Hallo Forum,
ich habe das nächste Problem in Verbindung mit einer FritzBox 6591 Cable vor der OPNsense.
Folgender Netzaufbau bei mir:
WAN / Internet
:
: Kabel-Vodafone
:
.-----+-----.
| Gateway | (FritzBox 192.168.103.1)
'-----+-----'
|
WAN OPNsense | 192.168.103.2
|
.-----+------. private DMZ ------------.
| OPNsense +-----------------+ DMZ-Server |
'-----+------' 192.168.102.1/24 '------------'
|
LAN
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (LAN 192.168.101.1/24)
[/code]
Meine FritzBox (192.168.103.1/24) soll ganz bewusst vor der OPNsense sein wegen IP-Telefonie.
Diese FritzBox ist per Kabel an den WAN-Anschluss (192.168.103.2/24) per Kabel verbunden.
Wie muss ich jetzt ein Gateway in der OPNsense konfigurieren, dass alle Netze das Internet nutzen können? Sobald ich einem Netz den WAN-Anschluss als Gateway konfiguriere hat dieses Netzt (z.B. 192.168.101.x/24) kein Internet. Ich denke, dass ich da eine verkehrte Vorgehensweise bzw. Denkweise habe.
Könnt ihr Profis mich a bitte Unterstützen?
Liebe Grüße
Snoopy
Hallo,
in der OPNsense ist die Fritzbox als Gateway anzugeben.
Grüße Udo
Danke Udo für den Input.
Habe ich eigentlich so gemacht: (https://pic.metaversum.wtf/VecOszZ5/RaqqekHQ.png)
Die 192.168.103.1 ist die FritzBox.
Wenn ich in der Interfacekonfiguration von der LAN-Schnittstelle (192.168.101.1/24) das "WAN_GW" als Gateway angebe, habe ich kein Internet. Und ich raffe nicht wieso?
Muss vielleicht irgend eine FW-Regel erstellt werden o.ä.?
Sehe den Wald vor lauter Bäume nicht....
Gruß
Snoopy
Auf dem WAN interface in der opnsense
IPv4 Upstream Gateway
192.168.103.1
Habe ich eigentlich so gemacht.... :o
(https://pic.metaversum.wtf/OOLe9kQ6/6EJftJpi.png)
(https://pic.metaversum.wtf/8ZHbFoZY/Av2sX1gu.png)
P.S.: Was muss ich eig. machen, dass die Bilder nicht so groß angezeigt werden?
Kannst du bitte aus der interface config die ganze Seite senden bzw. mal prüfen ob "Block private networks" eingeschaltet ist?
Klar... :-)
Habe einmal das WAN-Interface im Anhang.
Muss man da iwie FW-Regeln erstellen oder so?
Ich verstehe es nicht.
Die gleiche Konstellation nur mit meiner IPFire (IPFire --> FB) funktioniert 1a.
Wenn ich die IP-Fire als Gateway für OPNsense nutze (die wiederum die FB als Gateway hat) funktioniert es auch mit OPnsense. Also OPnsense --> IPFire --> FB
Nur die Kombi OPNsense mit FB (OPNsense --> FB) funktioniert nicht. Und ich komme absolut nicht dahinter wieso. :-(
Du hattest weiter oben glaube ich geschrieben, dass du auf LAN ebenfalls den WAN_GW als Gateway aktiviert hast. Der darf aber nur auf der WAN-Schnittstelle aktiv sein. Auf LAN trägst du gar keinen Gateway ein - dort ist ja die OPNsense dein Gateway für alle anderen Rechner im LAN.
Im Ausliefer-Zustand ist dann auf LAN ein DHCP-Server und eine "allow all" Regel aktiv. Damit sollte es dann eigentlich sofort funktionieren.
Danke Dir für die Info. :)
Allerdings ist es so, dass sobald ich die FB an der WAN-Schnitstelle anschließe, ich nicht mal mehr über die Weboberfläch nach Updates suchen kann, weil der Updateserver nicht erreichbar ist.
Kann es ein DNS-Problem sein?
Es kann alles sein. Was hast du denn in System > Settings > General als DNS-Server konfiguriert?
Hallo @snoopy
Ich befürchte du hast dein System irgendwo "verkonfiguriert"
Da es ein bisschen nach deinen ersten Gehversuchen mit opnsense klingt, wäre hier ein kompletter Neubeginn mit den Infos die du hier erhalten hast vielleicht zweckführender und weniger frustrierender.
Ansonsten könnte die Seite
System: Routes: Status
noch einiges erhellendes zu deinem Problem beitragen.
Falls du dich für einen Neuinstallation entscheidest, dann immer in kleinen Schritten vorarbeiten. Du kannst über die Backupfunktion deine opnsense immer wieder problemlos auf den letzten funktionierenden Konfigurations - Stand bringen.
Un dann im Problemfall möglichst den Fehler auf den Punkt bringen.
z.B. um zu unterscheiden ob du ein Verbindungsproblem oder ein DNS Problem hast, kannst du von der opnsnese einen ping auf eine public IP absetzen (z.B. 1.1.1.1) (Interfaces: Diagnostics: Ping oder via console). Wenn das funktioniert, hast du eine Verbindung. Dann kannst du den ping auf einen DNS Namen versuchen (one.one.one.one) etc.
Interfaces: Diagnostics: DNS Lookup und Interfaces: Diagnostics: Trace Route können da auch helfen.
Auf der Console kann
route -n get $IP
recht aufschlussreich sein.
@pmhausen
Dort habe ich die IP der FB eingetragen und als zweiten einen öffentlichen DNS.
@zerwes
Ja an das habe ich auch schon gedacht, reicht eventuell eine Neukonfiguration der Interfaces über die Konsole auch?
ich würde eher mit einer Neuinstallation beginnen od. zumindest ein "Reset to factory defaults" via console oder webgui durchführen ...
Zeig uns Mal was unter folgenden Punkten steht
-System->Gateways
-Firewall->Regeln->LAN
-Firewall->NAT->Ausgehend
Gesendet von meinem M2012K11AG mit Tapatalk
Hallo @lfirewall1243,
habe die Screenshots jetzt mal hochgeladen.
Hinweis zu den angezeigten GWs:
- Das "LAN_GW_IPFire" ist die noch existierende IPFire die jetzt aktuell (wie oben beschrieben) als funktionierendes GW genutzt wird
- WAN_G" ist deswegen rot, da dort aktuell das Kabel von der FB nicht verbunden ist
- Das LAN_GW wurde automatisch erzeugt?
Passt soweit alles.
Bezüglich des automatisch erstellten LAN Gateways.
Was ist das 192.168.104.X für ein Netz?
Hast du in der LAN Schnittstellenkonfiguration unten evtl ein Gateway hinterlegt ?
Gesendet von meinem M2012K11AG mit Tapatalk
Wie wäre es an der Stelle erstmal mit einem Schnitt und einer Neuinstallation bzw. einem Reset auf 0?
Ich würde da empfehlen einfach mal SEHR simpel mit dem Initialen InstallationsAssistent das einfachste Setup zu machen mit LAN und WAN. Kein DMZ kein sonstiger Kram, sondern einfach erstmal den normalen First-Install-Wizard durchklicken. WAN auf statische IP konfigurieren mit .103.2, Gateway auf WAN die .103.1 und dann das LAN einfach mit irgendeinem anderen Netz (.101.0/24) konfigurieren. Auf dem LAN oder sonst wird nirgendwo im Interface ein GW eingetragen oder abgefragt.
Wenn das durch ist, sollte das LAN so konfiguriert sein, dass Geräte aus dem 101er Netz IPs per DHCP und DNS via Sense bekommen. Dann kann man testen und weitermachen. Der Rest ist glaube ich sehr wegen "Halbwissen" und "Vermutung" wie Sense vs IPfire funktioniert einfach zerbastelt gerade. Vor allem mit zu viel Gateway hier und Route da ;)
Also einfach mal alles auf Anfang und mit dem Simpelsten anfangen.
Cheers
Am Rande: @Snoopy Bist Du Dir sicher, dass Du einen anderen Router vor der OpnSense willst? Damit sind dann Portfreigaben usw. schwierig bis unmöglich. Du nimmst Dir damit viele Möglichkeiten, die OpnSense bietet, u.a. VPN u.v.a.m. - ich finde das widersinnig.
Deine Begründung dafür kaufe ich nicht: eine Fritzbox kann wunderbar hinter der OpnSense stehen - vorzugsweise in einem separaten IoT-Netz, damit nichts anbrennt.
Falls man eine Fritzbox einsetzt: Das Weiterleiten von SIP und RTP-Ports allein reicht nicht aus, weil dann nach ein paar Minuten keine Verbindungen von außen mehr zugelassen werden und ankommende Anrufe nicht durchkommen. Man sollte in der Fritzbox in den Anschlusseinstellungen unter Telefonieverbindung die Einstellung "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" einschalten. Zudem sollte man eine separate Regel für die Outbound NAT definieren, bei der für die Fritzbox "Static Port" gesetzt wird.
Je nach Telefonie-Provider ist nicht einmal das notwendig, z.B. verwenden einige SIP-Proxies, so das eine Portfreigabe gar nicht mehr gebraucht wird.
Quote from: meyergru on April 22, 2022, 11:21:48 AM
Am Rande: @Snoopy Bist Du Dir sicher, dass Du einen anderen Router vor der OpnSense willst? Damit sind dann Portfreigaben usw. schwierig bis unmöglich. Du nimmst Dir damit viele Möglichkeiten, die OpnSense bietet, u.a. VPN u.v.a.m. - ich finde das widersinnig.
Deine Begründung dafür kaufe ich nicht: eine Fritzbox kann wunderbar hinter der OpnSense stehen - vorzugsweise in einem separaten IoT-Netz, damit nichts anbrennt.
Falls man eine Fritzbox einsetzt: Das Weiterleiten von SIP und RTP-Ports allein reicht nicht aus, weil dann nach ein paar Minuten keine Verbindungen von außen mehr zugelassen werden und ankommende Anrufe nicht durchkommen. Man muss in der Fritzbox auf jeden Fall in den Anschlusseinstellungen unter Telefonieverbindung die Einstellung "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" einschalten. Zudem muss man eine separate Regel für die Outbound NAT definieren, bei der für die Fritzbox "Static Port" gesetzt wird.
Je nach Telefonie-Provider ist nicht einmal das notwendig, z.B. verwenden einige SIP-Proxies, so das eine Portfreigabe gar nicht mehr gebraucht wird.
Warum sollte das alles nicht gehen?
Habe ich wunderbar in mehreren Umgebungen so am laufen.
Nur VOIP auf der FB UND hinter der OPNsense ist schwer.
Sonst klappt alles wunderbar auch mit einem 2. Router vor der OPNsense
Gesendet von meinem M2012K11AG mit Tapatalk
Wie gesagt, die FB hinter der OpnSense ist vglw. einfach. Bei der Variante FB vor OpnSense setzt das Öffnen von Ports voraus, dass diese auch auf dem vorgelagerten Router geöffnet werden (oder dass die OpnSense "exposed host" ist).
Ganz zu schweigen von IPv6.
Quote from: meyergru on April 22, 2022, 11:58:30 AM
Wie gesagt, die FB hinter der OpnSense ist vglw. einfach. Bei der Variante FB vor OpnSense setzt das Öffnen von Ports voraus, dass diese auch auf dem vorgelagerten Router geöffnet werden (oder dass die OpnSense "exposed host" ist).
Ganz zu schweigen von IPv6.
IPv6 macht bei dynamischen Accounts eh mehr Ärger als das es effektiven Nutzen bringt. Von tagesweise wechselnden Präfixen ganz zu schweigen. Bis die bei allen Geräten sauber ankommen - danke nein, dann kann mans gleich bleiben lassen oder sich was statisches holen - und dann ist es wieder egal ob vornedran was steht oder nicht.
VoIP auf der Fritte vor der Sense ist völlig valide und funktioniert einfach out of the box ohne großes HickHack, Regeln oder sonstigen Käse. Wenn es Ärger damit gibt ist meist die Fritte eh ne Providerbox und man kann sie dem Provider um die Ohren hauen bzw. der muss in die Pötte kommen, dass es wieder geht. Kein "oh das ist aber keine supportete Konfiguration bei Ihnen blabla".
Und wenn man nicht in die Fritz-Falle tappt, dass man Probleme bei der Freigabe/exposed Host Geschichte hat durch dynamische IP auf der Sense auf dem WAN oder weil die Fritte mal wieder ein "Geistergerät" angelegt hat in ihrer Netzwerkübersicht, ist das ganze Setup völlig tiefenentspannt.
Am Einfachsten löscht man übrigens den Fritz-Eintrag der Sense in der Geräteliste, geht dann fix auf den Freigabescreen, legt da einen exposed Host an mit IP statt mit irgendeinem erkannten Gerät und konfiguriert das durch. Vorteil: Es wird keine komische MAC Verknüpfung angelegt und vorausgesetzt und wenn man mal die Sense hintendran tauschen muss gibts kein Problem. Man kann aber oft den exposed Host mit IP nicht anlegen, weil die Fritze schon nen Gerät mit der IP in der Liste hat. Darum einfach alles raushauen was drin ist, schnell die Freigabe via IP machen, dann wird auch keine MAC drangehangen oder gespeichert und dann läufts mit dem exposed Host problemlos.
Es wird nicht nur hier immer wieder gebetsmühlenartig immer wieder Doppel-NAT als so böse und funktionsblockend hingestellt dass ich mich wirklich wundere, wie ich 10+ Jahre in solch einem Setup ohne Probleme bisher existieren konnte ;) Im Ernst, das läuft bei mir ewig und ich hatte damit nie ein Problem. Nicht beim normalen Betrieb. Nicht bei VPNs, nicht bei Spielen - egal was. Kann darum die Panik vor Doppel-NAT nie wirklich nachvollziehen. Klar kann man versuchen das zu vermeiden wenn man entsprechende Usecases hat oder das einfach technisch so mag - aber wirklich nen Grund finde ich dazu nicht. Zumal wir mit CGN und Co inzwischen eh so oft noch irgendwo anders NAT oder Umsetzungen drinhaben, die wir gar nicht kontrollieren können.
Cheers :)
Mit CGNAT hast Du Recht, allerdings kann ich inzwischen auf IPv6 gar nicht mehr verzichten, weil mehr und mehr Gegenstellen nur noch per IPv6 erreichbar sind (Beispiel Deutsche Glasfaser, genau wegen CGNAT). Bei den von mir verwendeten ISPs wechseln aber auch die IPv6-Präfixe maximal bei Neueinwahl (teilweise nicht mal dann).
Ein weiteres Problem ist nach meiner Beobachtung, dass die Fritzbox effektiv den Durchsatz hemmt, wenn die Leitung Gigabit-Glasfaser ist - eine potente OpnSense hilft dann dahinter auch nicht mehr. Einer meiner Gründe für Einsatz von OpnSense ist z.B. die Vermeidung von Bufferbloat, den ich mit der Fritte immer hatte.
Ich gestehe allerdings, dass ich keine Erfahrung mit doppeltem Router habe, weil ich diesen Schwierigkeiten möglichst aus dem Weg gehen wollte. Und wie gesagt, eine FB hinter der OpnSense funktioniert auch ohne Probleme, genauso wie andere SIP-Telefone, die man eventuell im WLAN betreibt, um z.B. auf Sipgate oder Fonial zuzugreifen. Und da hat man nicht so einfach die Wahl, die vor der Firewall zu betreiben.
> Ein weiteres Problem ist nach meiner Beobachtung, dass die Fritzbox effektiv den Durchsatz hemmt, wenn die Leitung Gigabit-Glasfaser ist - eine potente OpnSense hilft dann dahinter auch nicht mehr.
Gilt nur für die alten Boxen, die neuen Wackelboxen haben 2.5Gbps Ports - das muss aber halt irgendein Gerät können. Trotzdem hat man am Ende dann das Theater mit dem Provider bei eigener Nutzung oder Box. Wir haben aktuell und hatten schon mehrfach das "Vergnügen" in unserem Raum mit Vodafone nach Übernahme von KabelBW/UM und wenn da nicht die eigene Box steht ärgert man sich tagelang mit Supportern rum, bis was Vernünftiges rauskommt. Da ist dann Gigabit schlichtweg egal wenn gar nichts aus der Tüte kommt ;) Bufferbloat ist auch oftmals abhängig davon wie sehr die max-Rate der Box wirklich ausgereizt wird. Bei vielen Usern mit 500+Mbps Kabelverträgen ist das oft nur noch sehr theoretisch ein Problem weil dort keine längeren Perioden vorkommen, dass der Download am Anschluß wirklich am Maximum hängt. Mit meiner alten 6591 Cable bspw. hab ich 550Mbps Dauerdownloads problemlos ohne extremen Bufferbloat. Klar besser geht immer aber wirklich durchschlagen sehe ich das nicht. Da ist der 250er DSL Anschluß schon gemeiner. :)
> weil mehr und mehr Gegenstellen nur noch per IPv6 erreichbar sind
Aber auch nur wenn du irgendwelche Privatanschlüsse meinst, bei irgendwelchen Diensten sehe ich keine großartig größere Akzeptanz von IPv6. Und gerade DG mit ihrem Glas was hinter CGNAT und PPPoE verkümmert ist eher ein Trauerspiel :/ Aber mal wieder back to Snoopy und dem Setup :)
Cheers
Hall ihr Profis zusammen,
ich kann einen Erfolg vermelden. Habe die OPNsense jetzt neu installiert und dabei die FB schon an das WAN-Interface gehängt. Das scheint funktioniert zu haben. Die OPNsense selber hat Internet und das LAN scheint jetzt auch Internet zu haben.
Vielen Dank an alle, dass ihr euch so viel Mühe mit mir gemacht habt. Ich schmeiß eine Runde virtuelles Bier für das Forum und seine Helfer. :-)
Jetzt geht es weiter mit dem Einrichten wie DHCP, DMZ, .... (Drückt mir die Daumen ;-) )
Liebe Grüße
Snoopy
P.S.: Das mit der FB vor der OPNsense verstehe ich schon. Allerdings habe ich dort die FW-Weiterleitungen bereits eingerichtet, sodass ich diese "nur" noch auf der DMZ von OPNsense einrichten muss. Theoretisch zumindest....
Ich habe halt auch angst, dass dann meine Telefonie (IP oder VOIP, wie sagt man da richtig?) nicht mehr funktioniert.
QuoteVielen Dank an alle, dass ihr euch so viel Mühe mit mir gemacht habt. Ich schmeiß eine Runde virtuelles Bier für das Forum und seine Helfer. :-)
Merci und Prost :)
Viel Erfolg noch ...
> P.S.: Das mit der FB vor der OPNsense verstehe ich schon. Allerdings habe ich dort die FW-Weiterleitungen bereits eingerichtet, sodass ich diese "nur" noch auf der DMZ von OPNsense einrichten muss. Theoretisch zumindest....
Praktisch auch :)
> Ich habe halt auch angst, dass dann meine Telefonie (IP oder VOIP, wie sagt man da richtig?) nicht mehr funktioniert.
Es ist halt mit Fritte hinter der Sense immer fummeliger das richtig hin zu bekommen und hängt auch immer stark vom Provider ab, obs einfach geht oder kompliziert wird. Da ist die Strategie den VoIP Part zu entkoppeln gerade für Anfänger oder Leute mit nicht ganz so viel Zeit und Lust, jede Konfig 3x umzudrehen schon nicht unbedingt verkehrt, denn dann läuft das Telefon und man hat seine Ruhe ;)