Subnetting Heaven mit v7

Server v7 v7-Betatest
21

Hallo alle zusammen,

ich hab letzte Woche mal meine Subnets bereinigt, weil in der /etc/linuxmuster/subnets.csv noch drin stand:

10.16.0.0/12;10.16.1.253;10.16.1.100;10.16.1.200;SETUP

und ich inzwischen der Meinung bin, dass das Servernetz nicht in die anderen Subnets reinragen darf.

Dafür habe ich den Eintrag zu:

10.16.1.0/24;10.16.1.253;10.16.1.100;10.16.1.200;SETUP

geändert un dauch die /var/lib/linuxmuster/setup.ini angepaßt zu:

[setup]
servername = server
domainname = bzpf.lan
opsiip = 
dockerip = 
mailip = 
dhcprange = 10.16.1.100 10.16.1.200
smtprelay = 
smtpuser = 
smtppw = 
adminpw = Muster:-)
schoolname = Linuxmuster
location = Schönau
country = DE
state = BW
skipfw = False
hostip = 10.16.1.1
hostname = server
profile = server
serverip = 10.16.1.1
bitmask = 24
firewallip = 10.16.1.254
gateway = 10.16.1.254
swapsize = 2
realm = BZPF.LAN
sambadomain = BZPF
basedn = DC=bzpf,DC=lan
netbiosname = SERVER
netmask = 255.255.255.0
network = 10.16.1.0
broadcast = 10.16.1.255

Danach hab ich linuxmuster-import-devices aufgerufen… und am Tag danach festgestellt, dass alle Clients im Netz, die nciht im Servernetz sind, nciht mehr an die Firewall kommen, was ja eher suboptimal ist, wenn man ins Internet will … also gab es mal Internetfreie Zeit :slight_smile:

Heute hatte ich mal die Muse diesen Thread noch mal zu lesen und Dank der HIlfe von Tobias und Dominik hab ich es hinbekommen.
Es fehlten zwei Dinge:

  1. der Eintrag des L3 als Gateway auf der OPNsense unter System->Gateways (siehe Bild)

L3-Switch-in-OPNsense-als-GW
L3-Switch-in-OPNsense-als-GW1432×340 27.9 KB

  1. die Gateways der einzelnen Subnets unter System->Routen->konfiguration

routen-in-opnsense
routen-in-opnsense1446×651 41.3 KB

nachdem ich das gemacht hatte, erreichten die Clients im LAN die Firewall wieder und das INternet funktionierte auch an Clients die nciht im Servernetz sind.

Vielleicht hilft es ja mal jemand.

Viel Grüße

Holger

22

Hallo Holger.
Das ist interessant. Müsste nicht ein „linuxmuster-import-subnets“ genau diese Einträge auf der OPNSense eintragen?

Bei mir sind diese Einträge vorhanden, aber eine Sache ist mir dabei auch nicht klar: es gibt auch einen Eintrag bei System -> Routen -> Konfiguration, der so aussieht:

Screenshot_20200530_084048
Screenshot_20200530_0840481206×172 17.2 KB

Das wurde vom Setup angelegt, nicht von mir. Das Häcken vorne heißt in diesem Fall „Deaktiviert“.

Wenn ich diesen Eintrag einschalte, tritt der gleiche Effekt auf, den du beschreibst: Clients können nicht mehr ins Internet. Daher hatte ich das immer deaktiviert; klar ist es aber nicht, finde ich?! Ich sehe gerade: Das wurde oben schon mal diskutiert – aber ohne Lösung…

Schöne Grüße,
Michael

23

Hi!

linuxmuster-import-subnets legt diese Einträge auch an. Ich vermute, das geschieht in den geschilderten Fällen nicht, weil das Gateway nicht GW_LAN heißt (siehe https://github.com/linuxmuster/linuxmuster-base7/wiki/Subnetze#Subnetze-importieren). In meinen OVAs ist das so vorkonfiguriert gewesen.

VG, Thomas

24

Hallo @thomas.
Das ist seltsam, denn ich meine, dass ich das Gateway nicht selbst „LAN_Gateway_L3“ genannt habe, sondern dass das vom Setup stammt?!?
Falls es damit Probleme geben sollte: Kann man es in der OPNSense WebUI einfach umbenennen?

Schönen Gruß,
Michael

25

Hallo Thomas (@thomas). Ich habe gerade mal versucht, den Namen zu ändern – und siehe da:

System: Gateways: Einzeln
Die folgenden Eingabefehler wurden entdeckt:
* Es ist nicht erlaubt den Gateway-Namen zu ändern.

Was hat das nun für Konsequenzen? Wird der Name wirklich so verlangt? Ich bin ziemlich sicher, dass das Setup den damals selbst vergeben hat. Daher muss zwischendurch etwas geändert worden sein, wenn es jetzt zwingend (???) „GW_LAN“ heißen muss?!?

Danke nochmal für einen kurzen Tipp.
Michael

26

Hallo Michael,

das Setup richtet das LAN-Gateway definitiv mit Namen GW_LAN ein. Das
Subnetz-Import-Skript geht davon aus, dass das LAN-Gateway GW_LAN heißt.
Auf allen meinen Systemen - produktiv und test - ist das so. Keine
Ahnung wo der andere Name herkommt. Kann das mal bitte jemand bei sich
nachvollziehen?
Weitere Frage: Ist auf der verwendeten OPNsense-Appliance vor dem Setup
schon ein LAN-Gateway eingerichtet?

GW-Namensänderung geht wahrscheins nicht, da Routen eingerichtet sind,
die das GW verwenden.
Versuche mal alle Routen zu löschen, dann das GW löschen, dann auf dem
Server linuxmuster-import-subnets.

VG, Thomas

27

Hall Michael,

Hallo Thomas (@thomas https://ask.linuxmuster.net/u/thomas). Ich habe
gerade mal versucht, den Namen zu ändern – und siehe da:

System: Gateways: Einzeln Die folgenden Eingabefehler wurden entdeckt:

  • Es ist nicht erlaubt den Gateway-Namen zu ändern.|

lösch es mal und leg es neu an: vielleicht geht das ja.

LG

Holger

28

Hi.

Ok, ich habe es gerade so gemacht:
unter „System: Gateways: Einzeln“ das alte GW geklont. Dann dem alten GW eine andere IP verpasst, damit dem Klon mit dem richtigen Namen jetzt die IP 10.16.1.253 gegeben werden kann. Anschließend alle Routen auf das neue GW mit neuem Namen gelegt und das alte GW mit falschem Namen gelöscht. Das lief fehlerfrei durch doch ich hoffe, dass ich nun nichts anderes übersehen habe??

Oder gibt es noch andere Stellen, wo auf das Gateway verwiesen wird?
Schönen Gruß,
Michael