"
Hier is een duidelijke richting waar je moet zoeken — jouw laatste zin *"heb geen firewall actief op je proxmox server / het zou kunnen zijn dat proxmox firewall alles tegenhoudt"* is **heel waarschijnlijk correct**.
Onderstaande punten lopen precies door *waar* het misgaat bij OPNsense-in-Proxmox setups zoals jij beschrijft.
---
# ✅ Waar het waarschijnlijk misgaat
## **1. Proxmox firewall blokkeert je WAN-bridge**
Dit is **veruit de meest voorkomende oorzaak**:
Zelfs als je denkt dat de Proxmox firewall "uit staat", kan deze nog geactiveerd zijn op:
* **Datacenter level**
* **Node level**
* **VM level**
* **Bridge level (vmbrX)**
➡️ Als *één* van die vier firewalls actief is, blokkeert Proxmox standaard **alle inkomende en uitgaande traffic** behalve wat expliciet is toegestaan.
Dit zorgt ervoor dat jouw WAN-interface wel een DHCP-IP krijgt, maar **geen ICMP/everything else** kan ontvangen.
### ✔ Controleer dit:
Ga in Proxmox GUI naar:
### **Datacenter → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Node (pve) → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Dat VM → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Check ook de bridges:**
In `/etc/network/interfaces` zie je soms regels als:
```
bridge-firewall on
```
➡️ Maak die **off**
```
bridge-firewall off
```
Herstart networking:
```
systemctl restart networking
```
---
# ✅ 2. WAN interface heeft geen promiscuous mode / MAC filtering
Sommige Ziggo modems in bridge mode accepteren maar **1 MAC-adres**.
Proxmox moet dan **promiscuous mode** toestaan.
Ga in Proxmox → jouw VM → Hardware → Network Device.
Stel in:
* **Model:** VirtIO (of e1000 voor test)
* **Bridge:** vmbrX (WAN)
* **VLAN Tag:** (NIET invullen, WAN moet "untagged")
* **Firewall:** uit
* **MAC filter / learning:** op **all=1**
En op vmbrX zelf (in `/etc/network/interfaces`):
```
bridge-ports enpXsY
bridge-stp off
bridge-fd 0
bridge-maxwait 0
bridge-learning off
bridge-arp-nd-suppress off
```
---
# ✅ 3. Double-check Ziggo modem behavior
Ziggo in bridge mode geeft **exact 1 WAN-IP** uit via DHCP.
Als je OPNsense herstart terwijl de VM-MAC verandert → Ziggo weigert verkeer tot de modem wordt gereboot.
➡️ **Dus: reboot Ziggo modem** nadat je OPNsense VM gereconfigureerd hebt.
---
# ✅ 4. OPNsense firewall zelf
Je zei dat hij "zo open is als maar kan" — maar voor WAN werkt dat niet zo:
* Een *outbound* ping vanaf de WAN interface hoort te werken zonder extra rules
* Een ping **naar** het WAN IP werkt niet tenzij je dat expliciet toestaat
Maar jouw probleem is:
> ICMP gaat eruit, maar er komt GEEN reply terug
> → 99% zeker **Proxmox firewall of MAC filtering / bridge config**.
---
# 🧪 Test of dit het probleem is
In Proxmox shell:
```
iptables -L -n
iptables -t filter -L -n
```
Als je tabellen ziet met REJECT of DROP op vmbrX → firewall actief.
Ook:
```
cat /proc/net/bridge/bridge-nf-call-iptables
cat /proc/net/bridge/bridge-nf-call-ip6tables
```
Als deze **1** zijn → brug loopt door firewall → moet **0** zijn.
---
Onderstaande punten lopen precies door *waar* het misgaat bij OPNsense-in-Proxmox setups zoals jij beschrijft.
---
# ✅ Waar het waarschijnlijk misgaat
## **1. Proxmox firewall blokkeert je WAN-bridge**
Dit is **veruit de meest voorkomende oorzaak**:
Zelfs als je denkt dat de Proxmox firewall "uit staat", kan deze nog geactiveerd zijn op:
* **Datacenter level**
* **Node level**
* **VM level**
* **Bridge level (vmbrX)**
➡️ Als *één* van die vier firewalls actief is, blokkeert Proxmox standaard **alle inkomende en uitgaande traffic** behalve wat expliciet is toegestaan.
Dit zorgt ervoor dat jouw WAN-interface wel een DHCP-IP krijgt, maar **geen ICMP/everything else** kan ontvangen.
### ✔ Controleer dit:
Ga in Proxmox GUI naar:
### **Datacenter → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Node (pve) → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Dat VM → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Check ook de bridges:**
In `/etc/network/interfaces` zie je soms regels als:
```
bridge-firewall on
```
➡️ Maak die **off**
```
bridge-firewall off
```
Herstart networking:
```
systemctl restart networking
```
---
# ✅ 2. WAN interface heeft geen promiscuous mode / MAC filtering
Sommige Ziggo modems in bridge mode accepteren maar **1 MAC-adres**.
Proxmox moet dan **promiscuous mode** toestaan.
Ga in Proxmox → jouw VM → Hardware → Network Device.
Stel in:
* **Model:** VirtIO (of e1000 voor test)
* **Bridge:** vmbrX (WAN)
* **VLAN Tag:** (NIET invullen, WAN moet "untagged")
* **Firewall:** uit
* **MAC filter / learning:** op **all=1**
En op vmbrX zelf (in `/etc/network/interfaces`):
```
bridge-ports enpXsY
bridge-stp off
bridge-fd 0
bridge-maxwait 0
bridge-learning off
bridge-arp-nd-suppress off
```
---
# ✅ 3. Double-check Ziggo modem behavior
Ziggo in bridge mode geeft **exact 1 WAN-IP** uit via DHCP.
Als je OPNsense herstart terwijl de VM-MAC verandert → Ziggo weigert verkeer tot de modem wordt gereboot.
➡️ **Dus: reboot Ziggo modem** nadat je OPNsense VM gereconfigureerd hebt.
---
# ✅ 4. OPNsense firewall zelf
Je zei dat hij "zo open is als maar kan" — maar voor WAN werkt dat niet zo:
* Een *outbound* ping vanaf de WAN interface hoort te werken zonder extra rules
* Een ping **naar** het WAN IP werkt niet tenzij je dat expliciet toestaat
Maar jouw probleem is:
> ICMP gaat eruit, maar er komt GEEN reply terug
> → 99% zeker **Proxmox firewall of MAC filtering / bridge config**.
---
# 🧪 Test of dit het probleem is
In Proxmox shell:
```
iptables -L -n
iptables -t filter -L -n
```
Als je tabellen ziet met REJECT of DROP op vmbrX → firewall actief.
Ook:
```
cat /proc/net/bridge/bridge-nf-call-iptables
cat /proc/net/bridge/bridge-nf-call-ip6tables
```
Als deze **1** zijn → brug loopt door firewall → moet **0** zijn.
---
