OPNsense Vlan konfigurieren

G

google98

Enthusiast
Thread Starter
Mitglied seit
23.02.2005
Beiträge
2.714
hallo,
nachdem der erste Versuch das als Anfänger zu konfigurieren misslungen ist, frage ich mal nach, vielleicht kann mir hier jemand helfen:

Folgende Situation: FRITZ!Box dient als Router/Modem zum ISP, diese soll mit D - Link Switch auf Port 1 verbunden werden.
Von Port 2 führt ein Kabel in die VPN Sense Appliance an den WAN Port.
Vom LAN Port der FW führt ein Kabel zurück zu Port 3 im Switch.
Die physischen Ports 1 und 2 erhalten Vlan ID10 (ungesichertes Internet), alle nachfolgenden Ports (also auch3) erhalten Vlan ID20 (Netzwerk hinter der Firewall).

Die Idee ist ein ungesichertes Netzwerk vor der Firewall zu haben und danach alle Gerätegeräte einzustecken, die somit hinter der Firewall liegen.

Frage 1: welche Ports müssen tagged sein?

Frage 2: ich habe bereits über das Interface Menü entsprechende VLAN Inter Faces erstellt mit der jeweiligen ID, verstehe aber nicht, wie ich die Regel spezifizieren muss: in oder out? Was muss ich da konkret als Regel freigeben, damit die Daten fließen können?

Frage 3: ich möchte einen Server anschließen, auf dem unter anderem Pihole läuft als DNS Server. Eigentlich würde es doch Sinn machen, diesen an die FRITZ!Box als DMZ anzuschließen, oder? Oder besser in das sichere Netzwerk, aber dann müsste ja Datenverkehr von außen in der sicheren Netzwerk geschleust werden?!
Wie müsste ich hierfür die Regel konzipieren?

Bin für jede Hilfe dankbar!
Liebe Grüße
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
port 1 untagged als Access Port. Die Fritzbox kann keine Tags setzen und verarbeiten.

Port 2 wäre möglich als Trunk mit Tag und dann könnte man sich Port 3 schon sparen und einfach mit über Port 2 auch vlan 20 schleifen. Dann das Tag aber auch in der Opnsense anlegen.

Alternativ Port 2 auch untagged als Access Port, dann in Opnsense auch ohne Tag erstellen.

Port 3 definitiv tagged als Trunk, inkl Tag auf der Opnsense. Weil da wirst du irgendwann bestimmt noch weitere Vlan dazu nehmen wollen um Dinge zu trennen.

Idee die ich Mal in den Raum Stelle: verbinde die Fritzbox direkt mit dem gewünschten Port der Opnsense, dann schleifst du dir das "gefährliche" Netz gar nicht erst über den Switch und brauchst im Prinzip nur noch Port 3 als Uplink-Port für deine Geräte zur Opnsense.

Frage 2: keine Ahnung, kenne das Gerät nicht. Vermute aber dass du die Tage outgoing setzen musst wenn du das Tag hinzufügen willst und ingoing wenn der Switch an der Stelle erwarten soll. Gibt's dazu nen Bild was es da für Optionen gibt?

Bezüglich Frage 3: nichts mit ins Vlan der Fritzbox hängen, alles hinter der Firewall halten. Für den PiHole der ja vermutlich nur in deinem Netzwerk stehen soll braucht's keine DMZ oder sonstwas.
 
klasse, vielen Dank! Wenn noch ein VPN Server dazu kommt? Wäre doch dann besser, wenn der nicht im internen Netzwerk stehen würde, oder?
 
Ein VPN Server ist in OPNsense eingebaut, nennt sich "Wireguard".

Und ja, wenn man schon eine Firewall mit entsprechenden Features verwendet, macht es natürlich Sinn, für die VPN-Clients erstens ein eigens Netz anzulegen und dann Regeln zu definieren, mit wem die jeweiligen Clients kommunzieren dürfen.
 
Supaman schrieb:
Ein VPN Server ist in OPNsense eingebaut, nennt sich "Wireguard".

Und ja, wenn man schon eine Firewall mit entsprechenden Features verwendet, macht es natürlich Sinn, für die VPN-Clients erstens ein eigens Netz anzulegen und dann Regeln zu definieren, mit wem die jeweiligen Clients kommunzieren dürfen.
Zum Vergrößern anklicken....
Wireguard ist nicht per default da - default wäre OpenVPN und IPSec. Aber ja: Wireguard ist die bessere Variante :)
 
Danke euch, mittlerweile läuft alles.
Ich war erstaunt, dass ich nur die FRITZ!Box als Gateway einrichten musste und dann sofort alles funktioniert hat. Blockt die Firewall nicht automatisch erst mal alles?
Bin jetzt etwas unsicher, ob ich noch zusätzlich Dinge für den Alltag blocken muss…
 
Hexcode schrieb:
Wireguard ist nicht per default da - default wäre OpenVPN und IPSec. Aber ja: Wireguard ist die bessere Variante :)
Zum Vergrößern anklicken....
In der aktuellen Version 24.1 - und *möglicherweise auch 23.x ist Wireguard drin, ohne das es erst nach installiert werden muss:

opnsense.JPG
 
@Hexcode
So ist es: ich musste meine installierten Wireguard Plugins nach der 24.X Migration wieder rauswerfen aus der Config, da sie nun nicht mehr existieren.

@google98
Du hast nun vermutlich doppel NAT, was du dir mit 2 Routern im Netz einfängst außer du bist mit dem Bridgemode in der Fritzbox gesegnet, somit ist der Netzaufbau vermutlich nicht optimal. Auch Firewallregeln darfst du dann 2x machen (auf der Fritzbox und auf der OPNSense Kiste), was die Wartbarkeit erschwert, da alles 2x richtig konfiguriert werden muss.

Einerseits sitzt du nun hinter 2 Firewalls, andererseits ist der Sicherheitszugewinn durch die zweite nicht so dolle und macht dir mehr Arbeit.

Der PiHole soll vermutlich nur lokal als DNS Server für dein Netzwerk dienen, somit ist der im sicheren Netz genau richtig aufgehoben und hat in der DMZ nichts verloren. Am Ende musst du noch darauf achten, dass nicht alles über die in der Fritzbox eingestellten DNS Server geht, weil deine OPNsense Kiste womöglich den DNS des Gateways nutzt anstatt die lokal eingestellten.
 
Hi, danke für alle Antworten.
Jetzt läuft alles, der PiHole filter die Werbung raus.

Habe noch eine frage zu VLANs:
Habe port-based VLANs erstellt (3 Stück).
Wenn z.B. Handy und HUE Bridge im gleichen VLAN sind, kann ich die HUE-Geräte steuern (macht Sinn).
Wie müsste ich die Regel in der OPNSense einrichten, damit z.B. dieses VLAN keinen Internetzugang bekommt: VLAN3 (das entsprechende VLAN)-Interface bei Regeln auswählen und dann alle Ein- und Ausgänge blocken, oder? Habe das mal testweise gemacht, aber ich kann nach wie vor noch per Handy alles ansteuern. Oder liegt das daran, dass Handy und HUE am Switch gesteuert werden und automatisch alle (zumindest LAN-)Befehle dort (und nicht auf der OPNSense) verarbeitet werden?
 
wallsofjericho schrieb:
@Hexcode
So ist es: ich musste meine installierten Wireguard Plugins nach der 24.X Migration wieder rauswerfen aus der Config, da sie nun nicht mehr existieren.

@google98
Du hast nun vermutlich doppel NAT, was du dir mit 2 Routern im Netz einfängst außer du bist mit dem Bridgemode in der Fritzbox gesegnet, somit ist der Netzaufbau vermutlich nicht optimal. Auch Firewallregeln darfst du dann 2x machen (auf der Fritzbox und auf der OPNSense Kiste), was die Wartbarkeit erschwert, da alles 2x richtig konfiguriert werden muss.

Einerseits sitzt du nun hinter 2 Firewalls, andererseits ist der Sicherheitszugewinn durch die zweite nicht so dolle und macht dir mehr Arbeit.

Der PiHole soll vermutlich nur lokal als DNS Server für dein Netzwerk dienen, somit ist der im sicheren Netz genau richtig aufgehoben und hat in der DMZ nichts verloren. Am Ende musst du noch darauf achten, dass nicht alles über die in der Fritzbox eingestellten DNS Server geht, weil deine OPNsense Kiste womöglich den DNS des Gateways nutzt anstatt die lokal eingestellten.
Zum Vergrößern anklicken....
Fritzbox und Firewall in einem Satz passt aber auch nicht - das einzige was jetzt ist, ist Doppel-NAT aber Doppel-Firewall ziemlich sicher nicht.
 
google98 schrieb:
Hi, danke für alle Antworten.
Jetzt läuft alles, der PiHole filter die Werbung raus.

Habe noch eine frage zu VLANs:
Habe port-based VLANs erstellt (3 Stück).
Wenn z.B. Handy und HUE Bridge im gleichen VLAN sind, kann ich die HUE-Geräte steuern (macht Sinn).
Wie müsste ich die Regel in der OPNSense einrichten, damit z.B. dieses VLAN keinen Internetzugang bekommt: VLAN3 (das entsprechende VLAN)-Interface bei Regeln auswählen und dann alle Ein- und Ausgänge blocken, oder? Habe das mal testweise gemacht, aber ich kann nach wie vor noch per Handy alles ansteuern. Oder liegt das daran, dass Handy und HUE am Switch gesteuert werden und automatisch alle (zumindest LAN-)Befehle dort (und nicht auf der OPNSense) verarbeitet werden?
Zum Vergrößern anklicken....
Alles was im gleichen VLAN ist geht nicht über die Firewall - erst wenn es über Netzgrenzen geht, geht es über die Firewall.
 
Hexcode schrieb:
Fritzbox und Firewall in einem Satz passt aber auch nicht - das einzige was jetzt ist, ist Doppel-NAT aber Doppel-Firewall ziemlich sicher nicht.
Zum Vergrößern anklicken....
Ob man nun einen NAT Router mit selbsternannten Firewall Funktionen als Firewall durchgehen lässt sei mal dahingestellt - dafür ist mir meine Zeit zu schade: Fakt ist jedoch, dass @google98 für Portfreigaben nun alles doppelt konfigurieren darf mit doppeltem Fehlerpotential. Dinge wie Onlinegaming könnten da durchaus zur Herausforderung werden. Auch VOIP Telefonie kann da spaßig werden, wenn das nicht auf der Fritzbox aufgesetzt und genutzt wird. Gerade als Anfänger sollte man sich nicht mehr Steine in den Weg legen als unbedingt notwendig.

Ich kann nur anraten im Zweifelsfall ein Modem ( für was auch immer da an Zugangstechnologie vorhanden ist) anzuschaffen und die OPNsense Kiste direkt an das Modem zu klemmen.

@google98
Ich würde darüber nachdenken für dein IoT VLAN den Zugriff auf die anderen Netze zu blockieren entweder über einen Alias für alle privaten Netze in einer Block Regel oder eine Block Regel pro Netz.
Genauso könntest du Traffic nach außen blockieren - allerdings ist für mich genau das der Gamechanger: Mein IoT Gerät darf und kann sich Updates downloaden und von mir aus auch irgendeinen Cloud Kram machen, aber nicht in meine privaten Netze eindringen. Ich hätte keine Lust Firmware Updates über Workarounds zu machen wie früher per USB Stick am Gerät - abgesehen davon, dass meine Schaltaktoren nur noch Bluetooth und WLAN können 🤷‍♂️ . Bei Überwachungskameras wäre es bei mir ein Sonderfall - die würden in ein Offlinenetz kommen und irgendwo auf einem lokalen NAS Daten ablegen und nur mal für ein Update kurzzeitig online genommen werden, falls notwendig.

Aber so wie du die Fragen stellst, würde ich erst einmal Firewall Grundlagen empfehlen. Im Extremfall, den du beschrieben hast, kannst du auch sämtlichen Outgoing Traffic deines VLAN in alle Netze blocken. Aber erst einmal überlegen, was du wirklich möchtest und danach erst wie die Regeln und deren richtige Reihenfolge aussehen könnten.

Das sind z.B. meine 3 Regeln im IoT VLAN. Aufgesplittet nach ipv4 und ipv6, weil ich ab und an mit den Gateways und Loadbalancing herumspiele, da mein LTE Zweitwan kein IPv6 kann.
Screenshot 2024-03-11 at 14.56.25.png
 
Er könnte auch einfach die OPNSense als Exposed Host setzen und dann stört das Doppel-NAT im Prinzip nicht weiter... aber ja: so wie das bisher klingt sollte man das nochmal überlegen und die OPNSense erstmal als Spielwiese hinter der Fritzbox laufen lassen.
 
wallsofjericho schrieb:
Auch VOIP Telefonie kann da spaßig werden, wenn das nicht auf der Fritzbox aufgesetzt und genutzt wird.
Zum Vergrößern anklicken....
Warum? Das ist in 99,9% der Fälle bei Business Fällen der Fall, da hängt der Trunk immer an irgendwas hinter irgendeiner Firewall. Sense in der FB wie oben geschrieben wenn dann als Exposed Host und gut.
 
Anmelden, um zu antworten.

Ähnliche Themen

L
TL-SG3424 VLAN Konfiguration Verständnis Problem
Antworten
2
Aufrufe
307
logan517
L
M
Heimnetzwerk VLANs und Routing
Antworten
17
Aufrufe
900
BobbyD
BobbyD
Shihatsu
VLAN funktioniert nicht sauber, andere VLANs schon - proxmox, opnSense(HA) und Mikrotik Switche
Antworten
3
Aufrufe
587
Supaman
Supaman
W
OpenWRT, VLAN-Konfiguration
Antworten
9
Aufrufe
2K
Supaman
Supaman
l0n
Komponenten für ein neues Heimnetzwerk
2
Antworten
34
Aufrufe
3K
Hexcode
H
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh