Hi zusammen,
ich versuche eine Internetverbindung über Glas über die Telkom über OPNsense herzustellen.
Zum Setup.
es sind ein onboard NIC und 4 weitere auf einer zusätzlichen Karte vorhanden.
Die Idee.
der onboard NIC soll ... nicht verwendet werden
1. NIC: kupfer zu Glasfaser modem der Telekom
2. NIC: internes LAN
3. NIC: GAST LAN
ich habe jetzt schon sooooo viel gelesen und gesehen aber komme dennoch nicht vorran, ggf. kann mir jemand zeigen wo der Fehler ist...
Beim WAN steht das Device auf pppoe0
Bei PPPoE sthet Link interface vlan0.7
Bei VLAN0.7 steht Parent auf vtnet1
vtnet1 wurde bei der Konfiguration von OPNsense auf WAN gesetzt
anbei Screenshots von meinen Einstellungen.
Wie müssen die Zugangsdaten von der Telekom eingegeben werden?
mit oder ohne # dazwischen?
Anschlusskennung(12Ziffern)Zugangsnummer(12Ziffern)Mitbenutzernummer(4Ziffern)
123456789012#123456789012#0004@t-online.de
123456789012123456789012#0004@t-online.de
1234567890121234567890120004@t-online.de
kann das Kennwort das "standard" Kennwort aus dem Zugangsdaten Brief sein oder muss dafür extra eins in der App erstellt werden?
vielen Dank und viele Grüße
Quotevtnet1 ...
Es handelt sich also um eine virtualisierte Installation? Weshalb schreibst du das nicht dazu? Das ist die wichtigste Angabe überhaupt. Welcher Hypervisor und wie hast du die Interfaces der OPNsense-VM zugewiesen?
ja es handelt sich um eine VM auf Proxmox.
hätte ich gewusst, dass das wichtig ist, hätte ich es selbstverständlich dazu geschrieben.
Die Verwirrung tut mir leid und war nicht beabsichtigt...
siehe anbei
Hi zusammen,
gibt es denn niemanden hier im Forum, der bei der Telekom Glasfaser hat und OPNsense auf proxmox laufen lässt und mir hier weiterhelfen kann?
ich bin auch für alternative Wege offen...
danke und Grüße
Ich habe Glasfaser bei der Telekom aber nirgends eine virtualisierte Firewall. Und Proxmox habe ich auch nirgends. Deshalb kann ich leider nicht helfen.
Ohne allzu tief einzusteigen: Du setzt das VLAN-Tag sowohl im Proxmox als auch in der virtuellen OpnSense. Das kann nicht klappen.
Keine Glasfaser hier. :-)
Hast du nicht einen alten PC für die ersten Schritte? Das nimmt Probleme mit virtuellen Installationen schon mal aus dem Spiel.
Prinzipiell scheint das ja kein Problem zu sein mit OPNsense...
https://forum.opnsense.org/index.php?topic=32432.0
https://forum.opnsense.org/index.php?topic=21556.0
Quote from: FK10G on April 12, 2024, 06:03:07 PM
123456789012#123456789012#0004@t-online.de
123456789012123456789012#0004@t-online.de
1234567890121234567890120004@t-online.de
kann das Kennwort das "standard" Kennwort aus dem Zugangsdaten Brief sein oder muss dafür extra eins in der App erstellt werden?
Ohne Gartenzaun ;) ....
Du brauchst halt ein VLAN mit Tag 7. Der Parent muss das WAN interface sein.
unter Point-to-Point brauchst du dann ein neues interface und du musst beide Interfaces verlinken.
HI Leute,
danke für die zahlreichen Antworten.
Quote from: Patrick M. Hausen on April 15, 2024, 10:13:38 AM
Ich habe Glasfaser bei der Telekom aber nirgends eine virtualisierte Firewall. Und Proxmox habe ich auch nirgends. Deshalb kann ich leider nicht helfen.
trotzdem danke. macht das so einen großen Unterschied ob OPNsense auf eigener Hardware installiert ist oder virtualisiert ist?
Quote from: meyergru on April 15, 2024, 10:19:05 AM
Ohne allzu tief einzusteigen: Du setzt das VLAN-Tag sowohl im Proxmox als auch in der virtuellen OpnSense. Das kann nicht klappen.
Danke. Dann nehme ich dass mal bei Proxmox raus. passen die Einstellungen in OPNsense?
Quote from: chemlud on April 15, 2024, 10:23:12 AM
Keine Glasfaser hier. :-)
Hast du nicht einen alten PC für die ersten Schritte? Das nimmt Probleme mit virtuellen Installationen schon mal aus dem Spiel.
Prinzipiell scheint das ja kein Problem zu sein mit OPNsense...
https://forum.opnsense.org/index.php?topic=32432.0
https://forum.opnsense.org/index.php?topic=21556.0
doch schon, aber keinen mit mehr als zwei LAN anschlüssen...
werde die Posts nachher durchgehen und Rückmelden, danke! oder würde das zur Not auch mit einem alten Laptop klappen? Also LAN für WAN und WLAN für das weitere Netzwerk?
Quote from: br0ken.pipe on April 15, 2024, 11:46:47 AM
Ohne Gartenzaun ;) ....
Du brauchst halt ein VLAN mit Tag 7. Der Parent muss das WAN interface sein.
unter Point-to-Point brauchst du dann ein neues interface und du musst beide Interfaces verlinken.
Danke, dann werde ich mal dieser Version nutzen / versuchen...
1234567890121234567890120004@t-online.de
stimmen die anderen Einstellungen?
Danke und viele Grüße
Quote from: FK10G on April 15, 2024, 12:33:14 PM
trotzdem danke. macht das so einen großen Unterschied ob OPNsense auf eigener Hardware installiert ist oder virtualisiert ist?
Wegen des ganzen Bridge/Virtual whatever Interface Setups m.E. schon. Ich hab einfach keine Ahnung wie Proxmox das handhabt. Und was passiert, wenn man z.B. in einer VM auf einem virtuellen Interface ein VLAN-Tag setzt? Geht das überhaupt? Wie ist es mit MAC address spoofing etc. pp.
Du kannst natürlich ein WAN und ein LAN mit PCIe-Passthrough in deine VM mappen. Dann besteht kein wesentlicher Unterschied. Das tun aber die Wenigsten, nach dem, was ich hier so lese.
Wie bereits von anderen bemerkt, macht doppeltes VLAN Tagging keinen Sinn. Wäre mal interessant zu wissen, ob du dann doppelte Tags in den Ethernet Frames am physischen Interface bekommst.
Die von mir bevorzugte Lösung wäre jedoch den VLAN Tag auf Proxmox VM Ebene zu setzen und in OPNsense ohne tagging zu arbeiten, also PPPoE direkt auf das WAN interface. Ich betrachte die Proxmox Bridge (VLAN aware) als Managed Switch, dem man mit dem VLAN Tag an der VM den virtuellen Port konfiguriert. Das ist genau so, als ob du einen physischen Switch an einer physischen OPNsense ohne VLAN anschliesst und den Switch Port mit VLAN 7 konfiguriert hättest. Einfach die Verantwortlichkeiten immer schön getrennt halten.
Wenn das VLAN Tagging unbedingt von der Sense gemacht werden soll, gibt es 2 Lösungen:
1) Das physische Interface durchreichen oder
2) eine VLAN aware Bridge in Proxmox einrichten, aber der VM kein VLAN Tag zuweisen
Die erste Lösung funktioniert ohne den Overhead der Bridge, kann aber nur einmal durchgereicht werden und, im Gegensatz zur 2. Lösung, nicht auf eine andere Instanz eines Proxmox Server Clusters migriert werden, wenn der nicht die selbe Hardware für speziell diese VM bereit hält.
Aus leidvoller Erfahrung sei mir noch die Bemerkung erlaubt, dass man beim Einsatz virtualisierter Router immer Sorge dafür tragen sollte von den Rechnern der Administratoren auch dann die Virtualisierungsserver erreichen zu können, wenn die Router VM nicht funktioniert oder läuft. Das gilt insbesondere für IPMI Verbindungen.
Quote from: mooh on April 15, 2024, 02:15:57 PM
Die von mir bevorzugte Lösung wäre jedoch den VLAN Tag auf Proxmox VM Ebene zu setzen und in OPNsense ohne tagging zu arbeiten, also PPPoE direkt auf das WAN interface. Ich betrachte die Proxmox Bridge (VLAN aware) als Managed Switch, dem man mit dem VLAN Tag an der VM den virtuellen Port konfiguriert. Das ist genau so, als ob du einen physischen Switch an einer physischen OPNsense ohne VLAN anschliesst und den Switch Port mit VLAN 7 konfiguriert hättest. Einfach die Verantwortlichkeiten immer schön getrennt halten.
Damit verbaust Du Dir aber die Möglichkeit, auf das Web-UI des ONT zuzugreifen - weil alles, was von der OpnSense kommt, dann mit VLAN 7 getagged wird.
Und das VLAN für das WAN-Interface über einen Switch zu realisieren, hat weder in einem physischen noch in einer virtuellen Firewall seine Berechtigung:
Man will im Idealfall eine möglich starke Trennung von LAN und WAN haben, deswegen wird man ja gerade den WAN-Anschluss an einem physisch anderen Interface als das LAN haben wollen. Man sollte LAN und WAN nicht wieder am Switch zusammenführen, wo im Zweifel durch Implementierungsfehler bei VLANs dann doch wieder ein "Ausbruch" möglich wird. Der OP verwendet ja offenbar auch mehrere physische Interfaces.
Die Ausnahme wäre eine absolute Sparlösung wie ein Router-on-a-Stick.
Die "Trennung von Aufgaben" ist für diesen speziellen Fall irrelevant: Es ist quasi nur zufällig so, dass für die Verbindungsaufnahme (und dafür ist die OpnSense definitiv zuständig!) eben ein VLAN benötigt wird.
Und auch auf der LAN-Seite muss normalerweise die OpnSense das VLAN-Tagging machen - weil man idealerweise ja einen Trunk-Port zum Switch hernimmt, oder, wie in diesem Fall, zur Proxmox-Bridge für die (V)LANs.
Aus diesen Gründen würde ich das niemals so machen.
Quote from: meyergru on April 15, 2024, 04:14:23 PM
Damit verbaust Du Dir aber die Möglichkeit, auf das Web-UI des ONT zuzugreifen - weil alles, was von der OpnSense kommt, dann mit VLAN 7 getagged wird.
Hat so ein ONT nur einen Port? Bei meinen DSL-Modems nehme ich tatsächlich zweimal Ethernet zum Modem, einmal mit Tag für PPPoE und einmal ohne.
Ja, normal ist das so. Sowohl die typischen externen ONTs als notwendigerweise die SFP-ONTs bieten nur einen Anschluss. Ich kenne das aber auch bei anderen Modem-Typen meist nicht anders (z.B. Vigor DSL-Modems). Was für ein DSL-Modem hat denn mehrere Ports?
Quote from: Patrick M. Hausen on April 15, 2024, 01:08:59 PM
Du kannst natürlich ein WAN und ein LAN mit PCIe-Passthrough in deine VM mappen. Dann besteht kein wesentlicher Unterschied. Das tun aber die Wenigsten, nach dem, was ich hier so lese.
kann ich leider nicht, weil ... wenn ich einen Port in Proxmox über PCI hinzufüge die VM mit OPNsense nicht mehr startet... hab keine Ahnung warum...
also bleibts bei Bridgen...
und siehe da....
keine Änderung in Proxmox, sondern lediglich ....
Quote from: mooh on April 15, 2024, 02:15:57 PM
Die von mir bevorzugte Lösung wäre jedoch den VLAN Tag auf Proxmox VM Ebene zu setzen und in OPNsense ohne tagging zu arbeiten, also PPPoE direkt auf das WAN interface. Ich betrachte die Proxmox Bridge (VLAN aware) als Managed Switch, dem man mit dem VLAN Tag an der VM den virtuellen Port konfiguriert. Das ist genau so, als ob du einen physischen Switch an einer physischen OPNsense ohne VLAN anschliesst und den Switch Port mit VLAN 7 konfiguriert hättest. Einfach die Verantwortlichkeiten immer schön getrennt halten.
.... und JUHU!!!!! ICH BIN ONLINE!!!!
OPNsense stellt eine Verbindung her. ich kann updates ziehen und Plugin installieren und das alles ohne Fritzbox!!!!
siehe Bilder anbei, für alle die das auch mal machen wollen...
Jetzt hab ich nur noch das Problem das OPNsense das ausschließlich für sich beansprucht...
also auf OPT1 ist zwar ein DHCP am laufen, vergibt auch adressen, Internet bekommt OPT1 aber nicht...
Problem gerade erkannt, ich suche mal.... Wenn jemand einen heißen Tipp hat.... würde ich mir ggf. viel suchen ersparen
Achja und DANKE ich bin mega glücklich!!!
Quote from: meyergru on April 15, 2024, 04:19:52 PM
Ja, normal ist das so. Sowohl die typischen externen ONTs als notwendigerweise die SFP-ONTs bieten nur einen Anschluss. Ich kenne das aber auch bei anderen Modem-Typen meist nicht anders (z.B. Vigor DSL-Modems). Was für ein DSL-Modem hat denn mehrere Ports?
Sowohl der Draytek Vigor 167 (2 Ports) als auch die Zyxel VMG1312-B30A und VMG3006-D70A (jeweils 4 Ports).
Interessant, ich hatte mal einen Vigor 130, der hatte nur einen Port. Ab dem 165 haben sie wohl zwei. Bei den Zyxels ist es klar, die sind eigentlich Router und haben deswegen mehr Ports.
Die Vigor 16x sind auch Router. Wenn man sie so konfiguriert.
QuoteProblem gerade erkannt, ich suche mal.... Wenn jemand einen heißen Tipp hat.... würde ich mir ggf. viel suchen ersparen
Upstream Gateway definiert und online?
Pass Regeln auf OPT1 definiert und online?
Nutzt du unbound oder dnsmasq oder gleich das Telekom DNS?
DNS richtig konfiguriert auf DHCP?
Damit sollte man schon mal weiter kommen.
Also ich hab jetzt gelesen und rumprobiert, komme aber auf keinen grünen Nenner....
Ich entschuldige mich gleich mal vorweg für meine Unkenntnis...
Quote from: Saarbremer on April 15, 2024, 05:29:19 PM
Upstream Gateway definiert und online?
ähm... naja... keine Ahnung... siehe Bild
Quote from: Saarbremer on April 15, 2024, 05:29:19 PM
Pass Regeln auf OPT1 definiert und online?
hab zum Test die Firewall komplett ausgeschaltet. also daran sollte es nicht liegen
Quote from: Saarbremer on April 15, 2024, 05:29:19 PM
Nutzt du unbound oder dnsmasq oder gleich das Telekom DNS?
ähm.... keine Ahnung, wie sollte das aussehen?
Quote from: Saarbremer on April 15, 2024, 05:29:19 PM
DNS richtig konfiguriert auf DHCP?
wo wird das gemacht?
Quote from: Saarbremer on April 15, 2024, 05:29:19 PM
Damit sollte man schon mal weiter kommen.
naja wer vom Fach ist... für den ist das ab jetzt wohl ein Kinderspiel...
immerhin bekomme ich über den Ping Test inzwischen antwort....
Aber über den Browser komm ich immer noch nicht rein und pingen vom PC aus also über CMD geht auch nicht...
es ist bestimmt nur ein Hacken.... aber halt wo...
danke für eure Hilfe
Ist denn auf OPT1 schon eine Firewallregel, die irgendwelchen Traffic zulässt?
Ich verstehe deine Gateways nicht.
Auf IPv6 scheint es ein Gateway auf WAN zu geben, für IPv4 routest du aber alles nach OPT1. So funktioniert IPv4 Internet bei dir vermutlich nicht. Ebenso die anderen Gateways sind seltsam. Hast du einen anderen DHCP Server in jedem Netz, der ein Gateway announced? Oder ist dein Netzwerk nicht sauber getrennt? Das ist alles sehr wirr.
Und was macht PPPoE auf WAN (defunct)?
Grundsätzlich sollte man Gateways nur auf Anschlüssen haben die ins Internet gehen, also WAN. Je nach Anschlusstyp per DHCP(v4/v6) empfangen, statisch gesetzt oder per PPPoE empfangen.
Quote from: chemlud on April 15, 2024, 07:11:16 PM
Ist denn auf OPT1 schon eine Firewallregel, die irgendwelchen Traffic zulässt?
denke schon, kann aber noch kein Problem sein, da die Firewall zum Test komplett aus ist.
Quote from: Saarbremer on April 16, 2024, 10:05:31 AM
Ich verstehe deine Gateways nicht.
HA! ich auch nicht!
Quote from: Saarbremer on April 16, 2024, 10:05:31 AM
Auf IPv6 scheint es ein Gateway auf WAN zu geben, für IPv4 routest du aber alles nach OPT1. So funktioniert IPv4 Internet bei dir vermutlich nicht. Ebenso die anderen Gateways sind seltsam. Hast du einen anderen DHCP Server in jedem Netz, der ein Gateway announced? Oder ist dein Netzwerk nicht sauber getrennt? Das ist alles sehr wirr.
gibt keinen DHCP Server.
Die idee ist:
WAN baut die Internetverbindung auf und die anderen Ports nutzen diese....
Quote from: Saarbremer on April 16, 2024, 10:05:31 AM
Und was macht PPPoE auf WAN (defunct)?
keine Ahnung, was ist defunct?
Quote from: Saarbremer on April 16, 2024, 10:05:31 AM
Grundsätzlich sollte man Gateways nur auf Anschlüssen haben die ins Internet gehen, also WAN. Je nach Anschlusstyp per DHCP(v4/v6) empfangen, statisch gesetzt oder per PPPoE empfangen.
hab jetzt mal das andere auf WAN deaktiviert.
Aber wie sage ich dem port OPT1 dass er bitte über WAN ins Internet gehen soll?
Danke und Grüße
Quote from: FK10G on April 16, 2024, 11:32:34 AM
Aber wie sage ich dem port OPT1 dass er bitte über WAN ins Internet gehen soll?
Indem die Clients, die an OPT1 angeschlossen sind, die IP-Adresse der OPNsense an OPT1 als Default-Gateway haben. Das sagt ihnen normalerweise der DHCP-Server auf der OPNsense.
Die OPNsense braucht im Standardfall nur einen Gateway: den Default-Gateway an WAN. Damit routet sie alles, was nicht lokal ist, dort hin.
Für IPv4 wird "Firewall aus" in der Regel nicht funktionieren, da du dann natürlich auch kein NAT hast. Das ist auch eine Firewall-Funktion.
Quote from: meyergru on April 15, 2024, 04:14:23 PM
Damit verbaust Du Dir aber die Möglichkeit, auf das Web-UI des ONT zuzugreifen - weil alles, was von der OpnSense kommt, dann mit VLAN 7 getagged wird.
Stimmt, mein Fehler.
Wenn man die Proxmox Bridge als Trunk Port zu nutzt, kann man auch ungetaggten Traffic zum Modem mit einer NAT Regel schicken und auch andere VLANs gleichzeitig nutzen.
Aber immerhin ist der Frager jetzt online und kann sich die für ihn optimale Lösung aussuchen.
Quote from: Patrick M. Hausen on April 16, 2024, 11:35:24 AM
Indem die Clients, die an OPT1 angeschlossen sind, die IP-Adresse der OPNsense an OPT1 als Default-Gateway haben. Das sagt ihnen normalerweise der DHCP-Server auf der OPNsense.
Das habe ich eingetragen und funktioniert auch... also denke ich zumindest
Quote from: Patrick M. Hausen on April 16, 2024, 11:35:24 AM
Die OPNsense braucht im Standardfall nur einen Gateway: den Default-Gateway an WAN. Damit routet sie alles, was nicht lokal ist, dort hin.
dann habe ich doch ein Gateway für OPT1 und eins für WAN, oder?
Quote from: Patrick M. Hausen on April 16, 2024, 11:35:24 AM
Für IPv4 wird "Firewall aus" in der Regel nicht funktionieren, da du dann natürlich auch kein NAT hast. Das ist auch eine Firewall-Funktion.
siehe anbei, sollte passen...
aber bis jetzt komm ich immer noch nicht rein...
ABER der Windows test PC angeschlossen an OPT1 zeigt Internet an, im Browser komm ich dennoch nicht rein...
Quote from: FK10G on April 16, 2024, 02:55:55 PM
dann habe ich doch ein Gateway für OPT1 und eins für WAN, oder?
Nein, wieso? Die OPNsense
ist der Gateway, sie
hat kein weiteres Gateway an OPT1. Gateway in der OPNsense UI sind weitere externe Router, die die OPNsense als Gateway benutzt.
Soll das hier eigentlich eine große Belustigung werden?
Von selbst kommt der ganze Kram an Regeln und Gateways nicht in eine OPNSense. Viel Glück weiterhin.
Quote from: Saarbremer on April 16, 2024, 04:49:56 PM
Soll das hier eigentlich eine große Belustigung werden?
Von selbst kommt der ganze Kram an Regeln und Gateways nicht in eine OPNSense. Viel Glück weiterhin.
Ja danke, ich fühle mich auch sehr belustigt!
mir war nicht bewusst, dass man hier als Anfänger kein Recht hat ggf. für euch "dumme" Fragen zu stellen.
Ich hoffe das ist auch nicht korrekt.
wenn ich mich über ssh an der OPNsense anmelde kann ich über den Menüpunkt 7 einen host anpingen.
mach ich das mit www.google.de
klappt das -> 0,0% packet loss
wenn ich da aber 1.1.1.1 oder 8.8.8.8 angebe geht garnix (100,0% packet loss).
was fehlt?
habe schon bei Regeln alles aufgemacht, was man so aufmachen kann...
Gateway ist jetzt nur noch eins aktiv auf WAN mit IPv4 255 upstream und die adresse ist die gleiche wie die von der OPNsense....
Statt irgendwelche Dinge "aufzumachen" geh doch mal systematisch vor.
Eine frisch installierte OPNsense hat sinnvolle Defaults für einen Internet Gateway.
Maschine installieren, PC an die erste Netzwerkschnittstelle hängen.
PC bekommt IP Adresse, UI auf 192.168.1.1 aufrufen und anmelden.
WAN konfigurieren (PPPoe oder DHCP oder was nötig ist), WAN in die zweite Netzwerkschnittstelle stecken.
Fertig. Der PC an LAN kommt jetzt ins Internet mit einer sinnvollen sicheren Konfiguration.
Es gibt keinen Grund, anders vorzugehen, weil jede Änderung auch eine mögliche Fehlerursache ist. Wenn das so nicht läuft, dann schraubt man eben nicht an N unbeteiligten Einstellungen rum, dadurch wird es nämlich praktisch unmöglich, z.B. aus der Ferne über ein Forum zu erraten, wo das Problem liegen könnte.
Das Problem liegt an deiner Konfiguration und nur daran. Da aber niemand hier nachvollziehen kann, was du eigentlich konfiguriert hast ...
Nochmal: steck das frisch installierte Gerät ans Netz, konfigurier das WAN über den Wizard oder manuell, fertig. Danach geht "Internet". Keine Gateways, keine Regeln, kein "aufmachen". Wenn "Internet" nicht geht, dann kann man dir von hier aus helfen.
gut, so probier ichs.
fange einfach nochmal an und dann schauen wir weiter.
so, erledigt.
genauso gemacht wie beschrieben, aber das Ergebnis ist genau das gleiche....
Also die Einstellungen sind alle unverändert der Neuinstallation....
Du kannst dich einloggen über den LAN-Port? Was ist denn der Status des WAN-Interfaces? Lass mal die Netzwerkübersicht raus (Interfaces > Overview, IIRC)
Quote from: Patrick M. Hausen on April 16, 2024, 07:10:29 PM
Du kannst dich einloggen über den LAN-Port? Was ist denn der Status des WAN-Interfaces? Lass mal die Netzwerkübersicht raus (Interfaces > Overview, IIRC)
ja, einloggen über LAN-Port ist möglich.
so, siehe anbei.
WAN war sofort nach dem Wizard online und OPNsense konnte updaten.
also Internet da
ping über putty zu Google möglich zu 1.1.1.1 nicht
ping über die Weboberfläche zu Google NICHT möglich
Browser kommt auch nicht ins Internet
dann habe ich de Regeln wie im Anhang hinzugefügt, leider ohne erfolg....
bin etwas ratlos...
Die WAN Regel gehört da weg. Die beiden LAN-Regeln sind völlig ausreichend. Das meinte ich mit sinnvollen Defaults und "rumschrauben". Du musst nichts an den Default-Einstellungen ändern. Punkt.
Das ganze ist virtualisiert. Das ist eine Ecke, wo man suchen sollte.
Dann: bei einer frischen Installation ist LAN immer auf dem ersten Interface. Weshalb ist es bei dir auf vtnet1 und was ist dieses unassigned vtnet0?
Hast du outbound NAT an / automatische Regeln vorhanden? Oder ist die Firewall immer noch aus?
Scheinbar geht nur IPv6.
Er hat doch angeblich frisch installiert ... :-\
Glücklicherweise habe ich keine Ahnung von PPPoE mit der OPNsense. Bei statischen setups können die automatischen NAT Regeln allerdings verschwinden, wenn man im wann interface das upstream gateway auf Auto-detect setzt. Vielleicht sowas?
Quote from: Patrick M. Hausen on April 16, 2024, 07:46:14 PM
Die WAN Regel gehört da weg. Die beiden LAN-Regeln sind völlig ausreichend. Das meinte ich mit sinnvollen Defaults und "rumschrauben". Du musst nichts an den Default-Einstellungen ändern. Punkt.
ich habe nach einer kompletten neuinstallation die WAN vebindung über das Wizard herstellen lassen und war sofort online.
ABER mit dem gleichen Effekt wie oben, also dachte ich, ich muss da ggf. auch was auf machen...
-> Also lösche ich alle von mir ersellen WAN reglen wieder.
Quote from: Patrick M. Hausen on April 16, 2024, 07:46:14 PM
Das ganze ist virtualisiert. Das ist eine Ecke, wo man suchen sollte.
diese vermutung habe ich langsam auch...
finde es halt komisch das OPNsense ins Internet kommt, es aber nicht weitergibt... siehe ping ergebnisse.
Quote from: Patrick M. Hausen on April 16, 2024, 07:46:14 PM
Dann: bei einer frischen Installation ist LAN immer auf dem ersten Interface. Weshalb ist es bei dir auf vtnet1 und was ist dieses unassigned vtnet0?
der Server hat einen Onboard anschluss (das war der LAN anschluss in der ersten installation)
und vier zusätzliche LAN ports.
der erste davon ist mein WAN und der zweite mein neues LAN (neuinstallation gestern abend)
vtnet0 = WAN -> wird aber durch pppoe umbenannt, deshalb wohl das unassigned interface vtnet0
was ist enc0 und pflog0?
Quote from: Saarbremer on April 16, 2024, 10:00:37 PM
Hast du outbound NAT an / automatische Regeln vorhanden? Oder ist die Firewall immer noch aus?
standard nach Neuinstallation, also soweit ich sehen kann ist outbound NAT an. habe hier nichts geändert.
Firewall ist, abgesehen von den im Foto hinzugefügten rules alles standard.
Quote from: Saarbremer on April 16, 2024, 10:00:37 PM
Scheinbar geht nur IPv6.
woran erkennst du das?
blöde frage... (ja... mal wieder... ;-)) würde das nicht reichen?
Quote from: Patrick M. Hausen on April 16, 2024, 10:01:45 PM
Er hat doch angeblich frisch installiert ... :-\
ja nicht nur angeblich, sondern echt ;-)
die "alte" VM ist auch noch da... jetzt sinds halt zwei
Quote from: Saarbremer on April 16, 2024, 10:10:44 PM
Glücklicherweise habe ich keine Ahnung von PPPoE mit der OPNsense. Bei statischen setups können die automatischen NAT Regeln allerdings verschwinden, wenn man im wann interface das upstream gateway auf Auto-detect setzt. Vielleicht sowas?
das pppoe war, zumindest aus jetziger Sicht, relativ einfach.
Wo im WAN interface stell ich das denn ein?
weil bei IPv4 Configuration type steht PPPoE und somit keine upstream Wahlmöglichkeit mehr da...
Wenn du so viele Interfaces hast, kannst du für die VM nicht PCIe passthrough benutzen und ihr 2 Interfaces dediziert geben statt virtueller Interfaces?
QuoteScheinbar geht nur IPv6.
woran erkennst du das?
Du kannst zwar google.de anpingen, aber nicht 1.1.1.1. Da du leider nicht sagst, wohin google.de aufgelöst hat, ist das aber nur geraten.
Wenn IPv4 Internet nicht geht kann das zwei Ursachen haben:
IPv4 Gateway / Route kaputt
IPv4 NAT outbound kaputt
Bei kaputtem NAT hat die OPNSense Internet, aber alle dahinterliegenden Netze nicht. Das hast du auch irgendwo geschrieben. Aber ehrlich gesagt, muss man empfehlen was man immer empfiehlt:
1. Prüfe deine Virtualisierungsumgebung auf korrekte Zuordnung der Interfaces und VLANs.
2. Debugge Probleme mit Firewall Live View und Packet Capture auf den relevanten Schnittstellen.
3. Achte auf die Fehlermeldungen der Clients, die geben Aufschluss darüber, ob Route fehlt, DNS nicht geht oder einfach nur geblockt wird.
Quote from: Patrick M. Hausen on April 17, 2024, 09:36:22 AM
Wenn du so viele Interfaces hast, kannst du für die VM nicht PCIe passthrough benutzen und ihr 2 Interfaces dediziert geben statt virtueller Interfaces?
das war die erste Idee, das geht aber aus mir unerklärlichen Gründen nicht.
Wenn ich, egal welchen Anschluss über PCIe passthrough an die VM anhänge startet diese nicht.
Quote from: Saarbremer on April 17, 2024, 09:39:52 AM
Du kannst zwar google.de anpingen, aber nicht 1.1.1.1. Da du leider nicht sagst, wohin google.de aufgelöst hat, ist das aber nur geraten.
wo sehe ich denn wohin aufgelöst wird... also ist ja nicht so, dass ich das nicht sagen will ;-)
Quote from: Saarbremer on April 17, 2024, 09:39:52 AM
Wenn IPv4 Internet nicht geht kann das zwei Ursachen haben:
IPv4 Gateway / Route kaputt
IPv4 NAT outbound kaputt
ok, interessant... mir ist aufgefallen, dass es keine einzige route gibt... da ich mich nicht auskenne habe ich hier auch nichts eingetragen... [System / Routes / Configuration]
soll das so?
Wie kann ich NAT outbound kaputt prüfen?
hab nix eingestellt, ist immer noch standard, siehe Bild...
Quote from: Saarbremer on April 17, 2024, 09:39:52 AM
Bei kaputtem NAT hat die OPNSense Internet, aber alle dahinterliegenden Netze nicht. Das hast du auch irgendwo geschrieben. Aber ehrlich gesagt, muss man empfehlen was man immer empfiehlt:
1. Prüfe deine Virtualisierungsumgebung auf korrekte Zuordnung der Interfaces und VLANs.
2. Debugge Probleme mit Firewall Live View und Packet Capture auf den relevanten Schnittstellen.
3. Achte auf die Fehlermeldungen der Clients, die geben Aufschluss darüber, ob Route fehlt, DNS nicht geht oder einfach nur geblockt wird.
das ist mein nächster Schritt.... ich prüfe nochmal die VM einstellungen, bzw. lege die Bridges neu an mit zusätzlichen freigaben...
die Firewall zeigt keine Meldungen mehr... alles grün
leider gibts keine Fehlermeldungen... wo sehe ich ob eine route fehlt (da es keine gibt... könnte das ein super spur sein...)
Wie kann ich DNS prüfen?
Quotewo sehe ich denn wohin aufgelöst wird...
Bei einem Ping in einer Shell wird dir das unmittelbar angezeigt. Die Web GUI von OPNSense muss da leider passen. Da frage ich mich allerdings, warum.
QuoteWie kann ich NAT outbound kaputt prüfen?
Wenn die Regeln für NAT nicht schon aussagekräftig sind (sind sie aber eigtl. immer), kannst du auch auf WAN ein packet capture oder eine Firewall live-view machen. Funktioniert NAT nicht, gehen da IP Pakete mit RFC 1918 Adressen raus (z.B. 10.x.x.x, 192.168.x.x) wenn du versuchst "ins Internet" zu gehen. Die werden dann vom ISP hoffentlich verworfen.
mir ist gerade etwas im Foto von gestern aufgefallen.
die WAN Schnittstelle vtnet0 wird zu pppoe0, dabei entsteht auch das Gateway 62.155.242.47
Wo kommt die Adresse her?
Wenn das jetzt das "internet" gateway ist, dann sollte doch der LAN Anschluss mit diesem Gateway irgendwie verknüpft / geroutet werden oder nicht? nur wo und wie? weil LAN hat keine Verbindung zu pppoe... ggf. ist doch das das Problem
Warum ist WAN vtnet0? Eine frische OPNsene hat immer LAN auf dem ersten Port. Die Adresse des Internet-Gateways kommt natürlich vom PPPoE und das ist alles gut und richtig so. Nichts weiter einzustellen. PPPoE bedeutet, der Provider liefert alles, was es an WAN zu konfigurieren gibt innerhalb des Protokolls.
...das ist doch verstecke kamera hier...
Quote from: Patrick M. Hausen on April 17, 2024, 12:46:28 PM
Warum ist WAN vtnet0? Eine frische OPNsene hat immer LAN auf dem ersten Port. Die Adresse des Internet-Gateways kommt natürlich vom PPPoE und das ist alles gut und richtig so. Nichts weiter einzustellen. PPPoE bedeutet, der Provider liefert alles, was es an WAN zu konfigurieren gibt innerhalb des Protokolls.
das ist das einzige was ich beim booten eingstellt habe. WAN auf vtnet0 und LAN auf vtnet1.
das wird doch wohl hier keinen Einfluss haben oder?
aber die 62.155.242.47 ist nicht meine externe IP adresse, Gateway from Provider?
Quote from: chemlud on April 17, 2024, 12:51:39 PM
...das ist doch verstecke kamera hier...
ha ha!! witzig!
wenns für dich so einfach ist, sag doch... wo ist der Fehler?
Du schreibst einige Postings früher, dass die 62.x.x.x unter Gateway aufgeführt ist. Dein WAN zeigt 91.x.x.x als IP-Adresse an. Wieso kommst du nun darauf zu Fragen, ob mit 62.x.x.x vielleicht das Gateway gemeint ist?
Ich glaube, wir würden dir gerne helfen, aber statt Fragen zu beantworten, stellst du neue und erweckst nicht den Eindruck, vorige Antworten gelesen oder die Anzeigen im Web GUI verstanden zu haben.
Leider mache ich das hier für umsonst, daher ist meine Geduld endlich, wenn ich merke, dass keine Absicht besteht, irgendwas besser hinzubekommen. Was wurde denn aus NAT? Sieht immer noch nach Standard aus?
Quote from: Saarbremer on April 17, 2024, 02:42:12 PM
Du schreibst einige Postings früher, dass die 62.x.x.x unter Gateway aufgeführt ist. Dein WAN zeigt 91.x.x.x als IP-Adresse an. Wieso kommst du nun darauf zu Fragen, ob mit 62.x.x.x vielleicht das Gateway gemeint ist?
ich bin kein Netzwerktechniker.
mir ist bewusst, dass ich eine externe IP adresse habe, dass ich aber auch ein externes Gateway habe und das dies zwei verschiedene Adressen sind, wobei eine immer gleich zu bleiben scheint wusste ich nicht.
Quote from: Saarbremer on April 17, 2024, 02:42:12 PM
Ich glaube, wir würden dir gerne helfen, aber statt Fragen zu beantworten, stellst du neue und erweckst nicht den Eindruck, vorige Antworten gelesen oder die Anzeigen im Web GUI verstanden zu haben.
ich gebe mir die größte Mühe alle Fragen nach besten Wissen zu beantworten und glaube mir ich lese eure Antworten nicht nur, ich versuche diese auch zu verstehen.... das ist nicht immer einfach.
zu den Anzeigen im GUI... bin mir nahezu sicher dass ich diverse nicht verstehe, leider habe ich noch keine Anleitung gefunden dir mir die Punkte einfach erklärt hat. (und ja ich habe gesucht!)
Quote from: Saarbremer on April 17, 2024, 02:42:12 PM
Leider mache ich das hier für umsonst, daher ist meine Geduld endlich, wenn ich merke, dass keine Absicht besteht, irgendwas besser hinzubekommen.
persönlich finde ich das super, was Ihr hier macht, aber ihr könnt mir glauben, würde ich den Weg finden, hätte ich diesen schon lange geteilt.
es fällt mir tatsächlich schwer zu glauben dass es in ganz Deutschland keinen gibt, der einen Proxmox mit OPNsense als VM und Glasfaser der Telekom betreibt, der ggf. die wichtigen Seiten posten kann...
wie gesagt, die OPNsense kommt ja ins Internet....
Quote from: Saarbremer on April 17, 2024, 02:42:12 PM
Was wurde denn aus NAT? Sieht immer noch nach Standard aus?
falls du damit deinen Post von heute morgen meinst. es tut mir leid, ich verstehe nicht was ich jetzt machen kann, damit ich hier Antworten oder weitere Informationen liefern kann.
da ich auch von NAT keine Ahnung habe, habe ich die Werkseinstellungen von OPNsense nicht verändert
Dann mach doch für die beiden Schnittstellen mal ein PCIe-passthrough statt dieser Bridge-Geschichte.
Ich versuche ja ebenfalls, dir zu helfen, und dich nicht zu belehren. Ich bin aber nunmal seit 30 Jahren Netzwerkingenieur und ich habe keine einzige virtualisierte OPNsense im produktiven Betrieb. Würde mir auch nicht im Traum einfallen. Außerdem hab ich mir das Proxmox-Geraffel nach dem VMware-Fiasko mal einen Tag angeguckt und wieder weggeworfen. Ich finde die UI unbedienbar.
Weshalb Menschen mit relative wenig Erfahrung in Netzen und Servern immer sofort den kompliziertest möglichen Weg (Proxmox! LAGG! VLANs!) gehen wollen, verstehe ich nicht. Damit bist jetzt nicht speziell du gemeint.
Aber nimm doch mal den Bridging-Mist aus der Gleichung raus und reich zwei Netzwerkkarten an die VM durch.
EDIT: Und grad fällt mir noch was ein zur Kommunikation. Das ist alles nicht böse gemeint! Ich muss mir hier ein mentales Bild deiner Systeme bauen, denn ich habe die ja nicht vor mir. Du schreibst "ich habe neu installiert". Ich baue mir ein Bild: "neue OPNsense".
Dieses Bild enthält: LAN 192.168.1.1/24 an der ersten, WAN mit DHCP an der zweiten Schnittstelle.
Du postest eine Interface-Übersicht, da ist PPPoE auf vtnet0.
Ich: oha! Da ist was kaputt! Das ist nicht so wie er geschrieben hat, dass das aussehen soll!
Wenn du beim Installieren die beiden Interfaces anders zuweist, dann musst du das bitte dazuschreiben! Jedes Detail zählt, wenn man Fehler sucht. Echt, jetzt. Wenn du schreibst, du hast frisch installiert, und das mit den Interfaces weglässt, dann ist "PPPoE auf vtnet0" gleichbedeutend mit "keine Ahnung wie, aber irgendwie kaputt konfiguriert".
und nu gucken wir mal, dass das irgendwie dann doch noch zu einem Happy End kommt.
Quote from: Patrick M. Hausen on April 17, 2024, 04:13:37 PM
Dann mach doch für die beiden Schnittstellen mal ein PCIe-passthrough statt dieser Bridge-Geschichte.
genau das war die initiale idee. leider startet OPNsense nicht wenn ich das mache.
siehe bilder, wie ich versuche durchzureichen....
Quote from: Patrick M. Hausen on April 17, 2024, 04:13:37 PM
Ich versuche ja ebenfalls, dir zu helfen, und dich nicht zu belehren. Ich bin aber nunmal seit 30 Jahren Netzwerkingenieur und ich habe keine einzige virtualisierte OPNsense im produktiven Betrieb. Würde mir auch nicht im Traum einfallen. Außerdem hab ich mir das Proxmox-Geraffel nach dem VMware-Fiasko mal einen Tag angeguckt und wieder weggeworfen. Ich finde die UI unbedienbar.
Weshalb Menschen mit relative wenig Erfahrung in Netzen und Servern immer sofort den kompliziertest möglichen Weg (Proxmox! LAGG! VLANs!) gehen wollen, verstehe ich nicht. Damit bist jetzt nicht speziell du gemeint.
Aber nimm doch mal den Bridging-Mist aus der Gleichung raus und reich zwei Netzwerkkarten an die VM durch.
finde ich auch total super von dir. naja ich habe Proxmox, aus mangel an Alternativen... was sollte ich deiner Meinung nach nehmen? bin offen für alles.
Quote from: Patrick M. Hausen on April 17, 2024, 04:13:37 PM
EDIT: Und grad fällt mir noch was ein zur Kommunikation. Das ist alles nicht böse gemeint! Ich muss mir hier ein mentales Bild deiner Systeme bauen, denn ich habe die ja nicht vor mir. Du schreibst "ich habe neu installiert". Ich baue mir ein Bild: "neue OPNsense".
Dieses Bild enthält: LAN 192.168.1.1/24 an der ersten, WAN mit DHCP an der zweiten Schnittstelle.
Du postest eine Interface-Übersicht, da ist PPPoE auf vtnet0.
Ich: oha! Da ist was kaputt! Das ist nicht so wie er geschrieben hat, dass das aussehen soll!
Wenn du beim Installieren die beiden Interfaces anders zuweist, dann musst du das bitte dazuschreiben! Jedes Detail zählt, wenn man Fehler sucht. Echt, jetzt. Wenn du schreibst, du hast frisch installiert, und das mit den Interfaces weglässt, dann ist "PPPoE auf vtnet0" gleichbedeutend mit "keine Ahnung wie, aber irgendwie kaputt konfiguriert".
das tut mir leid, war nicht so beabsichtigt... dachte nicht das das wichtig ist, wenn ich die beiden (wegen den Bridges und dem VLAN 7) vertausche... war ja froh dass es überhaupt mal funktioniert...
Quote from: Patrick M. Hausen on April 17, 2024, 04:13:37 PM
und nu gucken wir mal, dass das irgendwie dann doch noch zu einem Happy End kommt.
Danke dafür!!!!!
mir ist aufgefallen, dass ich sowohl von der Weboberfläche von OPNsense als auch von der Console über IPv6 verbinden kann....
leider sagt mir diese Erkenntnis nichts
Quote from: FK10G on April 17, 2024, 05:11:53 PM
naja ich habe Proxmox, aus mangel an Alternativen... was sollte ich deiner Meinung nach nehmen?
Einfach OPNsense auf einer dedizierten Hardware. Du kämst ja auch nicht auf die Idee, eine Fritzbox zu virtualisieren. Das ist eine Firewall und gleichzeitig in den meisten Fällen Router, DHCP-Server, DNS-server ... ohne das Teil geht auch lokal im Netz
nichts. Und das will man m.E. nicht von einem Hypervisor-Host abhängig machen. Klemmt da was nach z.B. Proxmox-Update, wie kommt man dann ins Proxmox-Forum? Abgesehen davon, das der Rest der Familie beleidigt ist, wenn Netflix auf einmal Njetflix ist etc.
Quote from: Patrick M. Hausen on April 17, 2024, 05:46:06 PM
Einfach OPNsense auf einer dedizierten Hardware.
Also hier läuft die OPNsense seit über 7 Jahren problem- und schmerzfrei virtualisiert unter PVE. Offline nur während Upgrade-bedingten Reboots.
QuoteDu kämst ja auch nicht auf die Idee, eine Fritzbox zu virtualisieren.
Ich käme nie auf die Idee dieser Plasteschüssel überhaupt etwas in meinem Netzwerk zu überlassen. OK. Eine 7170 lässt ein altes Wählscheibentelefon klingeln ... ;D und das Plastik hab ich vorher abgemacht.
Quote... wenn Netflix auf einmal Njetflix ist etc.
Es gibt noch ein Leben auf der anderen Seite der Haus- bzw. Wohnungstür.
Quote from: Patrick M. Hausen on April 17, 2024, 05:46:06 PM
Einfach OPNsense auf einer dedizierten Hardware. Du kämst ja auch nicht auf die Idee, eine Fritzbox zu virtualisieren. Das ist eine Firewall und gleichzeitig in den meisten Fällen Router, DHCP-Server, DNS-server ... ohne das Teil geht auch lokal im Netz nichts. Und das will man m.E. nicht von einem Hypervisor-Host abhängig machen. Klemmt da was nach z.B. Proxmox-Update, wie kommt man dann ins Proxmox-Forum? Abgesehen davon, das der Rest der Familie beleidigt ist, wenn Netflix auf einmal Njetflix ist etc.
kann ich durchaus nachvollziehen und meine Frustration ist auch schon fast so weit.
aber ich bin noch nicht so weit weitere 300€ in die Hand zu nehmen. (bitte keine Diskussionen über die Höhe, es sei denn jemand bietet etwas unter 100€ an)
Quote from: cadzen on April 17, 2024, 09:36:50 PM
Also hier läuft die OPNsense seit über 7 Jahren problem- und schmerzfrei virtualisiert unter PVE. Offline nur während Upgrade-bedingten Reboots.
AHA!!! es geht als doch irgendwie....
möchtest du hier ggf. etwas zu deiner config erzählen?
welche proxmox version?
wie sind die Brücken angebunden? (etc/network/interfaces)
wie ist das VTAG7 gelöst? (in Proxmox oder in OPNsense)
das wäre mal ein super Anfang für die Fehlersuche....
Danke und Grüße
Quotedas wäre mal ein super Anfang für die Fehlersuche....
Aha! Die 4 Seiten bisher waren nur Vorspiel.
Quote from: Saarbremer on April 18, 2024, 01:27:13 PM
Aha! Die 4 Seiten bisher waren nur Vorspiel.
wieviel Fehlersuche haben wir denn betrieben, seit dem ich geschrieben habe das ich bekomme updates?
Wurde vielleicht schon geklärt, aber es ist nicht mehr so ganz übersichtlich :)
Bekommt ein Client verbunden mit dem LAN der OPNsense eine IP-Adresse per DHCP? Aus dem richtigen Adressbereich? Kann der die Sense unter 192.168.1.1 anpingen?
Quote from: Patrick M. Hausen on April 18, 2024, 02:47:04 PM
Bekommt ein Client verbunden mit dem LAN der OPNsense eine IP-Adresse per DHCP? Aus dem richtigen Adressbereich? Kann der die Sense unter 192.168.1.1 anpingen?
ja bekommt eine adresse und ja kann auch pingen
Mach mal arp -a auf dem Client und vergleich die MAC-Adresse von 192.168.1.1 mit der, die dir die OPNsense für das LAN-Interface anzeigt.
ich habe jetzt mal die brücken und vm neu gemacht.
LAN = vtnet1
WAN= pppoe über vtnet0
und ich bin online über den LAN anschluss... warum auch immer...
Quote from: Patrick M. Hausen on April 18, 2024, 03:03:22 PM
Mach mal arp -a auf dem Client und vergleich die MAC-Adresse von 192.168.1.1 mit der, die dir die OPNsense für das LAN-Interface anzeigt.
siehe anbei.
ich habe über DHCP vom LAN port die adresse 192.168.1.100 zugewiesen bekommen
gateway / DHCP / DNS ist alles 192.168.1.1 (lt Windows Netzwerkverbindungsdetails...
kann aber nicht mehr auf die 192.168.1.1 pingen....
verstehe ich nicht...
Welche MAC-Adresse hat die OPNsense, wenn du an der Konsole z.B. mit ifconfig guckst? Ist die indentisch mit der am Client sichtbaren?
Quote from: FK10G on April 16, 2024, 07:30:25 PM
WAN war sofort nach dem Wizard online und OPNsense konnte updaten.
also Internet da
ping über putty zu Google möglich zu 1.1.1.1 nicht
ping über die Weboberfläche zu Google NICHT möglich
Browser kommt auch nicht ins Internet
Was du schreibst, ist natürlich auch schwer zu verstehen, deswegen rate ich mal, dass du von einem PC im LAN versuchst ins Internet zu kommen, was fehlschlägt, denn auf der OPNsense läuft kein Putty.
- Wenn nach der Erstinstallation die OPNsense Updates zieht und so, dann ist die WAN Konfiguration korrekt, denn dafür sind korrekte Gateways, Adresszuweisungen etc Voraussetzung
- Du brauchst auf dem LAN Interface eine Regel, die ausgehenden Traffic erlaubt. Laut Deinem Screenshot hast Du die bereits.
- Du solltest auf dem LAN Interface DHCP starten, damit Clients automatisch richtig konfiguriert werden.
- Als Alternative zu DHCP kannst Du auch auf allen Netzwerkgeräten im LAN die Adresse des LAN Interfaces der OPNsense als Default Gateway und als DNS Server eintragen, aber vergess' das mal gleich wieder.
Danach wirst Du die Netzwerkkonfiguration auf Deinem Client neu starten müssen, und zwar so, dass auch DHCP verwendet wird. Das ist aber der Normalfall, wenn niemand daran gebastelt hat. An dem Punkt sollten Internet-Verbindungen funktionieren. Wenn ping 1.1.1.1 immer noch nicht funktioniert, überprüfe mal, ob dein PC eine Default Route hat und diese auf die Adresse des LAN Interfaces zeigt.
Um nochmal den Punkt von Patrick aufzugreifen: Die meisten Voreinstellungen von OPNsense sind so, dass eine Neuinstallation einfach funktioniert. Da spielt es auch keine Rolle, ob virtualisiert oder nicht. Ich habe über mehrere Jahre virtuelle OPNsense und andere Firewalls auf Proxmox laufen gehabt.
Abgesehen davon sind virtualisierte Router in Produktion meist Unfug. Erstens muss man durch zahlreiche brennende Reifen springen, wenn das Routing ausfällt (VM down, VM Server down). Zweitens rennt man in interessante Probleme, wenn VMs virtuelle Zeit nutzen, sprich VMs selbst NTP machen.
Quote from: FK10G on April 18, 2024, 11:23:36 AM
AHA!!! es geht als doch irgendwie....
Nö. Geht nicht irgendwie, sondern so wie es soll!
Quotewelche proxmox version?
PVE 8.1.10
OPNsense 24.1.6
Quotewie sind die Brücken angebunden? (etc/network/interfaces)
WAN: vmbr1 mit der Onboard-NIC
LAN: vmbr0 mit bond0 über die 4 Ports einer PCIe-NIC
Quotewie ist das VTAG7 gelöst? (in Proxmox oder in OPNsense)
Macht aktuell das Modem (Vigor 130). Bis vor kurzem hat es die OPNsense gemacht. Sollte also auch mit Glas funktionieren.
Quotedas wäre mal ein super Anfang für die Fehlersuche....
Scheint ja nun erst mal zu laufen ...
sooooo.... erstmal sorry für die lange Pause.
ich habe jetzt einen funktionierenden Internet Zugang mit OPNsense UND auch auf LAN und OPT1 internet.
UND ich habe es jetzt endlich geschafft, das zu replizieren.
- Brücken
ich habe 3 Brücken erstellt. 1x VLAN aware und 2x ohne
- also VM ohne irgendwelchen extras erstellt
dann 2 Brücken zugewiesen
1x die vlan aware brücke mit tag7, ohne Firewall und Multiqueue auf 8
und 1x ohne vlan, ohne Firewall und Multiqueue auf 8
dann OPNsense installiert und bei der Installation NUR
die interfaces WAN auf die VLAN brücke und LAN auf die andere zugewiesen
installer anmeldung und ohne besonderen einstellungen installiert.
dann auf der Weboberfläche (standard 192.168.1.1)
das Wizard durchgemacht und bei WAN IPv4 PPPoE eingestellt (IPv6 bleibt bei DHCPv6)
username und passwort rein.
updates geprüft, aber nicht installiert (nur Online test) es wird noch ein IPv6 Adresse abgerufen...
Dann bei LAN
IPv4 bleibt Static IPv4
IPv6 bleibt Track Interface
aber die IP adresse von 192.168.1.1 /24 auf 192.168.10.1/24 angepasst
IPv6 Interface steht auf WAN
Bei Services ISC DHCPv4
Enabled DHCP...
Range angepasst 192.168.10.2 - 192.168.10.245
DNS Serverund Gateway beides auf 192.168.10.1
jetzt updates gezogen und nach dem Reboot war alles gut.
ggf. hilft das hier anderen, die auch am verzweifeln waren...
Besonderer Dank geht an Patrick M. Hausen mit viel Geduld....
jetzt muss ich nur noch das Telefon irgendwie zum laufen bekommen.... aber das ist ein anderes Thema