Hallo Zusammen,
ich habe folgenden Aufbau. Die Grafik ist zwar nicht perfekt und noch nicht fertig, ist aber glaube immer noch besser als reiner Text.
(https://abload.de/thumb/netzwerk2uero.png) (https://abload.de/image.php?img=netzwerk2uero.png)
Ich habe die opnsense neu aufgesetzt und beim WAN Interface eine statische IP mit 192.168.0.254/24 vergeben und die Hacken bei Block private und bogon networks entfernt.
Als Upstream Gateway habe ich den Speedport mit 192.168.0.1 angegeben und dieser wird auch als Status online angezeigt.
Bei der Firewall habe ich erstmal alle Interfaces geöffnet: IPv4+6 (in/out) * * * * * *
Das Problem ist, dass ich nicht ins Internet komme... Erst wenn ich an meinen Rechner als Gateway den Speedport angebe, geht es. Ist das Gateway die FW (x.254), geht es nicht. Was auch sehr komisch ist, dass ich von einem Server auf Proxmox alles Pingen kann. Also:
192.168.0.254
192.168.111.254
192.168.112.254
192.168.115.254
192.168.115.1 (mein Rechner)
Es geht alles, nur nicht der Speedport unter 192.168.0.1.
Von meinem Rechner (192.168.115.1 & 192.168.0.11) aus, kann ich den Speedort pingen.
Aus opnsense heraus kann ich auch alles ping, bis auf 192.168.0.1 und 254. Die 254 ist ja das opnsense Interface und das konnte ich von einem Server aus pingen, aber nicht von opnsense selbst?
Ich verstehe es nicht... Am Speedport ist WLAN & DHCP deaktiviert. DHCP macht die opnsense für jedes Interface. Am Switch habe ich auch erstmal vlan deaktiviert, aber auch wenn ich den Port 4 und 23 als vlan einstelle, geht es nicht.
Im Live View Log von opnsense sehe ich auch nichts.
Hat jemand eine Idee, woran es liegen könnte? Bin echt am verzweifeln...
Ich hab hier paar Screenshots von den Einstellungen gemacht:
(https://abload.de/thumb/dhcp-land0iwz.jpg) (https://abload.de/image.php?img=dhcp-land0iwz.jpg) (https://abload.de/thumb/dhcp-wanv7e12.jpg) (https://abload.de/image.php?img=dhcp-wanv7e12.jpg) (https://abload.de/thumb/fiewwall-lanqkcix.jpg) (https://abload.de/image.php?img=fiewwall-lanqkcix.jpg) (https://abload.de/thumb/fiewwall-wan28f6h.jpg) (https://abload.de/image.php?img=fiewwall-wan28f6h.jpg) (https://abload.de/thumb/gatewayo6cpq.jpg) (https://abload.de/image.php?img=gatewayo6cpq.jpg) (https://abload.de/thumb/interface-lanuvegc.jpg) (https://abload.de/image.php?img=interface-lanuvegc.jpg) (https://abload.de/thumb/interface-wanmuc5g.jpg) (https://abload.de/image.php?img=interface-wanmuc5g.jpg)
Ist dir bewusst, dass deine ganzen LAN-Geräte immer noch hinter dem Speedport hängen und nicht hinter der OPNsense? Es sind also nur die Dienste auf der OPNsense von ihr geschützt.
Wozu brauchst du den Speedport noch? Die OPNsense könnte seine Stelle einnehmen.
Wie verbindet sich der Speedport, Kabel, VDSL, Glasfaser?
Welche IP von den 4 verschiedenen x.254 hattest du in deinem Rechner als Gateway angegeben? Nur 192.168.115.254, also LAN, wäre hier richtig.
Hey, Danke für die Antwort. Ja, das ist mir bewusst. Ich wollte erst die opnsense etc. konfigurieren und erst danach den Speedport entfernen. Nicht das ich dann aus Versehen direkt im Netz hänge.
Der DHCP der opnsense liefert als gateway ja immer die 192.168.x.254 aus. Ich hatte also die 192.168.115.254 als Gateway. In den Fall geht aber das Internet nicht. Früher ging es, aber ich wollte dann zwei Interfaces tauschen und habe in proxmox die Brücke angepasst, danach in opnsense die Zuordnung. Dabei ist mir ein Fehler passiert und es ging nicht mehr. Zeitweise nur IPv6. Ich hab die opnsense dann resetet und hänge immer noch.
Was mich wundert ist, dass ich den Router nicht anpingen kann, aber sonst alles services in allen Netzwerken. Erst wenn ich mir lokal eine IP aus dem Netz gebe, kann ich den ping machen. Früher ging es ja auch.
Hatte schon überlegt ppoe einzurichten, da ich Glassfaser habe. Müsste dann die FW regeln von WAN löschen, Gateway raus und Block privat und bogon networks. Am Switch dann vlan 7 für Port 7 und 23. Ich verstehe aber nicht, wo der Fehler gerade ist...
Ich vermute in deinem Proxmox ist etwas nicht richtig eingestellt. Beim WAN solltest du aber trotzdem "Block private networks" und "Block bogon networks" anhaken. Das wäre nur notwendig wenn der Speedport einen Port an die OPNsense weiterleiten würde.
Das "Far gateway" im Gateway brauchst du auch nicht, da WAN und Gateway eine IP im gleichen Netz haben.
OK, Danke für den Hinweis.
Was könnte den bei proxmox falsch sein. So viel gibt es da ja nicht...
(https://abload.de/thumb/proxmox-network6kdju.jpg) (https://abload.de/image.php?img=proxmox-network6kdju.jpg) (https://abload.de/thumb/proxmox-opnsenselgcan.jpg) (https://abload.de/image.php?img=proxmox-opnsenselgcan.jpg) (https://abload.de/thumb/interface-assignmentsudeva.jpg) (https://abload.de/image.php?img=interface-assignmentsudeva.jpg)
Ich könnte natürlich auch mal schauen, dass ich einen anderen Switch verwende, um hier einen Fehler auszuschließen. Aber auch hier, habe ich extra alle vlans deaktiviert, damit es dadurch keine Probleme gibt. Aber wenn opnsense soweit gut aussieht, dann schaue ich jetzt nochmal bei proxmox.
In den Tutorials ist die Firewall bei den Bridge-Ports immer angehakt und ausgegraut (bedeutet wohl dass sie generell aus ist).
Die Proxmox-Wiki sagt: "The firewall is completely disabled by default, so you need to set the enable option here".
Hast du diese vielleicht global aktiviert?
Mir ist noch aufgefallen, dass deine fixe LAN-IP im LAN DHCP-Bereich liegt. Setze diesen mal auf 192.168.115.100-192.168.115.199. Oder der Screenshot ist rechts abgeschnitten.
Die Firewall ist in proxmox ist datacenter ebene per default zwar deaktiviert, jedoch auf node ebene standardmaäßig aktiv und auch bei den bridges. Ich habe hier auch nie etwas angepasst.
Der LAN-Bereich geht von 10-245 und die statische IP ist 254. Ich hatte den Screenshot da blöderweise abgeschnitten.
Hattest du schon mal probiert den Speedport direkt an WAN anzuschließen anstatt über den Switch?
Gute Idee. Habe es eben ausprobiert, wobei ich es nicht direkt anschließen konnte, sondern über einen kleinen Switch. Hat leider auch nicht geholfen. Gestern hatte ich auch mal meinen PC, den Server und den Speedport an den Switch gehängt, um den Switch auszuschließen. Das hat leider auch nicht funktioniert.
Ich hatte mal überlegt, ob es am DNS liegen könnte, aber das würde ja nicht erklären, wieso ich den Speedport nicht pingen kann. Wieso wird dann das Gateway in der opnsense als online angezeigt. Oh man...
Danke aber auf alle Fälle für die Hilfe!
Verwende mal die Diagnose-Tools in OPNsense um zu sehen ob die OPNsense selbst eine Internetverbindung hat oder suche nach einem Update.
Auf deinem PC kannst du mal https://1.1.1.1/ aufrufen, wenn die Seite lädt, weißt du dass es ein DNS-Problem ist.
Mach mal folgendes.
DHCP auf Speed port an.
Wan Verbindung Proxmox direkt in den Speedport. Wan Opensense auf DHCP.
Speedport nicht mehr an den switch.
Block privat net auf Opnsense aus.
Die Wan Netzwerkkarte im proxmox sollte eine Linux Bridge ohne ip sein. Im Proxmox
Sind irgendwelche vlans auf proxmox an?
Quote from: lewald on August 28, 2023, 06:05:56 PM
Mach mal folgendes.
DHCP auf Speed port an.
Wan Verbindung Proxmox direkt in den Speedport. Wan Opensense auf DHCP.
Hätte ich dann nicht zwei DHCP auf einem Netz? Ich habe den Speedport direkt an den WAN Port vom Server angeschlossen und in Linux Bridge ist auch keine IP beim WAN vergeben und auch keine vlans. Hat leider nicht geklappt.
Ich habe gestern die VM gelöscht und opnsense von Grund auf neu Installiert. Jetzt läuft es. Auf den ubiquiti sind alle Port per vlan gesichert und kabelgebundene Clients kommen ins Internet und sehen sich auch gegenseitig (fw ist für Tests komplett offen).
Ich habe nur noch ein Problem mit dem WLAN. Die Clients verbinden sich nicht mit den APs. Laut opnsense wird ein dhcp lease ausgeliefert und der unifi controller meldet, dass das Gerät eine IP bekommen hat, aber das Gerät scheint diese entweder zu verwerfen, oder nicht richtig zu bekommen. In opnsense ist auch kein lease aufgeführt.
Gebe ich meinem Handy bspw. eine statische IP, bleibt die WLAN Verbindung bestehen, aber ich habe trotzdem kein Internet. Ich würde jetzt die opnsense ausschließen, da sie komplett neu ist. Was hab ich nur letzten Freitag angestellt, dass es all meine Services so zerschossen hat.
EDIT: Es geht jetzt wieder. Ich hatte die Port am Switch wo die APs hängen ebenfalls ins "LAN" vlan gepackt. Hab die Port jetzt wieder auf "Default", aber das Netzwerk der APs überschrieben und auf "LAN" gestellt. Jetzt geht es.