Hallo,
trotz des sehr allg. gehaltenen NATTING:
Firewall > NAT > Outbound
Interface: Internet
Source: LAN net
Destination: Internet net
NAT address: interface address
erhalte ich keinen Zugriff auf die Webseite des Modems.
Das Modem(Internet) hat eine feste IP 192.168.100.1
OPNsense(LAN) hat eine feste IP 192.168.1.1
Client hat 192.168.1.12
Ziel wäre
Interface: pppoe-Schnittstelle -> Internet
Protocol: any (zum Einschränken gewünschtes Protokoll wählen) -> TCP
Source: any (zum Einschränken gewünschtes Subnet wählen) -> LAN network oder 192.168.1.12
Destination: 192.168.100.0/30 - oder direkt Modem-IP
Translation: Interface address
Woran könnte es liegen?
Vielen Dank
Warum nutzt Du als Anfänger kein automatisches Outbound-NAT.
Quote from: Bob.Dig on March 31, 2025, 09:27:13 PMWarum nutzt Du als Anfänger kein automatisches Outbound-NAT.
Ich habe auf Hybrid umgestellt, da ich Voip umgesetzt hatte.
Quote from: Neurothiker on March 31, 2025, 09:24:29 PMDas Modem(Internet) hat eine feste IP 192.168.100.1
OPNsense(LAN) hat eine feste IP 192.168.1.1
Client hat 192.168.1.12
Hat OPNsense auch eine IP im Netz des Modems?
Ist das vielleicht das "Internet net"?
Kannst du überhaupt von einem direkt angeschlossenen Rechner auf das Modem verbinden?
Quote from: viragomann on March 31, 2025, 11:36:01 PMQuote from: Neurothiker on March 31, 2025, 09:24:29 PMDas Modem(Internet) hat eine feste IP 192.168.100.1
OPNsense(LAN) hat eine feste IP 192.168.1.1
Client hat 192.168.1.12
Hat OPNsense auch eine IP im Netz des Modems?
Ist das vielleicht das "Internet net"?
Kannst du überhaupt von einem direkt angeschlossenen Rechner auf das Modem verbinden?
Nein, die OPNsense hat keine IP im Netz des Modems.
Das Modem hat *.100.1
DIe OPNsense hat *.1.1
Siehe Threateröffnung:
Das Modem(Internet) hat eine feste IP 192.168.100.1
OPNsense(LAN) hat eine feste IP 192.168.1.1
Client hat 192.168.1.12
Vor der Verbindung Modem - OPNsense war die Verbindung mit dem Modem (GF2) über 192.168.100.1 möglich.
Quote from: Neurothiker on April 01, 2025, 06:40:10 AMNein, die OPNsense hat keine IP im Netz des Modems.
Das Modem hat *.100.1
DIe OPNsense hat *.1.1
Ich nehme an Du hast im Moment noch gar keine IP auf dem 'Internet' Interface. Du brauchst jedoch eine IP auf dem 'Internet' Interface, aus dem dem Modem IP-Bereich, z.B. 192.168.100.2/24 oder 192.168.100.2/29. Du kannst kein Outbound NAT machen ohne.
In der Outbound NAT Regel hast Du korrekt "NAT address: interface address" gesetzt. Aber ohne eine Adresse auf dem Interface gibt es keine NAT Adresse zu setzen.
QuoteVor der Verbindung Modem - OPNsense war die Verbindung mit dem Modem (GF2) über 192.168.100.1 möglich.
War vorher das PPPoE auf dem Modem eingerichtet und das LAN Interface des Modems an das WAN Interface der OPNsense angeschlossen?
Quote from: patient0 on April 01, 2025, 07:19:17 AMIch nehme an Du hast im Moment noch gar keine IP auf dem 'Internet' Interface. Du brauchst jedoch eine IP auf dem 'Internet' Interface, aus dem dem Modem IP-Bereich, z.B. 192.168.100.2/24 oder 192.168.100.2/29. Du kannst kein Outbound NAT machen ohne.
Muss ich dafür jetzt noch eine IP-Adresse vergeben?
In der Interface-Overview sehe ich als IP-Adresse das Gateway...
Quote from: Neurothiker on April 01, 2025, 07:25:00 AMMuss ich dafür jetzt noch eine IP-Adresse vergeben?
In der Interface-Overview sehe ich als IP-Adresse das Gateway...
Mmmh, das ist verwirrend, der sollte auf dem PPPoE Interface sein. Kannst Du ein Screenshot zeigen von der Interface Overview (mit öffentlichen IPs geschwärzt).
Wie sieht Dein Netzwerk aus? Modem im Bridge-Modus - OPNsense 'Internet' Interface? Und dann hast Du ein PPPoE Interface erstellt auf dem 'Internet' Interface?
...wie binde ich ein Bild ein???
WAN (wan) igc0 static 192.168.100.2/32
LAN (lan) igc1 static 192.168.1.1/24
VLAN7 (opt4) vlan01 7 none
Internet (opt3) pppoe0 pppoe 87.184.74.151/32 fe80::aab8:e0ff:fe06:d1e4/64 62.155.241.232(Gateway)
Quote from: Neurothiker on April 01, 2025, 08:02:55 AM...wie binde ich ein Bild ein???
Du ziehst das Bild auf "Click or drag files here to attach them"
QuoteWAN (wan) igc0 static 192.168.100.2/32
LAN (lan) igc1 static 192.168.1.1/24
VLAN7 (opt4) vlan01 7 none
Internet (opt3) pppoe0 pppoe xx.yy.zz.151/32 fe80::aab8:e0ff:fe06:d1e4/64 62.155.241.232(Gateway)
Aso, das Modem ist nur über das WAN Interface zugreifbar, nicht 'Internet'. Aber Du hast es ja schon fast korrekt gemacht.
Passe das IP Subnet auf WAN an, z.B. 192.168.100.2/29 und dann ändere die Outbound Regel,
Interface: WAN
Source: LAN net
Destination: WAN net (oder auch nur die Modem IP, da ist ja sonst nix)
NAT address: interface address
Quote from: patient0 on April 01, 2025, 08:14:49 AMQuote from: Neurothiker on April 01, 2025, 08:02:55 AM...wie binde ich ein Bild ein???
Du ziehst das Bild auf "Click or drag files here to attach them"
QuoteWAN (wan) igc0 static 192.168.100.2/32
LAN (lan) igc1 static 192.168.1.1/24
VLAN7 (opt4) vlan01 7 none
Internet (opt3) pppoe0 pppoe xx.yy.zz.151/32 fe80::aab8:e0ff:fe06:d1e4/64 62.155.241.232(Gateway)
Aso, das Modem ist nur über das WAN Interface zugreifbar, nicht 'Internet'. Aber Du hast es ja schon fast korrekt gemacht.
Passe das IP Subnet auf WAN an, z.B. 192.168.100.2/29 und dann ändere die Outbound Regel,
Interface: WAN
Source: LAN net
Destination: WAN net (oder auch nur die Modem IP, da ist ja sonst nix)
NAT address: interface address
Mein Dank sei Dir gewiss!
...aber echt jetzt, warum lag es an der Subnet Einstellung und woher weiß man sowas??
Ich hatte nämlich vorher auch mit "WAN" statt "Internet" gearbeitet...ohne Erfolg.
Bei Outbound NAT für VoIP musste ich nämlich auf "Internet" statt "WAN".
Quote from: Neurothiker on April 01, 2025, 08:22:55 AM..aber echt jetzt, warum lag es an der Subnt Einstellung und woher weiß man sowas?
Die IP & Subnet Einstellung ist zuständig für die Erstellung des Routingtabellen-Eintrags. Das lässt das System wissen über welches Interface welche Subnets erreichbar sind.
192.168.100.2/32 ist das kleinste Subnet, mit nur seiner/einer IP. Die Route wird also nur für die IP 192.168.100.2 verwendet. Kommt eine Anfrage für 192.168.100.1 wird das System seine Routing Tabellen durchsehen und die Route die passt wird die Standardroute sein, über das 'Internet' Interface.
192.168.100.2/29 erstellt eine Route für alle IPs von 192.168.100.1 bis 192.168.100.6 und entsprechend wird die Route gewählt, wenn eine Anfrage kommt für den IP Bereich. /30 wäre eigentlich das kleinstmögliche, passende Subnet (von .100.1 bis .100.2), nicht sicher wieso ich /29 geschrieben habe; es ist noch früh :).
$ sipcalc 192.168.100.2/32
-[ipv4 : 192.168.100.2/32] - 0
[CIDR]
Host address - 192.168.100.2
...
Network address - 192.168.100.2
Network mask - 255.255.255.255
Network mask (bits) - 32
...
Addresses in network - 1
Network range - 192.168.100.2 - 192.168.100.2
$ sipcalc 192.168.100.2/29
-[ipv4 : 192.168.100.2/29] - 0
[CIDR]
Host address - 192.168.100.2
...
Network address - 192.168.100.0
Network mask - 255.255.255.248
Network mask (bits) - 29
...
Addresses in network - 8
Network range - 192.168.100.0 - 192.168.100.7
Usable range - 192.168.100.1 - 192.168.100.6
QuoteBei Outbound NAT für VoIP musste ich nämlich auf "Internet" statt "WAN".
Mit VoIP kenne ich mich nicht aus, Sorry
Danke für die Erklärung.
Erlaube mir noch bitte 2 Fragen:
- wenn ich das Zyxel(PMG3000 SFP) mit der IP: 10.10.1.1 nehme, welche IP Einstellung muss ich dann nutzen?
- wenn ich einen WG -Server hinter der OPNsens habe, nicht den, den OPNsens selber bereitstellt, brauche ich ein Forwarding zum Server und dann noch etwas??
Quote from: Neurothiker on April 01, 2025, 08:42:53 AM- wenn ich das Zyxel(PMG3000 SFP) mit der IP: 10.10.1.1 nehme, welche IP Einstellung muss ich dann nutzen?
Auf dem WAN Interface würdest Du 192.168.100.2/29 durch 10.10.1.2/29 (oder eben /30) ersetzen. In der Outbound NAT Regel brauchst Du nichts anzupassen, wenn Du 'Destination: WAN net' gewählt hast, steht anstelle 'WAN net' die Modem IP, muss Du die ersetzen durch die Zyxel Modem IP.
Quote- wenn ich einen WG -Server hinter der OPNsens habe, nicht den, den OPNsens selber bereitstellt, brauche ich ein Forwarding zum Server und dann noch etwas??
Du wird eine Port Forwarding des Wireguard Ports (<irgendein Port>, Protokoll UDP) zum Server brauchen, ja. Mehr glaub ich nicht, da bin jedoch nicht zu 100% sicher, hab's bisher nur immer auf der Firewall gemacht.
Vielen Dank und einen schönen Tag noch!
Quote from: Neurothiker on April 01, 2025, 08:42:53 AMwenn ich einen WG -Server hinter der OPNsens habe, nicht den, den OPNsens selber bereitstellt,
Gibt keinen vernünftigen Grund, nicht den von der OPNsense zu nutzen.