7
OPNsense - Kein Internet in VLANs angelegt auf Cisco SG350X nur in VLAN1
Hallo Zusammen,
Ausgangssituation ist folgendes Szenario:
Unitymediaanschluss - Kabelmodem - LAN1-Fritzbox6490LAN2 (192.168.178.1/24) - (192.168.178.10/24)Cisco SG350X.
Auf dem Cisco Switch bestehen einige VLANs und IPv4 Routing ist aktiviert.
Auf der Fritzbox sind IPv4 Routen für die VLAN hinterlegt.
Auf dem Cisco Switch ist VLAN1 Interface 192.168.178.10/24 angelegt.
Auf dem Cisco Switch ist die Defaultroute 0.0.0.0/0.0.0.0 Next Hop Router 192.168.178.1 angelegt.
Damit funktioniert die Internetverbindung der Clients in den VLANs (im IP-Adressbereich 172.16.x.x).
Ziel ist es die Fritzbox durch eine OPNsense Firewall zu ersetzen, die auf einem APU4 Board betrieben wird.
Der Cisco Switch soll zwischen den VLANs routen.
Die OPNsense soll lediglich den Internetverkehr steuern.
Dazu ist folgendes eingerichtet:
Auf dem Cisco Switch (Port XG4) ist VLAN1 nun mit 172.16.0.197/26 angelegt.
Auf dem Cisco Switch ist die Defaultroute 0.0.0.0/0.0.0.0 Next Hop Router 172.16.0.196. Dies ist die LAN igb1 IP der OPNsense.
Auf dem Cisco Switch sind DNS-Bereiche angelegt bsp. VLAN100 (172.16.15.10-.62). Lease vergeben an Test Win10 PC-A IP: 172.16.15.11/26, Gateway 172.16.15.1 DNS 172.16.0.196.
Auf der OPNsense sind für jedes VLAN statische Routen auf Gateway 172.16.0.197 angelegt.
Es sind Firewallregeln in und out any any auf LAN und auch WAN Schnittstelle angelegt.
Auch sind ausgehende NAT Rules per Automatik auf der OPNsense erstellt worden.
Problem:
In VLAN1 besteht Internetverbindung(getestet mit einem Win10 PC-B IP-Konfig: IP: 172.16.0.200/26 Gateway 172.16.0.196 und DNS 172.16.0.196), jedoch nicht in allen anderen VLANs des Cisco Switches.
Tracert 8.8.8.8 zeigt: 172.16.15.1 und 172.16.0.196 danach Sterne.
nslookup zeigt unknown 172.16.0.196
Kann jemand bitte Tipps geben, was die Ursache ist und wie man dies beheben kann?
Danke für Eure Hilfe!
Gruß
Ausgangssituation ist folgendes Szenario:
Unitymediaanschluss - Kabelmodem - LAN1-Fritzbox6490LAN2 (192.168.178.1/24) - (192.168.178.10/24)Cisco SG350X.
Auf dem Cisco Switch bestehen einige VLANs und IPv4 Routing ist aktiviert.
Auf der Fritzbox sind IPv4 Routen für die VLAN hinterlegt.
Auf dem Cisco Switch ist VLAN1 Interface 192.168.178.10/24 angelegt.
Auf dem Cisco Switch ist die Defaultroute 0.0.0.0/0.0.0.0 Next Hop Router 192.168.178.1 angelegt.
Damit funktioniert die Internetverbindung der Clients in den VLANs (im IP-Adressbereich 172.16.x.x).
Ziel ist es die Fritzbox durch eine OPNsense Firewall zu ersetzen, die auf einem APU4 Board betrieben wird.
Der Cisco Switch soll zwischen den VLANs routen.
Die OPNsense soll lediglich den Internetverkehr steuern.
Dazu ist folgendes eingerichtet:
Auf dem Cisco Switch (Port XG4) ist VLAN1 nun mit 172.16.0.197/26 angelegt.
Auf dem Cisco Switch ist die Defaultroute 0.0.0.0/0.0.0.0 Next Hop Router 172.16.0.196. Dies ist die LAN igb1 IP der OPNsense.
Auf dem Cisco Switch sind DNS-Bereiche angelegt bsp. VLAN100 (172.16.15.10-.62). Lease vergeben an Test Win10 PC-A IP: 172.16.15.11/26, Gateway 172.16.15.1 DNS 172.16.0.196.
Auf der OPNsense sind für jedes VLAN statische Routen auf Gateway 172.16.0.197 angelegt.
Es sind Firewallregeln in und out any any auf LAN und auch WAN Schnittstelle angelegt.
Auch sind ausgehende NAT Rules per Automatik auf der OPNsense erstellt worden.
Problem:
In VLAN1 besteht Internetverbindung(getestet mit einem Win10 PC-B IP-Konfig: IP: 172.16.0.200/26 Gateway 172.16.0.196 und DNS 172.16.0.196), jedoch nicht in allen anderen VLANs des Cisco Switches.
Tracert 8.8.8.8 zeigt: 172.16.15.1 und 172.16.0.196 danach Sterne.
nslookup zeigt unknown 172.16.0.196
Kann jemand bitte Tipps geben, was die Ursache ist und wie man dies beheben kann?
Danke für Eure Hilfe!
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 490932
Url: https://administrator.de/contentid/490932
Printed on: April 20, 2024 at 00:04 o'clock
7 Comments
Latest comment
Hi,
Auf der OPNsense sind für jedes VLAN statische Routen auf Gateway 172.16.0.197 angelegt.
Wozu ist diese Route? Externe Anfragen aus dem VLAN100 gehen bis zum Pfsense und dann zurück zum Switch?
Hi,
Kannst du von der OPNsense Pingen auf die Clients zu den jeweiligen VLANs?
Wenn ja, wie sehen deine NAT Regel aus? Sie sind ja per Automatik angelegt wurden und kennt daher bestimmt nicht die Netze aus den VLAN100 usw., nur dieses Netz von VLAN1, weil dieses direkt anliegend ist.
LG
Patrick
Kannst du von der OPNsense Pingen auf die Clients zu den jeweiligen VLANs?
Wenn ja, wie sehen deine NAT Regel aus? Sie sind ja per Automatik angelegt wurden und kennt daher bestimmt nicht die Netze aus den VLAN100 usw., nur dieses Netz von VLAN1, weil dieses direkt anliegend ist.
LG
Patrick
Erst einmal etwas Grundlegendes vorweg:
Deine IP Adressierung im VLAN 1 (Koppelnetz Switch-Firewall) 172.16.0.197 /26 ist falsch angegeben und hier deshalb irreführend !
Es wird bei einer Angabe eines IP Netzes und seiner Maske immer grundsätzlich das Netzwerk angegeben (alle Hostbits auf 0 !!). Deine .197 ist aber eine gültige IP Hostadresse mitten in diesem Netzwerk mit einem /26er Prefix und eben NICHT das Netzwerk selber !
Wie ist das jetzt also zu verstehen ?
Syntaktisch richtig wäre 172.16.0.192 /26 also der IP Hostadresssbereich .193 bis .254 wenn denn die Netzwerkangabe so stimmt ?! Das solltest du also nochmal genau klären...
Ein weiterer Punkt dazu...
Normal legt ein vorausschauender Admin aus gutem Grund wichtige IP Adressen im Netzwerk wie z.B. die Router IMMER an die Grenzen des Netzes, sprich also "ganz oben" oder "ganz unten". Niemals also "mittendrin". Der gute Grund ist das man so relativ sicher vermeidet mit diesen administratis wichtigen IPs nicht in die Gefahr eines DHCP Bereichs zu geraten was zur Doppelvergabe und Adress Chaos führt. Zweitens sind die IPs so management technisch besser zu merken !
Sinnvoll und auch Best Practice ist also hier die .192 und die .254 für die Firewall IP bzw. Switch VLAN IP zu wählen und nicht irgendwas "mittendrin" !!
Kommen wir zurück zur eigentlichen Frage....
Das genaue Design ist, wie immer, hier ausführlich beschrieben:
Verständnissproblem Routing mit SG300-28
Per se hast du mit Ausnahme der etwas wenig intelligenten IP Router Adressvergabe erstmal alles richtig gemacht. Das funktionierende FritzBüx Design zeigt das ja auch eindeutig. Die Firewall ist ja nix anderes als eine FritzBox mit Filterregeln wenn man so will !
Folglich liegt dein Fehler also zu 98% im Regelwerk der Firewall. Dazu wäre es hilfreich hier mal das Regelwerk mit einem Screenshot zu posten.
Weitere Dinge sind unverständlich und wirr bzw. völlig überflüssig
Es reicht eigentlich die Firewall rein nur mit ihrer Default Konfig an den Switch zu hängen, Regeln und Routing anzupassen und gut iss. Warum also die überflüssigen Schritte mit "DNS" und NAT Regeln ?
Kollege @patrickebert hat es oben schon richtig gesagt. innvoll wäre außerdem mal ein paar Ping Tests aus dem Diagnose Menü der Firewall zu machen. Dort kannst du zudem die Quell IP Adsresse des Pings mit angeben. Die sollte auf ihre VLAN 1 IP gesetzt sein und dann solltest du alle VLAN IP Interfaces des Switches pingen können.
Das wäre Grundvoraussetzung !
Kannst du das nicht hast du de facto falsche Firewall Regeln gesetzt ! Outbound Regel sind auch Unsinn auf einer Firewall und eher kontraproduktiv. Wenn immer möglich sollte man generell alles mit Inbound Regeln lösen um unerwünschten Traffic gar nicht erst in die Firewall zu lassen und diese damit zu belasten.
Fazit: Vermutlich hast du mit überflüssigen Konfigs und falschen Regeln die Firewall "verfrickelt". Zu 98% liegt hier der Fehler !
Halte dich auch an das pfSense Tutorial hier was ebenso einige Schritte der Grundeinrichtung beschreibt:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Gilt analog alles auch für die OpenSense.
@NordicMike
Diese Route bzw. Routen auf der Firewall ist zwingend sonst routet die FW alle Switch VLANs via Provider ins Nirwana. Siehe auch das Layer 3 Tutorial HIER für die Grundlagen dazu.
Solltest du als alter Foren Profi hier aber auch wissen ?!
Deine IP Adressierung im VLAN 1 (Koppelnetz Switch-Firewall) 172.16.0.197 /26 ist falsch angegeben und hier deshalb irreführend !
Es wird bei einer Angabe eines IP Netzes und seiner Maske immer grundsätzlich das Netzwerk angegeben (alle Hostbits auf 0 !!). Deine .197 ist aber eine gültige IP Hostadresse mitten in diesem Netzwerk mit einem /26er Prefix und eben NICHT das Netzwerk selber !
Wie ist das jetzt also zu verstehen ?
Syntaktisch richtig wäre 172.16.0.192 /26 also der IP Hostadresssbereich .193 bis .254 wenn denn die Netzwerkangabe so stimmt ?! Das solltest du also nochmal genau klären...
Ein weiterer Punkt dazu...
Normal legt ein vorausschauender Admin aus gutem Grund wichtige IP Adressen im Netzwerk wie z.B. die Router IMMER an die Grenzen des Netzes, sprich also "ganz oben" oder "ganz unten". Niemals also "mittendrin". Der gute Grund ist das man so relativ sicher vermeidet mit diesen administratis wichtigen IPs nicht in die Gefahr eines DHCP Bereichs zu geraten was zur Doppelvergabe und Adress Chaos führt. Zweitens sind die IPs so management technisch besser zu merken !
Sinnvoll und auch Best Practice ist also hier die .192 und die .254 für die Firewall IP bzw. Switch VLAN IP zu wählen und nicht irgendwas "mittendrin" !!
Kommen wir zurück zur eigentlichen Frage....
Das genaue Design ist, wie immer, hier ausführlich beschrieben:
Verständnissproblem Routing mit SG300-28
Per se hast du mit Ausnahme der etwas wenig intelligenten IP Router Adressvergabe erstmal alles richtig gemacht. Das funktionierende FritzBüx Design zeigt das ja auch eindeutig. Die Firewall ist ja nix anderes als eine FritzBox mit Filterregeln wenn man so will !
Folglich liegt dein Fehler also zu 98% im Regelwerk der Firewall. Dazu wäre es hilfreich hier mal das Regelwerk mit einem Screenshot zu posten.
Weitere Dinge sind unverständlich und wirr bzw. völlig überflüssig
- Was bitte sind "DNS Bereiche" ?? Sowas ist Unsinn, denn die Firewall ist Proxy DNS ! Sie bekommt ja vom Kabelmodem am WAN Port per DHCP eine Provider DNS übermittelt und ist damit im Default selber Proxy DNS. Es reicht also vollkommen allen Endgeräten in den VLANs die VLAN 1 IP der Firewall 172.16.0.196 (Nach diesem Thread hoffentlich die richtige ?!) als DNS Server anzugeben und gut ist. Weiter muss NICHTS zu Thema DNS konfiguriert werden !
- Ebenso ausgehende NAT Regeln. Auch das ist barer Unsinn, denn die FW macht sowas per Default ! Generell werden ALLE Subnetze hinter der Firewall am WAN Port mit der Default Konfig geNATet ohne das es dafür eine extra Konfig braucht ! Dieser Schritt ist ebenso unsinnig.
Es reicht eigentlich die Firewall rein nur mit ihrer Default Konfig an den Switch zu hängen, Regeln und Routing anzupassen und gut iss. Warum also die überflüssigen Schritte mit "DNS" und NAT Regeln ?
Kollege @patrickebert hat es oben schon richtig gesagt. innvoll wäre außerdem mal ein paar Ping Tests aus dem Diagnose Menü der Firewall zu machen. Dort kannst du zudem die Quell IP Adsresse des Pings mit angeben. Die sollte auf ihre VLAN 1 IP gesetzt sein und dann solltest du alle VLAN IP Interfaces des Switches pingen können.
Das wäre Grundvoraussetzung !
Kannst du das nicht hast du de facto falsche Firewall Regeln gesetzt ! Outbound Regel sind auch Unsinn auf einer Firewall und eher kontraproduktiv. Wenn immer möglich sollte man generell alles mit Inbound Regeln lösen um unerwünschten Traffic gar nicht erst in die Firewall zu lassen und diese damit zu belasten.
Fazit: Vermutlich hast du mit überflüssigen Konfigs und falschen Regeln die Firewall "verfrickelt". Zu 98% liegt hier der Fehler !
Halte dich auch an das pfSense Tutorial hier was ebenso einige Schritte der Grundeinrichtung beschreibt:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Gilt analog alles auch für die OpenSense.
@NordicMike
Diese Route bzw. Routen auf der Firewall ist zwingend sonst routet die FW alle Switch VLANs via Provider ins Nirwana. Siehe auch das Layer 3 Tutorial HIER für die Grundlagen dazu.
Solltest du als alter Foren Profi hier aber auch wissen ?!
Hallo Zusammen,
danke für die Infos.
Leider bin ich erst jetzt dazu gekommen, daher die späte Antwort.
Das war ein Schreibfehler - Netzwerk = 172.16.0.192/26. Die FW ist nun am Anfang und der L3 Switch am Ende dieses Netzes.
Ebenso war leider DNS-Bereiche ein Schreibfehler - es sind natürlich DHCP-Bereiche in dem Satz gemeint.
Die Ursache war, dass
- die Subnetzadressen der VLANs im NAT (ausgehend) nicht eingetragen waren.
- im Unbound DNS Dienst in der Zugriffliste die Subnetzadressen der VLANs nicht hinterlegt waren.
- die Firewallregeln nicht korrekt konfiguriert waren
Weitere Fragen:
1.
Wenn die OPENsense nichts anders ist wie eine Fritzbox mit Filterregeln, wie kann man dies ändern, sodass die OPENsense auch bis Layer7 Filtermöglichkeiten bietet?
Oder sind diese Dienste dann kostenpflichtig bzw. gibt es andere Firewallsoftware dafür, welche opensource ist und kostenlos?
Dazu habe ich folgendes gefunden:
https://docs.opnsense.org/manual/ips.html
Offenbar bietet die Opensense IDS/IPS.
2.
Aktuell ist noch zwischen der Firewall und dem L3-Switch VLAN1 (untagged) im Einsatz.
Dieses soll auf VLAN umgestellt werden.
Leider hat dies bisher nicht funktioniert.
- der Switchport des L3 zur Firewall ist auf Trunk,
- virt. Router auf L3 Switch ist konfig.,
- die Defaultroute vom L3 Switch verweist auf die IP der virt. Schnittstelle des VLANs der Firewall,
- das VLAN ist auf der Firewall eingerichtet
- dem VLAN der Firewall eine fester im IP-Adresse aus Subnetz wie der virt. Router des L3 Switch konfig.,
- das VLAN auf der Firewall zu der Schnittstelle die zum L3 Switch verbindet zugeordnet,
Kann mir bitte jemand mitteilen, wie dies auf der OPENsense zu konfigurieren ist?
Habe es auf der LAN-Schnittstelle mit und ohne IP-Adresse getestet. Wie richtet man den Trunk auf der OPENsense ein.
In der Dokumentation der OPENsense konnte ich leider nichts finden.
Danke für Eure Hilfe!
Gruß
danke für die Infos.
Leider bin ich erst jetzt dazu gekommen, daher die späte Antwort.
Das war ein Schreibfehler - Netzwerk = 172.16.0.192/26. Die FW ist nun am Anfang und der L3 Switch am Ende dieses Netzes.
Ebenso war leider DNS-Bereiche ein Schreibfehler - es sind natürlich DHCP-Bereiche in dem Satz gemeint.
Die Ursache war, dass
- die Subnetzadressen der VLANs im NAT (ausgehend) nicht eingetragen waren.
- im Unbound DNS Dienst in der Zugriffliste die Subnetzadressen der VLANs nicht hinterlegt waren.
- die Firewallregeln nicht korrekt konfiguriert waren
Weitere Fragen:
1.
Wenn die OPENsense nichts anders ist wie eine Fritzbox mit Filterregeln, wie kann man dies ändern, sodass die OPENsense auch bis Layer7 Filtermöglichkeiten bietet?
Oder sind diese Dienste dann kostenpflichtig bzw. gibt es andere Firewallsoftware dafür, welche opensource ist und kostenlos?
Dazu habe ich folgendes gefunden:
https://docs.opnsense.org/manual/ips.html
Offenbar bietet die Opensense IDS/IPS.
2.
Aktuell ist noch zwischen der Firewall und dem L3-Switch VLAN1 (untagged) im Einsatz.
Dieses soll auf VLAN umgestellt werden.
Leider hat dies bisher nicht funktioniert.
- der Switchport des L3 zur Firewall ist auf Trunk,
- virt. Router auf L3 Switch ist konfig.,
- die Defaultroute vom L3 Switch verweist auf die IP der virt. Schnittstelle des VLANs der Firewall,
- das VLAN ist auf der Firewall eingerichtet
- dem VLAN der Firewall eine fester im IP-Adresse aus Subnetz wie der virt. Router des L3 Switch konfig.,
- das VLAN auf der Firewall zu der Schnittstelle die zum L3 Switch verbindet zugeordnet,
Kann mir bitte jemand mitteilen, wie dies auf der OPENsense zu konfigurieren ist?
Habe es auf der LAN-Schnittstelle mit und ohne IP-Adresse getestet. Wie richtet man den Trunk auf der OPENsense ein.
In der Dokumentation der OPENsense konnte ich leider nichts finden.
Danke für Eure Hilfe!
Gruß
Aeh, was?
wie ist der Trunk auf der OPENsense zu konfigurieren?
wie macht man die OPENsense zu einer Layer7 Firewall?
wie macht man die OPENsense zu einer Layer7 Firewall?
wie ist der Trunk auf der OPENsense zu konfigurieren?
Guckst du hier:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ist bei der OPNsense identisch...
