OPNsense DMZ hinter Fritzbox 💣

Servus Daniel, nach diesem Video hab ich meine DMZ konfiguriert vor 2 Patches. Bist der Beste hab ich ja ein zwei mal erwähnt^^ folgendes ist nun passiert mit dem letzten Patch OPNsense 24.1.10_3-amd64: Bei der 1:1 NAT Rule hat er mir aus unerfindlichen Gründen bei der Destination aus "ANY" "Host" eingetragen mit der Selben IP wie des zu erreichenden DMZ Servers. Nicht sofort gefunden ... natürlich ^^ Aber nach langem DeepDive dann endlich gesehen. Ich wollte das hier nur kurz kund tun falls jemand in Deiner Community das selbe Issue haben sollte. Viele Grüsse aus der nähe von München. Ciao ... Edit ach ja der Impact war natürlich jeder Request an den Server in der DMZ wurde von der Firewall geblockt :/

Klasse Anleitung Daniel, danke Dir...

Danke für diese schöne Erklärung
Grüße aus Kurdistan

1000 Dank! Durch dieses Video bin ich auf den Trichter gekommen, warum ich über den AP an der OPNSense keine Internetverbindung bekomme. Am Ende war es ein Fehler im Regelwerk.

Super Video, auch die Lösung ohne VLAN-fähigen Switch passt genau für mich. Ich stehe noch ziemlich am Anfang mit meinem Homelab und habe kein so tolles Rack wie du im Hintergrund, muss erstmal ohne gehen. Ich wollte mit einem kleinen Barebone für die OPNsense starten und eine DMZ brauche ich definitiv auch. Zur Virtualisierung habe ich mir einen potenten Rechner mit 16 Cores zusammen gebastelt, der sollte mit Proxmox und 64 GB RAM erstmal alles virtualisieren können. Vermutlich werde ich noch das eine oder andere Video von dir schauen müssen.

Hi Daniel, got it working now....did put the wrong IP on One-to-One NAT.😅 Thanks for your response. keep up the good work!!

Hallo und danke für das Video. Eine Frage: ich habe eine Fritzbox und u.a. 2x wifi Accesspoints an einem switch dahinter. Nun spannen die FB und die APs ein gemeinsames Wifi mesh auf. Wie verhält sich der traffic, wenn ich eine firewall zwischen FB und Switch hänge? Liegt das wifi mesh dann effektiv vor oder hinter der firewall? Danke :)

Was würdest du für ein System empfehlen wenn zum Beispiel noch DPI zum Einsatz kommt. Irgendwann wird das ganze ja auch Ressourcen hungrig. Würdest du hier noch immer auf ein HUNSN / HISP (die ganzen Amazon Kisten) setzen Oder schon eher auf was größeres mit Xeon etc.? Die HUNSN Systeme mit der neueren Intel N200 / i3-N305 CPU sehen schon nicht schlecht aus.
Danke für deine vielen tollen Videos und das du dir die ganze Mühe machst.

Gott bin derzeit so am überlegen hab auf meinem pi ne nextcloud laufen dann ne opnsense appliance mit 4 Ports nen Switch der vlans kann . Fritte würde ich für die opnsense aufm Port als exposed Host nehmen.. nur ka ob ich den raspi an den Switch hänge und übers vlan die dmz definier oder den raspi direkt auf eth2 der opnsense.. was würdest du mir empfehlen?

Hi Mr. Mredic,
Thank you so much for your great video explaining opnsense. I now follow your explanation about opnsense behind the FriTzbox router. Everything works perfectly, I can reach everything within my LAN. My own DNS server also works well. I only have one thing that I can't get working properly yet, and that is my nextcloud server that I can't reach from the internet.
I also followed your video about DMZ but still not working. My cloud server is on the LAN network, so no DMZ.
what am I doing wrong with the Opnsense settings? I'm out of ideas.

Moin Daniel,
du hast doch "früher" auch Omada SDN genutzt, nutzt du das jetzt mit dem Opnsense nicht mehr ?
LG
Jörg

Hallo, kurze Frage...Ist es möglich ein Backup vom Hand bzw. Handy Ordner zu machen auf die Syno...ich meine da nicht Fotos und Videos...sondern andere Ordner.

Hi cooles Video aber eine Frage (vllt. bin ich auch zu doof gerade). Würde nicht ein Lankabel von der OPNSense zum Switch reichen, als Trunk ?

Moin, warum erstellst du auf der Fritzbox ne Freigabe für HTTP. Das ist ja quasi Firewall hinter Firewall - warum nicht die OPNSense als Exposed Host?

Ich hab da irgendwie einen gedanklichen Knoten:
Ich hab einen miniPC mit 5 Schnittstellen, zu beginn dachte ich mir, es ist besser / einfacher / schneller, wenn ich auf die einzelnen Hardwareschnittellen je ein Netzwerk lege, für Gast, iot, Server, Familiennetzwerk und das normale LAN wäre das Management LAN.
Ich hatte das mit der Virtual IP nicht gemacht und die einzelnen Netzwerke (bis auf das LAN) hatten trotz entsprechender Firewall-regeln kein Internetzugriff.
Ich habe es dann so Konfiguriert, dass die oben genannten Netzwerke VLANs auf dem LAN port sind. Bei identischer Konfiguration wie bei den realen Schnittstellen und entsprechenden Firewall regeln hatten jetzt die Netzwerke Internetzugriff. Auch hier wieder ohne Virtual IP. Der Switch sortiert dann den VLAN-Trunk für die entsprechenden Switchports
Warum funktioniert das ganze nun bei VLANs einfacher, als wenn man das Ganze über die Hardwareschnittelle macht?
Funktioniert das Hier gezeigte auch für das ganze DMZ Netzwerk?

yes I have fixed IP. on the logs I could not find any usable logs

opnsense ist opensource? kennt dann nicht jeder die schwachstellen? warum hast du eine opnsense genommen?

Und warum die OpenSense nicht vor die FRITZ!Box? Immerhin ist die OpenSense eine bessere FWkiste als die FRITZ!Box 🤔

sorry...Mr. Medic

Hierzu hätte ich ein paar Fragen:
1.)
Warum solche relativ krummen IP-Adressen für Netze (10, 20, 11) und Hosts (Du zäumst die Hosts dann quasi innerhalb der VLANs von hinten auf: z.B. 192.168.10.9, die Fritzbox die .10 hat).
2.)
Die VIP ist quasi nichts anderes als ein virtuelles Interface zum physischen Interface, korrekt?
Und Du nutzt dieses, um mittels IP-Adresse aus dem Fritz!Box-Netz über die OPNsense-Firewall auf einen Host in der DMZ zuzugreifen (also hier dem Webserver), korrekt?
3.)
Warum eigentlich via VIP?
Sollte Routing mittels IP-Forwarding nicht genau dasselbe realisieren, um vom einen Netz (10) z.B. ins DMZ-Netz (20) zu routen und vice versa?
4.)
Ist die DMZ nicht auch einfach nur ein weiteres normales LAN, dass man einfach nur von anderen LANs entkoppelt? Insb. VLANs eignen sich doch auch genau dafür.
Was genau ist bei Deinem DMZ-LAN bzw. DMZ da jetzt der DMZ-Charakter?
5.)
Und ist es normalerweise nicht so, dass die DMZ gerade in einer Zone zwischen zwei Firewalls liegen sollte, wo eben keine zweite Firewall die Hosts in der DMZ schützt, sondern nur die vordere Firewall (hier die der Fritte), wohingegen das andere LAN (bei Dir das 11er-Netz) mit der zweiten Firewall (also der OPNsense) nochmals geschützt wird, wobei man mittels anderem IP-Netz, VLAN und / oder Firewall-Regeln eben verhindert, dass Hosts aus der DMZ (20) nie direkten Zugriff auf Hosts im LAN (11) erhalten, umgekehrt ggf. aber schon (wie auch im Video gezeigt)?
6.)
Irgendwie scheint mir Deine DMZ ebenfalls durch die OPNsense-Firewall als zweite Firewall geschützt zu werden, was ich aber auch sehr begrüße, da mir bei keinem DMZ-Setup meist nie wirklich einleuchtet, weshalb man gerade Dienste / Server-Hosts in der DMZ nicht genauso doppelt absichern sollte, wie etwa auch die Clients/Hosts im eigentlichen LAN (bei Dir im 11er-Netz). Was ist der Grund für Dich, Deine DMZ mit der OPNsense extra abzusichern wie auch das 11er-Netz?
Ehrlich gesagt, sah ich DMZs bisher eher für unkritische Hosts / Geräte und Honey Potts, die man i.d.R. explizit eben nicht so stark schützen möchte, wie etwa den Rest des Netzwerks.