Ich versuche seit Tagen meine OPNsense Hardware über einen VodafoneDSL Anschluss online zu bekommen. Auf dem WAN Interface bekomme ich auch eine IP zugewiesen aber ich kann trotzdem keine Updates machen bzw. pingen geschweige denn Clien4s anbinden. Im Netz konnte ich auch keine Lösung finden. Weiß hier jemand Rat ?
Aus dem Bauch raus vermute ich irgendeine vodafone-spezifische DNS- Einstellung.
Besten Dank im Voraus
Das ist das Ergebnis von tracert
Da wir keine Ahnung habe wie dein Netzwerk aussieht.
- bitte einen grafischen netzwerkplan
- was hast du wo konfiguriert bitte Screenshots
Lies dir auch das hier durch
https://forum.opnsense.org/index.php?PHPSESSID=rt69sdhlcj804qrmhmf5frcg8d&topic=12697.0
Gesendet von iPhone mit Tapatalk Pro
Hallo,
geht denn das pingen von der opnsense ins internet?
Nein @ pingen. Das geht nicht von der OPNsense aus. Auch keine Updates. Das wundert mich ja so, da eine IP zugewiesen wurde.
Provider: VodafoneDSL100
Modem: Draytek Vigor 130 @ IP:192.168.1.1
OPNsense-Hardware: ZOTAC ZBOX CI321 nano @ 192.168.9.223
Screenshots
Das Draytek-Modem ist online. OPNsense macht die Einwahl mit den entsprechenden Daten. Eine IP wird vom Provider zugewiesen. Im Grunde alles gut. Ich habe keine Ahnung, was noch "fehlt", damit es funzt.
Hmm, also ich kann die GUI des Draytek unter deiner IP erreichen.
Nee, nur Spaß. Trotzdem würde ich die öffentliche IP hier nicht posten.
Willst du IPv4 oder IPv6 machen? Wenn "nur" ipv4, dann mal alles mit IPv6 deaktivieren
https://www.thomas-krenn.com/de/wiki/OPNsense_IPv6_deaktivieren
danach reboot.
Die Firewallregeln auf LAN wurden nicht geändert (also allow any any)?
Danke für den Hinweis @ public IP
Ich habe nur die nötigen Anpassungen in der Sense für die Einwahl gemacht. Im Grunde ist alles out of the Box. IPv6 habe ich auch schon mal deaktiviert allerdings ohne Neustart. Ist der zwingend nötig ?
Ich möchte hier IPv4 machen.
Firewall Rules sind unangetastet.
Bitte mal ein Screenshot der OuboundNAT Seite
Gesendet von meinem M2012K11AG mit Tapatalk
Firewall: NAT: Outbound
Quote from: Formidabel on December 18, 2021, 07:10:43 PM
Firewall: NAT: Outbound
Ok dort fehlt das OutboundNAT, habe ich mir schon gedacht. Wir manchmal nicht mit erstellt, keine Ahnung wieso.
Setze es dort mal auf Hybrid und erstelle dann eine neue Regel mit folgenden Daten
Schnittstelle: WAN
Quelle: deine lokalen Interfaces (LAN, DMZ,...)
Ziel: ANY
Map Adresse: WAN
Damit solltest du dann ins Internet kommen
Gesendet von meinem M2012K11AG mit Tapatalk
Sind die Einstellungen so richtig (kann erst in 30 min live testen) ?
Als Quelle noch LAN Network statt LAN Address
Gesendet von meinem M2012K11AG mit Tapatalk
GuMo (sorry für die verspätete Antwort). Folgender Sachstand: nach der besprochenen Änderung im Firewall: NAT: Outbound und einem Neustart waren die automatischen Regeln ohne mein Zutun von alleine da. Leider brachte auch das keine Besserung und die Sense kann immer noch nicht updaten oder pingen. Ich habe dann auf Automatic outbound NAT rule generation umgestellt und noch mal neu gestartet aber der Erfolg bliebt ebenfalls aus. Ich bin überrascht, wie zickig eine Anbindung der Sense sein kann (auch wenn ich Anfänger in diesem Bereich bin und keine Erfahrungen damit habe).
# /sbin/ping -c '3' 'heise.de'
PING heise.de (193.99.144.80): 56 data bytes
--- heise.de ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss
hmmm... aber DNS scheint ja zu funktionieren. Da kann nur eine Kleinigkeit fehlen...
Package capture auf WAN wenn du pingst. Was geht raus, was kommt zurück?
Ich muss immer erstmal schauen wie das geht (bin OPNsense-Neuling) aber die Ausgabe sieht so aus:
Ich bin nicht sicher funktioniert. Ich bin ratlos.
Ich glaube langsam eher, du hast was in dem Draytek verbastelt. Deine Pings gehen aus der sense raus, aber es kommt nichts zurück. Und DNS funktioniert. Schau mal in Ruhe im Draytek (Bridgemode, oder?) und ob du die richtige Firmware hast. Wie sieht im Draytek die Diagnostik zu deinem DSL aus? Firewall, NAT etc....
ich habe schoin einige sense aufgesetzet (xdsl mit pppoe) und mit problemen wie du hatte ich noch nie zu kämpfen.
- mein tipp, setze deine sense nochmal in den werkszustand, reboote.
- richte dein pppoe neu ein, es sollte dann einfach funktionieren
- was mich aber verwirrt, du hast in dem einen screenshot eine externe ip, also sollte es gehen.
hast du vorher irgendwelche regeln oder so gelöscht/verändert?
was ich immer sagen zu meinen benutzern "verändere das was du nicht geändeert hat, dann wird alles wieder gehen"
deshalb mein tipp mit einfacvh mal alles zurücksetzen und von vorne beginnen
nimm den asistenten und der richtet dir das ding schon ein, das feintuning kannst du machen wenn du erfahrender bist.
am besten sachön das forum mitlesen oder auch mal die älteren beiträge so wirst du am meisten lernen (wie man es macht oder auch NICHT macht)
Ich habe genau das getan und die Sense sicher schon 10 mal neu aufgesetzt - auf 2 unterschiedlichen Hardware-Typen. Der Erfolg blieb jedes Mal aus. Erst danach habe ich hier Hilfe gesucht und bin für jeden Tipp dankbar.
Ich kann die Sense und das Modem natürlich nochmal neu aufsetzen aber ich fürchte, das allein kann das Problem nicht lösen. Vielleicht hat Vodafone eine Besonderheit, die man ggf. beachten muss?
Anbei noch ein paar Screenshot vom Modem. Da müsste aus meiner Sicht alles passen, oder?
So weit ich das sehen kann, sieht das alles gut aus, oder?
ich hatte mal das draytek vigor 130 und 165. in dem 130er musste ich damals die firmware für telekom einspielen, da war dann alles provioniert für vlan 7 (telekom).
was alles bei vodafone besonders sein kann musst du mal googlen.
oder den support von draytek nutzen. viel glück
Bin ich dann überhaupt korrekt im Vodafone Netz angemeldet wenn ich eine IP am WAN Gateway von denen bekommen habe oderkann eine saubere Verbindung immer noch scheitern ?
Ich hatte vor 2 Jahren auch mal meinen Telekom-DSL-Anschluss auf Vodafone-DSL-Anschluss umgestellt (also Leitung weiterhin von der der Telekom).
Wie immer, wenn ich so nen Providerwechsel in der Vergangenheit gemacht hab, bin ich davon ausgegangen, dass es damit getan wäre, im PPPoE-Interface einfach nur die neuen Anmeldedaten einzutragen. Das hat aber bei Vodafone nicht ausgereicht. Ich hab ewig lang rumprobiert, die OPNsense zeitweilig sogar platt gemach und neu installiert. Hat alles nichts geholfen.
Irgendwann wars mit dann zu doof und ich hab doch mal den von Vodafone bereitgestellten Router angeschlossen um zu testen, ob es damit läuft. Siehe da: Vodafone-Router (mit integriertem DSL-Modem) angeschlossen und alles hat funktioniert.
Also wieder zurück auf mein Draytek-Modem im Bridge-Modus gewechselt, die OPNsense angeschlossen und schon hats funktioniert.
Ich kann an der Stelle nur vermuten, dass das Vodafone-Gerät irgendwie die "Leitung aktiviert" bzw. am Anmeldesystem von Vodafone den Account freigeschalten hat und ohne diesen Vorgang irgendwas gesperrt war.
Vielleicht hilft das auch bei dir.
Funktioniert es denn mit dem DSL-Equipment von Vodafone?
Ansonsten, wenns das nicht ist, kann ich mir nur vorstellen, dass es an den Draytek-Settings liegt. Weiß jetzt aber nicht mehr sicher, wie meine Settings für Vodafone waren.
Edit: Hab nachgeschaut. Vodafone über Telekom-DSL müsste auch die VLAN ID 7 laufen. Siehe hier:
https://administrator.de/knowledge/einwahlparameter-verschiedener-deutscher-dsl-provider-mit-vlan-id-516717.html
Hier mal meine DrayTek Vigor 130 Settings.
Ich denke bei dir passt nicht alles.
Firmware-Version ist bei mir irgendwas mit 3.7....
Und noch meine opnsense-Settings.
Wenn du aus deinem internen Netz auf das Modem zugreifen können willst, musst du dafür dem WAN-Interface nicht nur einen pppoe-Adapter verpassen, sondern auch eine IP-Adresse. Zudem benötigst du noch ne Outbound-NAT-Regel (Firewall -> Nat -> Outbound NAT). Nur mit dieser Regel kann das Modem die Pakete zurück in dein internes Netz schicken.
Weiter gehts
Und hier noch die Outbound-NAT-Rules
@Layer8 Bei dir macht aber das Draytek VLAN7 tagging, laut Screenshot. Ich glaube nach den Screenshots von formidable er macht (wie ich auch) das VLAN tagging auf der sense...
@TO Kommst du denn auf die GUI deines Draytek? Wie sieht es bei Diagnostics aus? Das DSL sollte stehen, sonst hättest du kein DNS.
Ich würde auch mal die mitgelieferte Hardware von vodafone ausprobieren...
Mit der Fritte bin ich sofort Online.
Die Diagnostik ist auf meinen Screenshots zu sehen, oder ?
Vlan-Tagging macht die Sense.
Draytec sagt er ist Online (siehe Screenshot)
Quote from: Formidabel on December 19, 2021, 05:12:28 PM
Die Diagnostik ist auf meinen Screenshots zu sehen, oder ?
Draytec sagt er ist Online (siehe Screenshot)
Welcher? ;-) Ich würde vermuten, im Draytek ist noch etwas falsch konfiguriert...
PS: Sorry gefunden, geht hier etwas durcheinander ;-)
Welche Fritte (Fritzbox?) hast du da zum testen?
Es gibt jetzt mehrere Möglichkeiten wie man hier einfaches Ausschlussverfahren machen kann:
Vigor 130 als Modem + OPNsense-Installation = Failed aktuell
Fritzbox als Modem und Einwahlrouter = geht
Zu testen wäre, wenns die Fritzbox hergibt:
Vigor 130 als Modem und als Einwahlrouter = ?
Fritzbox als Modem und OPNsense als Einwahlrouter = ?
Fritzbox als Einwahlrouter, ohne Einwahldaten, dafür mit aktiviertem PPPoE Passthrough und der OPNsense als Einwahlrouter = ?
Vigor 130 als Modem und Fritzbox als Einwahlrouter mit deaktiviertem Modem = ?
Wenn alle Stricke reißen:
Fritzbox oder das Vodafonegerät als Einwahlrouter , dahinter die OPNsense OHNE PPPoE, mit manuellem oder DHCP-konfiguriertem IPv4-Interface = ?
Du bist dran. Teste mal welche Konstellationen gehen, damit wir ein Bild davon bekommen.
Edit:
Und noch ne Frage hinterher. Wieso muss es zwingend der Vigor 130 als Modem sein? Du kannst theoretisch auch die Fritzbox als Modem nutzen. Du kannst aber sogar auch hergehen und die Fritzbox als Einwahlgerät benutzen. Dann macht die Fritzbox sogar VoIP mit DECT, wenn sie es kann.
Die Fritzbox bietet dann auch die Möglichkeit, die externe IP vom DSL 1:1 an das WAN-Interface der OPNsense durchzureichen. Ist dort unter Exposed Host zu finden. Es werden dann nur die Datenpakete nicht an die OPNsense weitergeleitet, die für VoIP benötigt werden. Mit so einer Konstellation sind dann auch keine Handstände mit Portforwarding oder ähnlichem notwendig.
So, die Kurzversion: Nach einen Passwort-Reset über die Vodafone-Hotline ging es sofort ohne Probleme.
Langversion: auch mit dem alten (und offensichtlich) falschem Passwort für die Einwahl ins VF-Netz wurde mir sowohl an der Fritzbox als auch mit dem Draytek 130 per LED (DSL grün) als auch per GUI angezeigt, dass die Kisten online sind. Es wurde sogar eine IP zugewiesen. Das war es aber auch schon, Ping etc. gingen nicht.
Darum habe ich nochmal ein neues Passwort generieren lassen, mit dem es dann sofort ging. Wie das sein kann, versteht wahrscheinlich kein Mensch. Ich danke aber allen Mitlesern und Helfern für den Supoort, jetzt kann es losgehen mit dem firewallen :)
Und die Moral von der Geschichte: eine grüne DSL-LED sagt noch lange nicht, dass man online ist. Jedenfalls bei Vodafone nicht :)