FTTH von DNS:NET mit eigenem GPON (Huawei MA5671A) an OPNsense (gelöst)

[2nice4u]

Hallo liebe Community, ich versuche seit einigen Tagen den Glasfaseranschluss an einem OPNsense Router zum Laufen zu bringen aber schaffe es nicht. Ich bin Neuling was OPNsense betrifft und tippe mal auf einen kleinen Konfigurations oder Denkfehler.
Mit der Fritzbox 5530 inkl. FritzGPON läuft der Anschluß wunderbar.
Ich möchte mir aber die zusätzliche Fritzbox im Netzwerk sparen und habe mir deshalb die Huawei Module aus Italien besorgt und diese gerootet bzw. mit anderer Firmware geflasht.

Der aktuelle Aufbau sieht so aus:
 
      WAN / Internet
            : CGNAT mit 100.1XX.XXX.XXX Gateway
            : PPPoE via vlan37
            : GPON Huawei MA5671A (FS Modded Firmware)
            : Das Huawei GPON Modul steckt ein einer unlocked Intel X520-DA2
      .-----+-----.
      |  OPNsense  |
      '-----+-----'
            |
        LAN | 10.10.10.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients)


Aktueller Stand:
- Das Huawei Modul mit der geclonten Fritzbox Modem-ID verbindet sich mit dem DNS:NET Gateway
- Verbindung wird nach genau 24h unterbrochen und wieder neu aufgebaut
- mir wird vom ISP eine private IP aus dem CGNAT Bereich zugewiesen 100.1XX.XXX.XXX
- ich kann nicht über das LAN-Netzwerk ins Internet bzw. das Gateway vom ISP anpingen

Es gibt keine Firewall Rules bisher und viele andere Einstellungen sind automatisch erzeugt.
Haber außer den Schnittstellen, PPPoE, VLAN, DHCP nichts weiter geändert



Ein nächster Punkt wäre noch das Verfügbarmachen des Moduls über seine eigene IP-Adresse: 192.168.1.10.

Wenn noch zusätzlich Daten benötigt werden um mir zu helfen, werde ich die gerne umgehend bereitstellen.
 

[Maurice]

Die Schnittstelle "onboardLAN" hängt wohl an einem anderen Router? Zumindest bekommt sie über DHCP ein Gateway zugewiesen. Evtl. verwendet OPNsense dieses als Default-Gateway statt des WAN-Gateways?

Grüße
Maurice

[2nice4u]

Das Interface war noch aktiviert weil ich es tatsächlich an meine VDSL-Fritzbox angeschlossen hatte um von unterwegs via Wireguard noch etwas "spielen" zu können. Jetzt wo ich wieder daheim bin, ist die Schnittstelle deaktiviert und nur noch das Gateway vom WAN in der Liste.   

Aktueller Stand:

- auch mit nur einem Gateway keine Verbindung zum Internet

[Maurice]

Ggfs. auch mal "Ferner Gateway" aktivieren, da deine WAN-Adresse eine /32 ist. Bei PPP sollte das eigentlich nicht notwendig sein, aber wer weiß. Ein ganz grundsätzliches Problem scheinst Du ja nicht zu haben, der PPPoE-Verbindungsaufbau klappt offensichtlich. Da dein ISP 100.64.0.0/10 verwendet kann es auch erforderlich sein, "block private networks" auf dem WAN-Interface zu deaktivieren.

Um das Management-Interface des SFPs erreichbar zu machen, assignst Du einfach ix0 und konfigurierst es statisch mit z. B. 192.168.1.9/30. Outbound-NAT brauchst Du wahrscheinlich auch.

[2nice4u]

Ggfs. auch mal "Ferner Gateway" aktivieren, da deine WAN-Adresse eine /32 ist. Bei PPP sollte das eigentlich nicht notwendig sein, aber wer weiß. Ein ganz grundsätzliches Problem scheinst Du ja nicht zu haben, der PPPoE-Verbindungsaufbau klappt offensichtlich. Da dein ISP 100.64.0.0/10 verwendet kann es auch erforderlich sein, "block private networks" auf dem WAN-Interface zu deaktivieren.

Um das Management-Interface des SFPs erreichbar zu machen, assignst Du einfach ix0 und konfigurierst es statisch mit z. B. 192.168.1.9/30. Outbound-NAT brauchst Du wahrscheinlich auch.

Der Tip das Blockieren der privaten Netzwerke zu deaktivieren war super. 
Zusätzlich habe ich noch das Gateway auf Upstream und Ferner gesetzt.
Zum Schluß musste ich noch eine Firewallregel für LAN_ix1 erstellen, bei der ich alles erlaube.
Ohne eine Firewallregel ging es nicht. War mir so auch noch nicht bewusst.
Aber was das betrifft, muss ich mich noch einarbeiten.
Das mit dem Outbound-NAT weiß ich nicht ob ich das auf Anhieb hinkriege. Dort sind aktuell nur automatische Regeln aktiviert und bei manuellen Regeln werde ich förmlich erschlagen mit Einstellmöglichkeiten  Nur mit der Zuweisung von ix0 und statischer IP, hat es eben nicht funktioniert.
Da muss ich nochmal schauen wie ich das am dümmsten mache.
Für 4 Tage mit OPNsense ist dieser Fortschritt aber gerade echt super.


Aktueller Stand:

- letzte Änderungen + unter WAN wurde Private Netze blockieren deaktiviert
                             + unter WAN Gateway wurde Ferner und Upstream aktiviert
                             + Firewallrule für LAN Interface wurde erstellt (vorerst eine, die alles erlaubt)

- Glasfaseranschluß von DNS:NET funktioniert nun mit eigenem GPON Modul an der OPNsense
 

[Maurice]

"Allow all" Regeln werden auf dem LAN-Interface beim initialen Setup eigentlich automatisch erstellt. Keine Ahnung, warum die bei dir fehlen. Nur bei zusätzlichen Interfaces (optX) müssen diese manuell erstellt werden.
Die ausgehende Regel benötigst Du nicht, das ist by default immer erlaubt.

Für die Outbound-NAT-Regel kannst Du alle Standardeinstellungen beibehalten, nur das Interface musst Du auf ix0 stellen.

[2nice4u]

"Allow all" Regeln werden auf dem LAN-Interface beim initialen Setup eigentlich automatisch erstellt. Keine Ahnung, warum die bei dir fehlen. Nur bei zusätzlichen Interfaces (optX) müssen diese manuell erstellt werden.
Die ausgehende Regel benötigst Du nicht, das ist by default immer erlaubt.

Für die Outbound-NAT-Regel kannst Du alle Standardeinstellungen beibehalten, nur das Interface musst Du auf ix0 stellen.

Das mit den Firewallregeln könnte daran liegen, dass die Einrichtung mit dem OnboardLAN als LAN Interface eingerichtet wurde. Da nun aber meine DAC-Kabel angekommen sind, kann ich direkt von der Intel X-520 mit den 10Gbit in den Switch gehen. Das hab ich tatsächlich nicht mehr auf dem Schirm gehabt und das System hat ja noch kein Glaskugel-Plugin um das plötzliche Wechseln der LAN Schnittstelle zu erkennen 

Das was mich gerade noch am meisten ärgert, ist das zusätzliche NAT von DNS:NET.
Da muss ich mir noch was einfallen lassen für Teamspeak, Minecraft und Mailserver.
Ohne einen ständig offenen Tunnel nach draußen, komme ich nicht vom Internet aus ins Heimnetz bzw Services sind nicht erreichbar.
Das bedeutet natürlich auch Performanceverlust durch längere Laufzeiten über Cloudflare usw. Eine direkte Verbindung mit Wireguard und dynDNS wie in der Vergangenheit wirds dann nicht mehr geben  außer man bucht die Static IP für nen 10er zusätzlich im Monat 

[Maurice]

Hat dein Anbieter kein IPv6? Damit kämst Du ohne Tricks von außen in dein Netzwerk. Öffentliche IPv4-Adressen werden bei Privatkunden-Anschlüssen zunehmend seltener.

[2nice4u]

Hat dein Anbieter kein IPv6? Damit kämst Du ohne Tricks von außen in dein Netzwerk. Öffentliche IPv4-Adressen werden bei Privatkunden-Anschlüssen zunehmend seltener.

Tatsächlich läuft das nur mit IPv4. Auf IPv6 Adressen im Internet zugreifen ist kein Problem aber anders herum geht das nicht. Habe gerade diesbezüglich noch ein Telefonat mit dem technischen Support gehabt.
Es gibt wohl eine kostenfreie Möglichkeit eine "öffentliche IP" zu aktivieren wurde mir gesagt.
Hab es jetzt mal aktivieren lassen und werde heute Abend mal damit testen: https://ipv6-test.com
Würde ja gerne sofort mal die OPNsense checken aber ich hatte ja gestern die Schnittstelle zum DSL-Modem deaktiviert  Dann eben halt nach der Arbeit 

[2nice4u]

Gute Nachrichten, der Anruf beim Support hat wirklich etwas bewirkt und ich bekomme jetzt dynamische / öffentliche IPv4 Adressen zugewiesen die mir auch im Dashboard angezeigt werden. 
Auch die Performance zu den Hetzner-Servern ist irgendwie besser geworden.
Also ich bin total begeistert und vielen Dank für die Tipps, auf dieser Basis kann ich nun aufbauen und mein Projekt weiter umsetzen.