Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OPNSense hinter Fritzbox mit L3-Switch

Mitglied: darkness08

darkness08 (Level 1) - Jetzt verbinden

22.10.2019 um 10:00 Uhr, 391 Aufrufe, 13 Kommentare

Hallo,

ich versuche gerade eine OPNSense Firewall in mein Netztwerk einzubinden.

Bisher habe ich folgendes

  • Den Cisco SG350 mit mehreren VLANs (172.16.10.0/24 - 172.16.10.70.0/24) im L3-Mode
  • Fritzbox (192.168.178.1) welche im VLAN70 (192.168.178.2) am Switch hängt.

  • Default-Route vom SG350 zur Fritzbox: 0.0.0.0/0 --> 192.168.178.1
  • Rückweg auf der Box: 172.16.0.0 --> 192.168.178.2


Jetzt möchte ich die OPNSense vor den Switch einbinden. Das InterVLAN-Routing soll weiterhin beim Switch bleiben.

Neues VLAN 80 über das zukünftig der Internettraffic laufen soll

  • OPNSense LAN-IP 172.16.80.1 | VLAN80 am SG-350 172.16.80.254
  • OPNSense WAN-IP 172.168.178.3

Fritzbox 192.168.178.1 <-----> 192.168.178.3 als Exposed Host -OPNSense - LAN 172.16.80.1 <-----> 172.16.80. 254 --- SG350

Im SG-350 eine DefaultRoute auf 172.16.80.1
OPNSense UpStreamgateway auf 192.168.178.1

Testhalber eine LAN/WAN-Regel die alles erlaubt.

Sollte es so funktionieren oder fehlt noch etwas?
Mitglied: Lochkartenstanzer
22.10.2019 um 10:11 Uhr
Zitat von darkness08:

Hallo,

ich versuche gerade eine OPNSense Firewall in mein Netztwerk einzubinden.

Bisher habe ich folgendes

  • Den Cisco SG350 mit mehreren VLANs (172.16.10.0/24 - 172.16.10.70.0/24) im L3-Mode

Tippfehler? Andonsten evhter Fehler.


Sollte es so funktionieren oder fehlt noch etwas?

Die statische Route in der Fritzbox korrigiert und den switch von der Fritte getrennt?

lks
Bitte warten ..
Mitglied: darkness08
22.10.2019 um 10:20 Uhr
Ups, ja Tippfehler. 172.16.10.0/24 - 172.16.70.0/24


Die statische Route in der Fritzbox korrigiert und den switch von der Fritte getrennt?


Ja, die Fritzbox geht dann in den WAN-Port der OPNSense.

Die statische Route von der Fritzbox dann auf die 192.168.178.3 ? Ich dachte das "übernimmt" der Exposed Host.
Bitte warten ..
Mitglied: Lochkartenstanzer
22.10.2019 um 10:26 Uhr
Zitat von darkness08:

Ups, ja Tippfehler. 172.16.10.0/24 - 172.16.70.0/24


Die statische Route in der Fritzbox korrigiert und den switch von der Fritte getrennt?


Ja, die Fritzbox geht dann in den WAN-Port der OPNSense.

Die statische Route von der Fritzbox dann auf die 192.168.178.3 ? Ich dachte das "übernimmt" der Exposed Host.


Nein exposed Host heißt nur, daß alles was von außen kommt, an diesen geht. Das was im LAN der Fritte und auf der Fritte selbst losgeschickt word, weiß damit den Weg nach 172.16.0.0/16 nicht.

Wenn Deine Fritte oder irgendwas anderes im Frittenlan mit Geräten hinter der pfsense kommunizieren soll, muß die Fritte den Weg wissen.

lks
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 10:48 Uhr
Sollte es so funktionieren oder fehlt noch etwas?
Alles richtig gemacht. So sollte es dann aussehen:

opnsense - Klicke auf das Bild, um es zu vergrößern

Alles Wissenswerte zu einer Router Kaskade findest du wie immer hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Grundlagen Layer 3 Switching wie immer hier:
https://www.administrator.de/forum/verst%C3%A4ndnissproblem-routing-sg30 ...
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 22.10.2019 um 10:48 Uhr
Zitat von aqui:

Sollte es so funktionieren oder fehlt noch etwas?
Alles richtig gemacht. So sollte es dann aussehen:

opnsense - Klicke auf das Bild, um es zu vergrößern


Ich würde die pfsense kein NAT machen lassen, da die Fritte das schon macht, aber das bleibt dem persönlichen Geschmack überlassen.

lks
Bitte warten ..
Mitglied: darkness08
22.10.2019, aktualisiert um 11:30 Uhr
Klappt leider noch nicht so ganz.

Muss ich in der Firewall auch statische Routen eintragen? So sieht es zumindest auf dem Bild aus.


Do not enter static routes for networks assigned on any interface of this firewall. Static routes are only used for networks reachable via a different router, and not reachable via your default gateway.

Ich habe die statische Route in der Fritzbox eingetragen.

Sobald ich alles angeschlossen habe, komme ich von meinem Rechner (VLAN40 172.16.40.10) nicht mehr in Internet und auch nicht mehr auf die Firewall.

Ein Laptop im VLAN80 funktioniert ohne Probleme zur Firewall aber ohne Internet. Wenn ich in der Firewall den WANGW deaktiviere komme ich vom VLAN40 wieder auf die Firewall.

Edit: Block private Network ist bei der Firewall am WAN-Interface aus
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 11:47 Uhr
Muss ich in der Firewall auch statische Routen eintragen? So sieht es zumindest auf dem Bild aus.
Ja, natürlich ! Routing erste Klasse, Grundschule Die muss ja wissen das deine lokalen VLAN IPs hinter dem SG-350 Router liegen.
Wenn man dir schon Tips zu Threads gibt die_das_erläutern solltest du die auch gerne mal lesen ...und verstehen !!
Ich habe die statische Route in der Fritzbox eingetragen.
Die brauchst du nicht wenn die OpnSense NAT macht am WAN Port.
Die benötigst du einzig nur wenn du, wie der Kollege LKS oben angemerkt hat, kein NAT an der Firewall machst. Sprich die FW also ohne NAT routet.
Guckst du hier was NAT in einem Netzwerk macht:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
Bitte warten ..
Mitglied: darkness08
23.10.2019 um 13:06 Uhr
Wenn man dir schon Tips zu Threads gibt die_das_erläutern solltest du die auch gerne mal lesen ...und verstehen !!

da war ich etwas voreilig


Ich habe jetzt noch mal alles der Reihe nach so gemacht wie empfohlen bzw. geschrieben.

Folgendes verhalten habe ich jetzt:

Wenn ich ein Client in das VLAN80 Netz hänge, kommt dieser auch in Internet. Klappt alles.
Aber aus meinen anderen VLANs habe ich keinen Internetzugriff.

ACLs habe ich nicht aktiviert.
DHCP macht der Router. Für die Clients habe ich in den Einstellungen "Router" auf Auto. Aber aus dem VLAN40 heraus ändert sich ja eigentlich auch nichts. Hier bleibt der Router ja die 172.16.40.254. Das Routing zwischen VLAN80 und VLAN40 sollte doch der SG350 machen.
Bitte warten ..
Mitglied: darkness08
23.10.2019 um 20:02 Uhr
Habe jetzt noch mal etwas getestet.

Die Fritzbox verbind ich mit der Firewall. In der FB lösche ich die Route (172.16.0.0/16 Gateway 192.168.178.2) <-- "altes" VLAN70
Im SG-350 setzte ich die Default-Route: 0.0.0.0/0 Gateway 172.16.80.1

In der Firewall ist ein Gateway für WAN (192.168.178.1) aktiv, Upstream
Ein weiterer Gateway für LAN (172.16.80.254) aktiv

Ich kann vom VLAN40 auf das Interface der Firewall zugreifen 172.16.80.1 ebenso auf die WAN-Adresse der Firewall (192.168.178.3)

Auf die Fritzbox (192.168.178.1) kann ich aber nicht zugreifen.

Routen auf der Firewall:
0.0.0.0/0 WANGW - 192.168.178.1
172.16.0.0/16 LAN_DHCP - 172.16.80.254
Bitte warten ..
Mitglied: aqui
LÖSUNG 24.10.2019 um 10:56 Uhr
Aber aus meinen anderen VLANs habe ich keinen Internetzugriff.
Hast du denn auch entsprechende FW Regeln an den VLAN IP Interfaces eingerichtet ???
Das hört sich nach einer falschen oder fehlenden Regel an !
Das Routing zwischen VLAN80 und VLAN40 sollte doch der SG350 machen.
Richtig !
Der SG hat einzig und allein nur eine Default Route auf die OpnSense 172.16.80.1
Die Fritzbox verbind ich mit der Firewall.
Richtig !
LAN Port der FritzBox an WAN Port der OpnSense.
Sinnig ist hier eine statische Adresse oder dem DHCP Server der FritzBox zu konfigurieren immer eine feste, gleichbleibende IP dem WAN Port zu geben auf Basis seiner Mac Adresse !
int - Klicke auf das Bild, um es zu vergrößern
In der FB lösche ich die Route (172.16.0.0/16 Gateway 192.168.178.2) <-- "altes" VLAN70
Richtig !
Keine statischen Routen mehr in der FB, da die OpnSense ja NAT macht am dortigen WAN Port.
Im SG-350 setzte ich die Default-Route: 0.0.0.0/0 Gateway 172.16.80.1
Richtig !
ACHTUNG: Hier am OpnSense LAN Interface dann auch die entsprechenden Regeln setzen !! Alternativ erstmal Scheunentor
PASS: Source: ANY, Destination: ANY

In der Firewall ist ein Gateway für WAN (192.168.178.1) aktiv, Upstream
Richtig, das ist das Default Gateway.
Ein weiterer Gateway für LAN (172.16.80.254) aktiv
Auch richtig ! ACHTUNG !: Hier musst du auch noch zusätzlich die statischen Routen auf deine VLAN Netze an dieses Gateway (LAN) binden !!
172.16.0.0 Mask: 255.255.0.0, Gateway: LAN
Ich kann vom VLAN40 auf das Interface der Firewall zugreifen 172.16.80.1 ebenso auf die WAN-Adresse der Firewall (192.168.178.3)
So sollte es sein.
Auf die Fritzbox (192.168.178.1) kann ich aber nicht zugreifen.
Kann eigentlich nicht sein ! Mit "Zugreifen" was meinst du da ? Ping oder HTTP ?
Gut, HTTP sprich das WebGUI der FB sollte allemal gehen.
Wichtig ist hier die Frage
  • ob NAT (Adress Translation) aktiv ist auf dem WAN Port ?
  • und ob du entsprechende FW Regeln am LAN Port der pfSense .80.1 definiert hast ??
Es kann nur an diesen 2 Dingen liegen.
Bitte warten ..
Mitglied: darkness08
24.10.2019, aktualisiert um 12:05 Uhr
Kann eigentlich nicht sein ! Mit "Zugreifen" was meinst du da ? Ping oder HTTP ?

Zugriff auf die GUI

ob NAT (Adress Translation) aktiv ist auf dem WAN Port ?

Hier bin ich mit nicht sicher. Bisher habe ich die Einstellung
Automatic outbound NAT rule generation
(no manual rules can be used)

Und folgende Regeln sind vorhanden:



LAN WAN networks, 127.0.0.0/8 * * 500 LAN * YES Auto created rule for ISAKMP
LAN WAN networks, 127.0.0.0/8 * * * LAN * NO Auto created rule

Aber wenn ich das jetzt richtig verstehe, brauche ich ja auch NAT aus meinen VLANs, also 172.16.X.0, oder?
Bitte warten ..
Mitglied: darkness08
24.10.2019, aktualisiert um 12:26 Uhr
Richtig
ACHTUNG: Hier am OpnSense LAN Interface dann auch die entsprechenden Regeln setzen !! Alternativ erstmal Scheunentor
PASS: Source: ANY, Destination: ANY

Das war der Trick. Tut mir leid, dass ich es nicht gesehen habe.

Ich habe gedacht, folgende Regel macht schon alles auf:

IPv4 * LAN net * * * * * Default allow LAN to any rule

Aber scheinbar reichte die nicht aus.

Edit: Jetzt wo ich nochmals drüber Nachdenke:
LAN net ist ja 172.16.80.0/24, klar dass es also aus dem VLAN80 ging. Für den Rest fehlte die Regel, welche es erlaubt.

Tausend Dank für deine Gedult!
Bitte warten ..
Mitglied: aqui
24.10.2019, aktualisiert um 13:29 Uhr
Aber wenn ich das jetzt richtig verstehe, brauche ich ja auch NAT aus meinen VLANs, also 172.16.X.0, oder?
Ja, richtig, aber das macht die Firewall alles schon automatisch vom Default Setting solange du nichts anderes an den NAT Settings verfummelt hast.
Hast du im WAN Interface zur FritzBox die RFC 1918 Netze vom Filtern excluded ??
Das ist auch wichtig !
filter - Klicke auf das Bild, um es zu vergrößern
Ich habe gedacht, folgende Regel macht schon alles auf:
IPv4 * LAN net * * * * * Default allow LAN to any rule
Nein !
Falsch gedacht !! Denke mal selber etwas nach !!! Wie sehen IP Pakete deiner VLANs aus die da reinkommen ???
An dem Interface kommen IP Absender Adressen ALLER deiner VLANs ja vorbei ! Du aber hast diese auf IP Adressen des 172.16.80er Netzes begrenzt so ! Das Interface wird also nur IP Pakete passieren lassen die eine 172.16.80er Adresse als Absender hat und alle VLAN IP Pakete blockieren !
Wie gesagt: IP Routing erste Klasse, Grundschule !
Änder diese Regel dann klappt das auch !
So sollte sie aussehen:
PASS, Source: Network 172.16.0.0, Mask: 255.255.0.0, Port: any -> Destination: any, Port: any

Fertisch !
Das lässt dann alles durch was vorne 172.16.x.y hat ! Du hast es ja schon zum Schluß glücklicherweise auch selbst erkannt !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
L3 Switch gesucht
Frage von sebastian2608Router & Routing5 Kommentare

Guten Abend liebe Genossen, benötige Switch-Empfehlungen für folgende Anforderungen: 1HE - 19" Layer 3 2 Netzteile Durchsatz min. 1Gbit ...

LAN, WAN, Wireless
L3 Switch richtig konfigurieren
gelöst Frage von vGavenLAN, WAN, Wireless20 Kommentare

Hi Ich habe eine 3com 5500-ei-g 3 layer switch und würde gerne folgendes konfigurieren Bsp: Port 1: VLAN 10 ...

TK-Netze & Geräte
Soho L3 Managed Switch
Frage von ElmaroTK-Netze & Geräte3 Kommentare

Hi. Ich suche einen SoHo Layer 3 Switch, der nicht ganz so teuer ist. Brauche ca 8 Ports. Wichtig ...

Router & Routing
DHCP im VLAN und L3 Switch
gelöst Frage von WillheRouter & Routing15 Kommentare

Hallo, ich bin Neuling auf dem Gebiet VLAN und die Einarbeitung in das Thema DHCP im VLAN stockt gerade ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 7 StundenHumor (lol)

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 17 StundenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 23 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
Frage von Nickolas.GroheUbuntu34 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 727 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

Windows Tools
Suche Suchprogramm
Frage von tsunamiWindows Tools24 Kommentare

Hallo, ich brauche einen Tipp für ein profesionelles Suchprogramm. Es geht um rund 3 TB Dokiumente auf ner externen ...