Telekom - Glasfaser

[Patrick M. Hausen]

Ja, normal ist das so. Sowohl die typischen externen ONTs als notwendigerweise die SFP-ONTs bieten nur einen Anschluss. Ich kenne das aber auch bei anderen Modem-Typen meist nicht anders (z.B. Vigor DSL-Modems). Was für ein DSL-Modem hat denn mehrere Ports?

Sowohl der Draytek Vigor 167 (2 Ports) als auch die Zyxel VMG1312-B30A und VMG3006-D70A (jeweils 4 Ports).

[meyergru]

Interessant, ich hatte mal einen Vigor 130, der hatte nur einen Port. Ab dem 165 haben sie wohl zwei. Bei den Zyxels ist es klar, die sind eigentlich Router und haben deswegen mehr Ports.

[Patrick M. Hausen]

Die Vigor 16x sind auch Router. Wenn man sie so konfiguriert.

[Saarbremer]

Problem gerade erkannt, ich suche mal.... Wenn jemand einen heißen Tipp hat.... würde ich mir ggf. viel suchen ersparen

Upstream Gateway definiert und online?
Pass Regeln auf OPT1 definiert und online?
Nutzt du unbound oder dnsmasq oder gleich das Telekom DNS?
DNS richtig konfiguriert auf DHCP?

Damit sollte man schon mal weiter kommen.

[FK10G]

Also ich hab jetzt gelesen und rumprobiert, komme aber auf keinen grünen Nenner….

Ich entschuldige mich gleich mal vorweg für meine Unkenntnis…

Upstream Gateway definiert und online?

ähm... naja... keine Ahnung... siehe Bild

Pass Regeln auf OPT1 definiert und online?

hab zum Test die Firewall komplett ausgeschaltet. also daran sollte es nicht liegen

Nutzt du unbound oder dnsmasq oder gleich das Telekom DNS?

ähm.... keine Ahnung, wie sollte das aussehen?

DNS richtig konfiguriert auf DHCP?

wo wird das gemacht?

Damit sollte man schon mal weiter kommen.

naja wer vom Fach ist... für den ist das ab jetzt wohl ein Kinderspiel...
immerhin bekomme ich über den Ping Test inzwischen antwort....
Aber über den Browser komm ich immer noch nicht rein und pingen vom PC aus also über CMD geht auch nicht...

es ist bestimmt nur ein Hacken.... aber halt wo...

danke für eure Hilfe

[chemlud]

Ist denn auf OPT1 schon eine Firewallregel, die irgendwelchen Traffic zulässt?

[Saarbremer]

Ich verstehe deine Gateways nicht.

Auf IPv6 scheint es ein Gateway auf WAN zu geben, für IPv4 routest du aber alles nach OPT1. So funktioniert IPv4 Internet bei dir vermutlich nicht. Ebenso die anderen Gateways sind seltsam. Hast du einen anderen DHCP Server in jedem Netz, der ein Gateway announced? Oder ist dein Netzwerk nicht sauber getrennt? Das ist alles sehr wirr.

Und was macht PPPoE auf WAN (defunct)?

Grundsätzlich sollte man Gateways nur auf Anschlüssen haben die ins Internet gehen, also WAN. Je nach Anschlusstyp per DHCP(v4/v6) empfangen, statisch gesetzt oder per PPPoE empfangen.

[FK10G]

Ist denn auf OPT1 schon eine Firewallregel, die irgendwelchen Traffic zulässt?

denke schon, kann aber noch kein Problem sein, da die Firewall zum Test komplett aus ist.

Ich verstehe deine Gateways nicht.

HA! ich auch nicht!

Auf IPv6 scheint es ein Gateway auf WAN zu geben, für IPv4 routest du aber alles nach OPT1. So funktioniert IPv4 Internet bei dir vermutlich nicht. Ebenso die anderen Gateways sind seltsam. Hast du einen anderen DHCP Server in jedem Netz, der ein Gateway announced? Oder ist dein Netzwerk nicht sauber getrennt? Das ist alles sehr wirr.

gibt keinen DHCP Server.
Die idee ist:
WAN baut die Internetverbindung auf und die anderen Ports nutzen diese....

Und was macht PPPoE auf WAN (defunct)?

keine Ahnung, was ist defunct?

Grundsätzlich sollte man Gateways nur auf Anschlüssen haben die ins Internet gehen, also WAN. Je nach Anschlusstyp per DHCP(v4/v6) empfangen, statisch gesetzt oder per PPPoE empfangen.

hab jetzt mal das andere auf WAN deaktiviert.
Aber wie sage ich dem port OPT1 dass er bitte über WAN ins Internet gehen soll?

Danke und Grüße

[Patrick M. Hausen]

Aber wie sage ich dem port OPT1 dass er bitte über WAN ins Internet gehen soll?

Indem die Clients, die an OPT1 angeschlossen sind, die IP-Adresse der OPNsense an OPT1 als Default-Gateway haben. Das sagt ihnen normalerweise der DHCP-Server auf der OPNsense.

Die OPNsense braucht im Standardfall nur einen Gateway: den Default-Gateway an WAN. Damit routet sie alles, was nicht lokal ist, dort hin.

Für IPv4 wird "Firewall aus" in der Regel nicht funktionieren, da du dann natürlich auch kein NAT hast. Das ist auch eine Firewall-Funktion.

[mooh]

Damit verbaust Du Dir aber die Möglichkeit, auf das Web-UI des ONT zuzugreifen - weil alles, was von der OpnSense kommt, dann mit VLAN 7 getagged wird.

Stimmt, mein Fehler.

Wenn man die Proxmox Bridge als Trunk Port zu nutzt, kann man auch ungetaggten Traffic zum Modem mit einer NAT Regel schicken und auch andere VLANs gleichzeitig nutzen.

Aber immerhin ist der Frager jetzt online und kann sich die für ihn optimale Lösung aussuchen.

[FK10G]

Indem die Clients, die an OPT1 angeschlossen sind, die IP-Adresse der OPNsense an OPT1 als Default-Gateway haben. Das sagt ihnen normalerweise der DHCP-Server auf der OPNsense.

Das habe ich eingetragen und funktioniert auch... also denke ich zumindest

Die OPNsense braucht im Standardfall nur einen Gateway: den Default-Gateway an WAN. Damit routet sie alles, was nicht lokal ist, dort hin.

dann habe ich doch ein Gateway für OPT1 und eins für WAN, oder?

Für IPv4 wird "Firewall aus" in der Regel nicht funktionieren, da du dann natürlich auch kein NAT hast. Das ist auch eine Firewall-Funktion.

siehe anbei, sollte passen...

aber bis jetzt komm ich immer noch nicht rein...
ABER der Windows test PC angeschlossen an OPT1 zeigt Internet an, im Browser komm ich dennoch nicht rein...

[Patrick M. Hausen]

dann habe ich doch ein Gateway für OPT1 und eins für WAN, oder?

Nein, wieso? Die OPNsense ist der Gateway, sie hat kein weiteres Gateway an OPT1. Gateway in der OPNsense UI sind weitere externe Router, die die OPNsense als Gateway benutzt.

[Saarbremer]

Soll das hier eigentlich eine große Belustigung werden?
Von selbst kommt der ganze Kram an Regeln und Gateways nicht in eine OPNSense. Viel Glück weiterhin.

[FK10G]

Soll das hier eigentlich eine große Belustigung werden?
Von selbst kommt der ganze Kram an Regeln und Gateways nicht in eine OPNSense. Viel Glück weiterhin.

Ja danke, ich fühle mich auch sehr belustigt!

mir war nicht bewusst, dass man hier als Anfänger kein Recht hat ggf. für euch "dumme" Fragen zu stellen.
Ich hoffe das ist auch nicht korrekt.


wenn ich mich über ssh an der OPNsense anmelde kann ich über den Menüpunkt 7 einen host anpingen.

mach ich das mit www.google.de

klappt das -> 0,0% packet loss

wenn ich da aber 1.1.1.1 oder 8.8.8.8 angebe geht garnix (100,0% packet loss).

was fehlt?
habe schon bei Regeln alles aufgemacht, was man so aufmachen kann...

Gateway ist jetzt nur noch eins aktiv auf WAN mit IPv4 255 upstream und die adresse ist die gleiche wie die von der OPNsense....

[Patrick M. Hausen]

Statt irgendwelche Dinge "aufzumachen" geh doch mal systematisch vor.

Eine frisch installierte OPNsense hat sinnvolle Defaults für einen Internet Gateway.

Maschine installieren, PC an die erste Netzwerkschnittstelle hängen.
PC bekommt IP Adresse, UI auf 192.168.1.1 aufrufen und anmelden.
WAN konfigurieren (PPPoe oder DHCP oder was nötig ist), WAN in die zweite Netzwerkschnittstelle stecken.

Fertig. Der PC an LAN kommt jetzt ins Internet mit einer sinnvollen sicheren Konfiguration.

Es gibt keinen Grund, anders vorzugehen, weil jede Änderung auch eine mögliche Fehlerursache ist. Wenn das so nicht läuft, dann schraubt man eben nicht an N unbeteiligten Einstellungen rum, dadurch wird es nämlich praktisch unmöglich, z.B. aus der Ferne über ein Forum zu erraten, wo das Problem liegen könnte.

Das Problem liegt an deiner Konfiguration und nur daran. Da aber niemand hier nachvollziehen kann, was du eigentlich konfiguriert hast ...

Nochmal: steck das frisch installierte Gerät ans Netz, konfigurier das WAN über den Wizard oder manuell, fertig. Danach geht "Internet". Keine Gateways, keine Regeln, kein "aufmachen". Wenn "Internet" nicht geht, dann kann man dir von hier aus helfen.