OpnSense hinter Fritzbox Cable | Seit Update auf 7.21 keine Kommunikation mehr

Started by fsedarkalex, March 23, 2021, 10:54:31 PM

Previous topic - Next topic
Hallo zusammen!

Ich betreibe nun seit bereits zwei Jahren ein paar OpnSense-Systeme und meine die Anlage in ihrer Grundfunktion inzwischen ganz gut zu verstehen ;)

Ich setze selbst zu Hause auf ein etwas komplexeres Netzwerk (aus guten Gründen) und habe daher folgende Topologie:

(Ich weiß nicht optimal aus Sec-Sicht aber für meine Zwecke ausreichend)

Meine FritzBox (6491) hat die Adresse  192.168.50.1(/24er Maskierung)  und hängt mittels untagged Verbindung am Switch via VLAN 101.
Die Firewall (OpnSense) hat ein Standbein in diesem Netz (192.168.50.10) sowie im internen Netz (192.168.60.1) und im Gast-/Smarthome-Netz (192.168.70.1)

Das Setup lief so ca ein Jahr lang absolut stabil, bis heute Nacht ein Update auf Fritz!OS Version 7.21 auf meiner Mietbox eingespielt wurde.
Seit dem kann meine OpnSense die Fritzbox nicht mehr pingen, mein PC entsprechend auch nicht.
Hänge ich nun ein Device in das Fritzbox-Netz (VLAN 101) kann ich die Fritzbox anpingen sowie auch die OpnSense selbst (Was per Regel erlaubt ist).
Die OpnSense kann auch mein Device im FB-Netz anpingen, nur eben nicht die FritzBox.

Anruf bei Vodafone (ich bin übrigens Business Kunde): "Ja nach Rücksprache muss ich Ihnen mitteilen, es muss an der Firewall liegen, da haben Sie irgendwas falsch konfiguriert".
Man schiebt es also auf den Kunden. Wie immer. VDF/KD fein raus aus der Affäre und ich hab nun seit 3 Uhr kein Internet mehr. Zum Glück diese Woche kein Home Office und zum Glück laufen meine Server gerade ordentlich...

Die Frage die sich mir nun stellt: Hat jemand eine Idee, ob es wirklich etwas gibt, das ich noch tun kann oder muss ich die Box rauswerfen und durch ein ordentliches Modem ersetzen? (oder am besten gleich den ganzen Provider rauswerfen)

Übrigens habe ich in Rücksprache mit dem VD-Techniker auch heute kurzfristig eine FB 6660 gekauft um das mit der 7.24er OS auch mal gegenzuchecken und alle Einstellmöglichkeiten zu haben - Gleiches Ergebnis.
Leider konnte ich auf die Schnelle nirgends ein ordentliches Modem auftreiben...


//EDIT 23:10 Uhr:
Ich hab noch eins vergessen: Wenn ich den LAN-Port an der Fritzbox (an dem das Kabel zum Switch hängt) wechsle (also z.B. von LAN1 auf LAN2 umstecke) funktioniert die Kommunikation für ca 30 Sekunden und danach wieder nicht mehr. Reproduzierbar bei jedem Umstecken im laufenden Betrieb.

Okay... UPDAAATE!

Ich habe auf die gekaufte 6660 jetzt die Labor FritzOS 7.25 installiert und es geht wieder.
AVM hat anscheinend wirklich in der 7.21 und 7.24 etwas verbuddelt das nicht in den Changelogs auftaucht und in 7.25 wieder geht.

Ich würde mich dennoch über Meinungen aus der Community freuen, vielleicht ist das ja auch nur "Zufall" und ich hab echt nen Denkfehler...

Hallo,

ich habe auch die FritzBox 6591 von Vodafone (ehemals Unitymedia). Das Update 7.22 bekam ich letzte Woche. Bis jetzt läuft alles sehr gut und ohne Probleme.

Ich habe allerdings den Bridge Mode auf der Fritzbox aktiviert. Die OPNsense bekommt eine zusätzliche öffentliche IP Adresse.

Gruß,
Thomas

Den Bridge Mode kennen die 6591er mit der "echten" Vodafone-Konfig nicht. Vielleicht hat Unitymedia damals ne andere Konfig gehabt.
Die 6660 kennt das selbst mit der originalen AVM-Firmware nicht.

Ich drücke dir aber die Daumen dass das weiter funktioniert! Hoffen wir, dass Vodafone das nicht irgendwann entfernt.

Nur um sicher zu gehen: Wir reden von dem Modus, den man im Menü unter Internet -> Zugangsart konfigurieren kann? (bzw können sollte)

Ich würde mal mit Wireshark auf das 101er VLAN schauen, was da bei einem Ping so abläuft. Und zwar einmal aus dem "Trusted Network" und einmal mit dem zusätzlichem Notbook im Fritz-Netz. Vielleicht bringt dich das weiter.


bitte mal ein paar infos zu deiner verwendeten hardware für die sense.
- hat deine hardware 2 x Ethhernet oder mehr (hoffe nicht realtek, usb)?

warum hast du einen trunk gemacht und nicht einfach den das WAN einen port und dein LAN an den anderen (macht einiges einfacher)
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100