Frage zur Basis Konfig mit FB 6591 und UM(VF)

[Manschu]

Hallo zusammen,

da ich gestern das 4. mal mit der Inbetriebnahme der OPNsense (v.22.1) gescheitert bin, wollte ich euch um eure Hilfe bitte. Es ist sicherlich nur eine Kleinigkeit aber offensichtlich sehe ich den Wald vor lauter Bäumen nicht.

Der Aufbau ist recht simpel, ich habe eine eigene FRITZBox 6591 (mit aktueller Firmware und freigeschalteter Bridge-Funktion) an einem UM-NRW bzw. Vodafone Kabelanschluss mit Komfort-Option. Hinter der FB soll ein kleiner Industrie PC mit 4 bzw 6 Interfacen (habe schon den zweiten IPC gekauft, da ich das Problem zuerst bei der HW vermutete) die OPNsense (inzwischen 22.1) mit WAN, LAN und DMZ hosten. Und dahinter noch ein Layer 3 Switch der die Verteilung übernimmt.

Zuerst habe ich die OPNsense mit allen Netzen und Addons (bind, unbound, redis und ntop) konfiguriert um sie dann zwischen die FB und den Switch zu setzen, doch ich kommen aus dem LAN nicht ins Internet.
Egal ob ich die OPNsense einfach nur an die FB hänge und das doppelte NAT in Kauf nehme noch wenn ich die FB in den Brigde-Modus setze. Die FB läuft im dualstack bekommt ihre IPs bzw. auch die OPNsense bekommt ihre WAN Adresse, doch es sieht so aus als wüsste die FB nicht wo die Pakete hin sollten. Selbst bei der default Konfig der OPN mit WAN und LAN ohne Addons oder sonstige Regeln steht in den Logs nur das die Anfragen aus dem LAN die Firewall über die Any/any Regel passiert haben. Doch mehr passiert nicht, auch nicht nach mehrmaligem Neustart allen Beteiligten.

Ich denke das auf der FB noch etwas zu machen ist, was ich bis jetzt nicht gefunden oder auch übersehen habe.

Hier noch kurz der IP Ansatz mit 2-fach NAT: Fritzbox 172.168.1.1/30, WAN 172.168.1.2/30, LAN 172.168.2.1/26, DMZ 172.168.3.1/30

Hier noch kurz der IP Ansatz mit Bridge: Fritzbox 172.168.1.1/30, WAN 211.172.x.x, LAN 172.168.2.1/26, DMZ 172.168.3.1/30

Ich würde mich echt freuen, wenn mich hier jemand auf meine Fehler hinweisen könnte.

Viele Grüße und danke vorab
Manschu

[Manschu]

...noch ein Nachtrag:

Ich hatte gestern als letzten Versuch die OPNsense noch einmal direkt am Bridge-Port der FB (stock)installier, um auch dies als Grund auszuschließen. Aber nein, gleiches Verhalten, alle Aufrufe aus dem LAN timen aus.

[micneu]

Wo ist der grafische netzwerkplan?


Gesendet von iPhone mit Tapatalk Pro

[Manschu]

@micneu

Entschuldige, aber den hatte ich vergessen. Bin aber schon gespannt, wie Du daran das Problem ableitest.

      WAN / Internet
            :
            : Cable-Provider (UM bzw. VF)
            :
      .-----+-----.
      |  Gateway  |  (FRITZ!Box 6591)
      '-----+-----'
            |
        WAN | Bridge-Port 2 der / FB 211.172.x.x
            |
      .-----+------.   private DMZ       .------------.
      |  OPNsense  +-----------------+ DMZ-Server |
      '-----+------'   172.168.3.1/30   '------------'
            |
        LAN | 172.168.2.1/26

ODER

WAN / Internet
            :
            : Cable-Provider (UM bzw. VF)
            :
      .-----+-----.
      |  Gateway  |  (FRITZ!Box 6591) 172.168.1.1/30
      '-----+-----'
            |
        WAN | Port 2 der FB 172.168.1.2/30
            |
      .-----+------.   private DMZ       .------------.
      |  OPNsense  +-----------------+ DMZ-Server |
      '-----+------'   172.168.3.1/30   '------------'
            |
        LAN | 172.168.2.1/26

Viele Grüße
Manschu

[Tuxtom007]

Hallo,


ich habe ein ähnliche Konfiguration um UM-Anschluss in NRW, FB6591 im BridgeModus, OPNSense dahinter und dann Unifi-Switch.

Ich nutze allerdings derzeit unbound nicht, da der gerade bei mir mit IPv6 gewaltig Ärger machte und immer wieder aussteigt.
Auf der OPNSense läuft allerdings bei mir derzeit AdGuard als Werbblocke/DNS-Filter, der direkt ins Internet fragen darf ohne unbound

An der FritzBox braust und kannst du im BridgeModus nichts einstellen, die arbeitet als "dummes" Modem und leitet alls an LAN2 raus.

Was du an Konfig in der WebGUI siehst, ist ausschließlich für den Telerfonieteil interessant. der eigene IP-Adressen bekommt.


Wer ist den bei dir DHCP und DNS-Server im Netz, ich vermute die DNS-Konfig ist bei dir fehlerhaft.

[micneu]

@micneu

Entschuldige, aber den hatte ich vergessen. Bin aber schon gespannt, wie Du daran das Problem ableitest.

      WAN / Internet
            :
            : Cable-Provider (UM bzw. VF)
            :
      .-----+-----.
      |  Gateway  |  (FRITZ!Box 6591)
      '-----+-----'
            |
        WAN | Bridge-Port 2 der / FB 211.172.x.x
            |
      .-----+------.   private DMZ       .------------.
      |  OPNsense  +-----------------+ DMZ-Server |
      '-----+------'   172.168.3.1/30   '------------'
            |
        LAN | 172.168.2.1/26

ODER

WAN / Internet
            :
            : Cable-Provider (UM bzw. VF)
            :
      .-----+-----.
      |  Gateway  |  (FRITZ!Box 6591) 172.168.1.1/30
      '-----+-----'
            |
        WAN | Port 2 der FB 172.168.1.2/30
            |
      .-----+------.   private DMZ       .------------.
      |  OPNsense  +-----------------+ DMZ-Server |
      '-----+------'   172.168.3.1/30   '------------'
            |
        LAN | 172.168.2.1/26

Viele Grüße
Manschu

bitte mal screenshots von deiner konfig:
- übersicht deiner interfaces
- wan
- outbound nat
ich kenne dein provider nicht machst/musst du vieleicht pppoe machen wenn deine fritzboxen als modem dient?
hast du mal deinen rechner an den port deiner fritzbox gehängt, bekommtder dann internet?

Gesendet von iPad mit Tapatalk Pro

[Manschu]

Erst einmal Danke für die schnellen Antworten.

UM steht für Unitymedia die inzwischen VF sprich Vodafone sind und die FRitzbox 6591 ist eine Kabel Box die via Koaxialkabel angeschlossen wird und sich via MAC beim Provider authentifiziert. .

@Tuxtom007
Bind und unbound sollten nicht die Ursache sein, da es auch ohne nicht geklappt hat. Aber die DNS Konfig und/oder das OutboundNAT könnten was sein. Denn im letzen Versuch hatte ich hier gar nichts konfiguriert, weil in allen Posts stand das der Internetzugriff auf Anhieb funktioniert hat.

Die Screens der Konfig lade ich schnellst möglich hoch, muss nur er alles wieder verkabeln.

[Manschu]

...um die Analyse nicht zu beeinflussen, habe ich die Installation schnell noch einmal neu gemacht.
Die FB 6591 ist wieder im Bridge-Mode für Port 2 und die OPN ist direkt mit dem Port2 der FB verbunden.
Auf der OPN gibt es derzeit nur WAN und LAN, keine AddOns, keine weiteren Netze.








PS.
Muss man die Bilder immer extern hochladen?

[KHE]

Hi Manschu,

nimm mal den Hacken bei Blockiere private Netze auf dem WAN weg. Ich habe auch Vodafone/Unitymedia und bekomme meine DHCP-Lease auf dem WAN von einem Rechner aus dem 10.0.0.0/8-Bereich.

Gruß
KH

[Tuxtom007]

Hallo,

Frage: 
- woher bekomme deine Clients ihre IP-Adressen, zeigt mal bitte noch die DHCP-Konfig für das LAN. ( DHCPv4 und DHCPv6 )


Was mir auf die Schnelle auffällt:

In den LAN-Eisntellungen hast du IPv6 aktivier mit Aufzeichnung WAN, aber bei der WAN-Schnittstelel IPV6 nicht aktiviert, das muss DHCP aktiviert werden und unten dann:
- Prefixgröße 59 ( oder 56 ja nach Bundesland )
- Sende IPv6 Prefixhinweis aktivieren

[Manschu]

Danke erste einmal,

...hier schnell zwischen durch die nötigen Uploads:

DHCP für IP-v6 ist nicht konfiguriert



bei v4 sieht es so aus



darunter ist nichts mehr angehakt, daher habe ich keine weiteren Bilder vom unteren Teil gemacht.

Die anderen Punkte werde ich am Abend umsetzen (jetzt brauche ich das Netz gerade ;-) )

[Manschu]

...
Was mir auf die Schnelle auffällt:

In den LAN-Eisntellungen hast du IPv6 aktivier mit Aufzeichnung WAN, aber bei der WAN-Schnittstelel IPV6 nicht aktiviert, das muss DHCP aktiviert werden und unten dann:
- Prefixgröße 59 ( oder 56 ja nach Bundesland )
- Sende IPv6 Prefixhinweis aktivieren

Sofern möglich wollte ich sämtlichen IP-v6 Traffic im LAN vermeiden. Daher hatte ich auch immer die any/any-v6 Regel vom LAN gelöscht. offensichtlich nicht wirklich konsequent. War zumindest auf der Thomas Krenn HP oder was ich sonst so gefunden habe auch nicht ersichtlich.

[Tuxtom007]

Hallo,

in der Pfsense kann man IPv6 komplett deaktivieren, ich finde gerade nichts, ob das in der OPNsense auch geht. - vielleicht weiss das jemand hier

[JeGr]

> in der Pfsense kann man IPv6 komplett deaktivieren, ich finde gerade nichts, ob das in der OPNsense auch geht. - vielleicht weiss das jemand hier

Ist auch bei pfSense wie bei OPNsense kein komplettes deaktivieren. Das geht nicht, man wird immer ein fe80::xy auf dem Interface haben. Die Haken bei den Sensen sind lediglich dafür da, dass im Hintergrund zwei "block any ipv6" Regeln auf alle Interfaces geklebt werden und damit IPv6 einfach stumpf auf jedem Interface geblockt wird. Das ist in den wenigsten Fällen wirklich zielführend, daher empfehlen wir das auch in Workshops nie.

Wenn man wirklich wissenden Auges IPv6 blocken will macht es mehr Sinn, die Regel(n) selbst anzulegen, dann weiß man wenigstens dass sie da sind, wo sie greifen und warum es passiert und wenn man das Logging aus lässt, spammen sie einem auch nicht das Log zu.

[Manschu]

...das Problem ist verschwunden.

Das einzige was ich gemacht habe, war das upgrade von 22.1 auf 22.1.1_3 und plötzlich konnte ich von LAN aufs Internet zugreifen.

Aber dennoch Danke für eure Hilfe.