julio8
Goto Top

OPNSense hinter Fritzbox

Hallo zusammen,

ich bin neu hier. Ich war in der Vergangenheit öfters stiller Mitleser und habe aber jetzt ein Problem bei dem ich einfach nicht weiterkomme.
Ich habe mir vor über einem Jahr einen HP Proliant Gen8 Server gekauft und bin inzwischen mit VMs, unix-artigen OS und Docker recht versiert.
Der nächste Schritt ist, bestimmte shares aus Openmediavault für externe Leute (via VPN zur Verfügung zu stellen). Aus diesem Grund habe ich mich mit OPNsense auseinandergesetzt, ich komme jetzt aber einfach nicht weiter bzw. brauche auch Unterstützung in der Beratung zum gesamten Setting.

Hardware Setting:
- HP Proliant Gen8 mit Proxmox
- verschiedene Vms (openmediavault mit plex, debian, windows 10 & OPNsense)

Netzwerkaufbau:
Fritzbox 7430 Router & Modem inkl WLAN zwecks Zugang generelle Geräte von anderen Bewohnern der WG
FB -> WAN Port des HP
LAN Port des HP an Switch zwecks Anschluss von weiteren Geräten

Ziele:
- openvpn auf opnsense nutzen um VPN Zugang zu ermöglichen (über exposed der FB)
- mehrere VLANs nutzen bspw. um OMV abgeschottet laufen zu lassen
- bestimmten openvpn usern nur Zugang zu einem VLAN zu gewähren und über die OMV User nur zu bestimmten Shares
- Freie Kommunikation unterhalb der VLANs jedoch keinen freien Zugriff vom "Fritzbox-WLAN" Netz auf die VLANs (nur von spezieller
- Vermeidung von double NAT


Was leider nicht möglich ist:
- VPN direkt auf Fritzbox --> zu geringer Durchsatz und nicht ausreichende Userkonfiguration
- Router ersetzen oder in den reinen Modembetrieb setzen um einen Accesspoint und Router erst hinter die FW zu schalten

Was, wenn nötig, am Layout geändert werden kann:
- Kaufen eines AP um das Fritzbox WLAN gar nicht mehr zu nutzen (keine Vermischung von WAN und LAN) sondern alles für mich relevante hinter der FW zu haben.
- Anschaffen eines anderen Switches


Meine Idee zum Grundlayout war folgende:
- Fritzbox lässt VPN via exposed port zum Openvpn durch.
- OPNsense ist so eingestellt, dass es via dem WAN port genau eine spezifische IP aus dem Netz des Fritzbox WLANs auf die UI lässt.
- Zudem kann ich auf alle Hosts in allen VLANs von dieser einen lokalen IP zugreifen
- OPNsense agiert quasi als switch mit VLAN Fähigkeiten (ich kenne mich leider nicht aus wie genau ich das mache)
- VLANs werden entweder im proxmox oder im OPNsense definiert
- Die VMs nutzen dann die jeweiligen VLANs
- Der am LAN Port angeschlossene Switch ist nicht dediziert VLAN fähig, ich nehme an hier kann ich quasi nur das normale LAN Netzwerk "abgreifen" (was ok ist)


Fragen & Probleme:
Ich muss ehrlich sagen, dass ich mir nicht sicher bin wie das Gesamtkonstrukt am besten aussehen soll.
Zudem bin ich mir nicht ganz sicher was die VLANs angeht. Kann OPNsense VLANS erstellen und managen oder ist es besser diese im Proxmox anzulegen und im OPNsense nur zu nutzen.
Sind die oben genannten Ziele machbar?
Was mir leider noch nicht ganz klar ist, ist der Unterschied zwischen double-NAT und den IP ranges der Vlans. Sind VLANs nicht eine Art NAT?
Zudem habe ich bis jetzt ein Problem was ich nicht genau eingrenzen kann: Meine Regeln, die ich erstelle greifen nicht. Ich gebe auf dem WAN interface alles frei komme aber nicht aus dem Fritzbox WLAN Netz auf auf die UI von OPNsense. Erst wenn ich mittels pfctl -d die Firewall deaktiviere. Im Log steht "default deny rule".

Umso länger ich mich mit dem Thema befasse umso verwirrter werde ich.
Ich tue mich mit dem Thema Netzwerk und Firewall recht schwer im Vergleich zu anderen Themen. Ich hoffe ihr könnt mir hier helfen und verzeiht mir die ganze Flut an Fragen.

Viele Grüße
Julius

Content-Key: 561107

Url: https://administrator.de/contentid/561107

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: aqui
aqui 26.03.2020 aktualisiert um 23:21:29 Uhr
Goto Top
Hier steht alles was du zu dem Thema wissen musst:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

OpenVPN Integration bzw. mit bordeigenen Clients aller Betriebssysteme wird hier erklärt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Und wie man mit VLANs an der OPNsense umgeht steht hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Das sollte eigentlich alle deine Fragen beantworten. Lesen und verstehen ! face-wink

(P.S.: Habt ihr euch bei der Erstellung der Threads hier abgesprochen face-wink ?:
Tipps gesucht - Pfsense hinter Fritz 6490 Cable und VLANs )
Mitglied: julio8
julio8 27.03.2020 aktualisiert um 22:43:40 Uhr
Goto Top
Hi aqui,

vielen Dank für die ausführliche Sammlung an Tutorials.
Da werde ich einige Zeit zu tun haben.

Mir geht es jedoch weniger (nur sehr punktuell) um eine Schritt für Schritt Anleitung, sondern mehr um einen Stupser in die richtige Richtung zum Gesamtsetting. Ich habe beispielsweise schon mal einen OpenVPN Server in einem simpleren Setting aufgesetzt.

Gesamtsetup:
- Gibt es eine Möglichkeit ein Double NAT zu vermeiden?
- Ist es möglich OPNsense hinter der Fritzbox quasi nur als switch zu nutzen? So wie hier beschrieben: "layer 2 switch trick" https://www.graemenoble.id.au/post/48695277030/double-nat-explained-and- ...
- Ist diese Lösung "sicher" (auch wenn ich erst einmal nur plane den einen Port zum openvpn im Internet verfügbar zu machen.

VLANs:
- VLAN werden am besten in Proxmox erstellt und dann in OPNsense zugewiesen. Ist das richtig? Macht es einen Unterschied?
- Nutzt man hier am besten statische IPs oder DHCP? (Wäre das dann nicht double NAT?)

Blocking & Routing:
- Ich weiß leider nicht warum ich nicht von der WAN Seite auf die OPNsense UI komme. Ich habe "Block private networks" und "Block bogon networks" beides deaktiviert, als auch "disable reply-to" in der WAN Regel aktiviert. Muss ich hier noch irgendeine Art von Forwarding beachten?


Wäre super wenn du mir da einen Art Empfehlung zum "best practice" geben könntest, damit ich dann gezielt suchen kann.

hehe ne wir haben uns nicht abgesprochen. Aber die Struktur der Problembeschreibung ist schon recht ähnlich ;)
Mitglied: julio8
julio8 27.03.2020 um 23:30:39 Uhr
Goto Top
ok. Jetzt komme ich endlich mit aktiviertet FW auf die Management UI. Es lag daran, dass ich in den WAN Rules bei Gateway "WAN_DHCP" auswählen musste.
Ganz verstanden warum es vorher nicht geklappt hat, habe ich jedoch nicht. vll kann mir da wer helfen.
2020-03-27 11.28.56 pm
Mitglied: aqui
aqui 28.03.2020 aktualisiert um 12:18:53 Uhr
Goto Top
Auf dem WAN Interface blockiert die Firewall logischerweise ALLES was versucht eine Verbindung zu ihr bzw. ihrer IP Adresse dort aufzubauen. Logisch, denn das soll sie ja auch und ist normales Verhalten am "gefährlichen" Internet Interface.
Zweitens sind im Default zusätzlich auch noch alle privaten RFC 1918 IP Adressen blockiert im Default. In einer Router Kaskade (und NUR da !!) muss man das also zusätzlich auch noch freischalten !
rfc

Wenn man also einen Zugriff aus dem WAN Netz bei einem Kaskaden Setup hat muss man die Management Ports am WAN also explizit freigeben !
Um nicht alle Ports mühsam einzeln einzutragen kann man der Übersicht halber besser einen Port Alias vorher erzeugen mit den Management Ports:
alias
Und dann die Regel dazu:
wan

Das darf in einer direkten Internet Anbindung, sprich also wo die Firewall mit einem NUR Modem selber direkt im Internet hängt natürlich NIEMALS gemacht werden, denn keiner möchte ja das seine Management Ports ungeschützt für alle im Internet freigegeben werden !!!
Sowas löst man dann logischerweise immer mit einem VPN wie z.B. DIESEM hier.
Die Firewall verhält sich hier also absolut Standard konform im Regel Setup !! Wäre ja auch schlimm wenn es nicht so wäre.
Mitglied: julio8
julio8 30.03.2020 um 17:54:05 Uhr
Goto Top
Hi aqui,

vielen Dank für deine Antwort. Ich schätze es sehr, dass du so ausführlich antwortest. Ich habe leider nur das Gefühl, dass hier davon ausgegangen wird dass ich die Standardprobleme habe, welche sich mit (Standard-)Tutorials lösen lassen. Wie beispielsweise oben beschrieben, hatte ich bereits die von dir erwähnten Einstellungen vorgenommen. Letzendlich habe ich den Teil mit dem Zugriff auf die UI und vom WAN hinbekommen. Wenn ich NAT aktiviere klappt auch ein Ping von einem Gerät im LAN ins Internet.

Was nicht klappt:
- Ping von einem Gerät im WAN (lokale IP) zu einem Gerät im LAN
- Der Ping von LAN-Gerät zu WAN-Gerät klappt, jedoch nur mittels Outbound NAT. Und eigentlich will ich ja ein Double NAT vermeiden.

Mir ist leider recht grundsätzlich nicht ganz klar wie ich ein Double NAT hier vermeide und was die Alternative ist. Mein aktuelles Verständnis ist, dass ich dafür statische Route in der Fritzbox bräuchte, ist das korrekt? Ist es möglich OPNsense quasi als Switch zu nutzen?

Wäre sehr cool wenn mir jemand konkret bei den obrigen Fragen helfen könnte. Für Vorschlage zu alternativen Setups bin ich natürlich auch offen.
Mitglied: aqui
aqui 30.03.2020 aktualisiert um 20:47:30 Uhr
Goto Top
- Ping von einem Gerät im WAN (lokale IP) zu einem Gerät im LAN
Kann niemals klappen, denn das verhindert einerseits die Firewall und zusätzlich noch die NAT Firewall weil es keine existierende NAT Session gibt.
2 Gründe also warum das technsich niemals klappen kann. Dein Problem ist das NAT was du gar nicht brauchst !
Wenn dann kannst du nur Portweise ein Port Forwarding machen um das zu überwinden. Ist aber recht ineffizient.
Oder...du schaltetst das NAT komplett aus und machst nur reines Routing !
Siehe hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Und eigentlich will ich ja ein Double NAT vermeiden.
Was auch richtig wäre in dem Design.
Wie bereits gesagt: NAT komplett abschalten (Firewall Outbound NAT) und rein nur transparent routen. Siehe Tutorial oben.
Mir ist leider recht grundsätzlich nicht ganz klar wie ich ein Double NAT hier vermeide
Indem du kein NAT machst auf dem Router und rein transparent 2 IP Netze routest.
Auch hier wie bereits gesagt: Routing Tutorial oben lesen und b´verstehen und dann umsetzen.
Dafür hätte auch ein kleiner 20 Euro Router gereicht face-wink
https://www.varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941- ...
Ist es möglich OPNsense quasi als Switch zu nutzen?
Ja, das geht auch.
Du packst alle Interfaces in eine Bridge und etablierst die FW Regeln auf dem Bridge Interface. Sog. Transparent Firewall. Das wäre ein Firewalling auf Layer 2.
Dadurch verlierst du aber die Segmentierung in 2 IP Netze das sollte dir bewusst sein !
Mitglied: julio8
julio8 04.04.2020 um 16:43:51 Uhr
Goto Top
Hi aqui,

vielen Dank schon einmal. Mittels des Artikels und viel Abstraktion (der Case entspricht nicht ganz meinem) hat es nun geklappt.
Ich habe folgendes gemacht:
- NAT komplett deaktiviert
- statische Routen in der FB hinterlegt
- entsprechende FW Regeln angelegt
- DHCP auf dem LAN Interface aktiviert

Nun funktioniert der Case ohne VLAN genau so wie ich mir das vorstelle. Danke face-smile


Nach dutzenden Tabs über VLANs komme ich leider nicht weiter. Ich habe es hinbekommen in Proxmox VLANs zu erstellen und diese dann der OPNsense VM zur Verfügung zu stellen, ein VLAN in OPNsense zu erstellen und dem Device zuzuordnen und DHCP für diesen zu aktivieren. Zudem habe ich eine statische Route in der FB angelegt um auch aus dem WAN darauf zuzugreifen. Leider funktioniert weder ein Ping vom Guest noch bekommt der Guest eine IP zugewiesen. Wenn ich das interface im Guest manuell konfiguriere, geht der Ping leider nicht durch.

Mein erstes Problem ist, dass ich nicht weiß, was die beste Möglichkeit ist ein VLAN zu erstellen. Der übersichtlichkeithalber wäre es mir am Liebsten diese auch in der Proxmox UI zu haben (also dort zu erstellen) und dann an die VMs als gesonderte Interfaces weiterzugeben. OPNsense bekommt dann alle weitergereicht. Am LAN Interface wäre es cool alle VLANS "abgreifen" zu können.

Das hier habe ich der Proxmox Doku gefunden. (4 verschiedene Methoden)


VLAN awareness on the Linux bridge: In this case, each guest’s virtual network card is assigned to a VLAN tag, which is transparently
supported by the Linux bridge. Trunk mode is also possible, but that makes configuration in the guest necessary.

"traditional" VLAN on the Linux bridge: In contrast to the VLAN awareness method, this method is not transparent and creates a VLAN > device with associated bridge for each VLAN. That is, creating a guest on VLAN 5 for example, would create two interfaces eno1.5 and > vmbr0v5, which would remain until a reboot occurs.

Open vSwitch VLAN: This mode uses the OVS VLAN feature.

Guest configured VLAN: VLANs are assigned inside the guest. In this case, the setup is completely done inside the guest and can not > be influenced from the outside. The benefit is that you can use more than one VLAN on a single virtual NIC.


- Was ich bis jetzt so gelesen habe ist die Open vSwitch VLAN Methode am Neusten aber auch am kompliziertesten und wenig dokumentiert. Welche Methode ist in meinem Setup am Besten?

- Ist das so denkbar, dass ich in Proxmox ein VLAN erstelle, es an OPNsense durchreiche (ohne VLAN Tag in Proxmox), dort dann auch ein VLAN erzeuge und es bei "Interfaces Assignment" dem Device zuordne. DHCP aktiviere und FW regeln erzeuge.
- Wie muss dann das VLAN in Proxmox konfiguriert sein? (static, manual; Gateway, Ip adresse?)
- In Proxmox gibt es gefühlt x Varianten VLans zu erzeugen (direct dem physical device oder der bridge zu ordnen; verschiedene Notationen bei der nicht ganz klar ist ob eine von denen neuer oder älter ist)

auto lo
iface lo inet loopback

allow-hotplug eno1
allow-hotplug eno2

iface eno1 inet dhcp
iface eno2 inet manual
iface eno2.30 inet manual

# WAN - connected to Fritzbox
auto vmbr1
iface vmbr1 inet static
        address  192.168.50.100
        netmask  24
        gateway  192.168.50.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0
       

#Firewall / LAN / VLAN
auto vmbr2
iface vmbr2 inet manual
        bridge-ports eno2
        bridge-stp off
        bridge-fd 0
       

auto vmbr30
iface vmbr30 inet manual
        address 192.168.30.1
        netmask 255.255.255.0
        bridge_ports eno2.30
        bridge_stp off
        bridge_fd 0

Kannst du mich da in die richtige Richtung "stupsen" und mir evtl bei den Fragen zur Erstellung von VLANs in Proxmox weiterhelfen? Das wäre wirklich super und würde mir den Tag retten, da ich nun doch etwas frustiert bin :/
Mitglied: aqui
aqui 04.04.2020 um 17:47:31 Uhr
Goto Top
Mein erstes Problem ist, dass ich nicht weiß, was die beste Möglichkeit ist ein VLAN zu erstellen.
Wo ?? In der pfSense ? Proxmox ?
Die ToDos auf der pfSense/OPNsense findest du im Tutorial. Für Linux hilft ggf. noch DAS. ?! Ansonsten solltest du Proxmox meinen muss das ein Proxmox Spezl hier beantworten.
Normalerweise haben Hypervisoren einen internen vSwitch der entsprechend customized wird mit Tagging.
Am LAN Interface wäre es cool alle VLANS "abgreifen" zu können.
OK, das ist ja eine Lachnummer. Guckst du HIER.
Welche Methode ist in meinem Setup am Besten?
Leider nix Ahnung von Proxmox, müsste wie gesagt ein Proxmox Spezl hier beantworten.
Ist das so denkbar, dass ich in Proxmox ein VLAN erstelle, es an OPNsense durchreiche
Ja, das geht. Das ist ein simpler 802.1q Tagged VLAN Trunk.
Hier kannst du mal sehen wie das mit ganz normaler NIC Hardware gemacht wird:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
und mir evtl bei den Fragen zur Erstellung von VLANs in Proxmox weiterhelfen?
Leider nein. Ich kenne das System nicht. face-sad