Internet von WAN zu Fritzbox auf anderem NIC durchschleifen

[cottec]

Hallo in die Runde.

Ich versuche mich gerade an meinem ersten OPNsense Setup.
Bisher hab ich immer eine Fritz 7490 verwendet, davon habe ich sogar 2, weil ich irgendwann mal eine zweite geschenkt bekommen habe.

Jetzt würde ich gerne so lange mein Produktivsystem aufrechterhalten, bis die OPNsense stabil läuft und ich Stück für Stück die Komponenten umziehe. Dafür möchte ich jederzeit ein Fallback haben, sprich die Fritzbox soll solide parallel laufen.

Zu dem Zweck will ich ganz simpel alles was vom Modem kommt von WAN auf meinen vierten NIC an dem Protectli V1410 durchschleifen.
Die Fritzbox geht dann in den Router Modus und kriegt Internet über LAN 1. Dann vermute ich, kann ich relativ viel an der OPNsense spielen, ohne dass mein Internet auf dem Produktivsystem weg ist.

Irgendetwas mache ich aber scheinbar falsch...

Habe ein neues Interface "altefritz" eingerichet, das hat die IP 192.168.178.2, die Fritzbox hat die 192.168.178.1 manuell eingestellt.

Device ist igc3 (müsste ja der vierte port sein, igc0=LAN, igc1=WAN, igc2=frei)

Ich hab ne Firewall Regel für das Interface gemacht:
Action  Pass
Interface  altefritz
Source  192.168.178.0/24
Destination  any
Destination Port  any
Protocol  any
Description  "Erlaubt gesamten Verkehr von FritzBox"

Pings funktionieren in beide Richtungen leider nicht.
Die Fritz meldet in den Ereignissen: Fehlergrund: 2 (dhcpv4 no answer on discover)

Code Select Expand

o2 Internet                                                  
      :                                                       
      : PPPoE                                                 
      :                                                       
.-----+-----.                                                 
| Vigor 167 | Bridge, VLAN7                                   
'-----+-----'                                                 
      |                                                       
  WAN |                                                       
      |                                                       
.-----+------.OPT2            LAN1.------------.LAN2    .-----+-----.
|  OPNsense  +--------------------+-FritzboxAlt|--------+    PC     |
'-----+------'192.168.178.2       '------------'        '-----+-----'
      |                            192.168.178.1        192.168.178.3
  LAN | 192.168.100.1/24                                      
      |                                                       
.-----+------.                                                
|Fritzboxtest| 192.168.100.2                                  
'-----+------'                                                
      |                                                       
 Wifi | 192.168.100.3                                         
      |                                                       
.-----+------.                                                
|   Laptop   |                                                
'-----+------'                                                


[viragomann]

Hallo,

Zu dem Zweck will ich ganz simpel alles was vom Modem kommt von WAN auf meinen vierten NIC an dem Protectli V1410 durchschleifen.

wo sitzt der in deinem Netzwerk? Die Grafik gibt darüber keine Auskunft.

Device ist igc3 (müsste ja der vierte port sein, igc0=LAN, igc1=WAN, igc2=frei)

Das sollte überprüft, nicht angenommen, werden. Gesichert ist das nicht.
Die OPNsense gibt meines Wissens Auskunft, ob ein Interface belegt ist.

Welche Funktion hat Fritzboxtest im Netzwerk?

Beide FB haben an beiden belegten Interfaces dasselbe Subnetz. D.h. auf beiden müssten entsprechend Brücken eingerichtet sein. Ist das der Fall?
Und wofür? Um doppeltes NAT zu vermeiden?

[Patrick M. Hausen]

Beide FB haben an beiden belegten Interfaces dasselbe Subnetz.

Alle LAN-Interfaces und das WLAN (sofern nicht Gästenetz) sind bei einer Fritzbox ein Switch. Das ist schon ok mit demselben Netz. Ausnahmsweise ;-)

[cottec]

wo sitzt der in deinem Netzwerk? Die Grafik gibt darüber keine Auskunft.

sorry, OPNsense=Protectli V1410, OPT2 ist NIC #4

Welche Funktion hat Fritzboxtest im Netzwerk?

Fritzboxtest ist quasi AP Bereitsteller, so dass ich mit dem Laptop per Wifi an der OPNsense spielen kann, ohne dass mein Fritzbox alt davon großartig betroffen wäre.
FritzboxAlt ist mein aktuelles Netzwerk, nur dass ich eben das Internet nicht übers Modem der Box laufen lasse, sondern mir das von der OPNsense hole (das Vigor unterstützt leider kein Bridging, sonst wäre es ja noch leichter mit den zwei Ports, die es bereit stellt.

Beide FB haben an beiden belegten Interfaces dasselbe Subnetz.

ist das so?
Fritzbox alt läuft doch auf 192.168.178.0
und Fritzboxtest läfut auf 192.168.100.0

oder versteh ich das gerade nicht?

[viragomann]

st das so?
Fritzbox alt läuft doch auf 192.168.178.0
und Fritzboxtest läfut auf 192.168.100.0

oder versteh ich das gerade nicht?

Okay, das hatte ich falsch gesehen. Ich dachte du gehst durch die FB durch WAN - LAN. Die Aussage

Die Fritzbox geht dann in den Router Modus

ließ mich ebenso darauf schließen.

Aber du verwendest offenbar nur die LAN Anschlüsse und diese sind intern über einen Switch verbunden.
Da passt "Router" aber nicht.
Ich kenne die FB nicht, aber wenn da zwischen LAN1 - LAN2 lediglich ein Switch hängt, ist die die Box hier hat, ein paar Watt mehr zu verbraten.

Also kannst du gleich den PC direkt an den Protectli hängen.

Pings funktionieren in beide Richtungen leider nicht.
Die Fritz meldet in den Ereignissen: Fehlergrund: 2 (dhcpv4 no answer on discover)

Laut deiner Grafik hat sie doch eine IP. Ode zeigt die nur mal das Ziel.

Wenn du DHCP nutzen möchtest, musst du diesen in OPNsense erst aktivieren. Der ist für jedes Interface getrennt zu aktivieren.

Um sicherzugehen, dass du die Geräte ans richtige Interface angeschlossen hast, überprüfe in Interfaces: Overview, ob da ein grüner Stecker angezeigt wird.

[cottec]

Aber du verwendest offenbar nur die LAN Anschlüsse und diese sind intern über einen Switch verbunden.
Da passt "Router" aber nicht.
Ich kenne die FB nicht, aber wenn da zwischen LAN1 - LAN2 lediglich ein Switch hängt, ist die die Box hier hat, ein paar Watt mehr zu verbraten.

wenn man die Fritzbox in den Router Modus schickt, dann erwartet sie Uplink über LAN1.
An LAN 2 hängt ein PC, an 3 ein Unraid Server, an 4 ein Gast LAN.
Außerdem übernimmt die Fritz VoIP und DECT Smarthome +  Wifi + Guest Wifi
Sorry, das hätte ich vielleicht dazu erwähnen wollen, dann macht das Ziel des Unterfangens wohl mehr Sinn.

Laut deiner Grafik hat sie doch eine IP. Ode zeigt die nur mal das Ziel.

Wenn du DHCP nutzen möchtest, musst du diesen in OPNsense erst aktivieren. Der ist für jedes Interface getrennt zu aktivieren.

Um sicherzugehen, dass du die Geräte ans richtige Interface angeschlossen hast, überprüfe in Interfaces: Overview, ob da ein grüner Stecker angezeigt wird.

Die IP habe ich in der Fritz manuell gesetzt, ich brauche kein DHCP, damit die Fritz eine IP im Netzwerk kriegt, oder?

Und ja, der Stecker ist grün, passt

edit:

Beide FB haben an beiden belegten Interfaces dasselbe Subnetz

ah sorry, ich glaube ich versteh jetzt was du meinst.
die FritzboxTest ist nur noch Client im LAN.
Und die Fritzbox bietet mir dann auch nur noch eine Art Switching übers Wifi, ich glaube ich kann da gar nicht steuern, ob ich da noch einmal ein neues Subnet haben will oder nicht.

edit 2: Jetzt habe ich mal DHCP für Altefritz angemacht. jetzt kriegt die Fritzbox ne grüne Lampe bei verbunden über WAN und sagt Fritzbox benutzt eine direkte IP Verbindung zu einem Internetdienstanbietr IPv4 Adresse 192.168.178.10

Das DHCP gibt ihr die 10 ich erreiche sie vom angeschlossenen client aber immer noch über die .1
Das verstehe ich noch nicht...

NAT sieht übrigens so aus
Interface:WAN
source altefritz net
translation target altefritz adress

edit 3:
Ach man und beim Schreiben seh ich den Fehler, source vertauscht mit interface/translation target ...
Funktioniert jetzt natürlich, oh man

Jetzt komme ich auch von den Clients aus dem altefritz Netz auf meine OPNsense 192.168.100.1. Ist das richtig so oder sollte das unterbunden werden?
Es kann ja auch jedes Gastgerät von der Fritzbox daran kommen, richtig?
Was tu ich hier?

[cottec]

So, nachdem das ja jetzt fast so klappt wie erhofft...

Ich habe scheinbar noch ein kleines DNS Problem.

Ich komme mit folgenden Konfigurationen ins Internet:
Client an LAN Anschlüssen 2&3 der FritzAlt
Clients an LAN4 der Fritzalt (Guest LAN)
Clients im Guest Wifi der FritzAlt
Clients im normalen Wifi per VPN zu bspw. Arbeitsgeber
Clients im normalen Wifi per Whatsapp
Notebook im normalen Wifi funktioniert

Was nicht klappt:
Smartphones im normalen Wifi "ohne alles"´, also quasi einfach Webseiten


Das Subnet aller Clients an LAN 2 und 3 der Fritzbox ist das gleiche wie die Fritzbox
Das Subnet des normalen Wifi ist das gleiche.
Das Subnet von Guest LAN und Guest Wifi ist ein anderes Subnet (nicht beeinflussbar)


Die Smartphones kommen auf OPNsense, kommen auf die Fritzbox etc, aber sie kriegen kein  Internet über Webseiten/Apps.


HILFEEEE

[viragomann]

Jetzt komme ich auch von den Clients aus dem altefritz Netz auf meine OPNsense 192.168.100.1. Ist das richtig so oder sollte das unterbunden werden?

Wenn deine Regeln am altefritz es erlauben, kommen die Geräte auf alle IPs der OPNsense.
Unterbinden kannst du es mit einer Block-Regel am Interface mit Ziel "This Firewall" und Zielport der WebGUI. Oder besser alle Ports blockieren und darüber eine stellen, die das Nötige erlaubt, bspw. Port 53 TCP/UDP für DNS.

Die Smartphones kommen auf OPNsense, kommen auf die Fritzbox etc, aber sie kriegen kein  Internet über Webseiten/Apps.

Dass das höchstwahrscheinlich ein DNS Problem ist, hast du ja schon erkannt. Das Wifi an sich funktioniert ja.

Dann kläre mal, welches DNS die Smartphones nutzen. Möglicherweise externe Server, mglw. DNS over HTTPS oder over TLS, die sie nicht erreichen.

Wenn nicht gewünscht, kannst du DoH mit bestimmten Listen blockieren, DoT mit einfacher Block-Regel von Port 853 und normales DNS auf deinen internen Server umleiten. Das stellt normalerweise OPNsense mittels Unbound bereit.

OPNsense erstellt, glaube ich, automatisch in Interface-Gruppe "Internal" in Firewall, oder man erstellt sie selbst.
Auf dieser Gruppe kannst du für DNS eine Port Forwarding Regel einrichten, die alles auf Unbound umleitet.
Sieht bei mir so aus, wie im Anhang. Für NTP mache ich dasselbe.

[cottec]

Wenn deine Regeln am altefritz es erlauben, kommen die Geräte auf alle IPs der OPNsense.
Unterbinden kannst du es mit einer Block-Regel am Interface mit Ziel "This Firewall" und Zielport der WebGUI. Oder besser alle Ports blockieren und darüber eine stellen, die das Nötige erlaubt, bspw. Port 53 TCP/UDP für DNS.

Ich muss gleich mal testen, ob die Gast Clients auch auf die OPNsense kommen. Wenn nicht, dann ist es auch okay.
edit: kommen sie nicht, dann passt es ja, dass ich von vertrauenswürdigen geräten auf die OPNsense komme um daran zu spielen.
Ich hatte befürchtet, dass ich Tür und Tor aufmache, für alles was noch im Gastnetz der alten Fritz rumgeistert, aber klar, die haben ein eigenes Subnet und das ist ja nach wie vor nicht freigegeben. Ein Wunder, dass die Internet haben, bei meinen beschränkten Fähigkeiten :D

Dann kläre mal, welches DNS die Smartphones nutzen. Möglicherweise externe Server, mglw. DNS over HTTPS oder over TLS, die sie nicht erreichen.

Die kriegen ja das Wifi von der Fritzbox(Alt), (an der ein Notebook im gleichen Wifi Netz funktioniert), wie kann denn da noch ein anderen DNS Server dazwischen funken?


Ich bin noch überhaupt nicht fit in DNS. Das einzige was hier läuft ist Unbound und AdGuard Home auf der OPNsense. Beides quasi in Standardeinstellungen.
Wenn ich die deaktiviere geht gar nichts mehr mit Internet. Aber das liegt ja daran, dass ich dann gar keinen DNS Server mehr eingetragen habe, richtig?

Ich habe an der FritzboxTest im Testsystem übrigens Internet auch auf Smartphones.
Das Problem ist also vermutlich nicht global auf der OPNsense zu suchen, sondern irgendwo in dem Interface FritzAlt und der Fritzbox(Alt) daran. In dieser Box habe ich aber außer DNS Server auf die Interface Adresse 192.168.178.2 zu setzen keine großartigen Möglichkeiten.


Sorry, ich hab echt wenig Ahnung davon und probiere mich gerade aus.
Ich halte mir das ja gerade offen, jederzeit die Fritzbox wieder auf eigene PPPoE Einwahl zurück zu stellen und das Kabel wieder in die Telefondose zu stecken.
Wollte nur dieses Umstecken vermeiden, weil das Modem ewig braucht zum Wiederverbinden.

[viragomann]

Die kriegen ja das Wifi von der Fritzbox(Alt), (an der ein Notebook im gleichen Wifi Netz funktioniert), wie kann denn da noch ein anderen DNS Server dazwischen funken?

Den vom DHCP Server vorgegebenen DNS Server zu verwenden, obliegt dem Gerät selbst bzw. dessen Admin.
Smartphones verwenden gerne die DNS Server ihrer Hersteller, wenn das nicht unterbunden wird. Die wollen ja schließlich auch wissen, was die Leute mit ihren Smartphones machen.

Ich bin noch überhaupt nicht fit in DNS. Das einzige was hier läuft ist Unbound und AdGuard Home auf der OPNsense. Beides quasi in Standardeinstellungen.
Wenn ich die deaktiviere geht gar nichts mehr mit Internet. Aber das liegt ja daran, dass ich dann gar keinen DNS Server mehr eingetragen habe, richtig?

Naja, wenn der DHCP die OPNsense Interface IP als DNS ausgibt, sollte auf dieser auch eine DNS Server die Anfragen beantworten, sonst geht nichts.

Aber Unbound und AdGuard sollten ja nicht das Problem sein, wenn es auf anderen Geräten läuft.

Ich habe an der FritzboxTest im Testsystem übrigens Internet auch auf Smartphones.

Interessant. Ist auf diesem Interface auch Adguard aktiviert?

[cottec]

Den vom DHCP Server vorgegebenen DNS Server zu verwenden, obliegt dem Gerät selbst bzw. dessen Admin.
Smartphones verwenden gerne die DNS Server ihrer Hersteller, wenn das nicht unterbunden wird. Die wollen ja schließlich auch wissen, was die Leute mit ihren Smartphones machen.

Interessant. Ist auf diesem Interface auch Adguard aktiviert?

Ja, auf allen.

Und damit ist Frage 1 beantwortet, dass das quasi ausgeschlossen ist.

Irgendwas muss das Wifi aus FritzAlt noch anders machen,hmmm