Unterschied zwischen WAN, WAN_VLAN und PPPoE Interface

[crbble]

Hallo Zusammen,

ich habe eine Sophos Box mit Opnsense an einem Telekom Glasfaseranschluss laufen, für die Konfiguration gab es eine gute Anleitung. Insgesamt funktioniert schon das meiste inklusive IPv6, aber bei den Interfaces zum Internet hin steige ich nicht durch.

Folgende Interfaces haben etwas mit dem Internet zu tun:

WAN ist igb1, hat als angezeigte IP Adresse 0.0.0.0/8 und eine Link-lokale IPv6 Adresse. DHCP für IPv4 und IPv6 ist aktiviert. Blockiere Private und Bogon Netze ist aktiviert und die jeweiligen Firewall Regeln sind eingetragen.

WANVLAN ist ein VLAN Interface auf WAN/igb1, hat keine IP-Adresse und keine Regeln.

INTERNET ist ein PPPoE Interface auf WANVLAN, hat die PPPoE Zugangsdaten und DHCPv6. Das Interface hat alle externen IPv4 und IPv6 Adressen, Gateways und DNS Server. Als Regeln sind ein Satz dhcpv6 client und Blockiere Private Netze aktiv.

Weiterhin habe ich für das Interface INTERNET ein paar Port Forwarding Regeln definiert, diese funktionieren.

Meine Frage: Werden die Firewall Regeln auf dem WAN Interface jemals ausgeführt oder sind WAN und WANVLAN irrelevant? Warum wird hier die 0.0.0.0 als IP-Adresse angezeigt?

Danke,
VG
Robert

[Mabub]

Hallo crbble,
um welche Sophos Box handelt es sich den? Wenn das ein Modem/Router sein sollte, ist die Konstellation Sophos und OPNsense... naja.

Eigentlich ganze einfach, wenn ich dein Anliegen richtig verstehe:
Telekom<WAN (Sophos) LAN><WAN(OPNsense)LAN>Client

0.0.0.0 ist keine Geräteadresse und kannst Du z.B. HIER nachlesen, da es mehrere Verwengungen und keine genaue Zuordnung dafür gibt.

Ich vermute (ohne das Setup zu sehen ist es schwer) das 0.0.0.0 evtl. deiner VLAN-Schnittstelle zugewiesen wurde oder Du selbst das gemacht hast. 0.0.0.0 ist keine Zuordnung, daher wird eine Tabelle mit hoher Wahrscheinlichkeit nicht funktionieren oder er leitet jede IP-Adresse weiter... hab ich noch net gesehen sowas :o
Würde das nicht so machen... gib den Schnittstellen feste Adressen und überlege ob es da ein VLAN braucht.

[Layer8]

Die Sophos-Box wird nichts weiter sein als ein Mini-Computer auf der OPNsense installiert wurde. Gut so. :-)

Die Sophos-Box hat mehrere Netzwerkanschlüsse. Einen davon, nämlich igb1 (Intel Gigabit, daher igb1) hast du an dein Glasfasermodem angeschlossen. Du wirst noch weitere haben, z.b. igb0, an dem du dein internes Netzwerk angeschlossen hast. Die sind aber für deine Fragestellung erstmal nicht relevant.

Dein WAN-Interface wird direkt auf igb1 verknüpft sein. Für deinen Internetzugang brauchst du das aber nicht. Es könnte theoretisch sogar deaktiviert oder gar gelöscht werden. Aber das muss nicht sein, lass es einfach so wie es ist.

Dein WAN_VLAN Interface wird, wenn es ein Telekom-Anschluss ist, ziemlich sicher igb1_vlan7 oder so ähnlich heißen. Dieses WAN_VLAN-interface ist wahrscheinlich ebenfalls auf igb1 verknüpft, vielleicht aber auch auf igb0 oder 2. Oder? Jedenfalls ist WAN_VLAN auf den Anschluss verknüpft, an dem dein Glasfasermodem dran hängt.

Durch die Konfiguration von VLANs ist es möglich, über ein Netzwerkkabel mehrere separate Netzwerk zu übertragen. In der aktuellen Konfiguration hast du also wahrscheinlich über igb1 ein Netzwerk ohne VLAN-Tag laufen (das ist das, was hinter WAN-Interface steckt), als auch das Netzwerk WAN_VLAN, welches über die VLAN-ID 7 von dem Netzwerk WAN (welches keine ID hat) abgegrenzt werden kann.

Im WAN-Interface hast du scheinbar als IPv4-Adresse 0.0.0.0/8 konfiguriert (was keinen Sinn ergibt) und eine IPv6-Adresse.
Im WAN_VLAN-Interface hast du keine IP-Adressen konfiguriert, was aber auch nicht zwingend notwendig ist. Denn dieses Interface wird nicht dazu verwendet, direkt IPv4 oder IPv6 zu sprechen. Es ist einzig und allein dafür da, die pppoe-Kommunikation mit der Telekom zu ermöglichen. Da die Telekom ihren DSL-Traffic über VLAN 7 schickt und empfängt, muss dieses VLAN-Interface mit der ID 7 angelegt werden.

Wenn du das soweit verstanden hast wirst du evtl.  erahnen, dass das PPPOE-Interface nun schlicht und einfach das WAN_VLAN-Interface nutzt, um die Anmeldung bei der Telekom zu ermöglichen. Es ist also so, dass dein PPPOE auf das WAN_VLAN aufsetzt.

Das PPPOE-Interface ist der Teil, der sich die öffentliche IPv4 bzw. IPv6-Adresse von der Telekom zieht.
Das WAN_VLAN wiederum braucht nicht zwingend eine IPv4/6-Adresse, weil es nur als Unterbau für die PPPOE genutzt wird.

Dein WAN-Interface wiederum könnte man mit einer sinnvollen IPv64/-Adresse wiederum dazu nutzen, um vom internen Netz auch auf dein Glasfasermodem drauf zu kommen um z.B. die Qualität und Geschwindigkeit der Glasfaserverbindung auslesen zu können. Mit der 0.0.0.0/8 wird das aber nichts. Wenn dein Glasfasermodem z.B. die 192.168.1.1/24 hat, dann müsstest du das WAN-Interface mit z.b. 192.168.1.2/24 konfigurieren. Es fehlt dann noch die Outbound-NAT-Konfig für das WAN-Interface, aber du solltest das was ich geschrieben habe erstmal verstehen und bestätigen, ob dein WAN-Interface wirklich die 0.0.0.0/8 hat und welche IP dein Glasfasermodem hat.

Hoffe, das war soweit verständlich.

[Mabub]

Die Sophos-Box wird nichts weiter sein als ein Mini-Computer auf der OPNsense installiert wurde. Gut so. :-)

Ah ok, ja so kann man das auch lesen und wird vermutlich auch so sein. Dem "gut so" schließ ich mich an. ;D

Die Sophos-Box hat also nen SFP(+) Port der als PPPoE zugewiesen oder intern weitergeleitet wird? Ich kenn jetzt den Hardwareaufbaue der Sophos nicht. Vielleicht kannst ja mal schreiben welche das ist.

Ich will mich nicht zu weit aus dem Fenster lehnen da ich es noch nicht gemacht hab, aber es müsste eigentlich ganz easy sein...

Die Schnittstellenadresse wird per DHCP vom Provider zugewiesen,  der Rest unter  "Schnittstellen: Punkt-zu-Punkt: Geräte": Zugangsdaten eintragen.... das sollte es gewesen sein, oder?

[crbble]

Hallo Zusammen,

vielen Dank für die sehr ausführliche, verständliche und informative Antwort, auch wenn meine Fragestellung etwas offen und unvollständig formuliert war.

Ich muss mich durch die Antworten erst einmal durcharbeiten. Die Box ist wie vermutet eine SG 105 mit 4 Gbit Netzwerkports und Intel Atom Prozessor, für 500 Mbit PPPoE reicht die zum Glück aus.

Der Aufbau ist ebenfalls wie vermutet, ab dem Glasfasermodem ist alles per Ethernet Kabel verbunden:

Internet <-> Telekom Glasfasermodem (Typ müsste ich mal aufs Schild schauen, "das kleine Schwarze") <-> Sophos <-> LAN (inklusive Fritzbox). Zusätzlich baue ich aktuell noch an der DMZ für einen weiteren Server mit Internetdiensten.

Die wichtigste Info war tatsächlich, dass das WAN Interface nicht benötigt wird. Ich habe dieses zum Testen deaktiviert und es ist passiert: Nichts, das ist gut.  :D Ich dachte es ist notwendig, da in der Dokumentation zu ipv6 etwas entsprechendes Stand: https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html

Dass das Glasfasermodem aber auch noch ein lokales Netz bereitstellt ist für mich spannend, das werde ich zu einem späteren Zeitpunkt untersuchen.

[Mabub]

Hm... also vielleicht schnall ichs ja net, aber dann scheint ja doch alles anders zu sein...

Wenn ich das nun richtig verstanden habe,  ist dein Telekom Glasfasermodem der Anschluss zum Provider und nicht die Fritz oder Sophos (OPNsense)? Dann hast Du an dem Telekom Glasfasermodem an einem Port die Fritz und an einem anderen die Sophos (OPNsense) dran?

Dann brauchst Du doch kein PPPoE in der OPNsense einrichten, macht doch dein Telekom Gerät schon... !?
Wegen was hängt die Fritz eigentlich dran, nur wegen Telefon? Kann das nicht schon das Telekom-Gerät?

Abgesehen davon, die SG 105 ist nicht gerade potent aufgestellt. Im Sophos-Zustand (laut eigenen Angaben) wäre das nicht meine Wahl, aber gut...
Bei einem Glasfaseranschluss mit wieviel Mbit?

Und "WAN Anschluss nicht benötigt" ... es wird erst zum WAN-Anschluss durch die Firewallregeln, was durch die Hersteller auch vorkonfiguriert wurde. Er wird halt auch als der "Ausgehende" Anschluss behandelt, also warum nicht verwenden?

Gut... machen kannst das natürlich wie Du willst, aber ich würd halt net unnötig viel verändern und komplizierter machen.
Ähm... ist was Doc.???

[crbble]

Wenn ich das nun richtig verstanden habe,  ist dein Telekom Glasfasermodem der Anschluss zum Provider und nicht die Fritz oder Sophos (OPNsense)? Dann hast Du an dem Telekom Glasfasermodem an einem Port die Fritz und an einem anderen die Sophos (OPNsense) dran?
Dann brauchst Du doch kein PPPoE in der OPNsense einrichten, macht doch dein Telekom Gerät schon... !?
Wegen was hängt die Fritz eigentlich dran, nur wegen Telefon? Kann das nicht schon das Telekom-Gerät?

Ich glaube du hast einen kleinen Denkfehler hier, die Telekom Glasfaseranschlüsse werden wenn man keine Hardware dazubucht wirklich nur mit einem Glasfasermodem geliefert. Such mal nach "Deutsche Telekom Glasfaser Modem 2". Dieser Anschluss wird über PPPoE über den Ethernet Port konfiguriert, das macht bei mir die Sophos Box.

Bei einem Glasfaseranschluss mit wieviel Mbit?

Meiner hat 500 Mbit, habe von möglichen Problemen von älteren FreeBSD auf der Hardware gelesen, die den Durchsatz limitieren sollen, aber das ist wohl gelöst.

Und "WAN Anschluss nicht benötigt" ... es wird erst zum WAN-Anschluss durch die Firewallregeln, was durch die Hersteller auch vorkonfiguriert wurde. Er wird halt auch als der "Ausgehende" Anschluss behandelt, also warum nicht verwenden?

Nach meinem Verständnis ist in meiner Konfiguration das PPPoE Interface das ausgehende Interface.

[Mabub]

Ich glaube du hast einen kleinen Denkfehler hier, die Telekom Glasfaseranschlüsse werden wenn man keine Hardware dazubucht wirklich nur mit einem Glasfasermodem geliefert. Such mal nach "Deutsche Telekom Glasfaser Modem 2". Dieser Anschluss wird über PPPoE über den Ethernet Port konfiguriert, das macht bei mir die Sophos Box.

Dann schau dir das mal an... LINK

Nach meinem Verständnis ist in meiner Konfiguration das PPPoE Interface das ausgehende Interface.

In dem Fall ja, man kann auch z.B. eine FRITZ!Box 5530 Fiber (je nach ISP) direkt daran betreiben. Das "Glasfaser Modem 2" scheint ja nur aus dem FTTH einen Ethernet zu machen, den Verbindungsaufbau über PPPoE. Ob das ein reiner Medienkonverter ist will ich mal nicht behaupten, hatte noch keinen in den Fingern.