Simon Moon
2022-08-10, 22:51:38
Hi
Ich plane gerade meine Infrastruktur etwas umzubauen. Momentan laeuft das Internet ueber einen mikrotik hex s, dieser erhaelt ueber den SFP Port vom Provider direkt via DHCP seine Public IP (ja, das ist wohl etwas ungewoehnlich hab ich im Zusammenhang mit glasfaser und gpon vernommen, aber ich krieg die jedenfalls per dhcp in einem vlan). Nun ist der mikrotik Router sehr vielfaeltig, aber mit OPNSense hab ich dann doch noch andere Moeglichkeiten.
Nun koennte ich natuerlich weiterhin auf dem Mikrotik erstmal alles natten und dann an den OPNSense FW senden, welcher dann evtl nochmal nattet / in ein anderes Netzwerk uebersetzt. Imo irgendwie aber ziemlich unelegant. Meine Idee war es nun, den DHCP-Client (und evtl. DHCP-Server) auf den OPNSense Server zu legen. Damit ersteres klappt, dachte ich nun auf dem mikrotik 2 Bridges einzurichten, eine transparente bridge mit sfp0 und eth0 (an dem der OPNSenseServer haengt) und eine interne management bridge mit eth1 - 4, welche als Switch fuer das interne Netzwerk und zum Zugriff auf den mikrotik Router fungiert.
Das sollte doch nach meinem Verstaendnis funktionieren, dass dann die sfp0 Bridge ohne IP Adresse einfach die Daten von eth0 zu sfp0 und umgekehrt schaufelt und der OPNSense Server dann ungestoert mit dem DHCP-Server des Providers kommunizieren kann?
Oder sollte ich das evtl. eher so loesen, dass getaggte vlan Pakete (wie ich sie vom Provider erhalte) an eth0 weitergeleitet bzw. von eth1 -4 geblockt werden und keine zusaetzliche Bridge aufsetzen?
Oder gar einfach dem OPNSenseServer eine interne IP fuer das WAN Interface zuweisen, ueber dieses ein vlan Interface mit DHCP Client zuweisen und beim microtik Router via ip Firewall alle Pakete im in Interface auf die OPNSense IP redirecten? Da die ja einen vlan Tag haben und redirected werden, sollten die urspruenglichen IPs ja erhalten bleiben und am vlan Interace eintreffen.
Ich hab das gefuehl, irgendwie sollten alle drei Optionen funktionieren, wobei letztere imo eher weniger elegant waere. Aber ich bin mir z.t. auch nicht ganz im klaren darueber, wie sich dass dann auf die Nutzbarkeit einiger Features beim mikrotik auswirken wuerde, wenn der gar keine externe IP mehr haette. Waere es dann z.b. moeglich ein externes Netwerk via VPN (wg, ipsec...) dran zu haengen? Funktioniert das mikrotik dyndns noch? Klar koennte ich praktisch alles auf den OPNSense Server verlegen, fuer manche einfache Serviceses reicht aber der mikrotik ja durchaus (wobei ich da jetzt auch noch etwas Muehe habe abzuschaetzen, welcher Service nun auf welchem Geraet besser aufgehoben ist).
Am Ende jedenfalls soll der OPNSense Server jedenfalls DHCP-Client fuers WAN sein, die TLS Zertifikate bzw. https Verbindungen der extern erreichbaren Serviceses handeln und diese an via nginx reverse Proxy intern weiterleiten, sowie natuerlich als gateway fuer die internen clients fungieren. Der Mikrotik fungiert dabei als Medienkonverter (sfp0 - eth0), sowie als Switch fuer das interne Netzwerk (eth1-4).
Wie ich die restlichen Aufgaben verteile, muss ich mir dann noch ueberlegen ^^
Edit: Okay, mal schauen ob das was wird. Momentan scheiterts schon dran OPNSense auf der alten Kiste zu installieren. Die Images verwenden alle offenbar GPT und das BIOS auf dem PC versteht wohl nur MBR - zumindest bootet er ein Archimage mit MBR, OPNSense mit GPT aber nicht... und ich seh grad auch nicht, wie ich das mit fdisk anpassen kann bzw. ob dann wieder nicht bsd probs macht... argh...
Ich plane gerade meine Infrastruktur etwas umzubauen. Momentan laeuft das Internet ueber einen mikrotik hex s, dieser erhaelt ueber den SFP Port vom Provider direkt via DHCP seine Public IP (ja, das ist wohl etwas ungewoehnlich hab ich im Zusammenhang mit glasfaser und gpon vernommen, aber ich krieg die jedenfalls per dhcp in einem vlan). Nun ist der mikrotik Router sehr vielfaeltig, aber mit OPNSense hab ich dann doch noch andere Moeglichkeiten.
Nun koennte ich natuerlich weiterhin auf dem Mikrotik erstmal alles natten und dann an den OPNSense FW senden, welcher dann evtl nochmal nattet / in ein anderes Netzwerk uebersetzt. Imo irgendwie aber ziemlich unelegant. Meine Idee war es nun, den DHCP-Client (und evtl. DHCP-Server) auf den OPNSense Server zu legen. Damit ersteres klappt, dachte ich nun auf dem mikrotik 2 Bridges einzurichten, eine transparente bridge mit sfp0 und eth0 (an dem der OPNSenseServer haengt) und eine interne management bridge mit eth1 - 4, welche als Switch fuer das interne Netzwerk und zum Zugriff auf den mikrotik Router fungiert.
Das sollte doch nach meinem Verstaendnis funktionieren, dass dann die sfp0 Bridge ohne IP Adresse einfach die Daten von eth0 zu sfp0 und umgekehrt schaufelt und der OPNSense Server dann ungestoert mit dem DHCP-Server des Providers kommunizieren kann?
Oder sollte ich das evtl. eher so loesen, dass getaggte vlan Pakete (wie ich sie vom Provider erhalte) an eth0 weitergeleitet bzw. von eth1 -4 geblockt werden und keine zusaetzliche Bridge aufsetzen?
Oder gar einfach dem OPNSenseServer eine interne IP fuer das WAN Interface zuweisen, ueber dieses ein vlan Interface mit DHCP Client zuweisen und beim microtik Router via ip Firewall alle Pakete im in Interface auf die OPNSense IP redirecten? Da die ja einen vlan Tag haben und redirected werden, sollten die urspruenglichen IPs ja erhalten bleiben und am vlan Interace eintreffen.
Ich hab das gefuehl, irgendwie sollten alle drei Optionen funktionieren, wobei letztere imo eher weniger elegant waere. Aber ich bin mir z.t. auch nicht ganz im klaren darueber, wie sich dass dann auf die Nutzbarkeit einiger Features beim mikrotik auswirken wuerde, wenn der gar keine externe IP mehr haette. Waere es dann z.b. moeglich ein externes Netwerk via VPN (wg, ipsec...) dran zu haengen? Funktioniert das mikrotik dyndns noch? Klar koennte ich praktisch alles auf den OPNSense Server verlegen, fuer manche einfache Serviceses reicht aber der mikrotik ja durchaus (wobei ich da jetzt auch noch etwas Muehe habe abzuschaetzen, welcher Service nun auf welchem Geraet besser aufgehoben ist).
Am Ende jedenfalls soll der OPNSense Server jedenfalls DHCP-Client fuers WAN sein, die TLS Zertifikate bzw. https Verbindungen der extern erreichbaren Serviceses handeln und diese an via nginx reverse Proxy intern weiterleiten, sowie natuerlich als gateway fuer die internen clients fungieren. Der Mikrotik fungiert dabei als Medienkonverter (sfp0 - eth0), sowie als Switch fuer das interne Netzwerk (eth1-4).
Wie ich die restlichen Aufgaben verteile, muss ich mir dann noch ueberlegen ^^
Edit: Okay, mal schauen ob das was wird. Momentan scheiterts schon dran OPNSense auf der alten Kiste zu installieren. Die Images verwenden alle offenbar GPT und das BIOS auf dem PC versteht wohl nur MBR - zumindest bootet er ein Archimage mit MBR, OPNSense mit GPT aber nicht... und ich seh grad auch nicht, wie ich das mit fdisk anpassen kann bzw. ob dann wieder nicht bsd probs macht... argh...