Telekom - Glasfaser

[FK10G]

gut, so probier ichs.

fange einfach nochmal an und dann schauen wir weiter.

[FK10G]

so, erledigt.
genauso gemacht wie beschrieben, aber das Ergebnis ist genau das gleiche....
Also die Einstellungen sind alle unverändert der Neuinstallation....

[Patrick M. Hausen]

Du kannst dich einloggen über den LAN-Port? Was ist denn der Status des WAN-Interfaces? Lass mal die Netzwerkübersicht raus (Interfaces > Overview, IIRC)

[FK10G]

Du kannst dich einloggen über den LAN-Port? Was ist denn der Status des WAN-Interfaces? Lass mal die Netzwerkübersicht raus (Interfaces > Overview, IIRC)

ja, einloggen über LAN-Port ist möglich.

so, siehe anbei.

WAN war sofort nach dem Wizard online und OPNsense konnte updaten.
also Internet da

ping über putty zu Google möglich zu 1.1.1.1 nicht
ping über die Weboberfläche zu Google NICHT möglich
Browser kommt auch nicht ins Internet

dann habe ich de Regeln wie im Anhang hinzugefügt, leider ohne erfolg....

bin etwas ratlos...

[Patrick M. Hausen]

Die WAN Regel gehört da weg. Die beiden LAN-Regeln sind völlig ausreichend. Das meinte ich mit sinnvollen Defaults und "rumschrauben". Du musst nichts an den Default-Einstellungen ändern. Punkt.

Das ganze ist virtualisiert. Das ist eine Ecke, wo man suchen sollte.

Dann: bei einer frischen Installation ist LAN immer auf dem ersten Interface. Weshalb ist es bei dir auf vtnet1 und was ist dieses unassigned vtnet0?

[Saarbremer]

Hast du outbound NAT an / automatische Regeln vorhanden? Oder ist die Firewall immer noch aus?

Scheinbar geht nur IPv6.

[Patrick M. Hausen]

Er hat doch angeblich frisch installiert ... 

[Saarbremer]

Glücklicherweise habe ich keine Ahnung von PPPoE mit der OPNsense. Bei statischen setups können die automatischen NAT Regeln allerdings verschwinden, wenn man im wann interface das upstream gateway auf Auto-detect setzt. Vielleicht sowas?

[FK10G]

Die WAN Regel gehört da weg. Die beiden LAN-Regeln sind völlig ausreichend. Das meinte ich mit sinnvollen Defaults und "rumschrauben". Du musst nichts an den Default-Einstellungen ändern. Punkt.

ich habe nach einer kompletten neuinstallation die WAN vebindung über das Wizard herstellen lassen und war sofort online.
ABER mit dem gleichen Effekt wie oben, also dachte ich, ich muss da ggf. auch was auf machen...
-> Also lösche ich alle von mir ersellen WAN reglen wieder.

Das ganze ist virtualisiert. Das ist eine Ecke, wo man suchen sollte.

diese vermutung habe ich langsam auch...
finde es halt komisch das OPNsense ins Internet kommt, es aber nicht weitergibt... siehe ping ergebnisse.

Dann: bei einer frischen Installation ist LAN immer auf dem ersten Interface. Weshalb ist es bei dir auf vtnet1 und was ist dieses unassigned vtnet0?

der Server hat einen Onboard anschluss (das war der LAN anschluss in der ersten installation)
und vier zusätzliche LAN ports.
der erste davon ist mein WAN und der zweite mein neues LAN (neuinstallation gestern abend)
vtnet0 = WAN -> wird aber durch pppoe umbenannt, deshalb wohl das unassigned interface vtnet0

was ist enc0 und pflog0?

Hast du outbound NAT an / automatische Regeln vorhanden? Oder ist die Firewall immer noch aus?

standard nach Neuinstallation, also soweit ich sehen kann ist outbound NAT an. habe hier nichts geändert.
Firewall ist, abgesehen von den im Foto hinzugefügten rules alles standard.

Scheinbar geht nur IPv6.

woran erkennst du das?
blöde frage... (ja... mal wieder... ;-)) würde das nicht reichen?

Er hat doch angeblich frisch installiert ... 

ja nicht nur angeblich, sondern echt ;-)
die "alte" VM ist auch noch da... jetzt sinds halt zwei

Glücklicherweise habe ich keine Ahnung von PPPoE mit der OPNsense. Bei statischen setups können die automatischen NAT Regeln allerdings verschwinden, wenn man im wann interface das upstream gateway auf Auto-detect setzt. Vielleicht sowas?

das pppoe war, zumindest aus jetziger Sicht, relativ einfach.
Wo im WAN interface stell ich das denn ein?
weil bei IPv4 Configuration type steht PPPoE und somit keine upstream Wahlmöglichkeit mehr da...

[Patrick M. Hausen]

Wenn du so viele Interfaces hast, kannst du für die VM nicht PCIe passthrough benutzen und ihr 2 Interfaces dediziert geben statt virtueller Interfaces?

[Saarbremer]

Scheinbar geht nur IPv6.
woran erkennst du das?

Du kannst zwar google.de anpingen, aber nicht 1.1.1.1. Da du leider nicht sagst, wohin google.de aufgelöst hat, ist das aber nur geraten.

Wenn IPv4 Internet nicht geht kann das zwei Ursachen haben:
IPv4 Gateway / Route kaputt
IPv4 NAT outbound kaputt

Bei kaputtem NAT hat die OPNSense Internet, aber alle dahinterliegenden Netze nicht. Das hast du auch irgendwo geschrieben. Aber ehrlich gesagt, muss man empfehlen was man immer empfiehlt:

1. Prüfe deine Virtualisierungsumgebung auf korrekte Zuordnung der Interfaces und VLANs.
2. Debugge Probleme mit Firewall Live View und Packet Capture auf den relevanten Schnittstellen.
3. Achte auf die Fehlermeldungen der Clients, die geben Aufschluss darüber, ob Route fehlt, DNS nicht geht oder einfach nur geblockt wird.

[FK10G]

Wenn du so viele Interfaces hast, kannst du für die VM nicht PCIe passthrough benutzen und ihr 2 Interfaces dediziert geben statt virtueller Interfaces?

das war die erste Idee, das geht aber aus mir unerklärlichen Gründen nicht.
Wenn ich, egal welchen Anschluss über PCIe passthrough an die VM anhänge startet diese nicht.

Du kannst zwar google.de anpingen, aber nicht 1.1.1.1. Da du leider nicht sagst, wohin google.de aufgelöst hat, ist das aber nur geraten.

wo sehe ich denn wohin aufgelöst wird... also ist ja nicht so, dass ich das nicht sagen will ;-)

Wenn IPv4 Internet nicht geht kann das zwei Ursachen haben:
IPv4 Gateway / Route kaputt
IPv4 NAT outbound kaputt

ok, interessant... mir ist aufgefallen, dass es keine einzige route gibt... da ich mich nicht auskenne habe ich hier auch nichts eingetragen... [System / Routes / Configuration]
soll das so?

Wie kann ich NAT outbound kaputt prüfen?
hab nix eingestellt, ist immer noch standard, siehe Bild...

Bei kaputtem NAT hat die OPNSense Internet, aber alle dahinterliegenden Netze nicht. Das hast du auch irgendwo geschrieben. Aber ehrlich gesagt, muss man empfehlen was man immer empfiehlt:

1. Prüfe deine Virtualisierungsumgebung auf korrekte Zuordnung der Interfaces und VLANs.
2. Debugge Probleme mit Firewall Live View und Packet Capture auf den relevanten Schnittstellen.
3. Achte auf die Fehlermeldungen der Clients, die geben Aufschluss darüber, ob Route fehlt, DNS nicht geht oder einfach nur geblockt wird.

das ist mein nächster Schritt.... ich prüfe nochmal die VM einstellungen, bzw. lege die Bridges neu an mit zusätzlichen freigaben...

die Firewall zeigt keine Meldungen mehr... alles grün

leider gibts keine Fehlermeldungen... wo sehe ich ob eine route fehlt (da es keine gibt... könnte das ein super spur sein...)

Wie kann ich DNS prüfen?

[Saarbremer]

wo sehe ich denn wohin aufgelöst wird...

Bei einem Ping in einer Shell wird dir das unmittelbar angezeigt. Die Web GUI von OPNSense muss da leider passen. Da frage ich mich allerdings, warum.

Wie kann ich NAT outbound kaputt prüfen?

Wenn die Regeln für NAT nicht schon aussagekräftig sind (sind sie aber eigtl. immer), kannst du auch auf WAN ein packet capture oder eine Firewall live-view machen. Funktioniert NAT nicht, gehen da IP Pakete mit RFC 1918 Adressen raus (z.B. 10.x.x.x, 192.168.x.x) wenn du versuchst "ins Internet" zu gehen. Die werden dann vom ISP hoffentlich verworfen.

[FK10G]

mir ist gerade etwas im Foto von gestern aufgefallen.

die WAN Schnittstelle vtnet0 wird zu pppoe0, dabei entsteht auch das Gateway 62.155.242.47
Wo kommt die Adresse her?

Wenn das jetzt das "internet" gateway ist, dann sollte doch der LAN Anschluss mit diesem Gateway irgendwie verknüpft / geroutet werden oder nicht? nur wo und wie? weil LAN hat keine Verbindung zu pppoe... ggf. ist doch das das Problem

[Patrick M. Hausen]

Warum ist WAN vtnet0? Eine frische OPNsene hat immer LAN auf dem ersten Port. Die Adresse des Internet-Gateways kommt natürlich vom PPPoE und das ist alles gut und richtig so. Nichts weiter einzustellen. PPPoE bedeutet, der Provider liefert alles, was es an WAN zu konfigurieren gibt innerhalb des Protokolls.