Ich misch mal kurz mit (wenn ich darf)

Das Konstrukt.... nein... einfach nur nein

Warum? Das begründet die "Richtung"... es geht immer von "hinten" nach "vorne", aber niemals von "vorne" nach "hinten" (ausser vom WAN in eine DMZ (oder ins LAN, wenn man sonst nichts hat, aber dann besser nur via VPN)). Auch gerne mal als Schaubild mit den von Dir eingesetzten Produkten:
Internet
<--Fritzbox
--> DMZ
<--OPNsense
-- LAN
Von einer DMZ geht es "niemals"(!) ins LAN dahinter, ansonsten kannst Du Dir Deine DMZ auch direkt schenken....
Der Hypervisor sollte übrigens auch nicht in einer DMZ stehen, dafür haben die Dinger a) i.d.R. mehrere Interfaces und b) gibt es dafür VLANs. Da die Fritzbox nichts mit VLANs an der Mütze hat (ausser ggf. untagged, aber das verwirrt jetzt nur), sei nicht so geizig und spendier dem Hypervisor ein zweites "Kabel" und dann....
Wenn Du "Sorge" hast und sowieso nur "rumspielst" (ist halt noch kein Meister vom Himmel gefallen), würde ich vermuten, dass Du Dich im Fritzbox-Netz befindest. Dem scheint aber nicht so zu sein, wenn Du von einer VM vom Hypervisor auf einen Switch hinter der Firewall zugreifen willst. DU solltest mit Deinem Client HINTER der Firewall sein und NICHT in der DMZ. Hatte ich es schon erwähnt? Der Hypervisor ebenfalls NICHT
Das was Du da derzeit treibst, ist genau das, was man tunlichst vermeiden sollte - das nur mal so am "Rande"
So... jetzt mal zum "neuen" Aufbau - ich klau einfach mal bei Dir

:
Code:
WAN / Internet
:
: Provider
:
.-----+-----. .-----------.
| Fritzbox +-------------------+ Spiel-VM1 | 192.168.178.10
'-----+-----' .-----------.
| |
WAN | IP 192.168.173.3 LAN2 (keine IP vom Hypervisor!)
| |
.-----+------. .-----------.
| OPNsense |------------LAN1--+ESXi-Server| 192.168.1.10
'-----+------' .-----------.
|
LAN | 192.168.1.1
|
.-----+------.
| LAN-Switch | (IP-Switch: 192.168.1.253)
'-----+------'
|
...-----+------... (Clients/Servers)
So steht der Hypervisor im LAN (oder jedenfalls hinter der Firewall), hat auch "seine" IP-Informationen aus dem lokalen Netz und die 2. Strippe wird der VM zugewiesen (bzw. kannst Du da ja diverse VMs draufpacken), womit die VMs dann automatisch in der DMZ sind, womit der Hypervisor dann nicht direkt der "Gefahrenzone" DMZ ausgeliefert ist.
Und ich betone nochmals: Geräte aus einer DMZ dürfen "niemals" in die hinteren Netze und schon garnicht auf Infrastruktur-Komponenten zugreifen, weswegen die Idee mit der Fritzbox auch schon - eigentlich - Mist ist. Ich gebe aber gerne mal einen Denkanstoss:
Gerät in der DMZ wird von irgendwas befallen, wie verhinderst Du, dass sich das auf den Router (LAN-seitig!) ausbreitet? Stimmt, garnicht, denn alle Geräte in der DMZ dürfen darauf zugreifen. Jetzt gehst Du auch noch hin und reisst riesiger Löcher in die Firewall, damit man aus der DMZ an den Switch kommt. Wie "sinnvoll" ist sowas? Genau, garnicht. Hast Du Türen und Fenster schon abmontiert - sowohl am Auto als auch in der Wohnung/im Haus? Vermutlich nicht! Frage: Warum machst Du es dann bei Deinem Netzwerk?
Ich kann Dir aber gerrn verraten, wie man es besser machen kann:
1) Die Fritzbox ist "keine" DMZ und wird auch NICHT dafür genutzt (zu wenig Steuerungsmöglichkeiten).
2) Im "Fritzbox"-Netz befinden sich genau "2" Geräte: Die Fritzbox und die Firewall, sonst nichts.
3) Alles an Netzen was Du brauchst, wird über die "Firewall" gemanaged.
4) Sofern eine "DMZ" von Nöten ist, wird die auch über die Firewall gemanaged
5) NIEMAND aus KEINEM Netz (ausser Deinem LAN bzw. Dir, wie auch immer) hat Zugriff auf irgendwelche Infrastruktur-Management-Zugänge.
Wie sowas in der pfSense/OPNsense aussieht? Ein kleines Beispiel dazu:
Fritzbox:
Fritzbox-WAN: <was auch immer Du Internet-seitig hast>
Fritzbox-LAN: 192.168.178.1/30 (von der 178 sollte man übrigens auch weg, da hatten wir hier letztens auch irgendwo etwas dazu thematisiert)
Firewall: (mal "etwas" ausführlicher und "generell" formuliert)
Firewall-WAN: 192.168.178.2/30
Firewall-LAN1: 192.168.101.0/24
Firewall-LAN2: 192.168.102.0/24
Firewall-LAN3: 192.168.103.0/24
Firewall-DMZ: 192.168.120.0/24
Soweit sogut... Wir haben jetzt insgesamt 5 "private" Netze. Dann mal los... In der
RFC1918 ist definiert, welche IP-Adressen "privater" Natur sind. Der Einfachheit halber kann man sich einfach eine Gruppendefinition anlegen (k.A. ob die pf-/OPNsense sowas kann)...
Gruppe: RFC1918
Netze: 192.168.0.0/16 + 172.31.0.0/12 + 10.0.0.0/8
Damit hast Du jetzt erstmal alle privaten IPv4-Adressen in einer Gruppe. Jetzt zu den Regeln (auch wieder "allgemeiner" Natur) im Kurzformat:
1) Anti-Lockout (nicht selbst aussperren)
2) div. Regeln (gewünschte Regeln)
3) Cleanup (alles andere verbieten)
Faktisch sieht das dann z.B. so aus (Quelle - Ziel - Dienst - Erlauben/Verbieten:
1) LAN1 - ANY - ANY - allow
2) RFC1918 - RFC1918 - ANY - deny
3) RFC1918 - ANY - ANY - allow
4) ANY - ANY - ANY - deny
Das wäre jetzt mal ein "Kurzformat".... jetzt noch eine kleine Erklärung dazu:
Regel 1 besagt, dass Du aus dem LAN1 heraus "überall" hin darfst (also auch in die anderen internen Netze). Regel 2 untersagt allen privaten Netzen den Zugriff in alle privaten Netze. Da die Regeln nacheinander abarbeitet werden, greift Regel 1 zuerst und deswegen darfst Du noch aus LAN1 überall hin, alle anderen internen Netze dürfen es nicht UND (und das ist jetzt auch so ein wesentliches Ding), die anderen internen Netze dürfen auch NICHT in das Fritzbox-Netzwerk und haben somit kein Zugriff auf die Fritzbox. Regel 3 erlaubt dann wiederum alles, was nicht vorher verboten wurde, heisst in Kurzform, dass sämtliche Netze ins Internet dürfen. Die letzte Regel (auch wenn oftmals garnicht benötigt) regelt nur noch, dass alles was vorher nicht explizit verlaubt wurde, verboten wird. Wichtig wäre hier noch zu wissen, dass Regeln, welche "intern" zu "intern" betreffen, dann entsprechend ÜBER Regel2 angelegt sein müssen (da diese Regel ja wiederum alles interne verbietet).
Angenommen Du hast jetzt - wie oben beschrieben (meine Ergänzung) eine VM in der DMZ (jetzt aber "hinter" der Firewall), könntest Du damit maximal ins Internet. Ausser natürlich Du packst die VM ins LAN1, dann könnte sie auch entsprechend zugreifen. Fakt ist aber auch, dass Du über die Firewall auch "ganz explizit" definieren kannst, wer wie wohin darf, dafür muss der Traffic aber auch erstmal durch die Firewall.
Das "NAT" in der Firewall kannst Du übrigens abschalten. Für alle Netze hinter der OPNsense legst Du auf der Fritzbox statische Routen an (Gateway ist dann das FB-Netz-Interface der Firewall, im o.g. Beispiel dann 192.168.178."2"). Somit hast Du nur an einer Stelle NAT, dort wo es benötigt wird, beim Übergang ins Internet. Damit auch nichts ins Höschen geht: Erst die statischen Routen auf der Fritzbox anlegen, dann NAT bei der OPNsense abschalten. Klappt es nicht, kannst Du NAT einfach wieder aktivieren, dann ist alles beim alten.
Und ja... ist alles ein bisschen viel, aber im Grunde ist man damit schon einigermaßen (für ein gewisses Grundwissen) über den Berg. Zu lernen gibt es immer viel und das wird in diesem Leben auch nicht mehr enden

Also Kopf hoch, wird schon! ... und wenn nicht... einfach nachfragen
P.S.: Das ist übrigens garnicht so unüblich, dass Switche erstmal "nur" mit IP+Netzmaske konfiguriert werden und man für das Gateway (+ ggf. DNS) noch auf die Suche gehen muss. Liegt aber oftmals daran, dass solche Geräte auch garnicht in andere Netze Internet müssen, da Firmware-Updates z.B. auch oftmals händisch eingespielt werden und ansonsten muss das Ding auch nirgendwo groß in andere Netze. Auch wenn es nicht "schön" ist, man hätte sich theoretisch auch mit einer NAT-Regel behelfen können (wenn Client xy Zugriff auf Switch-IP, dann NAT (Firewall-IP im Switch-Netz)). Das sind aber alles noch so Kleinigkeiten, welche sich im Laufe der Zeit ergeben werden (ggf. wird es dann bei Dir ja auch ein eigenes Management-Netz in welchem der Switch, der Hypervisor, die pfSense, etc. erreichbar sind)
So... jetzt hab ich aber wirklich fertig
