WAN mit Raspi Modem

[derbert]

Hallo zusammen,

da ich leider kein Erfolg habe mein 4G Quectel Modem per USB in OPNsense vernünftig zum laufen zu bringen, würde ich gerne dieses im RaspberryPi anschließen und dann in OPNsense als WAN Interface einbinden. Ich bin leider kein IT-Experte und habe prinzipiell noch Schwierigkeiten mit dem Grundverständnis.
So wie ich das verstehe kann im Raspi die Verbindung mit qmicli hergestellt werden und udhcp bezieht dann die IP vom ISP. Das kann man auch so einrichten, dass nach jedem Bootvorgang alles automatisch sich verbindet. Ich frage mich wie kann ich dann aber in OPNsense den Raspi am WAN Port einhängen, sodass OPNsense für mich mit aller Routerfunktionalität erhalten bleibt. DHCP, DNS, Firewall, etc. soll alles von OPNsense weiter betrieben werden. Der Raspi bringt lediglich die Internetanbindung des Modems in OPNsense rein und soll doppeltes NAT vermeiden.
Funktioniert das iregendwie mit einer Bridge im Raspi oder gibt es andere bessere Wege? Ich mache jetzt schon ewig an dem Thema rum und komme leider nicht auf den richtigen Weg. Für Hilfe wäre ich sehr dankbar!
VG

[chemlud]

Hi!

Das ist eher eine Frage für ein Raspi-Forum, hängt ja auch entscheidend davon ab, welchen Raspi mit welchem OS du betreibst. Bridging kann immer gehen, wenn das Interface mal oben ist, für Raspis mit Raspbian Buster ist es hier unter "Setting up a Bridged Wireless Access Point" beschreiben, sollte analog (für "bridging") mit einem USB-stick für 3G/4G auch gehen:

https://www.raspberrypi.com/documentation/computers/configuration.html

[derbert]

Danke erst Mal für die Antwort. Die Raspi Doku habe ich bereits gesehen.
Ich frage mich aber wie der WAN Port dann seine IP bekommt.
Das selbe Problem habe ich auch wenn ich das Modem per USB im ECM Modus direkt an OPNsense anschließe. Dann erhalte ich keine IP.

[chemlud]

...naja nun, eine statische IP auf dem Interface der opnsense und der Bridge auf dem Raspi?

[derbert]

muss di IP in OPNsense nicht aus dem ISP Netz kommen? Den Punkt checke ich nicht, ich stehe scheinbar auf dem Schlauch.
Wenn ich so vorgehe wie hier beschrieben, dann sollte der Raspi keine IP erhalten:
https://forums.raspberrypi.com/viewtopic.php?t=278497

[chemlud]

muss di IP in OPNsense nicht aus dem ISP Netz kommen? Den Punkt checke ich nicht, ich stehe scheinbar auf dem Schlauch.
Wenn ich so vorgehe wie hier beschrieben, dann sollte der Raspi keine IP erhalten:
https://forums.raspberrypi.com/viewtopic.php?t=278497

Hmmm, das entscheidende ist:

Code Select Expand

"denyinterfaces br0 eth0 eth1"

ich habe das nie probiert, aber wenn epoch1970 das sagt, dann sollte das stimmen, der weiss, wovon er redet... ;-)

[micneu]

Also, mein Vorgehen währe den raspi als lte router zu konfigurieren und danach die WAN von der Sense mit dhcp so bekommt die Sense an der wan eine ip vom lan des raspi.
Ganz einfach


Gesendet von iPhone mit Tapatalk Pro

[chemlud]

Also, mein Vorgehen währe den raspi als lte router zu konfigurieren und danach die WAN von der Sense mit dhcp so bekommt die Sense an der wan eine ip vom lan des raspi.
Ganz einfach


Gesendet von iPhone mit Tapatalk Pro

Das ist plausibel, jetzt fehlt nur noch die detailierte Beschreibung von "den raspi als lte router (zu) konfigurieren "... :-D

[micneu]

Das musst du selber rausfinden das hat ja nichts mit der Sense hier im Forum zu tun. Google und Linux Kenntnisse sind dein Freund

Alternativ mit sowas versuchen

TP-Link TL-WR902AC AC750 WLAN Nano Router (433Mbit/s (5GHz) +300Mbit/s (2,4GHz) (tragbar, Accesspoint, TV Adapter, Repeater, Router, Client, Media, FTP Server), weiß/ grau https://www.amazon.de/dp/B01MY5JIJ0/ref=cm_sw_r_cp_api_glt_i_DSVP6YR310NW01HZSY46?_encoding=UTF8&psc=1

Gesendet von iPhone mit Tapatalk Pro

[derbert]

so, entschuldigt bitte, dass ich so lange nichts habe hören lassen. Ich habe mich die ganze Zeit mit dem Raspi und dem IP passthrough beschäftigt. Tatsächlich war das Problem, die IP und das GW vom Raspi durchgereicht zu bekommen. Da das Modem mit raw IP arbeitet, war eine bridge nicht möglich. Ich habe jetzt das dnsmasq modifiziert und es schreibt dynamisch IP routes und rules und gibt diese an OPNsense weiter. Summa summarum: OPNsense erhält erfolgreich die IP vom ISP und setzt auch automatisch das GW. Ich habe das Interface in opnsense hierzu lediglich als DHCP eingestellt.

Allerdings habe ich ziemliche Probleme mit der Verbindung. Zum einen habe ich provisorisch in allen Netzen in den FW Regeln "allow everything" Regeln erstellt. Wenn die FW eingeschaltet ist, erhalte ich aber kein Ping von außen (8.8.8.8) zurück. Erst wenn ich die FW komplett abschalte, dann kann das Subnetz mit der IP vom Raspi und dem Modem, die es durchgereicht bekommt, erfolgreiche Pings senden und erhalten. Und weiterhin kann ich von keinem anderen Netz das default GW nutzen. Kein anderes Netz erhält einen Ping.
Also 2 Probleme:
1. Warum muss ich die FW komplett abschalten, damit das Netz mit der öffentlichen IP erst einen Ping bekommt?
2. Was muss man einstellen, sodass die anderen Subnets das GW nutzen können?

Ich hoffe es ist einigermaßen klar...
Ich danke euch!
VG

[micneu]

bekommst du überhaupt eine ipv4 aud deinem wan/lte ?
ganz habe ich deinen text nicht verstanden


Gesendet von iPad mit Tapatalk Pro

[derbert]

Ja, natürlich. IPV4 ist jetzt dieselbe in OPNsense wie auf dem LTE Modem. Also dnsmasq auf dem Raspi weist OPNsense dieselbe IPV4 per DHCP zu wie das Modem vom ISP bekommen hat. Ebenfalls das Gateway. Es ist ein IP Passthrough auf dem Raspi an OPNsense. Und soweit funktioniert es ja, nur die FW macht Probleme in OPNsense und andere Subnets können scheinbar das GW nicht nutzen.

[micneu]

Dann poste doch mal bitte als Screenshot:
- Interfaxes
- wan konfig
- Firewall regeln wan und lan
- outbound nat


Gesendet von iPhone mit Tapatalk Pro

[derbert]

Klar gerne! Ich hoffe mit Zoom ist es noch erkannbar...

[derbert]

und hier die Pings