auf Host Seite eintragen würde. Dann kommst du so herum noch an die Sense dran.
