[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Meh, zu spät.
Die Host-Einträge sind im UI alle weg und ich kann auch kein Gerät mehr unter den Hostnamen erreichen.
Mag also sein, dass sie noch in der Config drin sind, aber sie sind nicht aktiv.
Seit 2.1.5 sind die Aliase auch getrennt von den Hosteinträgen, was ziemlich doof ist...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hoffentlich nicht!
Ich habe jetzt den halben Nachmittag damit verbracht, neue Aliase zu erstellen.
Unterstriche gehen auch nicht mehr für Server-Namen...

//Edith:
Neustart hat nichts zurück gebracht, wahrscheinlich, weil ich sowieso schon alles neu gemacht habe.
In der XML-Config steht es jedoch doppelt drin (einmal unter Unbound und einmal unter Unboundplus).

Unterstriche in Hostnamen funktionieren, wenn ich sie direkt in der XML-Config ändere, speichere und den Unbound neu starte.
Ist also nur eine Beschränkung im WebUI.
 
Zuletzt bearbeitet:
******* schrieb:
So würde man das nicht aufsetzen, sondern jedes Interface und jedes VLAN (was quasi ein virtuelles Interface ist) bekommen ein eigenes Subnet, z.B.:
192.168.1.1/24
192.168.2.1/24
192.168.3.1/24

Es kann auch nicht schaden, die VLAN ID dort zu verwenden, also z.B. für VLAN 30:
192.168.30.1/24
Zum Vergrößern anklicken....

Ok, danke für den Input.

Wenn ich das auf 3 Netze aufteile, muss ich dann physisch auch mit 3 Netzwerkkabeln von OPNSense zum Switch?


LG
 
******* schrieb:
Ja, wenn Du keine VLANs benutzt. Nein, wenn Du VLANs benutzt. Du kannst aber auch für bessere Bandbreite mit zwei oder drei Kabeln an den Switch ran. Der Switch muss natürlich ebenfalls VLANs unterstützen. Gibt viele Möglichkeiten.
Zum Vergrößern anklicken....

Ok, danke!
"learning by doing" wird wohl blutig werden bei OPNSense.

;-)

LG
 
So schwer wird das garnicht.
Sobald deine VLANs mal stehen, hast du Standardregeln in der FW, dass Kommunikation zw. den VLANs erlaubt ist.
Dann haust du davor einfach noch 2..3 Regeln, die nur einzelnen Geräten was erlauben oder eine Kommunikation von VLAN1 zum VLAN2 nur zw. bestimmten IPs / Ports erlaubt ist.
Und am Ende fügst du ne Block-Regel ein, die den gesamten restlichen Traffic dropt.
Danach die Standard-Regel deaktivieren und fluppt.
 
Äh... Das ist unnötig kompliziert und risikobehaftet.

Man braucht nur Regeln zwischen VLANs, die erlauben was erlaubt sein soll.

Alles andere wird durch die Standard Regeln - die man mE aktiviert lassen sollte - ohnehin ge-"drop"ped.
 
Zum rantasten ohne sich gleich bei Fehlern abzuhängen und zu schauen, ob eine Regel auch greift, finde ich den Weg von @Weltherrscher sehr sinnvoll. Sinnvoll ist auch eine block any regel am Ende, Egal ob das schon auch so gedropt wird.
 
OPNsense 22.1.6 ist da:

OPNsense 22.1.6 released

OPNsense 22.1.6 released
forum.opnsense.org forum.opnsense.org

Edit: habe das Update gemacht auf 22.1.6, bisher keine Auffälligkeiten.
 
Zuletzt bearbeitet:
Obacht, nach dem Update sind eventuell in 22.1.5 neu eingetragene Overrides doppelt drin (einmal die von 22.1.4 und einmal die neuen)!
 
Tja wie sich herausstellt hat mein Switch zwar dampf ohne ende, aber macht kein routing :fresse:
Also muss es doch über die opnsense gehen.

das heißt ich muss den VLAN interfaces der sense jeweils die z.Bsp. x.x.x.1 geben und die jeweils so in den anderen devices eintragen richtig?
Und hat schon einer das LAG via LACP zum fliegen bekommen?

Link hatte ich zu meinem Switch aber ums verrecken kein ping durchbekommen.
Habs jetzt daher um überhaupt mal zu starten als ganz normale einzelne interfaces hergenommen.
 
Ist ein Huawei CE6810-32T16S4Q-LI.
Ist da leider stumpf deaktiviert da er dazu nicht hergenommen werden soll.
Steht in den offiziellen anleitungen auch drin. Schade schade, naja er ist mir zugefallen, also bin ich da jetzt nicht tottraurig drüber.
Schön wäre es dennoch gewesen.
Habe auch keinen weg gefunden das zu umgehen...
 
Hat hier jemand eine opnsense an einem dslite hängen ohne noch einen extra Router davor?
 
So, zig Stunden später - im Groben läuft es jetzt mal.

Lan-Anschluss 1:
192.168.1.1 (VLAN1) für meine Notebooks, Server, ....
192.168.20.1 (VLAN20) für die Drucker

Lan-Anschluss 2:
192.168.30.1 (VLAN30) als "Gast / Home-Office" Netzwerk

Von der Firewall gehen ich mit 2 Netzwerkkabeln (1x für VLAN1+20 und 1x für VLAN30) zum Layer 2 Switch (Zyxel).
Ein Zyxel-AP verteilt 2 SSID's (1x privat / 1x Gast/Home-Office).

Das mit VLAN/tagged/untagged/etc... habe ich mal einigermaßen kapiert und im Griff - sprich, egal wo ich z.B. meinen Laptop anschließe, bekomme ich die entsprechende/richtige IP und ich komme auch ins Inet.
Sprich, ich habe in der Firewall einfach mal Alles erlaubt.


So, habe schon etwas herumprobiert und komme aber nicht weiter!


Wie kann ich das mit den Regeln nun umsetzten, dass:
- VLAN1 (mein internes Netzwerk) die Drucker im VLAN20 (Drucker-Netzwerk) sieht?
- VLAN30 (Gast/Home-Office Netzwerk) die Drucker in VLAN20 sieht?
-VLAN30 (Gast/Home-Office) im Prinzip freien Zugang zum Inet hat?
-VLAN1 und VLAN30 sich gegenseitig aber nicht "sehen"?


Kein Plan....


Danke!
 
@hs_warez, ich würde einen RFC1918 Alias anlegen:
rfc1918_alias.png

Dann kannst du die Internetfreigabe für VLAN 1 und VLAN 30 ganz einfach jeweils mit zwei übersichtlichen (Whitelist-)Regeln umsetzen:
internet_freigabe.png

Dann musst du nur noch den Zugriff auf den Drucker separat regeln und bist schon fertig.
 
Evtl neben DNS noch Zugriff auf NTP erlauben. DHCP müsste durch die Opnsense-standardregeln schon freigeschaltet sein.
 
0 8 15 User schrieb:
@hs_warez, ich würde einen RFC1918 Alias anlegen:
Anhang anzeigen 750601
Dann kannst du die Internetfreigabe für VLAN 1 und VLAN 30 ganz einfach jeweils mit zwei übersichtlichen (Whitelist-)Regeln umsetzen:
Anhang anzeigen 750602
Dann musst du nur noch den Zugriff auf den Drucker separat regeln und bist schon fertig.
Zum Vergrößern anklicken....

Puh, danke!

Alias habe ich schon mal angelegt - da hab ich irgendwo mal eine Anleitung gelesen.
War irgendwie nur zu blöd, die Regeln dann richtig zu setzen.

Werde das morgen mal versuchen.


Danke!


LG
 
asche77 schrieb:
Berichte Mal, wie die Verbindungsqualität mit der Technicolor ist - meine Vodafone Station produziert leider viel Packet loss, wenn sie ein paar Tage gelaufen ist :-(
Zum Vergrößern anklicken....
Ich hab bisher mit dem Technicolor keinerlei Probleme. Hab zwar keine Tests gemacht, muss aber keinen Reboot machen und hab auch, wen nich nen Speedtest mache, die hohe Bandbreite, die auch im Vertrag steht.

Kann man denn irgendwie die Präfixlänge rausfinden? Ich hab beim Technicolor eine IPv6, da zeigt es mir aber keine Präfixlänge an. Auch in der OPNsense GUI seh ich die nicht.
Wenn ich nen Bildschirm anschließe, dann zeigt es mir eine IPv6 am WAN an (128er Präfix) und eine IPv6 auf dem LAN Interface mit 64er Präfix. Das bekomme ich aber nur, wenn ich die Interfaces und alles automatisch erstellen lasse (Nach dem Reset auf Werkseinstellungen)

Wenn ich in der GUI dann irgendwas an den Interfaces ändere, verschwindet die IPv6 und auch wenn ich dann diese Einstellungen wieder rückgängig mache, bekomme ich keine IPv6 mehr. Erst wieder, wenn ich alles zurücksetze und die Interfaces automatisch erstellen lasse.

Das steht auf der Vodafone Seite: Häufige Fragen
  • Welches Präfix der Router bekommt, hängt davon ab, welche Präfix-Länge er per DHCP IA_PD abruft. Bei Vodafone Kabel Deutschland Endgeräten ist das aktuell /62.
  • Das zugeteilte Präfix teilt der Router dann in kleinere Netze für die einzelnen Interfaces auf, z. B. /64.
Warum ist dann aber auf dem WAN der OPNsense ein 128er präfix? Oder interpretier ich da was falsch?
 
Ich bekomme beim VF BusinessCable 250 auch nen 62er Präfix bei fester IP(v6).
Hab ne Fritze 6490C von denen.
Das 128er ist doch deine öffentliche IP (128er Präfix ist doch sowas wien 32er bei IPv4)?
 
Wirman schrieb:
Kann man denn irgendwie die Präfixlänge rausfinden? Ich hab beim Technicolor eine IPv6, da zeigt es mir aber keine Präfixlänge an. Auch in der OPNsense GUI seh ich die nicht.
Zum Vergrößern anklicken....
Wird die MGMT IPv6 sein, wenn du mit Technicolor das TC4400 meinst.
Wirman schrieb:
Wenn ich nen Bildschirm anschließe, dann zeigt es mir eine IPv6 am WAN an (128er Präfix) und eine IPv6 auf dem LAN Interface mit 64er Präfix. Das bekomme ich aber nur, wenn ich die Interfaces und alles automatisch erstellen lasse (Nach dem Reset auf Werkseinstellungen)
Zum Vergrößern anklicken....
Jo, das ist normal, dann fordert dein Router eine IA_NA Adresse an (die /128 am WAN), und via IA_PD ein Präfix, woraus der Router dann automatisch ein /64 für dein LAN-Interface (neben der Link-Local Adresse) ableitet.
Wirman schrieb:
Wenn ich in der GUI dann irgendwas an den Interfaces ändere, verschwindet die IPv6 und auch wenn ich dann diese Einstellungen wieder rückgängig mache, bekomme ich keine IPv6 mehr. Erst wieder, wenn ich alles zurücksetze und die Interfaces automatisch erstellen lasse.
Zum Vergrößern anklicken....
Kann dann sein das deine DUID (DHCP Unique ID) sich verändert und sich der Provider DHCP erstmal weigert. Wenn du die fix eingetragen hast, dürftest du immer sofort ein Prefix erhalten (oder eine IA_NA).
Wirman schrieb:
Das steht auf der Vodafone Seite: Häufige Fragen
  • Welches Präfix der Router bekommt, hängt davon ab, welche Präfix-Länge er per DHCP IA_PD abruft. Bei Vodafone Kabel Deutschland Endgeräten ist das aktuell /62.
Zum Vergrößern anklicken....
Korrekt, das kann der anfragende Router mitgeben.
Wirman schrieb:
  • Das zugeteilte Präfix teilt der Router dann in kleinere Netze für die einzelnen Interfaces auf, z. B. /64.
Warum ist dann aber auf dem WAN der OPNsense ein 128er präfix? Oder interpretier ich da was falsch?
Zum Vergrößern anklicken....
s.o.
 
sch4kal schrieb:
Wird die MGMT IPv6 sein, wenn du mit Technicolor das TC4400 meinst.
Zum Vergrößern anklicken....

Ja, ich mein das TC4400. Was meinst du mit MGMT IPv6?

sch4kal schrieb:
Jo, das ist normal, dann fordert dein Router eine IA_NA Adresse an (die /128 am WAN), und via IA_PD ein Präfix, woraus der Router dann automatisch ein /64 für dein LAN-Interface (neben der Link-Local Adresse) ableitet.
Zum Vergrößern anklicken....

Ah, ist das dann so wie @Weltherrscher geschrieben hat, die 128er am WAN ist dann die IPv6 vom Router, die IPv6 vom TC4400 ist dann sicher auch eine 128er und über das IA_PD bekomme ich dann ein Präfix, welches dann die OPNsense an die einzelnen Geräte verteilen kann?

sch4kal schrieb:
Kann dann sein das deine DUID (DHCP Unique ID) sich verändert und sich der Provider DHCP erstmal weigert. Wenn du die fix eingetragen hast, dürftest du immer sofort ein Prefix erhalten (oder eine IA_NA).
Zum Vergrößern anklicken....

Wie mach ich das dann, die fix einzutragen? Als Static IPv6?

Wie ist das dann eigentlich mit VLANs? Der 64er Präfix lässt ja keine Subnets zu. wenn ich jetzt nur den 64er Präfix für mein LAN habe, was passiert dann mit den anderen? Oder, wenn ich mir VLANs erstelle, bekommt dann jedes VLAN sein eigenes 64er Präfix? Was muss ich dafür einstellen?
 
Das Hatte ich vermutet, wenn ich aber bei track interface bei der prefix id die 0x 0 stehen lasse, sagt er, dass prefix id already in use ist. Wenn ich die 1 eingebe, sagt er, dass es out of Range ist.

Was muss ich da eingeben?

Hinweis: Am WAN Interface ist nur eine Präfix delegation size von 64 eingestellt. Bisher war es aber immer so, dass wenn ich da was geändert hat, hatte ich keine IPv6 mehr und auch das zurück ändern hat mir keine mehr gegeben. Will nicht unbedingt schon wieder neu aufsetzen. Muss da die 62 stehen, dass für die Interfaces jeweils ein eindeutiges 64er zur Verfügung steht?
 
Siehe mein bearbeiteter Kommentar, aber dann würde ich es nochmal probieren.
 
1650608775501.png

Ok, Kommando zurück, als VF-(Privat-)Business-Kunde bekomme ich nen /60er Präfix.
In der Sense dann so:
WAN:
1650608858154.png


VLAN-Interfaces:
1650608950297.png

1650608985148.png


Fluppt einwandfrei:
OPNsense IF-Overview:
1650609179109.png


Client:
1650609338646.png
 
******* schrieb:
Aber auch nur, wenn die Fritzbox davor als Router läuft. Wenn stattdessen ein Modem eingesetzt wird, kannst Du den kompletten 60er in der Sense eintragen, sofern die WAN-Adresse nicht Teil des Präfixes ist.

Bei Vodafone muss oder musste man man ja auch noch unterscheiden zwischen Ex-Unitymedia-Gebieten und Kern-(Kabel Deutsch-)Land. 😉
Zum Vergrößern anklicken....

Was meinst du, sofern die wan Adresse nicht Teil des präfixes ist? Ich hab eben die 128er Präfix Adresse auf dem WAN interface. Obwohl in der interface Einstellung 64 als Präfix drin steht.

Bin im übrigen Kernland (Bayern).
Ich teste das heute Abend mal mit dem Präfix, erwarte aber eigentlich, dass meine ipv6 dann wieder weg ist.
 
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
600
Zyxx
Z
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
706
Pixolantis
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh