Hallo liebe Member und Pros,
Ich muss leider das nervige Thema Fritzbox und OPNsense aufgreifen.
Ich habe Stunden damit verbracht einen Fehler zu finden aber ich komme auf keinen grünen Zweig.
Meine Config ist wie folgt:
Fritzbox 7490 Freigabe für Pppoe an Client, (siehe hier https://www.du-consult.de/opnsense-so-konfiguriert-man-eine-deutschlandlan-pppoe-einwahl/)
LAN1 FB an WAN Opnsense
Pppoe für den WAN Port der Opnsense geht aber nur ohne Vlan 7 Tag
Ich bekomme eine öffentliche IP und ich kann Updates und Upgrades der OPNsense ziehen und installieren.
Traceroute und Ping von WAN Schnittstelle scheint auch ok zu sein.
Ping von LAN Schnittstelle seltsamer Weise auch.
Aber eine Internet Verbindung mittels Browser ist nicht möglich.
Könnt ihr mir weiter helfen.
Ich habe alles schon durch forstet und einiges gelesen aber irgendwie trifft es nicht mein Problem.
Vielen Dank im voraus.
VG
Grossi
Grundsätzlich kannst Du die Fritzbox als Router oder als Modem vor der OpnSense nutzen - so wie Du es beschreibst, soll es die zweite Variante werden.
Das VLAN-7-Thema hängt bei den meisten DSL-Modems (und auch bei der Fritzbox) davon ab, ob das Modem selbst das VLAN-Tag setzt. Bei der Fritzbox kann man das einstellen und die Einstellung muss natürlich mit der Konfiguration der OpnSense korrelieren.
Was geht denn? Routing, NAT? Prüfen mit "ping 8.8.8.8". LAN hat anderen IP-Range als die Fritzbox?
DNS-Auflösung O.K.?
Alles testen:
1. Von der Opnsense aus
2. Aus dem LAN. Falls es dort nicht geht: DHCP inkl. Routing und DNS richtig eingerichtet?
Hallo,
Danke für deine Antwort.
Vorerst gab es eine Überraschung heute morgen.
Nachdem ich gestern Nachmittag aufgeben hatte und alles wieder auf Anfang gestellt (Fritzbox zurück auf meine alte config und als Router im Netz) opnsense Maschine lief weiter. Alle ports waren abgesteckt von der Sense.
Heute morgen alles wieder auf die neue config umgestellt und angesteckt und siehe da, plötzlich gab es Internet Verbindung mittels Laptop im WLAN.
Ich hätte wie gesagt die sense out of the box und lediglich die WAN Schnittstelle mit pppoe belegt, meine Telekom Daten eingetragen und der LAN Schnittstelle eine static IP verpasst und dhcpv4 eingestellt. Einen Accesspoint auf das Netz der LAN Opnsense eingerichtet. Soweit war das alles und jetzt geht es plötzlich.
Seltsam aber vielleicht werde ich mir trotzdem ein reines Modem zulegen.
Gibt es Erfahrungen mit dem
ALLNET ADSL/VDSL2 Bridge Modem - ALL-BM200VDSL2
oder vll doch ein draytek Vigor 165 oder reicht der 130 auch.
(Telekom VDSL 100 Anschluss)
Soweit ich weiß, ist das inzwischen der Vigor 167 und der wäre ggf. billiger als der 130er.
Dann gibt es noch das TIM DGA 4132 mit der Ansuel Firmware (https://github.com/Ansuel/tch-nginx-gui), solche kannst Du gebraucht für 24,90€ schießen - allerdings weiß ich aktuell nicht, welche Original-Firmware da drauf sein wird und ob man die ohne Seriell-Adapter rooten kann... Ich habe das nicht mehr verfolgt, da ich jetzt Glasfaser habe.
Ich kann den Vigor 167 empfehlen - läuft hier an einem Company Pro 100 absolut problemlos.
Hallo,
Ich wollte mich nochmal kurz eine Rückmeldung geben.
Ich habe nun ein Draytek Vigor 165 besorgt.
In den Bridge Modus versetzt (alles recht schnell auf der Draytek Seite gefunden) angeschlossen und die Sense wie hier:https://forum.opnsense.org/index.php?topic=21839.0 (https://forum.opnsense.org/index.php?topic=21839.0)
konfiguriert und alles lief perfekt.
Vielen Dank
Und das war eine sinnvolle Aktion?
PPPoE ist mit OPNsene bzw. FreeBSD richtig schlecht und die Arbeit hätte die Fritzbox doch (besser) in Hardware erledigen können!?
Was genau bedeutet "richtig schlecht"? Eine der kleineren Deciso-Appliances rennt an einem 250 Mbit/s Telekom Business-Anschluss einwandfrei. Vigor als Modem. Versorgt unser Karlsruher Büro.
Fritzboxen können leider kein NPT. Und keine VLANs. Und noch jeden Menge anderen Kram nicht.
Mit richtig schlecht, meine ich super langsam.
Beispiel: https://medium.com/avenum-technology-blog/benchmarking-pppoe-connections-with-openwrt-and-opnsense-f5fe6c30b70
(https://miro.medium.com/max/868/1*HY6bsmtrKzLr9qmfnH2Mvw.png)
Selbst wenn die CPU dann noch für die eigene Leitung schnell genug ist, fehlt die Power dann ggf. für weitere Dienste.
Ist es dann nicht besser die OPNsense als Exposed Host zu betreiben, NAT aus + statische Route (ipv4)? Bzw. IPv6 Delegation hinter der Fritzbox (ipv6).
Ich selber nutze noch kein OPNsene. Bin aber mehr als interessiert. Die PPPoE-Geschichte finde ich aber bescheiden...
Edit:
Auch hier:
"Might I ask why you are using an OpenWRT device in front of Opnsense?"
"Yes of course. The PPPoE only gives me 250MB/s from the ONT. If I put my ISP box or my Openwrt router into the ONT then I get full 500MB/s out of the OPNsense interface."
https://forum.opnsense.org/index.php?topic=26328.0
Da bin ich voll bei dir, stevie. Je nach Bandbreite und Leistung der Hardware, auf der die Sense läuft, ist PPPoE über die Sense einfach keine Option mehr wegen der schlechten PPPoE-Performance.
Wenn man CARP nutzen will ist PPPoE auch raus, denn das verträgt sich ebensowenig.
(Fritzbox und Exposed Host)* halte ich dann für die beste Lösung.
*Geht sicher auch mit anderen Modems.
Quote from: Layer8 on October 08, 2022, 11:45:22 AM
Wenn man CARP nutzen will ist PPPoE auch raus, denn das verträgt sich ebensowenig.
Was genau hat das mit der OPNsense zu tun? CARP und PPPoE funktioniert nunmal fundamental nicht. Und eine Fritzbox kann überhaupt kein CARP.
Was ist die Alternative zu PPPoE, wenn man ein Telekom-Modem benützt? Ein Modem ist doch "nur" ein Medienkonverter, bei der Telekom gibt es aber so wie ich es gesehen habe, keine reinen Medienkonverter mehr, selbst bei Business Pro Glasfaser. Lasse mich das aber gerne eines Besseren belehren.
An einem Business Telekom Anschluss habe ich Gerüchten zufolge gehört, es geht auch ohne PPPoE, aber keine Ahnung was hier jetzt die Sachlage ist. Bin schon gespannt, in 3 Monaten wird unser Anschluss hier geschaltet.
Und was hat es mit dem Vigor Modem auf sich, ist das besser als das Standardmodem von der Telekom?
Quote from: pmhausen on October 08, 2022, 02:36:11 PM
Quote from: Layer8 on October 08, 2022, 11:45:22 AM
Wenn man CARP nutzen will ist PPPoE auch raus, denn das verträgt sich ebensowenig.
Was genau hat das mit der OPNsense zu tun? CARP und PPPoE funktioniert nunmal fundamental nicht. Und eine Fritzbox kann überhaupt kein CARP.
War vielleicht nicht präzise genug ausgedrückt. Besser wäre gewesen: "Wenn man CARP nutzen will ist das PPPoE Interface auf der Sense auch raus, denn das verträgt sich ebensowenig."
Wenn du PPPoE von der Sense fern hälst und es auf ein vorgelagertes Modem machst hast kannst du hinten dran zwei Sensen mit CARP hängen und hast Failoverfunktionalität. Und wenn du das ganze dann sogar noch mit zwei DSL-Anschlüssel/Modems machst, hat man sogar Failover in der WAN-Strecke und nicht nur im Router.
Ansosnten ist fundamemental schon ein sehr starker Begriff. Das wäre der Fall wenn die Protokollogik es nicht zulassen würde, Failover mit PPPoE zu nutzen. Ich würde eher sagen es fehlt einfach nur eine Implementierung. Das ist aber Wunschdenken, wenn der PPPoE-Stack in FreeBSD nicht mal so richtig gut performoed.
Quote from: stevie on October 07, 2022, 11:19:21 PM
Mit richtig schlecht, meine ich super langsam.
Beispiel: https://medium.com/avenum-technology-blog/benchmarking-pppoe-connections-with-openwrt-and-opnsense-f5fe6c30b70
(https://miro.medium.com/max/868/1*HY6bsmtrKzLr9qmfnH2Mvw.png)
Selbst wenn die CPU dann noch für die eigene Leitung schnell genug ist, fehlt die Power dann ggf. für weitere Dienste.
Ist es dann nicht besser die OPNsense als Exposed Host zu betreiben, NAT aus + statische Route (ipv4)? Bzw. IPv6 Delegation hinter der Fritzbox (ipv6).
Ich selber nutze noch kein OPNsene. Bin aber mehr als interessiert. Die PPPoE-Geschichte finde ich aber bescheiden...
Edit:
Auch hier:
"Might I ask why you are using an OpenWRT device in front of Opnsense?"
"Yes of course. The PPPoE only gives me 250MB/s from the ONT. If I put my ISP box or my Openwrt router into the ONT then I get full 500MB/s out of the OPNsense interface."
https://forum.opnsense.org/index.php?topic=26328.0
Machte dieselbe Erfahrung. Höhere Bandbreite bei PPPoE via OpnSense läuft ein Kern auf Volllast, bei einer APU2 von PC Engines (GX-412TC quad core), bei ca. 290 MBit downstream ist die Fahnenstange erreicht, liegt aber nicht an der Hardware sondern wie schon in anderen Threads gezeigt an FreeBSD wie dort PPPoE implementiert ist.
Mein Workaround nun mit rund 1000 MBit (1 GBit): Vor der Firewall ein "Modem" rein zu PPPoE Einwahl, das wäre ein TP-LINK Archer C6 v3 mit OpenWrt 22.03.0. Dank SoC MediaTek MT7621DAT lässt sich Software und Hardware flow offloading aktivieren, ist zwar noch ein Experimental feature, aber es funktioniert. Ohne Offload nur knapp 400 MBit, mit Offloads über 900 MBit :-)
Quote from: Sieg on October 12, 2022, 07:30:57 PM
Mein Workaround nun mit rund 1000 MBit (1 GBit): Vor der Firewall ein "Modem" rein zu PPPoE Einwahl, das wäre ein TP-LINK Archer C6 v3 mit OpenWrt 22.03.0. Dank SoC MediaTek MT7621DAT lässt sich Software und Hardware flow offloading aktivieren, ist zwar noch ein Experimental feature, aber es funktioniert. Ohne Offload nur knapp 400 MBit, mit Offloads über 900 MBit :-)
Danke für den Hinweis. Ich habe einen Edgerouter X SFP, der einen MediaTek MT7621AT hat und ebenfalls mit OpenWrt läuft. Ich wollte urspünglich ebenfalls den Edgerouter davor setzen aber die Fritzbox scheint mit aktueller Konfiguration super zu funktionieren. Damit hat man dann auch keine (möglichen) Probleme mit VoIP hinter der Firewall. Das VoIP läuft zwar vor dem QoS der IPFire (möchte auf OPNsense umsteigen, wenn ich mehr Zeit finde) aber das bischen wirkt sich nicht nachteilig aus. Allerdings wenn man in solchen Konstallationen vor der OPNsense noch ein eigenes Netz (DMZ, Transfernetz, etc.) aufbaut (wie manche das scheinbar machen), dann bekommt das QoS der OPNsene einges nichts mehr mit.... (suboptimal) etc.
Quote from: Sieg on October 12, 2022, 07:30:57 PM
Quote from: stevie on October 07, 2022, 11:19:21 PM
Mit richtig schlecht, meine ich super langsam.
Beispiel: https://medium.com/avenum-technology-blog/benchmarking-pppoe-connections-with-openwrt-and-opnsense-f5fe6c30b70
(https://miro.medium.com/max/868/1*HY6bsmtrKzLr9qmfnH2Mvw.png)
Selbst wenn die CPU dann noch für die eigene Leitung schnell genug ist, fehlt die Power dann ggf. für weitere Dienste.
Ist es dann nicht besser die OPNsense als Exposed Host zu betreiben, NAT aus + statische Route (ipv4)? Bzw. IPv6 Delegation hinter der Fritzbox (ipv6).
Ich selber nutze noch kein OPNsene. Bin aber mehr als interessiert. Die PPPoE-Geschichte finde ich aber bescheiden...
Edit:
Auch hier:
"Might I ask why you are using an OpenWRT device in front of Opnsense?"
"Yes of course. The PPPoE only gives me 250MB/s from the ONT. If I put my ISP box or my Openwrt router into the ONT then I get full 500MB/s out of the OPNsense interface."
https://forum.opnsense.org/index.php?topic=26328.0
Machte dieselbe Erfahrung. Höhere Bandbreite bei PPPoE via OpnSense läuft ein Kern auf Volllast, bei einer APU2 von PC Engines (GX-412TC quad core), bei ca. 290 MBit downstream ist die Fahnenstange erreicht, liegt aber nicht an der Hardware sondern wie schon in anderen Threads gezeigt an FreeBSD wie dort PPPoE implementiert ist.
Mein Workaround nun mit rund 1000 MBit (1 GBit): Vor der Firewall ein "Modem" rein zu PPPoE Einwahl, das wäre ein TP-LINK Archer C6 v3 mit OpenWrt 22.03.0. Dank SoC MediaTek MT7621DAT lässt sich Software und Hardware flow offloading aktivieren, ist zwar noch ein Experimental feature, aber es funktioniert. Ohne Offload nur knapp 400 MBit, mit Offloads über 900 MBit :-)
Sorry ich sehe in dem Artikel viel Nonsense und keinerlei konkrete Angabe zu Hardware. Da wird nur was geblubbert von "Atom und Pentium N" wird vielfach genutzt - yada yada yada. Dass es da aber fundamentale Unterschiede gibt, WAS für einen ATOM oder Pentium oder Celeron oder whatever CPU man da im Einsatz hat, ist schlichtweg weggelassen worden.
Ja PPPoE ist in FreeBSD noch recht ungeil im Vergleich(!) mit Linux bspw. als Plattform. Right. Es ist aber dann auch wieder egal, wenn ich genügend Leistung dagegen werfen kann. Wenn ich hier als Antwort von @Sieg (nicht negativ gemeint) was lese von AMD GX-412TC was einfach die steinalte APU2/3/4/5/6 APU SOC von AMD ist der eben einfach nicht wirklich schnell ist, dann sind da natürlich knapp 290Mbps schade aber nicht verwunderlich. Und dass es auf einem Kern läuft ist eben der Knackpunkt der Performance weil der PPPd in BSD da in Punkto Multithreading noch hinterher hinkt.
Da kann ich aber auch @Stevie nicht zustimmen, dass dann bei PPPoE Max "nichts mehr geht an anderen Diensten". Das ist genauso ungenau definiert und eigentlich Quark, denn die Performance ist nur deshalb "weg"/nicht da, weil der eine Kern am Maximum hängt. Hat man da einen langsamen 4-Kerner wie ne APU klemmt dann eben ein Core am Limit. Die anderen 3 können aber trotzdem ganz normal ackern, weswegen die restlichen Dienste da trotzdem - in Maßen - weiterlaufen können ohne all zu sehr beeinträchtigt zu werden. Hängt natürlich ebenso wieder an weiteren Tatsachen ob es bspw. CPU0 ist die am Limit hängt, wie das IRQ Handling zu der Zeit aussieht, etc.
Dafür ist die Tatsache aber auch dokumentiert & nachlesbar und daher empfiehlt sich für PPPoE eben generell, es entweder vor der Sense mit Exposed Host und Router/Modem mit Routing o.ä. abzurocken oder es einfach mit ner halbwegs aktuellen CPU zu machen wenn eh nur ein Gerät und HA keine Rolle spielt. Gigabit via PPPoE ist dann halt teuer oder schwierig zu erreichen ohne Zusatzbox.
Aber man sollte den Fakt auch nicht einfach generalisieren und mit "wird nicht schneller als 300Mbps" in den Raum stellen - das kommt eben wie immer auf die Hardware und den Einsatzzweck an, weswegen wir ja u.a. in den immer wieder aufpoppenden Threads zum Thema Hardware/Sizing immer und immer wieder auf genau diese Punkte (oder alte Threads wo genau das drinsteht ;) ) hinweisen und auf VPN, PPPoE und Co. zeigen, wenn man sich an die Dimensionierung der Hardware macht :)
Cheers
Intel(R) Celeron(R) J4125 CPU @ 2.00GHz (4 cores, 4 threads)
mit PPPoE Telekom
Core 1 bei max 70% Auslastung