OPNsense 22.7 auf ESXi 7.0-Host an Glasfaseranschluss der Deutschen Glasfaser

[Detti0815]

Hallo zusammen,

ich habe mir hier bereits diverse Foreneinträge zum Theme OPNsense und Deutsche Glasfaser durchgelesen, nur leider keine Lösung zu meinem Problem gefunden. Daher starte ich mal dieses neue Thema, in der Hoffnung, dass es hier Experten gibt, die mir weiterhelfen können.

OPNsense 22.7 läuft bei mir auf einem VMware ESXi 7.0-Host (Intel NUC8i5BEK) mit zwei zusätzlichen USB-NIC-Adaptern. Einer davon (Anker USB 3.0 to Gigabit Ethernet Adapter) ist mit dem ONT der DG verbunden (Nokia G-010G-Q). Für die Konfiguration der WAN- bzw. LAN-Schnittstelle habe mich mich an diese Anleitung (https://beechy.de/deutsche-glasfaser-ipv6-vs-pfsense/) gehalten. Ich habe auch nach einigem Hin und Her per DHCP & DHCPv6 eine IP bekommen. Problematisch wird es nur, wenn ich den Host z. B. aufgrund von Wartungsarbeiten neustarten muss. Dann bekomme ich keine IP mehr, selbst nach einem Reset des ONT nicht. Wenn ich dann z. B. einen Laptop anschließe, erhalte ich eine IP. Mir ist bekannt, dass es bei der DG eine Art MAC-Sperre gibt. Ich habe auch bereits die automatisch vom ESXi vergebene MAC der virtuellen NIC, die für den WAN-Anschluss konfiguriert ist, mit der physikalischen MAC des USB-NIC-Adapters überschrieben; leider auch kein Erfolg.

Im Anhang findet Ihr einen Auszug aus dem Firewall-Log der OPNsense. Man erkennt, dass es Anfragen aus dem DG-Netz gibt (100.115.0.0/16), nur werden die geblockt. Wenn ich die Einstellung "Block private networks" auf der WAN_DG-Schnittstelle entferne, wird nichts mehr geblockt, aber ich erhalte auch keine IP. Das Komische ist eben, dass die Konfiguration der OPNsense ja im Prinzip funktioniert.

Habt Ihr eine Idee, wo der Fehler liegen könnte?

Besteht denn unabhängig von diesem Problem die Möglichkeit, z. B. eine Fritzbox im Bridge-Modus vor die OPNsense zu setzen, damit es zu keinen sich ändernden MAC-Adressen kommt? Im Prinzip soll die Fritzbox den WAN-Verkehr ungefiltert zur OPNsense weiterleiten.

Ich freue mich über jegliche Hilfestellungen oder Verbesserungsvorschläge.

Gruß,
Detti0815

[micneu]

sorry aber auch wenn du virtualisierst, warum nimmst du USB-Ethernet adapter, nimm doch wenigstens eine hardware die genug ethernet adapter hat oder welche per pci-e nachrüsten kannst.
eine sense mit usb-ethernet keine wirklich gute idee
ich setze wenigstens eine hardware ein mit 2 x onboard ethernet (auch ein NUC)

[Detti0815]

Hallo micneu,

vielen Dank für Deinen Hinweis!

Der von mir eingesetzte NUC (NUC8i5BEK) war damals vom Preis-Leistungsverhältnis am besten (siehe https://www.virten.net/2020/08/which-intel-nuc-should-i-buy-for-vmware-esxi-august-2020/). Weiterhin wird der USB-Ethernet-Adapter durch diesen Treiber https://flings.vmware.com/usb-network-native-driver-for-esxi/ ohne Probleme unterstützt. Ich kann gerne einmal die WAN-Leitung auf die interne NIC stecken, vermute aber das gleiche Ergebnis.

Gibt es denn hier ein paar Leute, die die OPNsense ebenfalls auf VMware-Basis und an einem DG-Anschluss betreiben und mir einmal Ihre Konfiguration (besonders den Netzwerk-Teil) mitteilen würden? Das wäre nett. Damit kann ich dann hoffentlich Fehler im Unterbau eleminieren.

Selbst ein Deaktivieren der Firewall-Funktion hat dabei nichts gebracht:

Im Anhang findet Ihr einen Auszug aus dem Firewall-Log der OPNsense. Man erkennt, dass es Anfragen aus dem DG-Netz gibt (100.115.0.0/16), nur werden die geblockt. Wenn ich die Einstellung "Block private networks" auf der WAN_DG-Schnittstelle entferne, wird nichts mehr geblockt, aber ich erhalte auch keine IP. Das Komische ist eben, dass die Konfiguration der OPNsense ja im Prinzip funktioniert.

Noch mal nachgehakt:

Besteht denn unabhängig von diesem Problem die Möglichkeit, z. B. eine Fritzbox im Bridge-Modus vor die OPNsense zu setzen, damit es zu keinen sich ändernden MAC-Adressen kommt? Im Prinzip soll die Fritzbox den WAN-Verkehr ungefiltert zur OPNsense weiterleiten.

Gruß & Danke,
Detti0815