[Gelöst] Am WAN-Anschluss kein Internet (Gateway?)

[lfirewall1243]

Zeig uns Mal was unter folgenden Punkten steht

-System->Gateways

-Firewall->Regeln->LAN

-Firewall->NAT->Ausgehend

Gesendet von meinem M2012K11AG mit Tapatalk

[Snoopy]

Hallo @lfirewall1243,

habe die Screenshots jetzt mal hochgeladen.

Hinweis zu den angezeigten GWs:
- Das "LAN_GW_IPFire" ist die noch existierende IPFire die jetzt aktuell (wie oben beschrieben) als funktionierendes GW genutzt wird
- WAN_G" ist deswegen rot, da dort aktuell das Kabel von der FB nicht verbunden ist
- Das LAN_GW wurde automatisch erzeugt?

[lfirewall1243]

Passt soweit alles.
Bezüglich des automatisch erstellten LAN Gateways.

Was ist das 192.168.104.X für ein Netz?
Hast du in der LAN Schnittstellenkonfiguration unten evtl ein Gateway hinterlegt ?

Gesendet von meinem M2012K11AG mit Tapatalk

[JeGr]

Wie wäre es an der Stelle erstmal mit einem Schnitt und einer Neuinstallation bzw. einem Reset auf 0?

Ich würde da empfehlen einfach mal SEHR simpel mit dem Initialen InstallationsAssistent das einfachste Setup zu machen mit LAN und WAN. Kein DMZ kein sonstiger Kram, sondern einfach erstmal den normalen First-Install-Wizard durchklicken. WAN auf statische IP konfigurieren mit .103.2, Gateway auf WAN die .103.1 und dann das LAN einfach mit irgendeinem anderen Netz (.101.0/24) konfigurieren. Auf dem LAN oder sonst wird nirgendwo im Interface ein GW eingetragen oder abgefragt.

Wenn das durch ist, sollte das LAN so konfiguriert sein, dass Geräte aus dem 101er Netz IPs per DHCP und DNS via Sense bekommen. Dann kann man testen und weitermachen. Der Rest ist glaube ich sehr wegen "Halbwissen" und "Vermutung" wie Sense vs IPfire funktioniert einfach zerbastelt gerade. Vor allem mit zu viel Gateway hier und Route da

Also einfach mal alles auf Anfang und mit dem Simpelsten anfangen.

Cheers

[meyergru]

Am Rande: @Snoopy Bist Du Dir sicher, dass Du einen anderen Router vor der OpnSense willst? Damit sind dann Portfreigaben usw. schwierig bis unmöglich. Du nimmst Dir damit viele Möglichkeiten, die OpnSense bietet, u.a. VPN u.v.a.m. - ich finde das widersinnig.

Deine Begründung dafür kaufe ich nicht: eine Fritzbox kann wunderbar hinter der OpnSense stehen - vorzugsweise in einem separaten IoT-Netz, damit nichts anbrennt.

Falls man eine Fritzbox einsetzt: Das Weiterleiten von SIP und RTP-Ports allein reicht nicht aus, weil dann nach ein paar Minuten keine Verbindungen von außen mehr zugelassen werden und ankommende Anrufe nicht durchkommen. Man sollte in der Fritzbox in den Anschlusseinstellungen unter Telefonieverbindung die Einstellung "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" einschalten. Zudem sollte man eine separate Regel für die Outbound NAT definieren, bei der für die Fritzbox "Static Port" gesetzt wird.

Je nach Telefonie-Provider ist nicht einmal das notwendig, z.B. verwenden einige SIP-Proxies, so das eine Portfreigabe gar nicht mehr gebraucht wird.

[lfirewall1243]

Am Rande: @Snoopy Bist Du Dir sicher, dass Du einen anderen Router vor der OpnSense willst? Damit sind dann Portfreigaben usw. schwierig bis unmöglich. Du nimmst Dir damit viele Möglichkeiten, die OpnSense bietet, u.a. VPN u.v.a.m. - ich finde das widersinnig.

Deine Begründung dafür kaufe ich nicht: eine Fritzbox kann wunderbar hinter der OpnSense stehen - vorzugsweise in einem separaten IoT-Netz, damit nichts anbrennt.

Falls man eine Fritzbox einsetzt: Das Weiterleiten von SIP und RTP-Ports allein reicht nicht aus, weil dann nach ein paar Minuten keine Verbindungen von außen mehr zugelassen werden und ankommende Anrufe nicht durchkommen. Man muss in der Fritzbox auf jeden Fall in den Anschlusseinstellungen unter Telefonieverbindung die Einstellung "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" einschalten. Zudem muss man eine separate Regel für die Outbound NAT definieren, bei der für die Fritzbox "Static Port" gesetzt wird.

Je nach Telefonie-Provider ist nicht einmal das notwendig, z.B. verwenden einige SIP-Proxies, so das eine Portfreigabe gar nicht mehr gebraucht wird.

Warum sollte das alles nicht gehen?
Habe ich wunderbar in mehreren Umgebungen so am laufen.
Nur VOIP auf der FB UND hinter der OPNsense ist schwer.
Sonst klappt alles wunderbar auch mit einem 2. Router vor der OPNsense

Gesendet von meinem M2012K11AG mit Tapatalk

[meyergru]

Wie gesagt, die FB hinter der OpnSense ist vglw. einfach. Bei der Variante FB vor OpnSense setzt das Öffnen von Ports voraus, dass diese auch auf dem vorgelagerten Router geöffnet werden (oder dass die OpnSense "exposed host" ist).

Ganz zu schweigen von IPv6.

[JeGr]

Wie gesagt, die FB hinter der OpnSense ist vglw. einfach. Bei der Variante FB vor OpnSense setzt das Öffnen von Ports voraus, dass diese auch auf dem vorgelagerten Router geöffnet werden (oder dass die OpnSense "exposed host" ist).

Ganz zu schweigen von IPv6.

IPv6 macht bei dynamischen Accounts eh mehr Ärger als das es effektiven Nutzen bringt. Von tagesweise wechselnden Präfixen ganz zu schweigen. Bis die bei allen Geräten sauber ankommen - danke nein, dann kann mans gleich bleiben lassen oder sich was statisches holen - und dann ist es wieder egal ob vornedran was steht oder nicht.

VoIP auf der Fritte vor der Sense ist völlig valide und funktioniert einfach out of the box ohne großes HickHack, Regeln oder sonstigen Käse. Wenn es Ärger damit gibt ist meist die Fritte eh ne Providerbox und man kann sie dem Provider um die Ohren hauen bzw. der muss in die Pötte kommen, dass es wieder geht. Kein "oh das ist aber keine supportete Konfiguration bei Ihnen blabla".

Und wenn man nicht in die Fritz-Falle tappt, dass man Probleme bei der Freigabe/exposed Host Geschichte hat durch dynamische IP auf der Sense auf dem WAN oder weil die Fritte mal wieder ein "Geistergerät" angelegt hat in ihrer Netzwerkübersicht, ist das ganze Setup völlig tiefenentspannt.

Am Einfachsten löscht man übrigens den Fritz-Eintrag der Sense in der Geräteliste, geht dann fix auf den Freigabescreen, legt da einen exposed Host an mit IP statt mit irgendeinem erkannten Gerät und konfiguriert das durch. Vorteil: Es wird keine komische MAC Verknüpfung angelegt und vorausgesetzt und wenn man mal die Sense hintendran tauschen muss gibts kein Problem. Man kann aber oft den exposed Host mit IP nicht anlegen, weil die Fritze schon nen Gerät mit der IP in der Liste hat. Darum einfach alles raushauen was drin ist, schnell die Freigabe via IP machen, dann wird auch keine MAC drangehangen oder gespeichert und dann läufts mit dem exposed Host problemlos.

Es wird nicht nur hier immer wieder gebetsmühlenartig immer wieder Doppel-NAT als so böse und funktionsblockend hingestellt dass ich mich wirklich wundere, wie ich 10+ Jahre in solch einem Setup ohne Probleme bisher existieren konnte Im Ernst, das läuft bei mir ewig und ich hatte damit nie ein Problem. Nicht beim normalen Betrieb. Nicht bei VPNs, nicht bei Spielen - egal was. Kann darum die Panik vor Doppel-NAT nie wirklich nachvollziehen. Klar kann man versuchen das zu vermeiden wenn man entsprechende Usecases hat oder das einfach technisch so mag - aber wirklich nen Grund finde ich dazu nicht. Zumal wir mit CGN und Co inzwischen eh so oft noch irgendwo anders NAT oder Umsetzungen drinhaben, die wir gar nicht kontrollieren können.

Cheers

[meyergru]

Mit CGNAT hast Du Recht, allerdings kann ich inzwischen auf IPv6 gar nicht mehr verzichten, weil mehr und mehr Gegenstellen nur noch per IPv6 erreichbar sind (Beispiel Deutsche Glasfaser, genau wegen CGNAT). Bei den von mir verwendeten ISPs wechseln aber auch die IPv6-Präfixe maximal bei Neueinwahl (teilweise nicht mal dann).

Ein weiteres Problem ist nach meiner Beobachtung, dass die Fritzbox effektiv den Durchsatz hemmt, wenn die Leitung Gigabit-Glasfaser ist - eine potente OpnSense hilft dann dahinter auch nicht mehr. Einer meiner Gründe für Einsatz von OpnSense ist z.B. die Vermeidung von Bufferbloat, den ich mit der Fritte immer hatte.

Ich gestehe allerdings, dass ich keine Erfahrung mit doppeltem Router habe, weil ich diesen Schwierigkeiten möglichst aus dem Weg gehen wollte. Und wie gesagt, eine FB hinter der OpnSense funktioniert auch ohne Probleme, genauso wie andere SIP-Telefone, die man eventuell im WLAN betreibt, um z.B. auf Sipgate oder Fonial zuzugreifen. Und da hat man nicht so einfach die Wahl, die vor der Firewall zu betreiben.

[JeGr]

> Ein weiteres Problem ist nach meiner Beobachtung, dass die Fritzbox effektiv den Durchsatz hemmt, wenn die Leitung Gigabit-Glasfaser ist - eine potente OpnSense hilft dann dahinter auch nicht mehr.

Gilt nur für die alten Boxen, die neuen Wackelboxen haben 2.5Gbps Ports - das muss aber halt irgendein Gerät können. Trotzdem hat man am Ende dann das Theater mit dem Provider bei eigener Nutzung oder Box. Wir haben aktuell und hatten schon mehrfach das "Vergnügen" in unserem Raum mit Vodafone nach Übernahme von KabelBW/UM und wenn da nicht die eigene Box steht ärgert man sich tagelang mit Supportern rum, bis was Vernünftiges rauskommt. Da ist dann Gigabit schlichtweg egal wenn gar nichts aus der Tüte kommt Bufferbloat ist auch oftmals abhängig davon wie sehr die max-Rate der Box wirklich ausgereizt wird. Bei vielen Usern mit 500+Mbps Kabelverträgen ist das oft nur noch sehr theoretisch ein Problem weil dort keine längeren Perioden vorkommen, dass der Download am Anschluß wirklich am Maximum hängt. Mit meiner alten 6591 Cable bspw. hab ich 550Mbps Dauerdownloads problemlos ohne extremen Bufferbloat. Klar besser geht immer aber wirklich durchschlagen sehe ich das nicht. Da ist der 250er DSL Anschluß schon gemeiner.

> weil mehr und mehr Gegenstellen nur noch per IPv6 erreichbar sind

Aber auch nur wenn du irgendwelche Privatanschlüsse meinst, bei irgendwelchen Diensten sehe ich keine großartig größere Akzeptanz von IPv6. Und gerade DG mit ihrem Glas was hinter CGNAT und PPPoE verkümmert ist eher ein Trauerspiel :/ Aber mal wieder back to Snoopy und dem Setup

Cheers

[Snoopy]

Hall ihr Profis zusammen,

ich kann einen Erfolg vermelden. Habe die OPNsense jetzt neu installiert und dabei die FB schon an das WAN-Interface gehängt. Das scheint funktioniert zu haben. Die OPNsense selber hat Internet und das LAN scheint jetzt auch Internet zu haben.

Vielen Dank an alle, dass ihr euch so viel Mühe mit mir gemacht habt. Ich schmeiß eine Runde virtuelles Bier für das Forum und seine Helfer. :-)

Jetzt geht es weiter mit dem Einrichten wie DHCP, DMZ, .... (Drückt mir die Daumen ;-) )

Liebe Grüße
Snoopy


P.S.: Das mit der FB vor der OPNsense verstehe ich schon. Allerdings habe ich dort die FW-Weiterleitungen bereits eingerichtet, sodass ich diese "nur" noch auf der DMZ von OPNsense einrichten muss. Theoretisch zumindest....
Ich habe halt auch angst, dass dann meine Telefonie (IP oder VOIP, wie sagt man da richtig?) nicht mehr funktioniert.

[zerwes]

Vielen Dank an alle, dass ihr euch so viel Mühe mit mir gemacht habt. Ich schmeiß eine Runde virtuelles Bier für das Forum und seine Helfer. :-)

Merci und Prost 
Viel Erfolg noch ...

[JeGr]

> P.S.: Das mit der FB vor der OPNsense verstehe ich schon. Allerdings habe ich dort die FW-Weiterleitungen bereits eingerichtet, sodass ich diese "nur" noch auf der DMZ von OPNsense einrichten muss. Theoretisch zumindest....

Praktisch auch

> Ich habe halt auch angst, dass dann meine Telefonie (IP oder VOIP, wie sagt man da richtig?) nicht mehr funktioniert.

Es ist halt mit Fritte hinter der Sense immer fummeliger das richtig hin zu bekommen und hängt auch immer stark vom Provider ab, obs einfach geht oder kompliziert wird. Da ist die Strategie den VoIP Part zu entkoppeln gerade für Anfänger oder Leute mit nicht ganz so viel Zeit und Lust, jede Konfig 3x umzudrehen schon nicht unbedingt verkehrt, denn dann läuft das Telefon und man hat seine Ruhe