Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OPNSense hinter Fritzbox

Mitglied: julio8

julio8 (Level 1) - Jetzt verbinden

26.03.2020 um 21:37 Uhr, 258 Aufrufe, 6 Kommentare

Hallo zusammen,

ich bin neu hier. Ich war in der Vergangenheit öfters stiller Mitleser und habe aber jetzt ein Problem bei dem ich einfach nicht weiterkomme.
Ich habe mir vor über einem Jahr einen HP Proliant Gen8 Server gekauft und bin inzwischen mit VMs, unix-artigen OS und Docker recht versiert.
Der nächste Schritt ist, bestimmte shares aus Openmediavault für externe Leute (via VPN zur Verfügung zu stellen). Aus diesem Grund habe ich mich mit OPNsense auseinandergesetzt, ich komme jetzt aber einfach nicht weiter bzw. brauche auch Unterstützung in der Beratung zum gesamten Setting.

Hardware Setting:
- HP Proliant Gen8 mit Proxmox
- verschiedene Vms (openmediavault mit plex, debian, windows 10 & OPNsense)

Netzwerkaufbau:
Fritzbox 7430 Router & Modem inkl WLAN zwecks Zugang generelle Geräte von anderen Bewohnern der WG
FB -> WAN Port des HP
LAN Port des HP an Switch zwecks Anschluss von weiteren Geräten

Ziele:
- openvpn auf opnsense nutzen um VPN Zugang zu ermöglichen (über exposed der FB)
- mehrere VLANs nutzen bspw. um OMV abgeschottet laufen zu lassen
- bestimmten openvpn usern nur Zugang zu einem VLAN zu gewähren und über die OMV User nur zu bestimmten Shares
- Freie Kommunikation unterhalb der VLANs jedoch keinen freien Zugriff vom "Fritzbox-WLAN" Netz auf die VLANs (nur von spezieller
- Vermeidung von double NAT


Was leider nicht möglich ist:
- VPN direkt auf Fritzbox --> zu geringer Durchsatz und nicht ausreichende Userkonfiguration
- Router ersetzen oder in den reinen Modembetrieb setzen um einen Accesspoint und Router erst hinter die FW zu schalten

Was, wenn nötig, am Layout geändert werden kann:
- Kaufen eines AP um das Fritzbox WLAN gar nicht mehr zu nutzen (keine Vermischung von WAN und LAN) sondern alles für mich relevante hinter der FW zu haben.
- Anschaffen eines anderen Switches


Meine Idee zum Grundlayout war folgende:
- Fritzbox lässt VPN via exposed port zum Openvpn durch.
- OPNsense ist so eingestellt, dass es via dem WAN port genau eine spezifische IP aus dem Netz des Fritzbox WLANs auf die UI lässt.
- Zudem kann ich auf alle Hosts in allen VLANs von dieser einen lokalen IP zugreifen
- OPNsense agiert quasi als switch mit VLAN Fähigkeiten (ich kenne mich leider nicht aus wie genau ich das mache)
- VLANs werden entweder im proxmox oder im OPNsense definiert
- Die VMs nutzen dann die jeweiligen VLANs
- Der am LAN Port angeschlossene Switch ist nicht dediziert VLAN fähig, ich nehme an hier kann ich quasi nur das normale LAN Netzwerk "abgreifen" (was ok ist)


Fragen & Probleme:
Ich muss ehrlich sagen, dass ich mir nicht sicher bin wie das Gesamtkonstrukt am besten aussehen soll.
Zudem bin ich mir nicht ganz sicher was die VLANs angeht. Kann OPNsense VLANS erstellen und managen oder ist es besser diese im Proxmox anzulegen und im OPNsense nur zu nutzen.
Sind die oben genannten Ziele machbar?
Was mir leider noch nicht ganz klar ist, ist der Unterschied zwischen double-NAT und den IP ranges der Vlans. Sind VLANs nicht eine Art NAT?
Zudem habe ich bis jetzt ein Problem was ich nicht genau eingrenzen kann: Meine Regeln, die ich erstelle greifen nicht. Ich gebe auf dem WAN interface alles frei komme aber nicht aus dem Fritzbox WLAN Netz auf auf die UI von OPNsense. Erst wenn ich mittels pfctl -d die Firewall deaktiviere. Im Log steht "default deny rule".

Umso länger ich mich mit dem Thema befasse umso verwirrter werde ich.
Ich tue mich mit dem Thema Netzwerk und Firewall recht schwer im Vergleich zu anderen Themen. Ich hoffe ihr könnt mir hier helfen und verzeiht mir die ganze Flut an Fragen.

Viele Grüße
Julius
Mitglied: aqui
26.03.2020, aktualisiert um 23:21 Uhr
Hier steht alles was du zu dem Thema wissen musst:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...

OpenVPN Integration bzw. mit bordeigenen Clients aller Betriebssysteme wird hier erklärt:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...

Und wie man mit VLANs an der OPNsense umgeht steht hier:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...

Das sollte eigentlich alle deine Fragen beantworten. Lesen und verstehen !

(P.S.: Habt ihr euch bei der Erstellung der Threads hier abgesprochen ?:
https://administrator.de/forum/tipps-gesucht-pfsense-fritz-6490-cable-vl ... )
Bitte warten ..
Mitglied: julio8
27.03.2020, aktualisiert um 22:43 Uhr
Hi aqui,

vielen Dank für die ausführliche Sammlung an Tutorials.
Da werde ich einige Zeit zu tun haben.

Mir geht es jedoch weniger (nur sehr punktuell) um eine Schritt für Schritt Anleitung, sondern mehr um einen Stupser in die richtige Richtung zum Gesamtsetting. Ich habe beispielsweise schon mal einen OpenVPN Server in einem simpleren Setting aufgesetzt.

Gesamtsetup:
- Gibt es eine Möglichkeit ein Double NAT zu vermeiden?
- Ist es möglich OPNsense hinter der Fritzbox quasi nur als switch zu nutzen? So wie hier beschrieben: "layer 2 switch trick" https://www.graemenoble.id.au/post/48695277030/double-nat-explained-and- ...
- Ist diese Lösung "sicher" (auch wenn ich erst einmal nur plane den einen Port zum openvpn im Internet verfügbar zu machen.

VLANs:
- VLAN werden am besten in Proxmox erstellt und dann in OPNsense zugewiesen. Ist das richtig? Macht es einen Unterschied?
- Nutzt man hier am besten statische IPs oder DHCP? (Wäre das dann nicht double NAT?)

Blocking & Routing:
- Ich weiß leider nicht warum ich nicht von der WAN Seite auf die OPNsense UI komme. Ich habe "Block private networks" und "Block bogon networks" beides deaktiviert, als auch "disable reply-to" in der WAN Regel aktiviert. Muss ich hier noch irgendeine Art von Forwarding beachten?


Wäre super wenn du mir da einen Art Empfehlung zum "best practice" geben könntest, damit ich dann gezielt suchen kann.

hehe ne wir haben uns nicht abgesprochen. Aber die Struktur der Problembeschreibung ist schon recht ähnlich ;)
Bitte warten ..
Mitglied: julio8
27.03.2020 um 23:30 Uhr
ok. Jetzt komme ich endlich mit aktiviertet FW auf die Management UI. Es lag daran, dass ich in den WAN Rules bei Gateway "WAN_DHCP" auswählen musste.
Ganz verstanden warum es vorher nicht geklappt hat, habe ich jedoch nicht. vll kann mir da wer helfen.
2020-03-27 11.28.56 pm - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
28.03.2020, aktualisiert um 12:18 Uhr
Auf dem WAN Interface blockiert die Firewall logischerweise ALLES was versucht eine Verbindung zu ihr bzw. ihrer IP Adresse dort aufzubauen. Logisch, denn das soll sie ja auch und ist normales Verhalten am "gefährlichen" Internet Interface.
Zweitens sind im Default zusätzlich auch noch alle privaten RFC 1918 IP Adressen blockiert im Default. In einer Router Kaskade (und NUR da !!) muss man das also zusätzlich auch noch freischalten !
rfc - Klicke auf das Bild, um es zu vergrößern

Wenn man also einen Zugriff aus dem WAN Netz bei einem Kaskaden Setup hat muss man die Management Ports am WAN also explizit freigeben !
Um nicht alle Ports mühsam einzeln einzutragen kann man der Übersicht halber besser einen Port Alias vorher erzeugen mit den Management Ports:
alias - Klicke auf das Bild, um es zu vergrößern
Und dann die Regel dazu:
wan - Klicke auf das Bild, um es zu vergrößern

Das darf in einer direkten Internet Anbindung, sprich also wo die Firewall mit einem NUR Modem selber direkt im Internet hängt natürlich NIEMALS gemacht werden, denn keiner möchte ja das seine Management Ports ungeschützt für alle im Internet freigegeben werden !!!
Sowas löst man dann logischerweise immer mit einem VPN wie z.B. DIESEM hier.
Die Firewall verhält sich hier also absolut Standard konform im Regel Setup !! Wäre ja auch schlimm wenn es nicht so wäre.
Bitte warten ..
Mitglied: julio8
30.03.2020 um 17:54 Uhr
Hi aqui,

vielen Dank für deine Antwort. Ich schätze es sehr, dass du so ausführlich antwortest. Ich habe leider nur das Gefühl, dass hier davon ausgegangen wird dass ich die Standardprobleme habe, welche sich mit (Standard-)Tutorials lösen lassen. Wie beispielsweise oben beschrieben, hatte ich bereits die von dir erwähnten Einstellungen vorgenommen. Letzendlich habe ich den Teil mit dem Zugriff auf die UI und vom WAN hinbekommen. Wenn ich NAT aktiviere klappt auch ein Ping von einem Gerät im LAN ins Internet.

Was nicht klappt:
- Ping von einem Gerät im WAN (lokale IP) zu einem Gerät im LAN
- Der Ping von LAN-Gerät zu WAN-Gerät klappt, jedoch nur mittels Outbound NAT. Und eigentlich will ich ja ein Double NAT vermeiden.

Mir ist leider recht grundsätzlich nicht ganz klar wie ich ein Double NAT hier vermeide und was die Alternative ist. Mein aktuelles Verständnis ist, dass ich dafür statische Route in der Fritzbox bräuchte, ist das korrekt? Ist es möglich OPNsense quasi als Switch zu nutzen?

Wäre sehr cool wenn mir jemand konkret bei den obrigen Fragen helfen könnte. Für Vorschlage zu alternativen Setups bin ich natürlich auch offen.
Bitte warten ..
Mitglied: aqui
30.03.2020, aktualisiert um 20:47 Uhr
- Ping von einem Gerät im WAN (lokale IP) zu einem Gerät im LAN
Kann niemals klappen, denn das verhindert einerseits die Firewall und zusätzlich noch die NAT Firewall weil es keine existierende NAT Session gibt.
2 Gründe also warum das technsich niemals klappen kann. Dein Problem ist das NAT was du gar nicht brauchst !
Wenn dann kannst du nur Portweise ein Port Forwarding machen um das zu überwinden. Ist aber recht ineffizient.
Oder...du schaltetst das NAT komplett aus und machst nur reines Routing !
Siehe hier:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
Und eigentlich will ich ja ein Double NAT vermeiden.
Was auch richtig wäre in dem Design.
Wie bereits gesagt: NAT komplett abschalten (Firewall Outbound NAT) und rein nur transparent routen. Siehe Tutorial oben.
Mir ist leider recht grundsätzlich nicht ganz klar wie ich ein Double NAT hier vermeide
Indem du kein NAT machst auf dem Router und rein transparent 2 IP Netze routest.
Auch hier wie bereits gesagt: Routing Tutorial oben lesen und b´verstehen und dann umsetzen.
Dafür hätte auch ein kleiner 20 Euro Router gereicht
https://www.varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941- ...
Ist es möglich OPNsense quasi als Switch zu nutzen?
Ja, das geht auch.
Du packst alle Interfaces in eine Bridge und etablierst die FW Regeln auf dem Bridge Interface. Sog. Transparent Firewall. Das wäre ein Firewalling auf Layer 2.
Dadurch verlierst du aber die Segmentierung in 2 IP Netze das sollte dir bewusst sein !
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Fritzbox zu Fritzbox VPN - Verbindungsabbrüche

gelöst Frage von Wid0kejRouter & Routing9 Kommentare

Hallo, ich hatte bereits in einem anderen topic über den Fall geschrieben, dort hatte ich jedoch andere Probleme an ...

LAN, WAN, Wireless

FritzBOX VPN FritzBox kein Verbindungsaufbau

gelöst Frage von Dett18LAN, WAN, Wireless17 Kommentare

Einen schönen Sonnigen guten Tag liebe Gemeinde. Leider habe ich ein VPN Problem zwischen zwei Fritz!Boxen. Nach einer Woche ...

Router & Routing

Fritzbox-7430 nach Fritzbox-7490

Frage von ArvedirmerRouter & Routing3 Kommentare

Ich habe folgendes Problem: FB-7490 ist mit dem Internet (VDSL-50MBit/sec) verbunden, es existieren 3 Telefonnummern (Nr1, Nr2, Nr3). In ...

LAN, WAN, Wireless

FritzBox 4020

gelöst Frage von Daoudi1973LAN, WAN, Wireless10 Kommentare

Hallo zusammen und einen schönen guten Morgen, als ich vom Urlaub zurückkam, und an meinem Schreibtisch saß, habe ich ...

Neue Wissensbeiträge
Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 8 StundenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Instant Messaging

Die Kommunikations-App Zoom kommt aus der Kritik so schnell nicht mehr raus

Information von Frank vor 9 StundenInstant Messaging4 Kommentare

Ich würde Zoom ja gerne nutzen (das Featureset ist ziemlich gut) aber irgendwie hinterlassen die ganzen Nachrichten einen faden ...

Off Topic
Die Känguru-Chroniken - ab April im Streaming
Information von Frank vor 1 TagOff Topic2 Kommentare

Die Corona-Krise hat auch die Kinos zum Stillstand gebracht. Daher gehen einige Verleiher neue Wege und stellen ihre Filme ...

Windows Server

Update KB4541329 (März 2020) und Windows Server 2016 RDS 1609 Probleme

Information von System-Fehler vor 2 TagenWindows Server1 Kommentar

Hallo, hier zur Info und eventuelle Hilfe: Wir hatten folgende Fehler: Windows 2016 Datacenter 1609, hier als RDS Dienste ...

Heiß diskutierte Inhalte
Batch & Shell
Alle Dateien eines Typs in Unterordnern in ein anderes Verzeichnis kopieren, aber so, dass sie in einem einzigen Unterverzeichnis liegen
Frage von Julia1989Batch & Shell19 Kommentare

Hallo, ich habe folgendes Problem: Ich habe viele *.php dateien, diese liegen in jeweils verschiedenen Unternordnern also C:\PfadZumOberverzeichnis\{A bis ...

Internet Domänen
Subdomain auf subdomain bzw. dyndns mit port weiterleiten?
Frage von DynlaraBartisInternet Domänen15 Kommentare

hey ich habe einen server bei mir mit proxmox auf diesem habe ich vm´s im heimnetz habe ich eine ...

Windows 10
Über Remotedesktopverbindung erkennen, ob Monitor angeschaltet ist
Frage von Tomac84Windows 1013 Kommentare

Hallo Zusammen, Auf Grund der Krise arbeite ich vom Home Office aus. Ich melde mich per Remotedesktopverbindung an meinen ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWussteOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...