balivorinsky
Goto Top

Opnsense Firewall Regel Verständnis Frage 3

Diesmal geht es um IP6 und DHCP.

Folgernder Aufbau ist geplant:

WAN / Internet
:
:
.-----+-----.
| Gateway | (Fritzbox über Kabel (Unitymedia))
'-----+-----'
|
Statisches DHCP
| 192.168.100.10
.-----+------------------.---------------------------------------------
| OPNsense |
'-----+---------------------------------------------------------- +---'
| 192.168.120.0/24 | 192.168.130.0/24
LAN1 LAN2


LAN1: 4 PCs und 1 NAS
LAN2: 2 PCs und Drucker


Ich wollte nun in meinen Lokalen Netzen kein IPv6 nutzen. Dazu auch die gleich die erste Frage:

1. Warum sollte ich das, gibt es eine Notwendigkeit. Wäre mir jetzt zu Aufwendig für IPv6 Lokae IPs zu erstellen etc.
1.b Bei irgend einem Provider habe ich gehört geht nur noch IPv6, aber was heißt das genau für mich. Im lokalen Netz kann ich doch immer IPv4 nutzen, oder nicht?
1.c Bei den Einstellungen kann man ja IPv6 komplett deaktivieren, was ich dann auch machen würde. Wann wär das ein Problem?

2. Wie oben zu sehen werde ich die opnsense FW an die Frizbox anschließen, und NAT nutzen. Ich weiß man kann die FB auch als Modem nutzen was ich aber nicht möchte, da ich auch das Telefon dran habe. Wie mache ich das am besten mit DHCP. DHCP Server der Frizbox im LAN der Fritzbox aktivieren, oder wie ich vermuten würde lieber DHCP Statisch nutzen?

Das hieße dann auch das ich das WAN Interface der opnsense auch auf DHCP statisch setzte, und die IP 192.168.100.10 vergebe z.B.?
LAN1 und LAN2 kann ich dann per DHCP Server versorgen lassen, das sollte, denke ich dann kein Porblem sein?

Ich hoffe es sind jetzt nicht zu viele Fragen face-smile

Content-ID: 397011

Url: https://administrator.de/forum/opnsense-firewall-regel-verstaendnis-frage-3-397011.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

LordGurke
LordGurke 02.01.2019 um 01:22:35 Uhr
Goto Top
1)
IPv6 für das rein lokale Netzwerk ist tatsächlich nicht notwendig — wenn du von deinem Internetprovider IPv6 bekommst, solltest du aber drüber nachdenken, das zu verwenden (und dann entsprechend Firewallregeln dafür zu erstellen).
In Richtung Internet hast du mit IPv6 eher Vor- als Nachteile, musst dafür an den Clients aber nichts konfigurieren.
Falls du einen Provider hast, der dir nur IPv6 bereitstellt gilt das umso mehr.

Zudem solltest du IPv6 nicht auf den Clients deaktivieren. Bei Microsoft hängen manche Dienste von einer funktionierenden lokalen IPv6-Umgebung ab. Letztere erhältst du aber mit halbwegs modernen Clients ohnehin vollautomatisch — z.B. mittels mDNS und auch über die Windows-Netzwerkumgebung.

Unabhängig wofür du dich entscheidest:
IPv6 mit lokalen Adressen für lokale Dienste ist bei dir nicht notwendig — wenn verfügbar kannst du aber versuchen dir per DHCPv6 ein IPv6-Präfix deines Internetproviders auf die openSense holen und verwenden face-wink
Das funktioniert ja alles unabhängig von deiner IPv4-Konfiguration.

2)
Doppeltes NAT halte ich immer für problematisch.
Je häufiger NAT auf der Strecke stattfindet, desto langsamer und fehleranfälliger (abbrechende Verbindungen) wird das.
Zwischen openSense und Fritzbox würde ich kein NAT machen lassen sondern transparent routen, der Fritzbox dann einfach eine statische Route für 192.168.0.0/16 auf die 192.168.100.10 deiner OpenSense einrichten — und natürlich per Firewall den Zugriff vom FB-Netz zu deiner openSense so regulieren wie du es brauchst.
jenni
jenni 02.01.2019 aktualisiert um 07:43:40 Uhr
Goto Top
Moinsen,

2. Wie oben zu sehen werde ich die opnsense FW an die Frizbox anschließen, und NAT nutzen. Ich weiß man kann die FB auch als Modem nutzen was ich aber nicht möchte, da ich auch das Telefon dran habe. Wie mache ich das am besten mit DHCP. DHCP Server der Frizbox im LAN der Fritzbox aktivieren, oder wie ich vermuten würde lieber DHCP Statisch nutzen?

Bei mir sieht es so aus.

Modem
|
FW
| |
LAN Fritzbox------ Telefon

Da verzichtest du auf das doppelte NAT. Ein kleine FB sollte als "Telefonanlage" reichen. Kostet kein Aufwand und eine gebrauchte FB sollten die meisten zuhause rumliegen haben. Ansonsten in der Bucht mal schauen...

Gruß
der jenni
aqui
aqui 02.01.2019 aktualisiert um 14:57:39 Uhr
Goto Top
werde ich die opnsense FW an die Frizbox anschließen, und NAT nutzen.
Leider ! face-sad
Doppeltes NAT in einer Router Kaskade (FB mit FW) ist technisch nicht optimal. Ist oben ja schon alles dazu gesagt...
Kabel TV Modem (reines NUR Modem !) gibts hier:
Endlich: Reines Kabel-TV Modem in D erhältlich !
Ich weiß man kann die FB auch als Modem nutzen
Nein !
M.W. ist das bei den Kabel TV FritzBoxen generell deaktiviert worden von AVM ! Die arbeiten rein nur als Router am Kabel TV. Das würde dann zwingend doppeltes NAT bedeuten.
Wie man mit Router Kaskaden umgeht ist hier beschrieben:
Kopplung von 2 Routern am DSL Port
Wie gesagt...technsich suboptimal.
Bei irgend einem Provider habe ich gehört geht nur noch IPv6, aber was heißt das genau für mich.
Das sind sog. DS-Lite Anschlüsse:
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Balivorinsky
Balivorinsky 02.01.2019 um 19:23:45 Uhr
Goto Top
Nein !
M.W. ist das bei den Kabel TV FritzBoxen generell deaktiviert worden von AVM ! Die arbeiten rein nur als Router am Kabel TV. Das würde dann zwingend doppeltes NAT bedeuten.

So wie es aussieht bin ich ja dann gezwungen dopp. NAT zu nutzen, weil ich jetzt keine anderen Geräte nutzen möchte, erstmal.
Und ist das Problem der erhöhte Rechenaufwand, also die Performance, oder betreffen die Probleme auch die Stabilität, bzw. die Sicherheit.

Wie sieht es bei o2, Telekom, und 1und1 mti den Fritzboxen aus?

Bei irgend einem Provider habe ich gehört geht nur noch IPv6, aber was heißt das genau für mich.
Das sind sog. DS-Lite Anschlüsse:
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Betrifft das die Unitiymedia Fritzbox?

Könnte ich dann ein Problem bekommen, wenn ich eine OpenVPN Verbindung vom Mobilfunknetz aus (o2) auf meine opnsense aufbauen will?
IP geht ja über Dynamisches DNS, da würde ich mir dann eine IP herholen, aber geht das auch bei NUR IP6 fähingen Fritzbox Routern von Unitymedia?
Falls es geht habe würde ich eine Portweiterleitung in der FB machen auf die opnsense, dann sollte es doch gehen?
LordGurke
LordGurke 02.01.2019 um 19:31:33 Uhr
Goto Top
Zitat von @Balivorinsky:
So wie es aussieht bin ich ja dann gezwungen dopp. NAT zu nutzen, weil ich jetzt keine anderen Geräte nutzen möchte, erstmal.
Und ist das Problem der erhöhte Rechenaufwand, also die Performance, oder betreffen die Probleme auch die Stabilität, bzw. die Sicherheit.

Nein, siehe mein Beitrag, Abschnitt 2 face-wink
Du kannst auch mittels transparentem Routing arbeiten, sofern die FritzBox halt eben die Route für die ihr unbekannten Netze gibt face-wink
Balivorinsky
Balivorinsky 02.01.2019 um 19:48:44 Uhr
Goto Top
Zwischen openSense und Fritzbox würde ich kein NAT machen lassen sondern transparent routen, der Fritzbox dann einfach eine statische Route für 192.168.0.0/16 auf die 192.168.100.10 deiner OpenSense einrichten — und natürlich per Firewall den Zugriff vom FB-Netz zu deiner openSense so regulieren wie du es brauchst.

Nur funktioniert die Telefonanlage der FB dann noch?
Gibt es da eine Anleitung wie man eine statische Route in der FB einrichtet, danke
aqui
aqui 03.01.2019 um 09:58:11 Uhr
Goto Top
Ja, die Telefonanlange der FB funktioniert immer.
Entweder in einer Kaskade oder besser im lokalen LAN "one armed" angebunden. Beides geht problemlos !
Gibt es da eine Anleitung wie man eine statische Route in der FB einrichtet, danke
3 Sek. bei Dr. Google...:
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publicati ...