Opnsense hinter Fritzbox 7490 Pppoe Telekom

[Grossi]

Hallo liebe Member und Pros,

Ich muss leider das nervige Thema Fritzbox und OPNsense aufgreifen.
Ich habe Stunden damit verbracht einen Fehler zu finden aber ich komme auf keinen grünen Zweig.
Meine Config ist wie folgt:

Fritzbox 7490 Freigabe für Pppoe an Client, (siehe hier https://www.du-consult.de/opnsense-so-konfiguriert-man-eine-deutschlandlan-pppoe-einwahl/)
LAN1 FB an WAN Opnsense
Pppoe für den WAN Port der Opnsense geht aber nur ohne Vlan 7 Tag

Ich bekomme eine öffentliche IP und ich kann Updates und Upgrades der OPNsense ziehen und installieren.
Traceroute und Ping von WAN Schnittstelle scheint auch ok zu sein.
Ping von LAN Schnittstelle seltsamer Weise auch.
Aber eine Internet Verbindung mittels Browser ist nicht möglich.

Könnt ihr mir weiter helfen.
Ich habe alles schon durch forstet und einiges gelesen aber irgendwie trifft es nicht mein Problem.

Vielen Dank im voraus.
VG
Grossi

[meyergru]

Grundsätzlich kannst Du die Fritzbox als Router oder als Modem vor der OpnSense nutzen - so wie Du es beschreibst, soll es die zweite Variante werden.

Das VLAN-7-Thema hängt bei den meisten DSL-Modems (und auch bei der Fritzbox) davon ab, ob das Modem selbst das VLAN-Tag setzt. Bei der Fritzbox kann man das einstellen und die Einstellung muss natürlich mit der Konfiguration der OpnSense korrelieren.


Was geht denn? Routing, NAT? Prüfen mit "ping 8.8.8.8". LAN hat anderen IP-Range als die Fritzbox?

DNS-Auflösung O.K.?

Alles testen:

1. Von der Opnsense aus
2. Aus dem LAN. Falls es dort nicht geht: DHCP inkl. Routing und DNS richtig eingerichtet?

[Grossi]

Hallo,
Danke für deine Antwort.
Vorerst gab es eine Überraschung heute morgen.
Nachdem ich gestern Nachmittag aufgeben hatte und alles wieder auf Anfang gestellt (Fritzbox zurück auf meine alte config und als Router im Netz) opnsense Maschine lief weiter. Alle ports waren abgesteckt von der Sense.
Heute morgen alles wieder auf die neue config umgestellt und angesteckt und siehe da, plötzlich gab es Internet Verbindung mittels Laptop im WLAN.

Ich hätte wie gesagt die sense out of the box und lediglich die WAN Schnittstelle mit pppoe belegt, meine Telekom Daten eingetragen und der LAN Schnittstelle eine static IP verpasst und dhcpv4 eingestellt. Einen Accesspoint auf das Netz der LAN Opnsense eingerichtet. Soweit war das alles und jetzt geht es plötzlich.

Seltsam aber vielleicht werde ich mir trotzdem ein reines Modem zulegen.
Gibt es Erfahrungen mit dem
ALLNET ADSL/VDSL2 Bridge Modem - ALL-BM200VDSL2

oder vll doch ein draytek Vigor 165 oder reicht der 130 auch.
(Telekom VDSL 100 Anschluss)

[meyergru]

Soweit ich weiß, ist das inzwischen der Vigor 167 und der wäre ggf. billiger als der 130er.

Dann gibt es noch das TIM DGA 4132 mit der Ansuel Firmware (https://github.com/Ansuel/tch-nginx-gui), solche kannst Du gebraucht für 24,90€ schießen - allerdings weiß ich aktuell nicht, welche Original-Firmware da drauf sein wird und ob man die ohne Seriell-Adapter rooten kann... Ich habe das nicht mehr verfolgt, da ich jetzt Glasfaser habe.

[Raketenmeyer]

Ich kann den Vigor 167 empfehlen - läuft hier an einem Company Pro 100 absolut problemlos.

[Grossi]

Hallo,
Ich wollte mich nochmal kurz eine Rückmeldung geben.
Ich habe nun ein Draytek Vigor 165 besorgt.
In den Bridge Modus versetzt (alles recht schnell auf der Draytek Seite gefunden) angeschlossen und die Sense wie hier:https://forum.opnsense.org/index.php?topic=21839.0
konfiguriert und alles lief perfekt.

Vielen Dank

[stevie]

Und das war eine sinnvolle Aktion?

PPPoE ist mit OPNsene bzw. FreeBSD richtig schlecht und die Arbeit hätte die Fritzbox doch (besser) in Hardware erledigen können!?

[Patrick M. Hausen]

Was genau bedeutet "richtig schlecht"? Eine der kleineren Deciso-Appliances rennt an einem 250 Mbit/s Telekom Business-Anschluss einwandfrei. Vigor als Modem. Versorgt unser Karlsruher Büro.

Fritzboxen können leider kein NPT. Und keine VLANs. Und noch jeden Menge anderen Kram nicht.

[stevie]

Mit richtig schlecht, meine ich super langsam.

Beispiel: https://medium.com/avenum-technology-blog/benchmarking-pppoe-connections-with-openwrt-and-opnsense-f5fe6c30b70



Selbst wenn die CPU dann noch für die eigene Leitung schnell genug ist, fehlt die Power dann ggf. für weitere Dienste.

Ist es dann nicht besser die OPNsense als Exposed Host zu betreiben, NAT aus + statische Route (ipv4)? Bzw. IPv6 Delegation hinter der Fritzbox (ipv6).

Ich selber nutze noch kein OPNsene. Bin aber mehr als interessiert. Die PPPoE-Geschichte finde ich aber bescheiden...


Edit:

Auch hier:
"Might I ask why you are using an OpenWRT device  in front of Opnsense?"

"Yes of course. The PPPoE only gives me 250MB/s from the ONT. If I put my ISP box or my Openwrt router into the ONT then I get full 500MB/s out of the OPNsense interface."
https://forum.opnsense.org/index.php?topic=26328.0

[Layer8]

Da bin ich voll bei dir, stevie. Je nach Bandbreite und Leistung der Hardware, auf der die Sense läuft, ist PPPoE über die Sense einfach keine Option mehr wegen der schlechten PPPoE-Performance.

Wenn man CARP nutzen will ist PPPoE auch raus, denn das verträgt sich ebensowenig.

(Fritzbox und Exposed Host)* halte ich dann für die beste Lösung.

*Geht sicher auch mit anderen Modems.

[Patrick M. Hausen]

Wenn man CARP nutzen will ist PPPoE auch raus, denn das verträgt sich ebensowenig.

Was genau hat das mit der OPNsense zu tun? CARP und PPPoE funktioniert nunmal fundamental nicht. Und eine Fritzbox kann überhaupt kein CARP.

[Nambis]

Was ist die Alternative zu PPPoE, wenn man ein Telekom-Modem benützt? Ein Modem ist doch "nur" ein Medienkonverter, bei der Telekom gibt es aber so wie ich es gesehen habe, keine reinen Medienkonverter mehr, selbst bei Business Pro Glasfaser. Lasse mich das aber gerne eines Besseren belehren.

An einem Business Telekom Anschluss habe ich Gerüchten zufolge gehört, es geht auch ohne PPPoE, aber keine Ahnung was hier jetzt die Sachlage ist. Bin schon gespannt, in 3 Monaten wird unser Anschluss hier geschaltet.

Und was hat es mit dem Vigor Modem auf sich, ist das besser als das Standardmodem von der Telekom?

[Layer8]

Wenn man CARP nutzen will ist PPPoE auch raus, denn das verträgt sich ebensowenig.

Was genau hat das mit der OPNsense zu tun? CARP und PPPoE funktioniert nunmal fundamental nicht. Und eine Fritzbox kann überhaupt kein CARP.

War vielleicht nicht präzise genug ausgedrückt. Besser wäre gewesen: "Wenn man CARP nutzen will ist das PPPoE Interface auf der Sense auch raus, denn das verträgt sich ebensowenig."

Wenn du PPPoE von der Sense fern hälst und es auf ein vorgelagertes Modem machst hast kannst du hinten dran zwei Sensen mit CARP hängen und hast Failoverfunktionalität. Und wenn du das ganze dann sogar noch mit zwei DSL-Anschlüssel/Modems machst, hat man sogar Failover in der WAN-Strecke und nicht nur im Router.

Ansosnten ist fundamemental schon ein sehr starker Begriff. Das wäre der Fall wenn die Protokollogik es nicht zulassen würde, Failover mit PPPoE zu nutzen. Ich würde eher sagen es fehlt einfach nur eine Implementierung. Das ist aber Wunschdenken, wenn der PPPoE-Stack in FreeBSD nicht mal so richtig gut performoed.

[Sieg]

Mit richtig schlecht, meine ich super langsam.

Beispiel: https://medium.com/avenum-technology-blog/benchmarking-pppoe-connections-with-openwrt-and-opnsense-f5fe6c30b70



Selbst wenn die CPU dann noch für die eigene Leitung schnell genug ist, fehlt die Power dann ggf. für weitere Dienste.

Ist es dann nicht besser die OPNsense als Exposed Host zu betreiben, NAT aus + statische Route (ipv4)? Bzw. IPv6 Delegation hinter der Fritzbox (ipv6).

Ich selber nutze noch kein OPNsene. Bin aber mehr als interessiert. Die PPPoE-Geschichte finde ich aber bescheiden...


Edit:

Auch hier:
"Might I ask why you are using an OpenWRT device  in front of Opnsense?"

"Yes of course. The PPPoE only gives me 250MB/s from the ONT. If I put my ISP box or my Openwrt router into the ONT then I get full 500MB/s out of the OPNsense interface."
https://forum.opnsense.org/index.php?topic=26328.0

Machte dieselbe Erfahrung. Höhere Bandbreite bei PPPoE via OpnSense läuft ein Kern auf Volllast, bei einer APU2 von PC Engines (GX-412TC quad core), bei ca. 290 MBit downstream ist die Fahnenstange erreicht, liegt aber nicht an der Hardware sondern wie schon in anderen Threads gezeigt an FreeBSD wie dort PPPoE implementiert ist.

Mein Workaround nun mit rund 1000 MBit (1 GBit): Vor der Firewall ein "Modem" rein zu PPPoE Einwahl, das wäre ein TP-LINK Archer C6 v3 mit OpenWrt 22.03.0. Dank SoC MediaTek MT7621DAT lässt sich Software und Hardware flow offloading aktivieren, ist zwar noch ein Experimental feature, aber es funktioniert. Ohne Offload nur knapp 400 MBit, mit Offloads über 900 MBit :-)

[stevie]

Mein Workaround nun mit rund 1000 MBit (1 GBit): Vor der Firewall ein "Modem" rein zu PPPoE Einwahl, das wäre ein TP-LINK Archer C6 v3 mit OpenWrt 22.03.0. Dank SoC MediaTek MT7621DAT lässt sich Software und Hardware flow offloading aktivieren, ist zwar noch ein Experimental feature, aber es funktioniert. Ohne Offload nur knapp 400 MBit, mit Offloads über 900 MBit :-)

Danke für den Hinweis. Ich habe einen Edgerouter X SFP, der einen MediaTek MT7621AT hat und ebenfalls mit OpenWrt läuft. Ich wollte urspünglich ebenfalls den Edgerouter davor setzen aber die Fritzbox scheint mit aktueller Konfiguration super zu funktionieren. Damit hat man dann auch keine (möglichen) Probleme mit VoIP hinter der Firewall. Das VoIP läuft zwar vor dem QoS der IPFire (möchte auf OPNsense umsteigen, wenn ich mehr Zeit finde) aber das bischen wirkt sich nicht nachteilig aus. Allerdings wenn man in solchen Konstallationen vor der OPNsense noch ein eigenes Netz (DMZ, Transfernetz, etc.) aufbaut (wie manche das scheinbar machen), dann bekommt das QoS der OPNsene einges nichts mehr mit.... (suboptimal) etc.