[gelöst] OPNSense + Vigor130 - keine PPPOE Einwahl möglich

[Foxtrot]

Update:

Nachdem das Problem identifiziert wurde hier einmal eine kurz Zusammenfassung.

Das Problem liegt im FW-Stand der Vigor 130 begründet.
Alle FW nach 3.8.4 verhindern die PPPOE Einwahl - Ursache (bisher) unbekannt!

Ein downgrade auf 3.8.4 oder älter lässt sofort wieder eine Einwahl zu.

Download 3.8.4_modem7

Für das "Archiv" mein initiler Beitrag:

Hallo in die Runde,

ich lese zwar schon seit einiger Zeit mit, jetzt wird es jedoch "leider" Zeit auch mal was zu fragen, nachdem der heutige Tag komplett für einen gescheiterten Systemumzug drauf gegangen ist, für den max. 1 Stunde geplant war...

Was bisher war:
Ich betreibe bisher ein Unifi USG mit einem Vigor130 an einer VDSL2 Leitung der Telekom mit bis zu 100Mbit down - von denen nur knapp über 50Mbit ankommen, dafür immerhin der volle Upload.

Eingewählt wird vom USG seit Jahren über PPPoE - Vigor130 ist im PPPoE Pass-through.

• VLAN 7 ist auf dem Vigor konfiguriert.
• FW 3.8.5.1_m7 ist installiert.

Was werden soll
In Proxmox habe ich auf einer 4xNic-Ali-Kiste (https://vi.aliexpress.com/item/1005004521334738.html) OPNsense in einer VM installiert und 3 der Nics als PCI-Device durchgereicht.
1x WAN, 1x LAN1, 1x LAN2 (jetzt noch ungenutzt, später VLAN für IoT).

Alles schön vorbereitet mit den Telekom Einwahldaten und den benötigten festen IPs über MAC.
Alles umgestöpselt und das Drama ging los

Kurz, ich bin jetzt nach x-Mal hin und her zurück auf dem alten Setup, da ich es mit OPNsense (und zwischenzeitlich mit anderen Hardware und pfsense) keine Internetverbindung aufgebaut bekommen habe.

Die hier und an anderen Stellen über Google auffindbaren Anleitungen sind "rar" und meist einige Jahre alt.
Ich vermute mal, dass ein Grund dafür ist, dass dies normal kein Problem ist .

Die zuletzt verwendete Konfiguration habe ich als Screenshots angefügt.
Ich hoffe hier hat jemand eine Idee, wo ich falsch abgebogen bin.

[Foxtrot]

https://forum.opnsense.org/index.php?topic=28547.0

Werde das mit dem downgrade der FW am Sonntag mal versuchen, habe noch die 3.8.1.1_modem7 rumfliegen.

[meyergru]

Du musst zuerst das PPPoE-Interface mit Zugangsdaten konfigurieren (zeigst Du zwar nicht, hast Du aber, ist dann pppoe0), ohne "großgeschriebenen" Namen.

Jetzt hast Du zwei "großgeschriebene" Interfaces definiert, aber das entscheidende, wo schon Default-Regeln drauf sind, nämlich WAN steht auf "Statische IPv4", müsste aber eben PPPoE mit pppoe0 sein (zuweisen unter "Assignments").

pppoe0 hast Du aber auf das vollkommen überflüssige PPOE zugewiesen. Das PPOE also zuerst löschen und dann unter Assignments pppoe0 mit WAN verknüpfen und auf "PPPoE" statt "Statische IPv4" konfigurieren.

P.S.: In alten Anleitungen findest Du eventuell noch so ein "Zwischeninterface" wie PPOE, weil:

1. Die meisten das VLAN7 auf den OpnSense erzeugen und deshalb ein VLAN-Interface notwendig ist.
2. Bis 22.7.3 das Parent-Interface tatsächlich konfiguriert werden musste.

Beides ist bei dir unnötig, deshalb weg mit PPOE.

[Foxtrot]

Anbei die Konfiguration der Interfaces. Hatte ich gestern schon vorbereitet, passte aber auf Grund der Anhangsbeschränkung nicht mehr mit rein 

Das die alten Anleitungen z.T. anders sind hatte ich auch bemerkt, wusste jetzt aber nicht, was richtig ist.

pppoe0 heißt das "Profil" mit den Telekom Zugangsdaten bei mir, über Port igc2.

WAN auf igc2 mit statischer IP habe ich noch mit drin, da ich auch gerne auf das GUI vom Vigor (192.168.1.1) kommen möchte (über NAT).

Erstmal muss aber die (P)PPOE Geschichte laufen.
Also WAN erstmal löschen, wegen Zugriff zum Vigor kann ich dann ja später noch schauen (hatte bisher auch nicht geklappt)

Was ist denn an dem Interface PPOE anders als an WAN?
Ist doch nur ein Name, oder hängt da noch eine "versteckte" Funktion dahinter?

[Foxtrot]

@meyerguru

Sollte jetzt wie von dir beschrieben umgebaut sein.
Vigor FW ist ebenfalls zurück auf 3.8.1.1_modem7

Anbei der LOG Output, da wird schonmal nichts gefunden - alles DOWN.

opt3_link0 ist jetzt eine weitere interne ID für das Interface WAN auf dem pppoe0 über port igc2 läuft?
Hmm, werde jetzt nochmal prüfen, ob igc2 der richtige physische Port ist. ---> DONE

Und die neue Konfiguration.

UPDATE: Jetzt war das pysische Interface falsch 
Werde das jetzt mal in Ruhe alles zurückverfolgen, wo und wann was schief lief!
Auch ob ein Zusammenhang mit der Vigor FW besteht.

Auf jeden Fall schreibe ich jetzt gerade schonmal über die OPNsense Verbindung 

[Foxtrot]

und hier noch das WAN Interface

[meyergru]

Für WAN sind ab Werk schonmal ein paar FW-Regeln hinterlegt, die Du sonst erst selbst eintragen musst. Aber schön, dass es jetzt geht. Ich glaube eigentlich nicht, dass es die Modem-Firmware ist, wenn ohne OpnSense auch schon ging.

[Foxtrot]

Zwischenstand zum Thema Vigor 130 FW:

Die neuen FW versionen funktionieren NICHT
3.8.1.1_modem7 geht noch.

Zugriff auf den Vigor über NAT läuft jetzt auch, musste dafür eine feste IP am WAN zusätzlich anlegen.

[$$fire$$]

Ich kämpfe zur Zeit mit dem gleichen Problem!
Vigor 130 + opnsense = keine Einwahl
Meine aktuelle Firmware ist die 3.8.4 damit läuft alles wie es soll!
3.8.4.1 ; 3.8.5 ; 3.8.5.1 laufen nicht!
Modem synchronisiert aber!

[Foxtrot]

Ja, sah bei mir genauso aus, lief ja auch mit der aktuellsten FW an anderer Hardware...

Ich hoffe das hast das Problem schneller identifiziert als ich! Bei mir ging nen ganzer Tag dabei drauf.

[$$fire$$]

Also Verbindung über andere Hardware funktioniert bei mir auch mit der aktuellen Firmware 3.8.5.1

So wie es dann ausschaut muss es an der Opnsense liegen...
Was war bei dir das Problem und was hast du geändert?

[Patrick M. Hausen]

Ich würde nochmal übeprüfen, wer das VLAN Tag setzt, wenn der Provider eines verlangt. Setzt z.B. der Vigor VLAN 7 für einen Anschluss der DTAG, darf das Endgerät dahinter das nicht nochmal tun. Und umgekehrt.

[$$fire$$]

VLAN Tag habe ich im vigor gesetzt nicht auf der opnsense!
Das Problem ist das es erst ab dem Update 3.8.4.1 losgeht.

[meyergru]

Wenn ich die Wahl habe, setze ich das VLAN-Tag lieber auf der OpnSense: Das lässt nämlich die Option zu, auf dem Parent-Interface eine IP zu setzen, so dass man zusätzlich Zugriff auf die Oberfläche des Modems hat.

Das gilt unabhängig davon, ob es ein DSL-Modem oder ein ONT ist. Man muss dabei nur beachten, dass man eine Outbound-NAT-Regel braucht, um den Zugriff zu ermöglichen, da die NTs kein Gateway haben.

[Ramalama]

Was für ein Schwachsinn.
Es ist absolut egal wo mann das vlan Tag setzt.

Eher ein Vorteil auf dem vigor direkt zu setzen, da das erlaubt das mann die pppoe Verbindung zum vigor selbst über ein vlan tunnelt.

Outbound nat braucht mann sowieso in jedem fall, wenn mann beim Gerät (aka vigor) keine routen setzen kann oder will.

Hat jemand schon ne Lösung zum 3.8.4+ Firmware Problem gefunden?

- Seltsamerweise funktioniert der vigor 167 mit neuester FW+opnsense
- vigor 130 (3.8.5.1) funkt auch mit unifi hier... Funkt mit allem außer opnsense 😂

Irgendwas ist da echt komisch 😂