Telekom - Glasfaser

[FK10G]

Hi zusammen,

ich versuche eine Internetverbindung über Glas über die Telkom über OPNsense herzustellen.

Zum Setup.
es sind ein onboard NIC und 4 weitere auf einer zusätzlichen Karte vorhanden.

Die Idee.
der onboard NIC soll ... nicht verwendet werden

1. NIC: kupfer zu Glasfaser modem der Telekom
2. NIC: internes LAN
3. NIC: GAST LAN

ich habe jetzt schon sooooo viel gelesen und gesehen aber komme dennoch nicht vorran, ggf. kann mir jemand zeigen wo der Fehler ist...
Beim WAN steht das Device auf pppoe0
Bei PPPoE sthet Link interface vlan0.7
Bei VLAN0.7 steht Parent auf vtnet1

vtnet1 wurde bei der Konfiguration von OPNsense auf WAN gesetzt

anbei Screenshots von meinen Einstellungen.

Wie müssen die Zugangsdaten von der Telekom eingegeben werden?
mit oder ohne # dazwischen?
Anschlusskennung(12Ziffern)Zugangsnummer(12Ziffern)Mitbenutzernummer(4Ziffern)

123456789012#123456789012#0004@t-online.de
123456789012123456789012#0004@t-online.de
1234567890121234567890120004@t-online.de

kann das Kennwort das "standard" Kennwort aus dem Zugangsdaten Brief sein oder muss dafür extra eins in der App erstellt werden?

vielen Dank und viele Grüße

[Patrick M. Hausen]

vtnet1 ...

Es handelt sich also um eine virtualisierte Installation? Weshalb schreibst du das nicht dazu? Das ist die wichtigste Angabe überhaupt. Welcher Hypervisor und wie hast du die Interfaces der OPNsense-VM zugewiesen?

[FK10G]

ja es handelt sich um eine VM auf Proxmox.
hätte ich gewusst, dass das wichtig ist, hätte ich es selbstverständlich dazu geschrieben.

Die Verwirrung tut mir leid und war nicht beabsichtigt...

siehe anbei

[FK10G]

Hi zusammen,

gibt es denn niemanden hier im Forum, der bei der Telekom Glasfaser hat und OPNsense auf proxmox laufen lässt und mir hier weiterhelfen kann?

ich bin auch für alternative Wege offen...

danke und Grüße

[Patrick M. Hausen]

Ich habe Glasfaser bei der Telekom aber nirgends eine virtualisierte Firewall. Und Proxmox habe ich auch nirgends. Deshalb kann ich leider nicht helfen.

[meyergru]

Ohne allzu tief einzusteigen: Du setzt das VLAN-Tag sowohl im Proxmox als auch in der virtuellen OpnSense. Das kann nicht klappen.

[chemlud]

Keine Glasfaser hier. :-)

Hast du nicht einen alten PC für die ersten Schritte? Das nimmt Probleme mit virtuellen Installationen schon mal aus dem Spiel.

Prinzipiell scheint das ja kein Problem zu sein mit OPNsense...

https://forum.opnsense.org/index.php?topic=32432.0

https://forum.opnsense.org/index.php?topic=21556.0

[br0ken.pipe]

123456789012#123456789012#0004@t-online.de
123456789012123456789012#0004@t-online.de
1234567890121234567890120004@t-online.de

kann das Kennwort das "standard" Kennwort aus dem Zugangsdaten Brief sein oder muss dafür extra eins in der App erstellt werden?

Ohne Gartenzaun ....

Du brauchst halt ein VLAN mit Tag 7. Der Parent muss das WAN interface sein.
unter Point-to-Point brauchst du dann ein neues interface und du musst beide Interfaces verlinken.

[FK10G]

HI Leute,

danke für die zahlreichen Antworten.

Ich habe Glasfaser bei der Telekom aber nirgends eine virtualisierte Firewall. Und Proxmox habe ich auch nirgends. Deshalb kann ich leider nicht helfen.

trotzdem danke. macht das so einen großen Unterschied ob OPNsense auf eigener Hardware installiert ist oder virtualisiert ist?

Ohne allzu tief einzusteigen: Du setzt das VLAN-Tag sowohl im Proxmox als auch in der virtuellen OpnSense. Das kann nicht klappen.

Danke. Dann nehme ich dass mal bei Proxmox raus. passen die Einstellungen in OPNsense?

Keine Glasfaser hier. :-)

Hast du nicht einen alten PC für die ersten Schritte? Das nimmt Probleme mit virtuellen Installationen schon mal aus dem Spiel.

Prinzipiell scheint das ja kein Problem zu sein mit OPNsense...

https://forum.opnsense.org/index.php?topic=32432.0

https://forum.opnsense.org/index.php?topic=21556.0

doch schon, aber keinen mit mehr als zwei LAN anschlüssen...
werde die Posts nachher durchgehen und Rückmelden, danke! oder würde das zur Not auch mit einem alten Laptop klappen? Also LAN für WAN und WLAN für das weitere Netzwerk?

Ohne Gartenzaun ....

Du brauchst halt ein VLAN mit Tag 7. Der Parent muss das WAN interface sein.
unter Point-to-Point brauchst du dann ein neues interface und du musst beide Interfaces verlinken.

Danke, dann werde ich mal dieser Version nutzen / versuchen...
1234567890121234567890120004@t-online.de

stimmen die anderen Einstellungen?

Danke und viele Grüße

[Patrick M. Hausen]

trotzdem danke. macht das so einen großen Unterschied ob OPNsense auf eigener Hardware installiert ist oder virtualisiert ist?

Wegen des ganzen Bridge/Virtual whatever Interface Setups m.E. schon. Ich hab einfach keine Ahnung wie Proxmox das handhabt. Und was passiert, wenn man z.B. in einer VM auf einem virtuellen Interface ein VLAN-Tag setzt? Geht das überhaupt? Wie ist es mit MAC address spoofing etc. pp.

Du kannst natürlich ein WAN und ein LAN mit PCIe-Passthrough in deine VM mappen. Dann besteht kein wesentlicher Unterschied. Das tun aber die Wenigsten, nach dem, was ich hier so lese.

[mooh]

Wie bereits von anderen bemerkt, macht doppeltes VLAN Tagging keinen Sinn. Wäre mal interessant zu wissen, ob du dann doppelte Tags in den Ethernet Frames am physischen Interface bekommst.

Die von mir bevorzugte Lösung wäre jedoch den VLAN Tag auf Proxmox VM Ebene zu setzen und in OPNsense ohne tagging zu arbeiten, also PPPoE direkt auf das WAN interface. Ich betrachte die Proxmox Bridge (VLAN aware) als Managed Switch, dem man mit dem VLAN Tag an der VM den virtuellen Port konfiguriert. Das ist genau so, als ob du einen physischen Switch an einer physischen OPNsense ohne VLAN anschliesst und den Switch Port mit VLAN 7 konfiguriert hättest. Einfach die Verantwortlichkeiten immer schön getrennt halten.

Wenn das VLAN Tagging unbedingt von der Sense gemacht werden soll, gibt es 2 Lösungen:
 1) Das physische Interface durchreichen oder
 2) eine VLAN aware Bridge in Proxmox einrichten, aber der VM kein VLAN Tag zuweisen

Die erste Lösung funktioniert ohne den Overhead der Bridge, kann aber nur einmal durchgereicht werden und, im Gegensatz zur 2. Lösung, nicht auf eine andere Instanz eines Proxmox Server Clusters migriert werden, wenn der nicht die selbe Hardware für speziell diese VM bereit hält.

Aus leidvoller Erfahrung sei mir noch die Bemerkung erlaubt, dass man beim Einsatz virtualisierter Router immer Sorge dafür tragen sollte von den Rechnern der Administratoren auch dann die Virtualisierungsserver erreichen zu können, wenn die Router VM nicht funktioniert oder läuft. Das gilt insbesondere für IPMI Verbindungen.

[meyergru]

Die von mir bevorzugte Lösung wäre jedoch den VLAN Tag auf Proxmox VM Ebene zu setzen und in OPNsense ohne tagging zu arbeiten, also PPPoE direkt auf das WAN interface. Ich betrachte die Proxmox Bridge (VLAN aware) als Managed Switch, dem man mit dem VLAN Tag an der VM den virtuellen Port konfiguriert. Das ist genau so, als ob du einen physischen Switch an einer physischen OPNsense ohne VLAN anschliesst und den Switch Port mit VLAN 7 konfiguriert hättest. Einfach die Verantwortlichkeiten immer schön getrennt halten.

Damit verbaust Du Dir aber die Möglichkeit, auf das Web-UI des ONT zuzugreifen - weil alles, was von der OpnSense kommt, dann mit VLAN 7 getagged wird.

Und das VLAN für das WAN-Interface über einen Switch zu realisieren, hat weder in einem physischen noch in einer virtuellen Firewall seine Berechtigung:

Man will im Idealfall eine möglich starke Trennung von LAN und WAN haben, deswegen wird man ja gerade den WAN-Anschluss an einem physisch anderen Interface als das LAN haben wollen. Man sollte LAN und WAN nicht wieder am Switch zusammenführen, wo im Zweifel durch Implementierungsfehler bei VLANs dann doch wieder ein "Ausbruch" möglich wird. Der OP verwendet ja offenbar auch mehrere physische Interfaces.
Die Ausnahme wäre eine absolute Sparlösung wie ein Router-on-a-Stick.

Die "Trennung von Aufgaben" ist für diesen speziellen Fall irrelevant: Es ist quasi nur zufällig so, dass für die Verbindungsaufnahme (und dafür ist die OpnSense definitiv zuständig!) eben ein VLAN benötigt wird.
Und auch auf der LAN-Seite muss normalerweise die OpnSense das VLAN-Tagging machen - weil man idealerweise ja einen Trunk-Port zum Switch hernimmt, oder, wie in diesem Fall, zur Proxmox-Bridge für die (V)LANs.

Aus diesen Gründen würde ich das niemals so machen.

[Patrick M. Hausen]

Damit verbaust Du Dir aber die Möglichkeit, auf das Web-UI des ONT zuzugreifen - weil alles, was von der OpnSense kommt, dann mit VLAN 7 getagged wird.

Hat so ein ONT nur einen Port? Bei meinen DSL-Modems nehme ich tatsächlich zweimal Ethernet zum Modem, einmal mit Tag für PPPoE und einmal ohne.

[meyergru]

Ja, normal ist das so. Sowohl die typischen externen ONTs als notwendigerweise die SFP-ONTs bieten nur einen Anschluss. Ich kenne das aber auch bei anderen Modem-Typen meist nicht anders (z.B. Vigor DSL-Modems). Was für ein DSL-Modem hat denn mehrere Ports?

[FK10G]

Du kannst natürlich ein WAN und ein LAN mit PCIe-Passthrough in deine VM mappen. Dann besteht kein wesentlicher Unterschied. Das tun aber die Wenigsten, nach dem, was ich hier so lese.

kann ich leider nicht, weil ... wenn ich einen Port in Proxmox über PCI hinzufüge die VM mit OPNsense nicht mehr startet... hab keine Ahnung warum...

also bleibts bei Bridgen...

und siehe da....
keine Änderung in Proxmox, sondern lediglich ....

Die von mir bevorzugte Lösung wäre jedoch den VLAN Tag auf Proxmox VM Ebene zu setzen und in OPNsense ohne tagging zu arbeiten, also PPPoE direkt auf das WAN interface. Ich betrachte die Proxmox Bridge (VLAN aware) als Managed Switch, dem man mit dem VLAN Tag an der VM den virtuellen Port konfiguriert. Das ist genau so, als ob du einen physischen Switch an einer physischen OPNsense ohne VLAN anschliesst und den Switch Port mit VLAN 7 konfiguriert hättest. Einfach die Verantwortlichkeiten immer schön getrennt halten.

.... und JUHU!!!!! ICH BIN ONLINE!!!!

OPNsense stellt eine Verbindung her. ich kann updates ziehen und Plugin installieren und das alles ohne Fritzbox!!!!

siehe Bilder anbei, für alle die das auch mal machen wollen...

Jetzt hab ich nur noch das Problem das OPNsense das ausschließlich für sich beansprucht...
also auf OPT1 ist zwar ein DHCP am laufen, vergibt auch adressen, Internet bekommt OPT1 aber nicht...

Problem gerade erkannt, ich suche mal.... Wenn jemand einen heißen Tipp hat.... würde ich mir ggf. viel suchen ersparen

Achja und DANKE ich bin mega glücklich!!!