OPNsense Forum
International Forums => German - Deutsch => Topic started by: Avaatar on April 24, 2018, 06:00:55 pm
-
Hallo zusammen,
aktuell verzweifle ich ein bisschen, ich hoffe jemand kann mir hier weiterhelfen.
Seit Montag habe ich meinen Unitymedia Anschluss bekommen. Als Zugangsgerät habe ich eine Connect Box erhalten. Diese arbeitet offensichtlich als Router.
Da ich einen neuen Anschluss habe liegt bei mir ausschließlich DS-Lite an.
Ich möchte nun gerne meine OPNSense weiternutzen, kriege es aber nicht hin.
Die Connectbox habe ich auf DHCP (192.168.0.x/24, leider nicht änderbar) gestellt und mit dem WAN Port der OPNSense verbunden. Die OPNSense steht mit einem anderen LAN Anschluss dann im eigentlichen LAN (auch 192.168.0.x/24). Leider kann man die Connect Box nicht auf Bridge/Modem Modus stellen.
Ich will den Traffic also durch die OPNSense "durchschleifen" und anhand der Firewallregeln blocken, Netzauslastung sehen etc.
Hat jemand das Setup schon bei sich laufen?
Viele Grüße.
-
Du müsstest OPNsense als Transparent Filtering Bridge konfigurieren (ohne NAT, ohne Routing); unter diesem Begriff findet sich auch eine Anleitung in der Doku. Es funktionieren dann aber nicht alle Features.
Besser wäre es, den DS-Lite-Tunnel direkt auf der OPNsense einzurichten. Das funktioniert grundsätzlich auch auf einem Router hinter der Connectbox, z. B. mit OpenWrt. OPNsense unterstützt es leider noch nicht, ist aber wohl in Arbeit. Wird hier auch ausführlich im UM-Forum diskutiert: https://www.unitymediaforum.de/viewtopic.php?f=53&t=36774
-
Evtl. suchst du ja danach: IPv6 Prefix Delegation mit OPNsense (https://forum.opnsense.org/index.php?topic=7528.msg34249#msg34249)
Zur OPNsense:
1. WAN Interface Einstellungen:
- IPv6 Konfigurationstyp: DHCPv6
- DHCPv6 Clientkonfiguration
- Konfigurationsmodus: Einfach
- Nur einen IPv6-Präfix anfordern: Ja
- Prefix delegation size: 62
- Sende einen IPv6-Präfixhinweis: Ja
- Prevent release: Ja
- IPv4-Verbindung verwenden: Nein
Die Unitymedia Connect Box kenne ich allerdings nicht, vielleicht klappt das ja trotzdem. IPv4 filtern sollte mit DS-Lite und der OPNsense kein Problem darstellen, wenn auch nur ausgehend.
Zur Unitymedia Connect Box: Infos zur Prefix Delegation (https://www.unitymediaforum.de/viewtopic.php?f=53&t=34638#p379319)
Sollte es klappen, bitte ich dich, auch für andere User die evtl. die gleiche Frage haben, deine Problemlösung einmal detailiert zu beschreiben.
-
Hallo,
ich habe die gleiche Box und bei mir funktioniert folgende Config:
OPNsense am WAN-Port auf DHCP stellen, so dass er eine Adresse von der Box bekommt. Du kannst die Range auf der Box ja noch eingrenzen.
Dann sollte der Connect funktionieren. Diese Config ist zwar nicht ganz sauber und es wird hier zweimal genattet, aber ich habe bisher noch keine Probleme gehabt.
Gefällt mir auch nicht, aber leider sind die Konfigurationsmöglichkeiten auf diesem Schrott- Router auch sehr begrenzt.
-
Vielen Dank,
ich werde eure Lösungsansätze mal ausprobieren.
@ mar_becker: Das war auch mein erster Ansatz, die Clients kamen aber dann nicht ins Internet. Hast Du eventuell noch IPV4 bei Dir anliegen weil Du einen älteren Vertrag hast? Den Luxus habe ich leider nicht :(
Ich werde berichten wie es lief.
Viele Grüße.
-
Stelle intern alles auf IPv4 um. Auch die Box, so das die Sense eine v4-Adresse erhält. Dann sollte alles klappen.
-
Ein IPv6-Präfix von der CB zu bekommen sollte kein Problem sein (wie von NicholasRush beschrieben). Die Schwierigkeit besteht im IPv4 via DS-Lite. Zusätzliches NAT in der OPNsense (wie bei mar_becker) geht natürlich immer(*), aber wenn man das nicht möchte muss die OPNsense den DS-Lite-Tunnel selbst aufbauen. Und das ist noch work in progress. Mit etwas Handarbeit geht es aber wohl schon. Siehe dazu auch dieser Thread: https://forum.opnsense.org/index.php?topic=7788.0
Alternativ wie gesagt transparentes Bridging, mit Einschränkungen der Funktionalität.
(*) Dazu sollte die OPNsense nicht das gleiche LAN-Subnet wie die CB vewenden, also z. B. 192.168.1.0/24 konfigurieren. Außerdem muss "Block private networks" auf dem WAN-Interface deaktiviert werden.
-
Hallo zusammen,
ich wollte euch nur kurz einen kleinen Abschlussbericht geben.
Ich habe es eine Weile mit einem transparenten Proxy gemacht. Bei der Einrichtung gab es kurz Probleme dass die OPNSense nicht mehr erreichbar war obwohl ich oben per Apply Changes noch nichts bestätigt hatte (wie in der Anleitung). Nach einem neuen Versuch ging es dann. An allen Geräten habe ich so weit mögliche ipv6 deaktiviert.
Bei den Mobilfunkgeräten (Android) klappte dies nicht. Das hatte merkwürdige Nebeneffekte beim DNS, Webseiten luden ewig, Youtube App zeigte an man sei nicht verbunden etc. Ich betreibe hier eine kleine AD Domäne mit Samba 4 und DNS, ich schätze da gab es Konflikte.
Ich habe nun in meinem Urlaub die OPNSense als normalen Router aufgesetzt und den IP Adressbereich meines Heimnetzes geändert (war wie die Connect Box im 192.168.0.x Bereich).
Den DHCP der Connect Box habe ich aktiviert und mit dem WAN Port der OPNSense verbunden, das Ganze läuft nun einwandfrei. Auch das WLAN der Mobilclients funktioniert gut. Bisher hatte ich noch keine negativen Effekte durch das zusätzliche Natting.
Falls jemand also auch in die Konstellation kommt: DHCP der Connectbox aktivieren, mit dem WAN Port der OPNSense verbinden, eigenes Heimnetz nicht im 192.168.0.x Bereich haben und dann sollte es laufen.
Viele Grüße.
-
Ich möchte hier auch meine Erfahrung mit Unitymedia Connect Box + OPNsense posten.
Ich habe noch einen reinen IPv4 Anschluss, deswegen werde ich IPv6 gar nicht betrachten.
Aktuell ist es leider nicht möglich die Connect box in Bridge Modus zu versetzen. Unitymedia bietet diese Option nicht an, wieso auch immer. Bei Unitymedia gibt es leider generell nicht so viele Möglichkeiten eigene Hardware vernünftig einzusetzen.
Für Private Anschlüsse stehen zurzeit folgende Hardware zu Verfügung:
Horizon HD Receiver – Ich hatte damit sehr schlechte Erfahrungen im Bereich Internet gemacht.
AVM FRITZ!Box – Habe ich nicht getestet.
Connect Box – Ich kann nichts Schlechtes über die Connect Box sagen. Ja, die Einstellungen sind
sehr begrenz, aber das Teil funktioniert sehr stabil und ist für die meisten Nutzer völlig ausreichend. Auch
die WLAN Abdeckung ist gut (airCube AC ist nur minimal besser).
Mir persönlich fehlt ein reines Internet Modem. Diese Möglichkeit hat Unitymedia leider nicht mehr im Angebot. Also bleibt nur noch die Doppel NAT Lösung übrig.
Ich habe gelesen, dass die FRITZ!Box bei Unitymedia auch keinen Bridge Modus kann. Allerdings kann man angeblich in der FRITZ!Box statische Routen eintragen. Da ich keine FRITZ!Box besitze, kann ich das leider nicht prüfen. Nun zur meiner Konfiguration
Ich habe folgende Einstellungen vorgenommen:
Connect box
DHCP: an
Feste IP Adresse für OPNsense z.B. 192.168.0.100
DMZ Funktion: an. OPNsense IP Adresse: 192.168.0.100
WLAN: aus. Ich verwende Access Point: Ubiquiti airCube AC.
Firewall: kann man anlassen oder ausmachen. Ich habe kein Unterschied gemerkt.
Verbindung: LAN Kabel aus dem Connect box [LAN] in OPNsense [WAN].
OPNsense (APU.1D4)
WAN IP: 192.168.0.10
OPNsense LAN IP: z.B. 192.168.1.x
DHCP: an
Heimnetzwerk (LAN): 192.168.1.x
Heimnetzwerk (WLAN): Bei mir läuft airCube AC im Bridge Modus. 192.168.1.x
Das System (18.7.10_4) läuft absolut stabil und die Portweiterleitung funktioniert auch einwandfrei. Als kleiner Kritikpunkt angemerkt, es stehen mehrere Hardwareboxen im Raum, die etwas Platz einnehmen und mehr Strom verbrauchen. Auf der anderen Seite hat man mit OPNsense unglaublich viele Möglichkeiten und bietet eine komplette Kontrolle über das eigene Netz.