Hallöchen alle zusammen :)
Ich bin neu hier und auch in der OpnSense Sache.
Ich habe mir vor ein paar Tagen einen Mini PC zugelegt und OpnSense drauf installiert
Nun versuche ich seit 2 Tagen vergeblich über OpnSense Verbindung ins Internet zu bekommen.
Mein Internet Anbieter ist LüneCom Glasfaser.
Ich nutze dort einen Medienkonverter.
Weiß zufällig jemand welche Einstellungen ich bei dem OpnSense treffen muss damit ich Zugang zum Internet habe über die Lünecom?
Bitte so genau wie möglich erklären, damit ich Neuling das auch wirklich verstehe.
Noch ist das alles fremd für mich :D
Liebe Grüße
Basti
Hast du Lünecom schon gefragt?
Laut Schnittstellenbeschreibung der Lünecom (https://143293620.fs1.hubspotusercontent-eu1.net/hubfs/143293620/schnittstellenbeschreibung.pdf) nutzen sie entweder DHCP für IPv4 oder PPPoE. Was Du davon jeweils verwenden musst, erkennst Du daran, ob Du Zugangsdaten erhalten hast (Nutzername und Passwort) - die gibt es bei DHCPv4 nicht. IPv6 wird immer ganz normal per DHCPv6 konfiguriert.
Von einem VLAN ist nicht die Rede, also einfach das WAN per DHCP oder per PPPoE auf dem jeweiligen physischen Port konfigurieren und los geht's.
Funktioniert der direkte Anschluss eines PCs an den Medienkonverter? Dann ist es DHCP und nicht PPPoE. Das ist dann ganz genauso wie bei der Deutschen Glasfaser, ich habe das schonmal hier (https://forum.opnsense.org/index.php?topic=33882.msg163849#msg163849) beschrieben.
Das setzt natürlich voraus, dass der Anschluss schon aktiviert wurde und die PON-Status-LED Deines Medienkonverters an ist.
Lünecom kann mir da nicht helfen war die Antwort am Telefon.
Ich weiss das es DHCP ist und kein PPPoE, das hatte ich soweit schon rausgefunden.
Ich muss wenn ein neues Endgerät an den Medienkonverter angeschlossen wird meinen Anschluss auf deren Seite (portal.deinnetz.de) erst wieder neu aktivieren.
Auf DHCP hatte ich den WAN Anschluss gestellt bei OpnSense. iPv6 hatte ich deaktiviert, da ich in der Erinnerung hatte keine IPv6 zu haben, ich nutze eine feste IPv4.
Also irgendwas mache ich noch falsch. Aber wie gesagt bin aktuell auch noch komplett neu in dem Thema.
Kann ich trotz der festen IPv4 mich an die Anleitung für deutsche Glasfaser halten oder ist das mit der festen IP sowieso irrelevant für all das?
Liebe Grüße
Das kann man nicht sagen. Die feste IP kann Dir zugewiesen sein und Dir mitgeteilt worden, dann musst Du eventuell eine statische Konfiguration machen oder sie weisen Dir per DHCP immer die selbe IP zu.
Die Portalaktivierung läuft gemeinhin so, dass Du anfangs eine temporäre IP bekommst, die nicht ins Internet geroutet wird, aber den Zugriff auf das Portal ermöglicht. Dort wird dann mit Deinen Zugangsdaten eine Freischaltung für Deine aktuelle MAC gemacht und bei der nächsten Einwahl bekommst Du dann eine routebare IPv4.
Quote from: meyergru on September 08, 2024, 02:21:53 PM
Die Portalaktivierung läuft gemeinhin so, dass Du anfangs eine temporäre IP bekommst, die nicht ins Internet geroutet wird, aber den Zugriff auf das Portal ermöglicht. Dort wird dann mit Deinen Zugangsdaten eine Freischaltung für Deine aktuelle MAC gemacht und bei der nächsten Einwahl bekommst Du dann eine routebare IPv4.
Ja genau so, da ich bei den normalen Routern vorher auch keine Statische IP nutzen musste.
Jedoch habe ich ja dennoch keine Verbindung bekommen zu diesem Portal um den Anschluss zu aktivieren, also irgendwo mache ich noch einen Fehler und der ist mir selbst momentan irgendwie nicht ersichtlich.
Aber bis hierhin danke schon mal :)
Gibt es denn irgendwo eine Schritt für Schritt Anleitung der ich folgen könnte?
Quote from: meyergru on September 08, 2024, 02:21:53 PM
...
Die Portalaktivierung läuft gemeinhin so, dass Du anfangs eine temporäre IP bekommst, die nicht ins Internet geroutet wird,
....
Private Netwerke auf WAN geblockt vielleicht?
Richtig. Und/oder Bogons, falls Lünecom DS-Lite mit CG-NAT macht. Dann kommt man schon nicht zum Portal durch. Man würde aber wahrscheinlich sehen, ob und ggf. welche IPv4 das WAN-Interface zugewiesen bekommt.
"Kein Internet" ist kein Kriterium...
Also eine IP wurde dem WAN Interface gestern zugewiesen, genau wie bei meinem Router zuvor.
DNS soll auf Automatisch gestellt sein laut dem Brief mit der Aktivierung von Lünecom.
Die zugewiesene IP ist immer eine andere wenn ich das Endgerät wechsel, erst nach Aktivierung der Leitung wurde meine feste IP angezeigt und den Router.
Quote from: Einfachnurbasti on September 08, 2024, 03:47:57 PM
Also eine IP wurde dem WAN Interface gestern zugewiesen, genau wie bei meinem Router zuvor.
DNS soll auf Automatisch gestellt sein laut dem Brief mit der Aktivierung von Lünecom.
Die zugewiesene IP ist immer eine andere wenn ich das Endgerät wechsel, erst nach Aktivierung der Leitung wurde meine feste IP angezeigt und den Router.
Ja, und was für eine IP genau? Und wie sind Deine Einstellungen auf dem WAN für "Block private networks" und "Block bogon networks"?
Da ich mich wie gesagt noch nicht so auskenne schreibe ich dir mal alles auf was ich so sehe hier[emoji28]
Also beim Gateway steht 10.201.0.1
Bei der Firwall steht
Quelle: 10.201.111.184 und Ziel 46.253.240.11
Block Bogons ist aus
Block Private Networks ist auch aus
Gesendet von iPhone mit Tapatalk
Das sind definitiv private IPs, die nur zum Zugriff auf das Aktivierungsportal vorgesehen sind. Wenn das Aktivierungsportal nicht erreichbar ist, stellt sich die Frage, wieso. Funktioniert die DNS-Auflösung? NAT?
Übrigens: Bei derart bescheuerten Providern tendiere ich dazu, die MAC zu spoofen. Wenn Du also weißt, welche MAC Dein vorheriger Router hat, trage doch einfach die MAC in Dein WAN-Interface ein und probiere, ob es dann geht.
Quote from: meyergru on September 08, 2024, 04:48:23 PM
...
Übrigens: Bei derart bescheuerten Providern tendiere ich dazu, die MAC zu spoofen. Wenn Du also weißt, welche MAC Dein vorheriger Router hat, trage doch einfach die MAC in Dein WAN-Interface ein und probiere, ob es dann geht.
Kann man nicht notfalls das WAN des alten Routers an einen Rechner mit Wireshark hängen und schauen, welche MAC er für DHCP in die Gegend brüllt? :-)
Die MAC Adresse des alten Routers stand auf dem Router selbst auf einem Aufkleber.
Also hab ich das WAN Kabel wieder in den Router gesteckt und meine Leitung über die Seite (portal.deinnetz.de) wieder aktiviert.
Dann habe ich DHCP in OpnSense eingestellt, DHCPv6 habe ich deaktiviert, bei dem Asus Router war dies Automatisch auch aus.
Alles eingestellt Kabel vom Asus Router in den PC mit OpnSense gesteckt, jedoch leider weiterhin kein Internet, er hat jetzt auch keine IPs mehr angezeigt.
Also nochmal alles zurück, diesmal mit DHCPv6 aber trotzdem nichts.
Dann wollte ich wieder alles rückgängig machen, hatte ja zuvor die oben geschriebenen IPs schon gesehen, aber egal was ich jetzt mache. Er zeigt mir keine mehr an.
Am Asus Router läuft nach Aktivierung alles einwandfrei, aber bei OpnSense bekomme ich jetzt nicht mal mehr die IPs angezeigt [emoji43]
Gesendet von iPhone mit Tapatalk
Was ist denn das für ein Mini-PC? Teilweise gibt es Probleme mit Realtek-NICs, wenn nicht die OEM-Treiber installiert sind. Das Setzen der MAC-Adresse funktioniert auch nicht bei allen Netzwerkkarten reibungslos.
Du kannst den Status der Netzwerkkarte unter "Interfaces: Overview" sehen. Zumindest der Link-Status sollte grün sein.
P.S.: Bist Du sicher, dass die aufgedruckte MAC die vom WAN-Interface ist? Die vom LAN kannst Du per arp auf dem angeschlossenen PC herausfinden, sie müsste sich dann unterscheiden.
Es ist ein Terra Mini 5000v2
Intel Core i5 3570k
8GB DDR3
500GB SSD
Also ich habe jetzt das System einmal komplett zurückgesetzt.
Nun habe ich wieder die IPs die er mir anzeigt.
Bogon und Private Networks weiterhin wieder aus gemacht, Zugriff auf die Seite habe ich natürlich noch immer nicht.
Also irgendwas ist noch immer falsch, auch wenn mir nicht klar wird was.
Wie könnte ich denn die MAC Adresse rauskriegen von WAN Interface?
Gesendet von iPhone mit Tapatalk
Also die MAC Adresse die auf dem Router steht unterscheidet sich nicht in der vom WLAN also ist es definitiv die falsche
Gesendet von iPhone mit Tapatalk
Der Terra Mini 5000v2 hat eine Intel I225-V, was Du auch an der Bezeichnung siehst (igc0), also kein Treiberproblem. Scheint ja auch wieder zu gehen.
Wie Chemlud schon schrieb, könnte man einen PC mit Wireshark an den WAN-Anschluss des Routers anschließen und einfach mitschneiden, dann sieht man die MAC.
Meine Bezeichnung ist aber re0 und re1,
igc0 ist bei mir nicht.
Mein Fehler nach genauerer Recherche eben habe ich wohl den ersten Terra Mini 5000 Silent.
Hatte mich auf der alte Inserat verlassen, sorry mein Fehler [emoji2357]
Das mit Wireguard probiere ich mal aus.
Gesendet von iPhone mit Tapatalk
Hatte mich vertippt, meinte natürlich Wireshark.
Es müsste eigentlich auch gehen, das WAN des alten Routers an LAN von der OPNsense zu hängen und den DHCP-Traffic mit package capture an LAN mitzuschneiden. Dann braucht es keinen weiteren Rechner...
So gerade nochmal geprüft mein Mini PC hat 2x
den Realtek RTL8111E verbaut
Gesendet von iPhone mit Tapatalk
Quote from: chemlud on September 08, 2024, 07:41:35 PM
Es müsste eigentlich auch gehen, das WAN des alten Routers an LAN von der OPNsense zu hängen und den DHCP-Traffic mit package capture an LAN mitzuschneiden. Dann braucht es keinen weiteren Rechner...
Habe das mit Wireshark schon vorbereitet.
Wenn ich das jetzt richtig verstanden habe, das LAN Kabel meines PCs einfach in den WAN Port des Routers und dann ohne "Mitschnittfilter" einfach mal aufzeichnen beim einstecken ja?
...dann müsste sich das DHCP am WAN des Routers in Bewegung setzen und die MAC des Interfaces rausposaunen...
Okay, habe das gerade mal gemacht und aufgezeichnet, aber rauslesen kann ich da ganz ehrlich nichts [emoji43][emoji94]
Also an den Stellen wo ich es jetzt vermutet hätte zu finden steht nur ff:ff:ff..... usw.
Gesendet von iPhone mit Tapatalk
ff:ff:ff: ist die TARGET MAC, da müsste auch die SOURCE MAC deines Interfaces drin stehen. Photos or it didn't happen.
https://broken-code.medium.com/dynamic-host-configuration-protocol-dhcp-3dd82674d87f
Habe mal ein Bild davon angehangen
Die erstere MAC Adresse ist die meines PCs eine weitere konnte ich nicht entdecken
https://ibb.co/tqzbXBn
Kann das Bild nicht in vernüftiger Auflösung darstellen. Bei deinem PC sollte natürlich DHCP auf dem Interface deaktiviert sein. Vielleicht ist das LAN deiner sense doch einfacher...
Das war die Info die mir fehlte, bin wie gesagt noch komplett neu in dem Thema. Sorry 🫣
Habe es jetzt nochmal gemacht mit deaktiviertem Internetprotokoll (TCP/IPv4)
Nun hab ich unter dem DHCP Protokoll in Wireshark eine MAC Adresse bekommen. Hoffe das wird's jetzt gewesen sein :)
Gesendet von iPhone mit Tapatalk
Egal wie oft ich es versuche, jetzt ist der WAN Anschluss wieder wie tot... er bezieht sich keine IP mehr
Gesendet von iPhone mit Tapatalk
Eventuell brauchst Du doch noch die OEM Realtek Treiber...
Ja dies bezüglich belese ich mich gerade, aber so richtig fündig wurde ich noch nicht wie ich die da drauf kriegen soll.
Gesendet von iPhone mit Tapatalk
So, nach erfolgreicher Treiber Installation funktioniert nun alles reibungslos beim ersten Versuch.
Vielen vielen Dank dafür!
Nun hänge ich gerade daran WLAN einzurichten, das funktioniert gerade noch nicht so.
Access Point steht, jedoch habe ich dort keinen Internetzugriff, habt ihr da vielleicht noch einen Tipp für mich?
Wenn Du den internen AP nutzen willst, musst Du eine Bridge-Konfiguration aufziehen (es sei denn, Du willst das über ein separates VLAN ziehen, aber dann brauchst Du Firewall-Regeln).
Ja ein internes wollte ich nutzen, wie würde das mit der Bridge funktionieren?
Gesendet von iPhone mit Tapatalk
Das sollte es, es gibt aber oft Probleme mit den internen AP selbst. Anleitung hier. (https://docs.opnsense.org/manual/how-tos/lan_bridge.html)
Okay super danke für die Geduld und Hilfe :)
Eine letzte Frage hätte ich noch, ist die Firwall per Default von OpnSense erstmal völlig ausreichend oder sollte ich mich da auch direkt hinter klemmen?
Ich muss ja zugeben Hauptgrund OpnSense zu nutzen war für mich eher alles mit Grafana grafisch darstellen zu lassen :)
Gesendet von iPhone mit Tapatalk
Solange Du nichts veränderst, ist Internet-Zugriff von innen frei und von außen ist alles geblockt, wie bei anderen Routern auch.