Proxmox + OPNsense + (Cisco) Switch + VLANs: Wie realisieren?

OK, dann erklärt sich das.

Ich habe jetzt nochmal gelesen über meinen Medienconverter genexis P2110B, so nennt sich mein Glasfasermodem.
Das sollte aber funktionieren mit der PPPoE Einwahl der OPNsense.
Tja jetzt weiß ich absolt nichts mehr was ich noch machen kann.
 
Den Genexis habe ich hier auch an der Wand, gehe aber nicht direkt mit der OPNsense dran, sondern mit der Fritzbox dazwischen, da über die Fritzbox auch noch mein Festnetz-Telefon läuft und meine OPNsenses im Gegensatz zur Fritzbox kein DECT kann. Die Fritzbox bräuchte ich also so oder so.

Du solltest echt mal tcpdump und Wireshark versuchen. Dann weißt du mehr. Dann kannst du ja direkt in die Kommunikation zwischen OPNsense und Genexis gucken.
 
So wollte ich es ja Anfangs auch machen, weil meine Fritzbox ja auch die Telefonie per DECT macht.
Hast du denn die OPNSense auch als VM laufen, dann könnte man ja mal vergleichen, dann nehme ich das VLAn mal raus und gehe mit der OPNsense direkt in die Fritzbox, der musss ich dann aber eine andere IP geben da ich ja mein Netz im 10.x.x.x Breich erhalten möchte sonst ist das zuviel was ich ändern muss.
Ich könnte der FB die Standard IP 192.168.178.1 geben und der OPNsense auf dem WAN dann die 192.168.178.2

Das sollte doch funktionieren, oder muss ich noch was beachten.?

Macht die OPNsense die EInwahl von der Fritzbox per statischer IP oder per DHCP, hast du den DHCP Server auf der FB aus.?
 
Last edited:
Das ging ja komplett in die Hose, also nicht ganz
Ich konnte von der OPNsense in der Konsole IP 8.8.8.8 oder auch eine Internetadresse anpingen, aber ich kam vom PC aus nicht mehr ins Internet, konnte keine Seite öffnen. :(
 
moonsorrox said:
So wollte ich es ja Anfangs auch machen, weil meine Fritzbox ja auch die Telefonie per DECT macht.
Hast du denn die OPNSense auch als VM laufen, dann könnte man ja mal vergleichen, dann nehme ich das VLAn mal raus und gehe mit der OPNsense direkt in die Fritzbox, der musss ich dann aber eine andere IP geben da ich ja mein Netz im 10.x.x.x Breich erhalten möchte sonst ist das zuviel was ich ändern muss.
Ich könnte der FB die Standard IP 192.168.178.1 geben und der OPNsense auf dem WAN dann die 192.168.178.2

Das sollte doch funktionieren, oder muss ich noch was beachten.?

Macht die OPNsense die EInwahl von der Fritzbox per statischer IP oder per DHCP, hast du den DHCP Server auf der FB aus.?
Click to expand...
Meine Fritzbox läuft normal als Router mit DNS/DHCP mit einem eigene Subnetz (bei mir 192.168.0.1/24). Die Fritzbox hängt dann am Genexis und wählt sich über diesen beim ISP ein. Auf 192.168.0.4 hängt die virtuelle IP meiner beiden OPNSense VMs (laufen bei mir im HA Modus mit virtuellen IPs für Redundanz). Die Haupt-OPNsense hat dann die 192.168.0.2 und die Backup-OPNsense die 192.168.0.3. Alles andere hängt dann in einem Dutzend VLANs hinter den OPNsenses und wird von diesen bedient. WLAN habe ich bei der Fritzbox deaktiviert zum Strom sparen, da das WLAN ja eh auf der WAN-Seite meiner OPNsenses wäre und damit nicht wirklich nutzbar.
Einziger Nachteil bei dem Setup ist, dass man immer die Port-Forwards doppelt machen muss (eimal in der Fritzbox von Internet zu OPNense und einmal in der OPNSense von Fritzbox LAN zum OPNsense LAN). Andererseits kann man natürlich argumentieren, dass da auch ein zusätzliches Sicherheitsfeature ist, wenn man sich dumm anstellt und schlechte Firewallregeln in der OPNsense erstellt (wo man sich mit einem Fehlklick ganz schnell die komplette Firewall aushebeln kann und dann komplett ungeschützt im Netz wäre), dass man dann wenigstens noch durch die Fritzbox Firewall geschützt ist, welche nicht wirklich durch Nutzerfehler aushebelbar ist.
Wenn man das aber nicht möchte kann man seine OPNsense in der Fritzbox auch als "Exposed Host" eintragen, dann wird die Firewall der Fritzbox deaktiviert und alles wird direkt vom Internet an die OPNsense weitergeleitet. Also ist dann quasi ein Port-Fordward von allen Ports auf die OPNsense.
Bei mir klappte das jedoch nicht richtig wegen der virtuellen IP.
 
Das hatte ich auch so eingerichtet und die OPNsense bekam auch von Fritzbox eine IP zugewiesen, aber ich kam nicht mehr ins Internet, da muss wohl etwas anderes blocken.
Das mit Exposed Host und virtueller IP hatte ich schon irgendwo gelesen
 
moonsorrox said:
Das hatte ich auch so eingerichtet und die OPNsense bekam auch von Fritzbox eine IP zugewiesen, aber ich kam nicht mehr ins Internet, da muss wohl etwas anderes blocken.
Click to expand...
Vermutlich hast du dann innerhalb der OPNsense etwas falsch eingestellt, nicht die OPNsense als neues Gateway eingetragen oder ähnliches.
 
Doch das Gateway hat sich die Sense sogar selbst geholt und eingetragen als WAN_DHCP mit der IP der Fritzbox 192.168.178.1
Eine Regel muss ich für die Internet EInwahl nicht haben, dass sollte doch sofort funktionieren, das ich ins Internet komme, oder?
 
moonsorrox said:
Doch das Gateway hat sich die Sense sogar selbst geholt und eingetragen als WAN_DHCP mit der IP der Fritzbox 192.168.178.1
Click to expand...
Ich meinte auch eher das du alle Rechner im LAN umstellen musst, dass die dann die OPNsense als Gateway nehmen.
moonsorrox said:
Eine Regel muss ich für die Internet EInwahl nicht haben, dass sollte doch sofort funktionieren, das ich ins Internet komme, oder?
Click to expand...
PPPoE brauchst du dann für die OPNsense nicht, da sich ja schon deine Fritzbox einwählen sollte. Aber man muss einiges konfigurieren, damit die OPNsense überhaupt funktioniert und korrekt zwischen WAN und LAN routen darf. Ich glaube ich habe da auch eine gute Woche dran gegessen, bis die OPNsense alles so getan hat wie ich es wollte.
 
Last edited:
Mit PPPoE ist schon klar, gehe ja entweder statisch rein oder eben per DHCP von der Fritzbox, aber ich hatte bisher gelesen das ich sofort ins Internet komme und keine Regel erstellen muss, die zwei Regeln die die OPNsense selber erstellt sollen dafür reichen.
Aber dem ist wohl nicht so, denn das ging ja bei mir nicht.

Bin jetzt erstmal wieder zurück ohne OPNsense damit ich hier lesen kann
 
Grundregeln waren glaube ich alles darf raus von LAN nach WAN aber nichts darf rein von WAN nach LAN. Bei dir ist das ganze aber vermutlich auch deutlich weniger komplex, wenn du kein HA benutzt und nicht etliche getrennte verschiedene LAN Netze betreibst zwischen denen ebenfalls geroutet werden muss.

Erstmal würde ich mich per SSH mit der OPNsense verbinden und dann die üblichen Netzwerktests machen. Also deine Fritzbox anpingen, den google DNS-Server anpingen (ping 8.8.8.8), mit einem Befehl wie dig prüfen ob die DNS-Auflösung klappt. Gucken das alle Routen stimmen usw. Prüfen das die Fritzbox auch wirklich online ist und ob die Fritzbox die WAN IP der OPNsense anzeigt.
 
Last edited:
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back