Subnetting ohne layer3 switch

Server Firewall
1

Moin,
ich stehe vor folgendem Problem. Wir wollen das subnetting nutzen allerdings ohne Layer3 Switch. Der Layer2 Switch ist eigenrichte VLAN funktioniert auch.
Wir haben folgenden Netz
10.0.0.0
10.2.0.0
10.3.0.0
usw.
Die Interfaces sind alle schon vlan fähig auf OpenSense eingerichtet. Die Subnets stehen in der subnet.csv und sind importiert. Folgende Probleme tauchen auf:

  • dhcp funktioniert nicht aus dem subnetzt 10.4.0.0 (gelöst durch das einstellen des dhcp-relay auf opensense)
  • Ich komme von einem Client der subnets 10.2-10.4. nicht auf den LM-Server und auch nicht ins Internet. Auch die Firewall ist nicht pungbar.
  • aus dem Standard 10.0.0.0 Netz funktioniert alles.

Meine Vermutung wäre das ich noch fehlende Firewallregeln oder Routen auf der Opensense erstellen muss. Irgendwo hänge ich allerdings.

Vielleicht kann mich ja jemand in die richtige Richtung leiten … :slight_smile:
Danke

2

Noch eine Ergänzung:
Wenn ich vom lm-server ein traceroute zum client versuche passiert folgendes:
traceroute 10.4.0.30
traceroute to 10.4.0.30 (10.4.0.30), 64 hops max
1 10.0.0.254 0,179ms 0,120ms 0,110ms
2 192.168.178.1 0,637ms 0,485ms 0,670ms
3 192.168.1.1 1,629ms 1,276ms 1,286ms
4 100.64.0.1 34,009ms 51,887ms 43,955ms
5 172.16.250.152 41,231ms 35,876ms 34,989ms
6 206.224.65.198 43,705ms 41,225ms 41,553ms
7 206.224.65.190 51,825ms 46,342ms 34,708ms

Es geht also von der Firewall nach außen ins WAN. Da stimmt ja ein routing nicht.

3

Hallo,

wir lassen hier alle Aufgaben des Layer3 Switches von der Opensense selber erledigen. Der Layer3 Switch ist quasi nur noch ein normaler Switch inkl. Vlans. DHCP-Relay läuft auch über die Opnsense. Das funktioniert auch mittlerweile perfekt.
Da es schon eine Weile her ist nur noch aus dem Gedächnis:

  1. Wir mussen aus der Datei /etc/netplan/01-netcfg.yaml die Zeile routes: und alles darunter (ausser version:2) löschen.
  2. In der Opensense musst du unter SYSTEM-Routen-Konfiguration auch alle Routen raus löschen.
    Nun sollte die Opnsense das Routing übernehmen und alles laufen.
    Du musst natürlich beachten, das die Opnsense jetzt in den netzen alles blockt, wenn du keine „erlaubt“ Regel hast. Also musst du jetzt die Firewall Regeln für jedes Interface seperat anlegen.

Bei Fragen gerne melden.
Lieben Gruß
Adam

1 „Gefällt mir“
4

Hallo Adam,
danke für deine Hinweise. Krankehitsbedingt erst jetzt der Dank.
Bei uns läuft es jetzt auch.
Lieben Gruß
Jan