Anfänger: Kein Internet mit OPNSense hinter Speedport (im Modem-Modus)

[Tinkertom]

Tach zusammen,

Ich habe gerade OPNSense installiert und meine ersten Gehversuche gemacht. Leider muss ich auch sofort ein Hilfegesuch hie absetzen ;-)

Ich bin Markus (43), Hobby Admin und Linux-Veteran.
Im Moment versuche ich, unser etwas verwildertes Familiennetzwerk zu strukturieren und mit OPNSense auszurüsten.
Die Tipps für Einsteigerhttps://forum.opnsense.org/index.php?topic=12697.0 habe ich gelesen und versuche mich daran zu halten. Wenn etwas fehlt, schreibt mir einfach...

Mein aktuelles Ziel ist es, den Speedport-Router der Telekom als Modem zu betreiben seine Aufgaben so weit wie möglich von OPNSense erledigen zu lassen. Spätere Erweiterungen, wie VPN zum Fernzugriff von außen und andere "Spielereien" kommen dann irgendwann später...

Den IP-Bereich des alten Routers 192.168.2.0/24 möchte ich erstmal behalten, damit ich bei Problemen (wie ich gerade eins habe ;-) einfach wieder zum Speedport wechseln kann.

Der Speedport kann laut Telekom-Hilfetexten als Modem betrieben werden (OPNSense meldet sich über PPPoE an) und parallel weiter als Router arbeiten. So teste ich im Moment auch, damit ich bei Problemen zurück zum alten Zustand komme.


So weit bin ich bisher:
- OPNSense installiert und verkabelt
- PPPoE gemäß How-To aus der Dokumentation https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html eingerichtet
- die WAN-Schnittstelle wird als aktiv angezeigt und bekommt eine öffentliche IP-Adresse (v4) sowie einen Bereich v6-Adressen, wenn ich das richtig sehe.
- Geräte im LAN bekommen per DHCP IPs (v4 und v6) zugeteilt.

Was nicht geht:
- Geräte im LAN, die von OPNSense per DHCP konfiguriert werden (Gateway 192.168.2.2: OPNSense) beziehen, kommen nicht ins Internet.
- Statisch konfigurierte Geräte, deren Konfiguration noch nicht angepasst ist (Gateway 192.168.2.1: Speedport) funktionieren wie zuvor.
- Ist der DHCP-Dienst bei OPNSense aus- und am Speedport eingeschaltet, funktioniert alles wie gehabt, aber das ist ja nicht das Ziel.


Hier mein Netzwerkplan, geringfügig vereinfacht:

Code Select Expand


                       [Gigaset DECT-Telefon]
                                |
                           (TAE-Stecker)
(        )             ________|____________                  |-[Mehrere WiFi-Steckdosen (*.11-*.80)]
( Internet )---------- |  Speedport W723    |                  |
(        )            |Modem+Routerfunktion|-------(WiFi)-----|-[Zwei Android-Geräte (DHCP)]
                       |  DHCP *.100-*.120  |                  |
                       |____(192.168.2.1)___|                  |-[Laptop des Admin (192.168.2.121)
                                |                              |-[Laptop im Werkraum/Keller (192.168.2.122)
                             (PPPoE)                           |-[RaspberryPi Wohnzimmer (192.168.2.123)
                       _________|____________                  |-[Laptop der BEvA (192.168.2.124)
                       |      OPNSense      |
                       |  DHCP *.100-*.120  |
                       |___(192.168.2.2)____|-(WiFi,inaktiv)
                                |
                            (Ethernet)
                                |
                             [Switch]
                                |--------------(Ethernet)------|-[FreeNAS-Server (192.168.2.201)
                                                               |       |-Jail Nextcloud (192.168.2.205)
                                                               |       |-Weitere Jails möglich (*.202-*.210)
                                                               |
                                                               |-[Homematic CCU (192.168.2.211)]
                                                               |-[IKEA Tradfri Gateway (DHCP)
                                                               |-[Laserdrucker Kyocera (192.168.2.245)


Anmerkung: Ich habe beim Speedport UND bei OPNSense den DHCP-Dienst eingetragen, es ist aber bei meinen Tests immer nur der eine ODER der andere aktiv.

Für mich klingt das nach einem Konfigurationsfehler den ich übersehen habe, aber im Moment komme ich bei der Fehlersuche nicht weiter.
Vielleicht habt Ihr eine Idee wo es hier klemmt, oder einen Tipp, wie ich bei der Fehlersuche weiterkomme?

Dafür wäre ich sehr dankbar.

Liebe Grüße aus dem Münsterland,

Markus

[chemlud]

Hi!

Du hast an der OPNsense auf dem LAN und dem WAN das selbe Netz. Das kann nicht funktionieren...

[Tinkertom]

Oh, tatsächlich?

Ich schau mir das nochmal an, wenn ich die Mühle wieder in Betrieb nehme (Kann ja nicht ständig hier das Internet abschalten ;-) ) Wenn ich mich recht erinnere, hatte die WAN-Seite von OPNSense aber eine öffentliche IP-Adresse.

Eigentlich hatte ich es so verstanden, dass OPNSense bei mir nicht mit beiden "Füßen" im gleichen Netzwerk steht, wenn ich mit PPPoE den Modem-Teil des alten Routers anspreche? Also in etwa so wie im geänderten Netzwerkplan hier:

Code Select Expand


                       [Gigaset DECT-Telefon]
                                |
                           (TAE-Stecker)
(        )             ________|____________                 
( Internet )---------- |  Speedport W723    |
(        )            |                    |
                |------|__Modemfunktion_____|
                |      .        ||          .
                |      .    (intern)        .
                |      _________||___________                  |-[Mehrere WiFi-Steckdosen (*.11-*.80)]
                |      |   WAN:22.23.24.25  |                  |
                |      |---Speedport W723---|                  |-[Zwei Android-Geräte (DHCP)]
                |      |   Routerfunktion   |-------(WiFi)-----|
                |      | (LAN:192.168.2.1)  |                  |-[Laptop des Admin (192.168.2.121)
                |      |      -----         |                  |-[Laptop im Werkraum/Keller (192.168.2.122)
                |      |     DHCP-Server:   |                  |-[RaspberryPi Wohnzimmer (192.168.2.123)             
                |      |_____*100-*120______|                  |-[Laptop der BEvA (192.168.2.124)                 
             (PPPoE)                                 
                |
                |      ______________________                 
                |------| (WAN:22.23.24.26)  |
                       |  --- OPNSense ---  |
                       | (LAN:192.168.2.2)  |                 
                       |       -----        |-(WiFi,inaktiv)
                       |   DHCP-Server:     |
                       |___*.100-*.120______|
                                |
                            (Ethernet)
                                |
                             [Switch]
                                |--------------(Ethernet)------|-[FreeNAS-Server (192.168.2.201)
                                                               |       |-Jail Nextcloud (192.168.2.205)
                                                               |       |-Weitere Jails möglich (*.202-*.210)
                                                               |
                                                               |-[Homematic CCU (192.168.2.211)]
                                                               |-[IKEA Tradfri Gateway (DHCP)
                                                               |-[Laserdrucker Kyocera (192.168.2.245)


Jetzt begreife ich auch, warum es hier so wichtig ist, Netzwerkpläne zu zeichnen. Das hätte ich in Textform niemals verständlich erklären (oder mir selbst begreiflich machen) können :-)

[chemlud]

Falls du durch die OPNsense auf den Speedport zugreifen willst, nimm ein Netz, das nicht im LAN, OPT1 etc. whatever liegt... Sprich veränder auf jeden Fall den DHCP für private IPs auf dem Speedport, damit er keine IPs aus deinem LAN vergibt.

[mrk45k]

Ich glaube du gehst deinen "Umzug" zu schnell an.
Da du ja anscheinend dein Internet produktiv nutzen musst (Sei es auch nur durch IPTV weil die Frau gerade Let's Dance gucken will ;) )
Ich habe vor nicht langer Zeit auch das Vorhaben umgesetzt. Allerdings mit einer Fritzbox.
Und deshalb würde ich aus Erfahrung heraus zu folgendem Weg raten.

1. Vergebe allen Geräten eine feste IP über den Speedport und stelle alle Geräte auf DHCP.
2. Hänge die Opnsense an den Speedport so das diese in das internet kommt.
3. Ziehe alle Geräte nach und nach rüber auf die Opnsense (anderer IP bereich) auch wieder mit festen adressen bei DHCP. Das hat den Vorteil das du auch schneller erkennst was das für ein Gerät ist wenn du alles sorgfälltig einträgst. Ausserdem kannst du mit weniger wichtigen Geräten erst einmal üben.
Jetzt kannst du auch schonmal die einzelnen Geräte testen bzw. die Rules und das NATen ausprobieren.
Für die meisten deiner gezeigten Geräte ist das doppelte NAT erst einmal nicht so tragisch.
Durch das DHCP managment kommst du dann schnell wieder zurück zum Speedport setup.
4. Und wenn das soweit ist, kann man die Modemeinwahl mal anschauen.
Weil dann weisst du was alles geht und vorallem wie. Und hast einen klaren Blick auf die Modem Problematik und vermutest den fehler nicht eventuell im falschen Bereich.
Denn das wird bestimmt eines deiner kleinsten Probleme am Ende gewesen sein ;)

[Tinkertom]

Ich glaube du gehst deinen "Umzug" zu schnell an....

Das klingt nach einem guten Plan ;-) So werde ich es wohl angehen.. Danke!