giabbatino
Goto Top

OPNSense auf Hyper-V

Hallo Zusammen,

ich versuche seit einiger Zeit eine OPNSense auf einer VM im Hyper-V zu konfigurieren.

Bisher habe ich fogendes probiert.

Die virtuellen Maschinen mit einem Internen Switch verbunden 192.168.150.0/24
OPNSense LAN 192.168.150.127/24 kein DHCP die LANadresse habe ich bei den VMs dann auch als Standardgateway eingetragen
OPNSense WAN 10.100.49.2/24 ->Gateway 10.100.49.1
WAN ist ein externer Switch

Firewall sowohl in der OPNSense (Testzwecke) deaktiviert und auch die Windowsfirewall.

Ich kann zwar nun von den virtuellen Windowsmaschinen raus (z.B. Internet) aber ich komme von meinem Clientnetz (192.168.150.0/24) nicht auf die virtuellen Windowsmaschinen und von den VMs nicht ins Clientnetz. Ich habe nun schon einige Zeit mit google verbracht aber noch keine Lösung gefunden.

Hat jemand von euch einen Tip für mich?

Vielen Dank schon einmal für eure Hilfe.

Gruß

Alex

Content-ID: 554087

Url: https://administrator.de/forum/opnsense-auf-hyper-v-554087.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 04.03.2020 um 08:35:49 Uhr
Goto Top
Moin,

damit das klappt müsstest du NAT auf der Firewall deaktivieren, Regeln erstellen welche den Traffic erlauben und aus deinem Netz zu Firewall statische Routen anlegen da deine Seite die Netze hinter der Sense ja nicht kennt.

Hast du das schon versucht?

Gruß
Spirit
giabbatino
giabbatino 04.03.2020 um 09:06:13 Uhr
Goto Top
Hallo,

Danke für deine schnelle Antwort.

Die statische Route auf die 10.100.49.2 oder? Wie du sagst ist das netz dahinter ja nicht bekannt....

Gruß

Alex
Spirit-of-Eli
Spirit-of-Eli 04.03.2020 um 09:09:23 Uhr
Goto Top
Ne, auf das 192.168.150.0/24 LAN Netz vom Wan vor der Sense. Die Clients dort haben ja keine Ahnung.
aqui
aqui 04.03.2020 um 09:26:32 Uhr
Goto Top
Ist vermutlich völlig identisch zu pfSense auf Hyper V
https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-p ...
giabbatino
giabbatino 04.03.2020 um 11:00:23 Uhr
Goto Top
Sorry, aber jetzt bin ich verwirrt.....

Wo setze ich da welche statische route?
aqui
aqui 04.03.2020 aktualisiert um 11:12:08 Uhr
Goto Top
aber ich komme von meinem Clientnetz (192.168.150.0/24) nicht auf die virtuellen Windowsmaschinen
Das bedeutet das dann VMs und dein Clientnetz in einem gemeinsamen IP Netz, sprich einer gemeinsamen Layer 2 Domain sind ??
Dann brauchst du logischerweise gar keine statischen Routen !
In einem gemeinsamen L2 Netz kann natürlich jeder mit jedem, da muss man nix konfigurieren.
Ggf. nur das ICMP Protokoll zulassen (Ping) wenn man pingen möchte, denn das ist in der lokalen Winblows Firewall per Default abgeschaltet:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...

Wenn dein Client Netz also extern ist, also außerhalb des Hyper V Hosts liegt, dann hast du vermutlich einen Fehler gemacht den internen vSwitch nach Extern zu bringen. In der Regel ist das ein Tagging Mismatch oder was auch immer.
Dazu müsste man wissen wie du vom vSwitch nach außen kommst sofern dein Client Netz auch außen ist. Leider sagst du dazu aber gar nix. face-sad
giabbatino
giabbatino 04.03.2020 um 11:56:35 Uhr
Goto Top
Hallo,

ICMP habe ich bereits zugelassen.

Als vSwitche habe ich zwei Stück erstellt.
Einen Externen den ich als WAN habe - 10.100.49.2 - Gateway 10.100.49.1
Einen internen Switch den ich uf der OPNSense als LAN habe - 192.168.150.127

Das Clientnetz ist im selben Netz wie die VMs und hat als gw bisher 192.168.150.97 - Da ist ein Bintec RT1202

Probiert hatte ich nun, den Clients als gw die 192.168.150.127 zu geben. Da diese die IP aber nicht sehen funktioniert das nicht
NAT habe ich deaktiviert. Derzeit sind auch alle Firewallregeln deaktiviert (Testzwecke).

Reicht dir das? Bitte sag mir was du noch wissen musst.

Gruss

Alex
aqui
aqui 04.03.2020 um 12:15:54 Uhr
Goto Top
Als vSwitche habe ich zwei Stück erstellt.
Was auch richtig ist !
Und die sind dann extern auch an 2 physische NICs des Hyper V Hosts gebunden ?
Probiert hatte ich nun, den Clients als gw die 192.168.150.127 zu geben.
Was ja auch genau richtig ist, denn das ist die Firewall über die ja alle aus dem VM Netz bzw. Client Netz gehen sollten !!!
Fakt ist das es scheinbar keinerlei Layer 2 Verbindung des internen vSwitches der das Firewall LAN und die VMs vereint mit dem Clientnetz gibt.
Wir raten mal wieder das das Client Netz wohl extern liegt.
Sprich die physische NIC des HyperV die dein VL, Firewall LAN vSwitch bedient ist nicht richtig mit dem externen Switch über die NIC verbunden. So können sich externens Client Netz/Switch und internen vSwitch nicht "sehen".
Folglich stimmt also die Anbindung des vSwitches an diese NIC nicht (das muss ein Bridging Mode sein !) oder du taggst das vSwitch LAN nach draussen was dann dein externer Switch nicht versteht.
Dazu müsste man auch genau wissen über welche NIC wie der interne vSwitch nach außen kommuniziert. All das ist unbekannt bzw. fehlen die Screenshots des HyperV Setups bzw. man weiss nichtmal ob das Client Netz auch wirklich extern ist oder auch am vSwitch hängt ??
Zu all dem keinerlei Infos face-sad
Halte dich doch oben an die ToDos der pfSense. Beide Firewalls sind doch vollkommen identisch und die HyperV ToDos sind komplett gleich !!
giabbatino
giabbatino 04.03.2020 aktualisiert um 14:57:33 Uhr
Goto Top
Halte dich doch oben an die ToDos der pfSense. Beide Firewalls sind doch vollkommen identisch und die HyperV ToDos sind komplett gleich !!

Ich habe nun nochmal die Anleitung zur pfsense komplett abgearbeitet.

Somit habe ich ein NIC als externen vSwitch angelegt und dem WAN zugewiesen der vSwitch ist mit nicht dem Host geteilt
Das NIC ist ganz simpel nach extern an ein Hardware-Switch angeschlossen. Kein VLan, kein Tag

wan

Ein LAN vSwitch angelgt (privat) und dem LAN zugewisen

lan

vm



Folglich stimmt also die Anbindung des vSwitches an diese NIC nicht (das muss ein Bridging Mode sein !) oder du taggst das vSwitch LAN nach draussen was dann dein externer Switch nicht versteht.

Wie richte ich das richtig ein? Hast du da ggf. eine Anleitung?
aqui
aqui 04.03.2020 um 15:15:56 Uhr
Goto Top
Leider nein ! Das müsste einer der Hyper V Gurus hier im Forum beantworten.
Firewalls in einer VM sind ja so oder so immer so eine Sache. Nicht gut aus Security Sicht aber wenn man mit diesem Risiko leben kann funktioniert es damit natürlich auch vollkommen fehlerlos wie dir die pfSense HyperV Anleitung von oben ja deutlich zeigt.
Spirit-of-Eli
Spirit-of-Eli 04.03.2020 um 15:20:34 Uhr
Goto Top
So wie du es jetzt eingerichtet hast, ist es doch richtig.
Wobei ich den LAN vSwitch erstmal als "Internes Netzwerk" definieren würde und auf dem Host nur eine IP + Subnetz ohne GW im Adapter auf Host Seite eintragen würde. Dann kommst du so herum noch an die Sense dran.