OPNsense - Kein Internet in VLANs angelegt auf Cisco SG350X nur in VLAN1
Hallo Zusammen,
Ausgangssituation ist folgendes Szenario:
Unitymediaanschluss - Kabelmodem - LAN1-Fritzbox6490LAN2 (192.168.178.1/24) - (192.168.178.10/24)Cisco SG350X.
Auf dem Cisco Switch bestehen einige VLANs und IPv4 Routing ist aktiviert.
Auf der Fritzbox sind IPv4 Routen für die VLAN hinterlegt.
Auf dem Cisco Switch ist VLAN1 Interface 192.168.178.10/24 angelegt.
Auf dem Cisco Switch ist die Defaultroute 0.0.0.0/0.0.0.0 Next Hop Router 192.168.178.1 angelegt.
Damit funktioniert die Internetverbindung der Clients in den VLANs (im IP-Adressbereich 172.16.x.x).
Ziel ist es die Fritzbox durch eine OPNsense Firewall zu ersetzen, die auf einem APU4 Board betrieben wird.
Der Cisco Switch soll zwischen den VLANs routen.
Die OPNsense soll lediglich den Internetverkehr steuern.
Dazu ist folgendes eingerichtet:
Auf dem Cisco Switch (Port XG4) ist VLAN1 nun mit 172.16.0.197/26 angelegt.
Auf dem Cisco Switch ist die Defaultroute 0.0.0.0/0.0.0.0 Next Hop Router 172.16.0.196. Dies ist die LAN igb1 IP der OPNsense.
Auf dem Cisco Switch sind DNS-Bereiche angelegt bsp. VLAN100 (172.16.15.10-.62). Lease vergeben an Test Win10 PC-A IP: 172.16.15.11/26, Gateway 172.16.15.1 DNS 172.16.0.196.
Auf der OPNsense sind für jedes VLAN statische Routen auf Gateway 172.16.0.197 angelegt.
Es sind Firewallregeln in und out any any auf LAN und auch WAN Schnittstelle angelegt.
Auch sind ausgehende NAT Rules per Automatik auf der OPNsense erstellt worden.
Problem:
In VLAN1 besteht Internetverbindung(getestet mit einem Win10 PC-B IP-Konfig: IP: 172.16.0.200/26 Gateway 172.16.0.196 und DNS 172.16.0.196), jedoch nicht in allen anderen VLANs des Cisco Switches.
Tracert 8.8.8.8 zeigt: 172.16.15.1 und 172.16.0.196 danach Sterne.
nslookup zeigt unknown 172.16.0.196
Kann jemand bitte Tipps geben, was die Ursache ist und wie man dies beheben kann?
Danke für Eure Hilfe!
Gruß
Ausgangssituation ist folgendes Szenario:
Unitymediaanschluss - Kabelmodem - LAN1-Fritzbox6490LAN2 (192.168.178.1/24) - (192.168.178.10/24)Cisco SG350X.
Auf dem Cisco Switch bestehen einige VLANs und IPv4 Routing ist aktiviert.
Auf der Fritzbox sind IPv4 Routen für die VLAN hinterlegt.
Auf dem Cisco Switch ist VLAN1 Interface 192.168.178.10/24 angelegt.
Auf dem Cisco Switch ist die Defaultroute 0.0.0.0/0.0.0.0 Next Hop Router 192.168.178.1 angelegt.
Damit funktioniert die Internetverbindung der Clients in den VLANs (im IP-Adressbereich 172.16.x.x).
Ziel ist es die Fritzbox durch eine OPNsense Firewall zu ersetzen, die auf einem APU4 Board betrieben wird.
Der Cisco Switch soll zwischen den VLANs routen.
Die OPNsense soll lediglich den Internetverkehr steuern.
Dazu ist folgendes eingerichtet:
Auf dem Cisco Switch (Port XG4) ist VLAN1 nun mit 172.16.0.197/26 angelegt.
Auf dem Cisco Switch ist die Defaultroute 0.0.0.0/0.0.0.0 Next Hop Router 172.16.0.196. Dies ist die LAN igb1 IP der OPNsense.
Auf dem Cisco Switch sind DNS-Bereiche angelegt bsp. VLAN100 (172.16.15.10-.62). Lease vergeben an Test Win10 PC-A IP: 172.16.15.11/26, Gateway 172.16.15.1 DNS 172.16.0.196.
Auf der OPNsense sind für jedes VLAN statische Routen auf Gateway 172.16.0.197 angelegt.
Es sind Firewallregeln in und out any any auf LAN und auch WAN Schnittstelle angelegt.
Auch sind ausgehende NAT Rules per Automatik auf der OPNsense erstellt worden.
Problem:
In VLAN1 besteht Internetverbindung(getestet mit einem Win10 PC-B IP-Konfig: IP: 172.16.0.200/26 Gateway 172.16.0.196 und DNS 172.16.0.196), jedoch nicht in allen anderen VLANs des Cisco Switches.
Tracert 8.8.8.8 zeigt: 172.16.15.1 und 172.16.0.196 danach Sterne.
nslookup zeigt unknown 172.16.0.196
Kann jemand bitte Tipps geben, was die Ursache ist und wie man dies beheben kann?
Danke für Eure Hilfe!
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 490932
Url: https://administrator.de/forum/opnsense-kein-internet-in-vlans-angelegt-auf-cisco-sg350x-nur-in-vlan1-490932.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
7 Kommentare
Neuester Kommentar
Erst einmal etwas Grundlegendes vorweg:
Deine IP Adressierung im VLAN 1 (Koppelnetz Switch-Firewall) 172.16.0.197 /26 ist falsch angegeben und hier deshalb irreführend !
Es wird bei einer Angabe eines IP Netzes und seiner Maske immer grundsätzlich das Netzwerk angegeben (alle Hostbits auf 0 !!). Deine .197 ist aber eine gültige IP Hostadresse mitten in diesem Netzwerk mit einem /26er Prefix und eben NICHT das Netzwerk selber !
Wie ist das jetzt also zu verstehen ?
Syntaktisch richtig wäre 172.16.0.192 /26 also der IP Hostadresssbereich .193 bis .254 wenn denn die Netzwerkangabe so stimmt ?! Das solltest du also nochmal genau klären...
Ein weiterer Punkt dazu...
Normal legt ein vorausschauender Admin aus gutem Grund wichtige IP Adressen im Netzwerk wie z.B. die Router IMMER an die Grenzen des Netzes, sprich also "ganz oben" oder "ganz unten". Niemals also "mittendrin". Der gute Grund ist das man so relativ sicher vermeidet mit diesen administratis wichtigen IPs nicht in die Gefahr eines DHCP Bereichs zu geraten was zur Doppelvergabe und Adress Chaos führt. Zweitens sind die IPs so management technisch besser zu merken !
Sinnvoll und auch Best Practice ist also hier die .192 und die .254 für die Firewall IP bzw. Switch VLAN IP zu wählen und nicht irgendwas "mittendrin" !!
Kommen wir zurück zur eigentlichen Frage....
Das genaue Design ist, wie immer, hier ausführlich beschrieben:
Verständnissproblem Routing mit SG300-28
Per se hast du mit Ausnahme der etwas wenig intelligenten IP Router Adressvergabe erstmal alles richtig gemacht. Das funktionierende FritzBüx Design zeigt das ja auch eindeutig. Die Firewall ist ja nix anderes als eine FritzBox mit Filterregeln wenn man so will !
Folglich liegt dein Fehler also zu 98% im Regelwerk der Firewall. Dazu wäre es hilfreich hier mal das Regelwerk mit einem Screenshot zu posten.
Weitere Dinge sind unverständlich und wirr bzw. völlig überflüssig
Es reicht eigentlich die Firewall rein nur mit ihrer Default Konfig an den Switch zu hängen, Regeln und Routing anzupassen und gut iss. Warum also die überflüssigen Schritte mit "DNS" und NAT Regeln ?
Kollege @patrickebert hat es oben schon richtig gesagt. innvoll wäre außerdem mal ein paar Ping Tests aus dem Diagnose Menü der Firewall zu machen. Dort kannst du zudem die Quell IP Adsresse des Pings mit angeben. Die sollte auf ihre VLAN 1 IP gesetzt sein und dann solltest du alle VLAN IP Interfaces des Switches pingen können.
Das wäre Grundvoraussetzung !
Kannst du das nicht hast du de facto falsche Firewall Regeln gesetzt ! Outbound Regel sind auch Unsinn auf einer Firewall und eher kontraproduktiv. Wenn immer möglich sollte man generell alles mit Inbound Regeln lösen um unerwünschten Traffic gar nicht erst in die Firewall zu lassen und diese damit zu belasten.
Fazit: Vermutlich hast du mit überflüssigen Konfigs und falschen Regeln die Firewall "verfrickelt". Zu 98% liegt hier der Fehler !
Halte dich auch an das pfSense Tutorial hier was ebenso einige Schritte der Grundeinrichtung beschreibt:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Gilt analog alles auch für die OpenSense.
@NordicMike
Diese Route bzw. Routen auf der Firewall ist zwingend sonst routet die FW alle Switch VLANs via Provider ins Nirwana. Siehe auch das Layer 3 Tutorial HIER für die Grundlagen dazu.
Solltest du als alter Foren Profi hier aber auch wissen ?!
Deine IP Adressierung im VLAN 1 (Koppelnetz Switch-Firewall) 172.16.0.197 /26 ist falsch angegeben und hier deshalb irreführend !
Es wird bei einer Angabe eines IP Netzes und seiner Maske immer grundsätzlich das Netzwerk angegeben (alle Hostbits auf 0 !!). Deine .197 ist aber eine gültige IP Hostadresse mitten in diesem Netzwerk mit einem /26er Prefix und eben NICHT das Netzwerk selber !
Wie ist das jetzt also zu verstehen ?
Syntaktisch richtig wäre 172.16.0.192 /26 also der IP Hostadresssbereich .193 bis .254 wenn denn die Netzwerkangabe so stimmt ?! Das solltest du also nochmal genau klären...
Ein weiterer Punkt dazu...
Normal legt ein vorausschauender Admin aus gutem Grund wichtige IP Adressen im Netzwerk wie z.B. die Router IMMER an die Grenzen des Netzes, sprich also "ganz oben" oder "ganz unten". Niemals also "mittendrin". Der gute Grund ist das man so relativ sicher vermeidet mit diesen administratis wichtigen IPs nicht in die Gefahr eines DHCP Bereichs zu geraten was zur Doppelvergabe und Adress Chaos führt. Zweitens sind die IPs so management technisch besser zu merken !
Sinnvoll und auch Best Practice ist also hier die .192 und die .254 für die Firewall IP bzw. Switch VLAN IP zu wählen und nicht irgendwas "mittendrin" !!
Kommen wir zurück zur eigentlichen Frage....
Das genaue Design ist, wie immer, hier ausführlich beschrieben:
Verständnissproblem Routing mit SG300-28
Per se hast du mit Ausnahme der etwas wenig intelligenten IP Router Adressvergabe erstmal alles richtig gemacht. Das funktionierende FritzBüx Design zeigt das ja auch eindeutig. Die Firewall ist ja nix anderes als eine FritzBox mit Filterregeln wenn man so will !
Folglich liegt dein Fehler also zu 98% im Regelwerk der Firewall. Dazu wäre es hilfreich hier mal das Regelwerk mit einem Screenshot zu posten.
Weitere Dinge sind unverständlich und wirr bzw. völlig überflüssig
- Was bitte sind "DNS Bereiche" ?? Sowas ist Unsinn, denn die Firewall ist Proxy DNS ! Sie bekommt ja vom Kabelmodem am WAN Port per DHCP eine Provider DNS übermittelt und ist damit im Default selber Proxy DNS. Es reicht also vollkommen allen Endgeräten in den VLANs die VLAN 1 IP der Firewall 172.16.0.196 (Nach diesem Thread hoffentlich die richtige ?!) als DNS Server anzugeben und gut ist. Weiter muss NICHTS zu Thema DNS konfiguriert werden !
- Ebenso ausgehende NAT Regeln. Auch das ist barer Unsinn, denn die FW macht sowas per Default ! Generell werden ALLE Subnetze hinter der Firewall am WAN Port mit der Default Konfig geNATet ohne das es dafür eine extra Konfig braucht ! Dieser Schritt ist ebenso unsinnig.
Es reicht eigentlich die Firewall rein nur mit ihrer Default Konfig an den Switch zu hängen, Regeln und Routing anzupassen und gut iss. Warum also die überflüssigen Schritte mit "DNS" und NAT Regeln ?
Kollege @patrickebert hat es oben schon richtig gesagt. innvoll wäre außerdem mal ein paar Ping Tests aus dem Diagnose Menü der Firewall zu machen. Dort kannst du zudem die Quell IP Adsresse des Pings mit angeben. Die sollte auf ihre VLAN 1 IP gesetzt sein und dann solltest du alle VLAN IP Interfaces des Switches pingen können.
Das wäre Grundvoraussetzung !
Kannst du das nicht hast du de facto falsche Firewall Regeln gesetzt ! Outbound Regel sind auch Unsinn auf einer Firewall und eher kontraproduktiv. Wenn immer möglich sollte man generell alles mit Inbound Regeln lösen um unerwünschten Traffic gar nicht erst in die Firewall zu lassen und diese damit zu belasten.
Fazit: Vermutlich hast du mit überflüssigen Konfigs und falschen Regeln die Firewall "verfrickelt". Zu 98% liegt hier der Fehler !
Halte dich auch an das pfSense Tutorial hier was ebenso einige Schritte der Grundeinrichtung beschreibt:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Gilt analog alles auch für die OpenSense.
@NordicMike
Diese Route bzw. Routen auf der Firewall ist zwingend sonst routet die FW alle Switch VLANs via Provider ins Nirwana. Siehe auch das Layer 3 Tutorial HIER für die Grundlagen dazu.
Solltest du als alter Foren Profi hier aber auch wissen ?!
wie ist der Trunk auf der OPENsense zu konfigurieren?
Guckst du hier:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist bei der OPNsense identisch...