Messages

/quote]
Egal, hauptsache kleiner als 64 und größer als 56?

Das Upstream-Gateway ist nicht irgendein Interface der OPNsense, sondern die Gegenstelle Deines ISP und wird während des PPPoE Aufbaus ermittelt.

So sehe ich das auch, sobald du die Einwahl direkt mit der OpnSense Box machst, hat die automatisch eine Verbindung ins Internet.
Glaube ich habe damals diese Anleitung genommen: https://www.du-consult.de/opnsense-so-konfiguriert-man-eine-deutschlandlan-pppoe-einwahl/

Ich habe im Grunde deinen zukünftigen Aufbau, [Glasfasermodem Telekom][RJ45]---[WAN]OpnSense[LAN]---[Fritzbox]. Aus Spaß habe ich die Fritzbox weiterhin im Firewall Modus mitlaufen für die Geräte, die an der Fritzbox hängen.

Die Standardregel, die jeglichen Verkehr aus dem LAN ins Internet lässt, seht ihr im ersten Post im Anhang als "Default allow LAN IPv6 to any rule". Die Konfiguration ist, dass dort als Quelle das "LAN Netzwerk" gesetzt ist. Jetzt ist aber das Problem, dass das LAN Netzwerk ein /64 Netz ist, diese Konfiguration kommt nach meinem Verständnis aus dem "Schnittstellen Tracking" mit der übergeordneten Schnittstelle "WAN". Das ergibt ja auch Sinn, wenn das "LAN Netzwerk" den kompletten Prefix abdecken würde, könnte kein Prefix mehr delegiert werden.

Das bedeutet, dass das Netz, welches an die Fritzbox delegiert wird, ein andere Netz als das "LAN Netzwerk" ist und daher die Standardregel "Default allow LAN IPv6 to any rule" nicht mehr greift.

Das Problem hier ist, dass die Netze ja vom Provider vorgegeben und über das Tracking an das LAN weitergegeben werden und daher nicht einfach als statische Regel eingetragen werden könne.

Die IPv6 Konfiguration des LAN Interfaces habe ich nochmal angehängt, "Internet" ist hier das "WAN" Interface.

Moin, danke für die Antwort. Das Netz ist historisch gewachsen und so, daher sitzt die OpnSense aus dem Internet gesehen vor der Fritzbox und teilt dort z.B. den Traffic schon in Heimnetz (Fritzbox + 3 APs etc.) und DMZ auf. Den Teil des Netzes würde ich außen vor lassen.

Den Teil, wo ich deiner Meinung nach die Fritzbox ins Internet exponiere, verstehe ich noch nicht. Ich lasse ja nicht jeglichen Verkehr auf dem WAN Interface rein, sondern lediglich auf dem LAN Interface. Auf dem WAN Interface besteht ja weiterhin die Default deny Regel.

Mal rein Interessehalber, wie hast du die Netze konfiguriert? Sind die statisch oder bekommen das Wireguard und LAN Netz per DHCP6 ein Netz? Und wenn du aus den beiden Netzen des LAN Interface der OpnSense pingen kannst, dann bleiben die Pakete ja in der OpnSense hängen. Sicher, dass dass die nicht per Default State violation rule geblockt werden, weil die OpnSense die Netze von Wireguard und LAN nicht kennt?

Hallo Zusammen,

nachdem ich mich ein paar Stunden durch das Delegieren von IPv6 Prefixen gearbeitet habe, habe ich eine Frage zu den zugehörigen Firewall Regeln. Grundsätzlich ist der Aufbau vereinfacht so:

[Internet, Telekom Glasfaser]---[WAN][OpnSense][LAN]---[Fritzbox]

Die Telekom gibt mir ein /56 Netz. Das Weiterreichen eines /62 Prefixes an die Fritzbox funktioniert so weit, die Fritzbox teilt das Netz nochmal in /64er Netze (Gast WLAN und so) und es erhalten die Clients auch alle eine IP Adresse. Die Standard LAN Firewall Regel lautet nun, dass alles aus dem Netzwerk des LAN Interfaces ins durch darf. Das LAN hat allerdings ein /64 Netz, der delegierte /62 Prefix der Fritzbox ist natürlich ein Anderer. Ich kann  mich nicht darauf verlassen, dass beim nächsten Start mein /56 Netz das Gleiche ist. Und jetzt?

Aktuell habe eine Regel, die jeglichen IPv6 IN Verkehr auf LAN erlaubt, ohne Beschränkung auf ein Netz. Wäre das vom Konzept in Ordnung, oder hole ich mir damit eine Unsicherheit ins Netz?

Danke und viele Grüße
Robert

Das Problem gab es in ähnlich Form bereits hier:
https://forum.opnsense.org/index.php?topic=35724.0
https://forum.opnsense.org/index.php?topic=38579.0

Moin,

bin kein Fachmann, aber paar Gedanken dazu.

Du willst von A nach B zugreifen. Auf B sieht das so aus, wie ein Zugriff von extern. Wenn du NAT sagst meinst du daher "Portweiterleitung: NAT", oder? Du könntest versuchen bei der Zieladresse in der NAT Regel die WAN Adresse von A einzutragen.

Ansonsten mal in die Liveansicht der Protokolldateien schauen. Und warum du HBCI in einer solchen Konstellation weiterleiten willst will ich wahrscheinlich nicht wissen :-)

VG

[Pro:]

Hallo Zusammen,

ich bräuchte mal ein paar Gedanken zu folgendem Netz (auf Deutsch, weil viele Fritzboxen wohl in D stehen), da ich mich langsam im Kopf im Kreis drehe:

Code Select Expand


      WAN / Internet
              :
              : Telekom FTTH
              :
      .-----+------.   private DMZ    .------------.
      |  OPNsense  +-----------------+ Server    |
      '-----+------'                 '------------'
              |
       LAN |  192.168.111.0/24
             |
     .-----+-----.
     |  FritzBox  |  mit NAT
     '-----+-----'
             |
             | 192.168.122./24
             |


Die Fritzbox läuft im Router-Kaskadenmodus mit aktivierter Firewall. Das System hat die folgenden Vorteile:

Pro:

• FB hat idiotensichere Firewall falls auf der OPNSense doch was falsch ist
• FB macht VoIP
• FB hat DECT Repeater verbunden
• FB hat paar Mesh Repeater verbunden
• FB macht Gastnetz fürs Homeoffice
• IPv6 funktioniert
• Doppeltes NAT stört mich nicht, da DMZ vorhanden, außer...

Contra:

• Doppeltes NAT macht Netzwerkanalyse im FB Netz unmöglich, alle IPv4 Verbindungen kommen von der Fritzbox

Auf der Fritzbox habe ich ein bisschen mit den ar7.cfg Einstellungen gespielt und no_masquerade = yes gesetzt, das hat fast funktioniert, außer dass es scheinbar auch die FB Firewall deaktiviert hat, alle Hosts waren hinter der Fritzbox erreichbar. Ob das Gastnetz damit geht habe ich gar nicht mehr versucht. So schwer kann es doch nicht sein das NAT auf der FB zu deaktivieren, das ist doch ein einfaches ip_forward mit paar iptables Regeln vom Embedded Linux aus gesehen.

Ein vollständiger Umbau auf Ubiquity +X würde wahrscheinlich gehen, da ein VLAN fähiger Switch vorhanden ist, allerdings müsste ich alle Komponenten umtauschen.

NtopNG zur Netzwerkanalyse habe ich auch gefunden, aber den kompletten Traffic auf einen dritten Rechner/VM zu streamen schreckt irgendwie auch ab.

Habt ihr noch weitere Ideen?

Danke,
VG
Robert

Wenn ich das nun richtig verstanden habe,  ist dein Telekom Glasfasermodem der Anschluss zum Provider und nicht die Fritz oder Sophos (OPNsense)? Dann hast Du an dem Telekom Glasfasermodem an einem Port die Fritz und an einem anderen die Sophos (OPNsense) dran?
Dann brauchst Du doch kein PPPoE in der OPNsense einrichten, macht doch dein Telekom Gerät schon... !?
Wegen was hängt die Fritz eigentlich dran, nur wegen Telefon? Kann das nicht schon das Telekom-Gerät?

Ich glaube du hast einen kleinen Denkfehler hier, die Telekom Glasfaseranschlüsse werden wenn man keine Hardware dazubucht wirklich nur mit einem Glasfasermodem geliefert. Such mal nach "Deutsche Telekom Glasfaser Modem 2". Dieser Anschluss wird über PPPoE über den Ethernet Port konfiguriert, das macht bei mir die Sophos Box.

Bei einem Glasfaseranschluss mit wieviel Mbit?

Meiner hat 500 Mbit, habe von möglichen Problemen von älteren FreeBSD auf der Hardware gelesen, die den Durchsatz limitieren sollen, aber das ist wohl gelöst.

Und "WAN Anschluss nicht benötigt" ... es wird erst zum WAN-Anschluss durch die Firewallregeln, was durch die Hersteller auch vorkonfiguriert wurde. Er wird halt auch als der "Ausgehende" Anschluss behandelt, also warum nicht verwenden?

Nach meinem Verständnis ist in meiner Konfiguration das PPPoE Interface das ausgehende Interface.

[WAN Interface nicht benötigt wird]

Hallo Zusammen,

vielen Dank für die sehr ausführliche, verständliche und informative Antwort, auch wenn meine Fragestellung etwas offen und unvollständig formuliert war.

Ich muss mich durch die Antworten erst einmal durcharbeiten. Die Box ist wie vermutet eine SG 105 mit 4 Gbit Netzwerkports und Intel Atom Prozessor, für 500 Mbit PPPoE reicht die zum Glück aus.

Der Aufbau ist ebenfalls wie vermutet, ab dem Glasfasermodem ist alles per Ethernet Kabel verbunden:

Internet <-> Telekom Glasfasermodem (Typ müsste ich mal aufs Schild schauen, "das kleine Schwarze") <-> Sophos <-> LAN (inklusive Fritzbox). Zusätzlich baue ich aktuell noch an der DMZ für einen weiteren Server mit Internetdiensten.

Die wichtigste Info war tatsächlich, dass das WAN Interface nicht benötigt wird. Ich habe dieses zum Testen deaktiviert und es ist passiert: Nichts, das ist gut.  :D Ich dachte es ist notwendig, da in der Dokumentation zu ipv6 etwas entsprechendes Stand: https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html

Dass das Glasfasermodem aber auch noch ein lokales Netz bereitstellt ist für mich spannend, das werde ich zu einem späteren Zeitpunkt untersuchen.

Hallo Zusammen,

ich habe eine Sophos Box mit Opnsense an einem Telekom Glasfaseranschluss laufen, für die Konfiguration gab es eine gute Anleitung. Insgesamt funktioniert schon das meiste inklusive IPv6, aber bei den Interfaces zum Internet hin steige ich nicht durch.

Folgende Interfaces haben etwas mit dem Internet zu tun:

WAN ist igb1, hat als angezeigte IP Adresse 0.0.0.0/8 und eine Link-lokale IPv6 Adresse. DHCP für IPv4 und IPv6 ist aktiviert. Blockiere Private und Bogon Netze ist aktiviert und die jeweiligen Firewall Regeln sind eingetragen.

WANVLAN ist ein VLAN Interface auf WAN/igb1, hat keine IP-Adresse und keine Regeln.

INTERNET ist ein PPPoE Interface auf WANVLAN, hat die PPPoE Zugangsdaten und DHCPv6. Das Interface hat alle externen IPv4 und IPv6 Adressen, Gateways und DNS Server. Als Regeln sind ein Satz dhcpv6 client und Blockiere Private Netze aktiv.

Weiterhin habe ich für das Interface INTERNET ein paar Port Forwarding Regeln definiert, diese funktionieren.

Meine Frage: Werden die Firewall Regeln auf dem WAN Interface jemals ausgeführt oder sind WAN und WANVLAN irrelevant? Warum wird hier die 0.0.0.0 als IP-Adresse angezeigt?

Danke,
VG
Robert

/Edit: Sorry for the preliminary post. Apparently this is FRITZ!Box specific. There are two DNS server settings, one where the internet is configured and one where the ipv4 network is configured. Setting the ipv4 DNS Server to the OPNSense (default setting is the FRITZ!Box itself) solves the problem with different TTLs for the same DNS request.

Hi,

I am running OPNSense on a Sophos box:

Internet -> OPNSense -> FRITZ!Box -> Local Network

The DNS Configuration is:

- "Local Network" uses FRITZ!Box
- FRITZ!Box uses Unbound on OPNSense
- OPNSense uses Provider DNS

Currently most things work as expected, even ipv6 on the local network.  :)

The FRITZ!Box also acts as DECT gateway for SIP telephony. From time to time the SIP connection breaks with "403 Forbidden" and from my impression this is a DNS problem. When I query the FRITZ!Box and OPNSense (which both should use OPNSense as source) I get the following replies:

Code Select Expand


$ dig _sip._udp.tel.t-online.de SRV @opnsense
[...]
;; ANSWER SECTION:
_sip._udp.tel.t-online.de. 2529 IN      SRV     20 0 5060 d-epp-110.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 2529 IN      SRV     30 0 5060 h2-epp-110.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 2529 IN      SRV     10 0 5060 k-epp-100.edns.t-ipnet.de.
[...]
$ dig _sip._udp.tel.t-online.de SRV @fritz.box
[...]
;; ANSWER SECTION:
_sip._udp.tel.t-online.de. 308  IN      SRV     20 0 5060 d-epp-110.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 308  IN      SRV     10 0 5060 h-epp-110.edns.t-ipnet.de.
_sip._udp.tel.t-online.de. 308  IN      SRV     30 0 5060 h2-epp-110.edns.t-ipnet.de.
[...]

The replies are different in this case.

Apparently (and from some information on the internet) Telekom is doing load balancing with DNS for their SIP telephony service. Any ideas why I end up with different replies although the FRITZ!Box should cascade the DNS request to the OPNSense box? Is this simply caching behavior on the FRITZ!Box? Can I change the DNS reply in unbound to modify the TTL that is given to the FRITZ!Box?

Thanks for hints,
Robert