Zyxel PPPoE OPNsense

Started by aproxxo, March 24, 2025, 05:18:31 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 24, 2025, 05:18:31 PM Last Edit: March 25, 2025, 06:13:44 PM by aproxxo
Hallo zusammen, ich schon wieder!

Mein Aufbau
ONT -> OPNsense -> Switch -> AP

Ich habe nun endlich die Frize raus gehauen und diese durch das Bridge Modem Zyxel VMG4005 ersetzt.
Das Modem steht auf Bridge und das VLAN ist deaktiviert. Das Modem hat die 192.168.2.10 ohne DHCP.

In der OPNsense habe ich ein VLAN7 hinzugefügt sowie die WAN Schnittstelle damit verknüpft. Ich bekomme ebenfalls auch eine öffentliche IP. Leider erhalte ich auf der LAN Seite 192.168.1.X kein Internet.

Seh den Wald vor lauter Bäumen nicht. Seht ihr das Problem?

March 24, 2025, 05:43:32 PM #1
Ja, das Gateway auf dem WAN-Interface ist falsch. Sieht nach manuell gesetzt aus... Du wolltest wahrscheinlich das Zyxel auf dem ungetagten WAN-Interface erreichen. Das geht aber nicht über ein Gateway, sondern, indem Du auf dem physischen Interface (eventuell vtnet1) eine IP in dem Subnetz setzt und dazu eine outbound NAT-Regel, damit das Modem den Weg zurück findet.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
March 25, 2025, 06:13:16 PM #2
Herzlichen Dank für den Hinweis. Hat natürlich gleich funktioniert. Manchmal sieht man als Anfänger leider das einfachste nicht.

Nun habe ich noch eine weitere Frage.
Auf meiner LAN Schnittstelle habe ich nun über PPPoE Internet. Leider habe ich kein Zugriff auf die Modem und Proxmox GUI, die ja im WAN 192.168.2.X hängt. Nach meiner Recherche habe ich im Englischen Forum eine Anleitung gefunden https://forum.opnsense.org/index.php?topic=33497.0 die den Zugriff vom LAN auf WAN ermöglicht.

Wenn ich nun die NAT Regel Ausgehend erstelle, und meine IP vom Modem 192.168.2.10 eintrage, wird nach dem Speichern, automatisch eine 192.168.2.0 daraus. Ist das irgendwie ein Bug?
Ich hoffe, ich habe mich verständlich genug ausgedrückt.
March 25, 2025, 06:29:23 PM #3
Quote from: aproxxo on March 25, 2025, 06:13:16 PMWenn ich nun die NAT Regel Ausgehend erstelle, und meine IP vom Modem 192.168.2.10 eintrage
Als Ziel?
Da ist ein Netzwerk gefragt, und wenn /24 als Subnetzmaske selektiert ist, wäre 192.168.2.0 die Netzwerkadresse, und diese gehört dann auch in das Feld.

Wenn du die Regel auf die Modem-IP alleine beschränken möchtest, musst du /32 als Subnetzmaske setzen.
March 25, 2025, 06:55:02 PM #4
Wieso hängt das Proxmox am WAN?

Der Normalfall wäre doch ein Proxmox VE mit zwei Interfaces, das eine mit z.B. 192.168.1.2/24 ist an vmbr0 gehängt, woran auch das LAN der OpnSense VM mit z.B. 192.168.1.1/24 hängt - plus ggf. ein Switch, der weitere Geräte bedient. Das zweite Interface ist z.B. an vmbr1 gehängt und dort hängt dran: a. das WAN-Interface der OpnSense und b. der ONT.

Und im LAN sind dann alle Geräte direkt miteinander verbunden, bekommen DHCP und Internet von der OpnSense VM. Man kann dann das Proxmox GUI und die OpnSenSe GUI vom LAN aus erreichen. Wenn man das weiter beschränken will, müsste man vmbr0 als VLAN-aware konfigurieren und das Interface von Proxmox auf ein VLAN legen. Dann kann man in der OpnSense den Zugriff beschränken, weil Proxmox und die anderen Clients dann in unterschiedlichen VLANs liegen.

Wie auch immer, auf das WAN-Interface legt man das jedenfalls gewiss nicht.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
March 26, 2025, 06:54:49 AM #5 Last Edit: March 26, 2025, 06:57:10 AM by aproxxo
Quote from: viragomann on March 25, 2025, 06:29:23 PMAls Ziel?
Da ist ein Netzwerk gefragt, und wenn /24 als Subnetzmaske selektiert ist, wäre 192.168.2.0 die Netzwerkadresse, und diese gehört dann auch in das Feld.

Wenn du die Regel auf die Modem-IP alleine beschränken möchtest, musst du /32 als Subnetzmaske setzen.

Ach so ist das. Vielen Dank für den Hinweis.
In meinem 192.168.2.X befinden sich nur zwei Geräte. Das Modem (192.168.2.10/24) und meine Proxmox GUI (192.168.2.3/24). Auf diese beiden möchte ich von der LAN Seite 192.168.1.1 zugreifen.
Nur für mein Verständnis müsste ich folgendes ändern?

Modem               192.168.2.10/24 -> 192.168.2.1/30
Proxmox GUI         192.168.2.3/24  -> 192.168.2.3/30
Modem Schnittstelle 192.168.2.9/24  -> 192.168.2.2/30

Quote from: meyergru on March 25, 2025, 06:55:02 PMDer Normalfall wäre doch ein Proxmox VE mit zwei Interfaces, das eine mit z.B. 192.168.1.2/24 ist an vmbr0 gehängt, woran auch das LAN der OpnSense VM mit z.B. 192.168.1.1/24 hängt - plus ggf. ein Switch, der weitere Geräte bedient. Das zweite Interface ist z.B. an vmbr1 gehängt und dort hängt dran: a. das WAN-Interface der OpnSense und b. der ONT.

Da habe ich mich nicht fachmännisch ausgedrückt. Natürlich ist es genauso wie du geschrieben hast.

Quote from: meyergru on March 25, 2025, 06:55:02 PMUnd im LAN sind dann alle Geräte direkt miteinander verbunden, bekommen DHCP und Internet von der OpnSense VM. Man kann dann das Proxmox GUI und die OpnSenSe GUI vom LAN aus erreichen. Wenn man das weiter beschränken will, müsste man vmbr0 als VLAN-aware konfigurieren und das Interface von Proxmox auf ein VLAN legen. Dann kann man in der OpnSense den Zugriff beschränken, weil Proxmox und die anderen Clients dann in unterschiedlichen VLANs liegen.

So ist es. Nur ist aktuell so, dass ich von meiner LAN Seite nicht auf die Proxmox GUI zugreifen kann. Und auch nicht auf die Modem GUI. Und das würde ich gerne ändern.

March 26, 2025, 08:20:17 AM #6
Quote from: aproxxo on March 26, 2025, 06:54:49 AMIn meinem 192.168.2.X befinden sich nur zwei Geräte. Das Modem (192.168.2.10/24) und meine Proxmox GUI (192.168.2.3/24). Auf diese beiden möchte ich von der LAN Seite 192.168.1.1 zugreifen.
Nur für mein Verständnis müsste ich folgendes ändern?

Wenn du die Regel eh für beide Geräte einrichten möchtes, kannst du ja gleich das ganze Subnetz als Ziel nehmen, also 192.168.2.0/24.

Quote from: aproxxo on March 26, 2025, 06:54:49 AMModem               192.168.2.10/24 -> 192.168.2.1/30
Proxmox GUI         192.168.2.3/24  -> 192.168.2.3/30
Modem Schnittstelle 192.168.2.9/24  -> 192.168.2.2/30

Das ist mir nicht ganz klar, aberauch keine von den /30ern wäre
eine Netzwerkadresse.
Für nur 1 IP wäre/32 die Subnetzmaske.
March 26, 2025, 08:21:51 AM #7 Last Edit: March 26, 2025, 08:23:45 AM by meyergru
@aproxxo: Lies Deinen letzten Post nochmal genau durch. Du widersprichst Dir selbst. Im ersten Teil sagst Du genau das Gegenteil vom zweiten, nämlich, dass das Modem/ONT am selben Anschluss wie die Proxmox GUI hängt, also am WAN. Das ist falsch und (theoretisch) unsicher: Dein ISP könnte so direkt auf die Proxmox GUI zugreifen, wenn er Dein Modem/ONT kontrolliert. Deshalb gehört das Proxmox GUI auf das LAN-Interface.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
March 26, 2025, 11:54:40 AM #8
Quote from: meyergru on March 26, 2025, 08:21:51 AM@aproxxo: Lies Deinen letzten Post nochmal genau durch. Du widersprichst Dir selbst. Im ersten Teil sagst Du genau das Gegenteil vom zweiten, nämlich, dass das Modem/ONT am selben Anschluss wie die Proxmox GUI hängt, also am WAN. Das ist falsch und (theoretisch) unsicher: Dein ISP könnte so direkt auf die Proxmox GUI zugreifen, wenn er Dein Modem/ONT kontrolliert. Deshalb gehört das Proxmox GUI auf das LAN-Interface.

Schande über mein Haupt. Bin noch Anfänger, bitte um Nachsicht.
Aktuell ist die Proxmox GUI über die WAN und NICHT über die LAN zu erreichen.
Momentan ist die Konfig so wie auf dem Bildschirmfoto. Wenn ich die vmbr0 auf meine 192.168.1.X LAN Netz abändere, ist diese leider nicht zu erreichen. Irgendwo liegt da noch ein Fehler vor.
Die Einwahl über PPPoE funktioniert. Also habe auf der LAN Seite Internet.


Quote from: viragomann on March 26, 2025, 08:20:17 AMWenn du die Regel eh für beide Geräte einrichten möchtes, kannst du ja gleich das ganze Subnetz als Ziel nehmen, also 192.168.2.0/24.

Laut @meyergru soll die Proxmox GUI auf die LAN Seite. Daher wäre dann nur noch das Modem im 192.168.2.X Netz.
Um mal auf Nummer sicher zu sein und besser der englischen Anleitung folgenden zu können, habe ich nun das Modem auf 192.168.2.10/30 gestellt. Danach konnte ich die Anleitung soweit übernehmen. Die Modem Schnittstellen Adresse in OPNsense ist nun die 192.168.2.9/30.
Leider habe ich weiterhin kein Zugriff von LAN auf mein Modem. Ist die Anleitung so korrekt?
https://forum.opnsense.org/index.php?topic=33497.0


Vielen Dank für eure Unterstützung.
March 26, 2025, 03:14:04 PM #9 Last Edit: March 26, 2025, 03:17:14 PM by meyergru
Richtig müsste das etwa so aussehen:

/etc/network/interfaces:
Code Select
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
#LAN interface

auto eth1
iface eth1 inet manual
#WAN interface

auto vmbr0
iface vmbr0 inet manual
        address 192.168.1.2/24
        gateway 192.168.1.1
        bridge-ports eth0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 1-4094
        bridge-mcsnoop 0
        accept_ra 2
        autoconf 1
        pre-up echo 2 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra
        post-up echo 2 > /proc/sys/net/ipv6/conf/$IFACE/accept_ra
#LAN bridge

auto vmbr1
iface vmbr1 inet manual
        bridge-ports eth1
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 1-4094
        bridge-mcsnoop 0
#WAN bridge

source /etc/network/interfaces.d/*

Dann ist eth1 WAN und eth0 LAN. Du kannst dann das Proxmox GUI direct mit 192.168.1.2 ansprechen vom LAN aus (auch, wenn die OpnSense noch gar nicht läuft). Und vmbr0 wird für jede VM als LAN genommen (vtnet0), da legst Du für OpnSense LAN 192.168.1.1/24 drauf, andere VMs werden dann von OpnSense per DHCP bedient. OpnSense ist die einzige VM, die zusätzlich mit vtnet1 auf vmbr1 gelegt wird, das verbindest Du mit dem Modem. Du kannst das WAN dann so konfigurieren, als ob es eine physische Maschine wäre, u.a. auch mit einer (V)IP auf 192.168.2.3 und einer outbound-NAT-Regel, um das Modem zusätzlich unter 192.168.2.1 erreichen zu können. Proxmox reicht das Interface nur an OpnSense durch und hat selbst keine IP-Zuweisung dort.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
March 26, 2025, 03:40:04 PM #10
Quote from: aproxxo on March 26, 2025, 11:54:40 AMUm mal auf Nummer sicher zu sein und besser der englischen Anleitung folgenden zu können, habe ich nun das Modem auf 192.168.2.10/30 gestellt. Danach konnte ich die Anleitung soweit übernehmen. Die Modem Schnittstellen Adresse in OPNsense ist nun die 192.168.2.9/30.
Leider habe ich weiterhin kein Zugriff von LAN auf mein Modem. Ist die Anleitung so korrekt?
Soweit ja, aber mir fehlt die Erwähnung, dass das Outbound NAT auf Hybrid-Modus umgestellt werden muss. Das ist nicht die Standardeinstellung.
Für den Schreiber mag es selbstverständlich sein, aber hast du das auch gemacht?

Nach der Umstellungen müssen etwaig vorhandene States für die Verbindung zum Modem gelöscht werden. Firewall: Diagnostics: States

UND den Sinn des letzten Schritts mit der Floating Pass Regel erkenne ich nicht. Möchte er dem ISP Zugriff auf seine Firewall gewähren?
Diese Regel würde ich auf keinen Fall erstellen. Dies wäre gefährlich.

Die einzige Regel, die für den Zugriff auf das Modem nötig ist, muss am LAN oder Management Interface definiert sein.
March 28, 2025, 12:35:32 PM #11
So, erstmal natürlich vielen Dank für die Hilfestellung und den Schubs in die Richtige Richtung.

Nun läuft soweit alles wie gewünscht. Proxmox und alle VM sind im LAN Netz und mit der genannten Anleitung habe ich nun auch Zugriff von LAN auf mein Modem.

Danke geht an @viragomann und @meyergru

Quote from: viragomann on March 26, 2025, 03:40:04 PMUND den Sinn des letzten Schritts mit der Floating Pass Regel erkenne ich nicht. Möchte er dem ISP Zugriff auf seine Firewall gewähren?
Diese Regel würde ich auf keinen Fall erstellen. Dies wäre gefährlich.

Ich habe nun die Floating Regel gelöscht. Der Zugriff aufs Modem funktioniert auch ohne diese Regel.
Print
Go Up Pages1
User actions