Netzsegmentierung DMZ OPNSENSE?

Servus,

ich würde gerne ein Netz in meinem Fall 192.168.0.1-255 / 24 in 2 Bereiche aufteilen.

z.b. 192.168.0.1-150 und 192.168.0.150 - 250 und diese 2 Bereiche mit einer Firewall trennen so dass ich entscheiden kann welcher Teilnehmer mit welchem gerät kommunizieren kann und andersherum. ist das möglich? z.b.1:1 Nat?

Danke Schonmal

Answer 1

[xxxcyberxxx]

Nun, zuerstmal musst du dein Subnetz von /24 auf /25 reduzieren - oder du nimmst für das zweite Subnetz ein weiteres /24 (z.B. 192.168.1.0/24) oder eines der anderen privaten Subnetze

Dein erstes Subnetz ist dein WAN? Die OPNsense hängt also als Client in diesem? Oder ist das nur eine falsche Kennzeichnung und beide Subnetze hängen hinter der OPNsense?

Wie sieht die restliche Infrasturktur aus, wie verbinden sich die Endgeräte mit der OPNsense?

Für mehrere Subnetze in der OPNsense richtest du mehrere Interfaces ein und legst die Subnetze sowie DHCP-Server fest. Das kannst du über einen NIC mit VLANs realisieren oder mit mehreren NICs und mehreren dahinterliegenden Switches/APs

Sollte die OPNsense wirklich als Client im ersten Subnetz hängen, könntest du das zweite Subnetz als statische Route im ersten Router einrichten und outbound NAT in OPNsense deaktivieren

Woher ich das weiß: Hobby – Eigenes Homelab - Netzwerk, Firewall, Server, Domain usw.

Answer 2

[franzhartwig]

Du kannst ein /24-Netz in zwei gleiche Subnetze teilen, indem Du die Subnetzmaske auf /25 setzt. Die Adressbereiche gehen dann von 0--127 und 128-255. Die Firewall spielt Router, ein NAT ist da nicht notwendig. Deine Topologie verstehe ich allerdings insofern nicht, dass Du ein privates Netz ans Interface mit der Bezeichnung WAN hängst. Wo dann der Internetzugang ist, bleibt ebenfalls offen.

Comments

[mal31]

gibt in dem Fall keinen Internet zugang ist ein Internes Steuerungsnetz. von dem Bestimmte Steuerungen Gesichert werden sollen aber das ist schonmal ein sehr guter Ansatz Danke