Router-Kaskade, nächster Schritt Verbindung ins Internet klappt net
Hallo,
nach anfänglichem stolpern, habe ich nun mit OPNsense meine gewünschte Router-Kaskade hinbekommen.
Fritz-Box --> OPNsense (Baremetal) --> Mini-PC (ProxMox für einen Webserver) und eine weitere FritzBox als AP damit ich WLAN für das Netz habe.
Firwall ist absolutes Neuland für mich, daher ist auch das Netz ab dem OPNsense erstmal nicht für einen Zugriff von extern gedacht. An die getrennten VLAN`s sollen meine IP Kameras und das ganze IoT. (IoT steuere ich dann über den Webserver auf dem Mini-PC)
Über eine fixe IP in meinem ersten FritzBox-Netz habe ich eine OPNsense mit 3 VLAN installiert und ein VLAN-Switch eingebunden.
Intern funktioniert alles, der WAN Port hat die fixe IP von meinem ersten FritzBox-Netz und die VLANS (DHCP) laufen Taget über ein igc.
Nun hänge ich jedoch an den Freigaben für das Internet für alle VLAN`s, die jedoch nicht von aussen erreichbar sein sollen.
Bei den Interface habe ich bei allen jeweils die 192.168.XXX.1 als Static IPv4 gesetzt.
Bei der Auswahl IPv4 Upstream Gateway, kann ich nur deaktiviert auswählen??
Mit den Stunden der Suche und den gefundenen Lösungen bin ich leider nicht weitergekommen, irgendwie hat es dazu noch nich geklickt bei mir...
Was muss ich bitte wie einstellen damit der Zugriff auf das Internet klappt.
Danke für jede Unterstützung.
nach anfänglichem stolpern, habe ich nun mit OPNsense meine gewünschte Router-Kaskade hinbekommen.
Fritz-Box --> OPNsense (Baremetal) --> Mini-PC (ProxMox für einen Webserver) und eine weitere FritzBox als AP damit ich WLAN für das Netz habe.
Firwall ist absolutes Neuland für mich, daher ist auch das Netz ab dem OPNsense erstmal nicht für einen Zugriff von extern gedacht. An die getrennten VLAN`s sollen meine IP Kameras und das ganze IoT. (IoT steuere ich dann über den Webserver auf dem Mini-PC)
Über eine fixe IP in meinem ersten FritzBox-Netz habe ich eine OPNsense mit 3 VLAN installiert und ein VLAN-Switch eingebunden.
Intern funktioniert alles, der WAN Port hat die fixe IP von meinem ersten FritzBox-Netz und die VLANS (DHCP) laufen Taget über ein igc.
Nun hänge ich jedoch an den Freigaben für das Internet für alle VLAN`s, die jedoch nicht von aussen erreichbar sein sollen.
Bei den Interface habe ich bei allen jeweils die 192.168.XXX.1 als Static IPv4 gesetzt.
Bei der Auswahl IPv4 Upstream Gateway, kann ich nur deaktiviert auswählen??
Mit den Stunden der Suche und den gefundenen Lösungen bin ich leider nicht weitergekommen, irgendwie hat es dazu noch nich geklickt bei mir...
Was muss ich bitte wie einstellen damit der Zugriff auf das Internet klappt.
Danke für jede Unterstützung.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670604
Url: https://administrator.de/forum/router-kaskade-naechster-schritt-verbindung-ins-internet-klappt-net-670604.html
Ausgedruckt am: 09.01.2025 um 22:01 Uhr
4 Kommentare
Neuester Kommentar
hänge ich jedoch an den Freigaben für das Internet für alle VLAN`s, die jedoch nicht von aussen erreichbar sein sollen.
"Wasch mich aber mach mich nicht naß" Du widersprichst dich im gleichen Satz! Der Name "Frei"gaben sagt ja gerade das diese extern erreichbar sind. Wie soll man diese Äußerung also verstehen? 🤔Aus dem VLAN heraus kommt ein entsprechendes Endgerät auch bei statischer Adressierung immer wenn Gateway und DNS IP entsprechend konfiguriert sind. Es ist hierbei völlig irrelevant ob diese via DHCP, DHCP mit Mac Reservierung oder mit einer klassischen, statischen IP Konfig auf dem Endgerät konfiguriert sind.
Nur so viel:
Da du eine Router Kaskade mit doppeltem NAT und doppeltem Firewalling betreibst ist natürlich ein 2faches Forwarding erforderlich, da du ja 2 NAT Gateways überwinden musst! Sprich also im ersten Step von der Fritzbox zum WAN Port der FW und im zweiten Step vom WAN Port der FW auf das Zielsystem im entsprechenden VLAN. Hast du das bedacht?
Siehe dazu auch HIER.
Dazu kommt das du in einer Kaskade das per Default aktive Blocken von RFC1918 IP Adressen (Private IPs) am WAN Port deaktivieren musst ansonsten kann kein geforwardeter Traffic von der Fritzbox den OPNsense WAN Port erreichen. (Siehe auch dazu Tutorials)
Freigaben sind sicherheitstechnisch generell keine gute Idee aber auch zum Teil notwendig wenn man z.B. eigene Server (Nextcloud etc.) betreiben will. Dann sollte man sie immer in einem separaten VLAN Segment betreiben und sie vom Lokalen Traffic in anderen VLANs per FW abtrennen. Genau dafür ist eine Firewall ja da. Hast du vermutlich auch so gelöst?!
Wenn es nur um den remoten Client Zugang geht ist ein VPN immer erste Wahl.
Alle Grundlagen für so ein Setup erklärt dieses Tutorial.
Die weiterführenden Links beider Tutorial haben weitere Infos.
OK, aber dann ist das ja ein simpler Klassiker...
Dann mit den Clients in diesem VLAN den üblichen simplen Ping Test machen:
- IP Adresse auf das VLAN Interface setzen
- ⚠️ Bedenke das ein VLAN Interface der Firewall ein neues Interface ist was per Default ein DENY any any Regelwerk hat. Sprich ALLER Traffic aus diesem VLAN ist firewallüblich ohne Regelwerk geblockt! Stelle also sicher das du hier ein entsprechendes Regelwerk am Interface hast was den VLAN Traffic erlaubt! Eine übliche "Scheunentorregel" dafür ist PASS Protocol: IPv4, Source: vlanx_net, Destination: any Damit darf dann Traffic aus diesem VLAN nach überallhin passieren. Dann...
- DHCP Server aktivieren und Pool Range setzen
- Fertisch
Dann mit den Clients in diesem VLAN den üblichen simplen Ping Test machen:
- Wenn Winblows Client dann Check mit ipconfig ob korrekte IP, Gateway und DNS an den VLAN Client vergeben wurde.
- Ping der lokalen Firewall VLAN IP
- Ping der kaskadierten Fritzbox IP
- Ping einer öffentlichen Internet IP wie 8.8.8.8
- Ping eines Hostnamens z.B. www.administrator.de