Nieuwe Setup. Wel DHCP (ISP) maar geeni nternet

[Dragao75]

Beste Allen,

Ik ben nu al een complete dag kwijt aan het aan de praat krijgen van OPNsense.
Het is vast iets onbenulligs maar ik kom er maar niet uit.

in het globaal mijn setup:
Ik draai proxmox en daarom de opnsense VM
de vm heeft 2 bridged netwerken.
1 voor LAN verkeer en 1 voor WAN
Ik heb een mgmt vlan (tagged) en een lan vlan (tagged) (beide lan verkeer)
Op de WAN interface in opnsense krijg ik netjes DHCP adres van ISP (Ziggo)
echter kan ik niets op internet pingen. niet de gw van Ziggo ook niet cloudflare dns (1.1.1.1)

Firewall rules staan zo open als maar kan.. (al betwijfel ik of er uberhaupt een firewall tussen zit als ik vanaf de wan interface de gateway van Ziggo ping)

lokaal kan ik prima andere devices pingen

Het kan toch niet zo moeilijk zijn? (ben juist van PFsense afgestapt :P )

WAN is directly connected aan Ziggo Modem (die in Bridge staat)
LAN zit op switch met tagged poorten

in een packet captuer zie ik wel het icmp verkeep uitgaan maar geen antwoorden. (lijkt mij dus firewall)

wie stuurt mij de goede richting in..

Als er specifieke info nodig is vraag gerust.

[sakbari]

Hier is een duidelijke richting waar je moet zoeken — jouw laatste zin *"heb geen firewall actief op je proxmox server / het zou kunnen zijn dat proxmox firewall alles tegenhoudt"* is **heel waarschijnlijk correct**.

Onderstaande punten lopen precies door *waar* het misgaat bij OPNsense-in-Proxmox setups zoals jij beschrijft.

---

# ✅ Waar het waarschijnlijk misgaat

## **1. Proxmox firewall blokkeert je WAN-bridge**

Dit is **veruit de meest voorkomende oorzaak**:
Zelfs als je denkt dat de Proxmox firewall "uit staat", kan deze nog geactiveerd zijn op:

* **Datacenter level**
* **Node level**
* **VM level**
* **Bridge level (vmbrX)**

➡️ Als *één* van die vier firewalls actief is, blokkeert Proxmox standaard **alle inkomende en uitgaande traffic** behalve wat expliciet is toegestaan.
Dit zorgt ervoor dat jouw WAN-interface wel een DHCP-IP krijgt, maar **geen ICMP/everything else** kan ontvangen.

### ✔ Controleer dit:

Ga in Proxmox GUI naar:

### **Datacenter → Firewall → Options → Firewall**

➡️ **Uit** zetten.

### **Node (pve) → Firewall → Options → Firewall**

➡️ **Uit** zetten.

### **Dat VM → Firewall → Options → Firewall**

➡️ **Uit** zetten.

### **Check ook de bridges:**

In `/etc/network/interfaces` zie je soms regels als:

```
bridge-firewall on
```

➡️ Maak die **off**

```
bridge-firewall off
```

Herstart networking:

```
systemctl restart networking
```

---

# ✅ 2. WAN interface heeft geen promiscuous mode / MAC filtering

Sommige Ziggo modems in bridge mode accepteren maar **1 MAC-adres**.
Proxmox moet dan **promiscuous mode** toestaan.

Ga in Proxmox → jouw VM → Hardware → Network Device.

Stel in:

* **Model:** VirtIO (of e1000 voor test)
* **Bridge:** vmbrX (WAN)
* **VLAN Tag:** (NIET invullen, WAN moet "untagged")
* **Firewall:** uit
* **MAC filter / learning:** op **all=1**

En op vmbrX zelf (in `/etc/network/interfaces`):

```
bridge-ports enpXsY
bridge-stp off
bridge-fd 0
bridge-maxwait 0
bridge-learning off
bridge-arp-nd-suppress off
```

---

# ✅ 3. Double-check Ziggo modem behavior

Ziggo in bridge mode geeft **exact 1 WAN-IP** uit via DHCP.
Als je OPNsense herstart terwijl de VM-MAC verandert → Ziggo weigert verkeer tot de modem wordt gereboot.

➡️ **Dus: reboot Ziggo modem** nadat je OPNsense VM gereconfigureerd hebt.

---

# ✅ 4. OPNsense firewall zelf

Je zei dat hij "zo open is als maar kan" — maar voor WAN werkt dat niet zo:

* Een *outbound* ping vanaf de WAN interface hoort te werken zonder extra rules
* Een ping **naar** het WAN IP werkt niet tenzij je dat expliciet toestaat

Maar jouw probleem is:

> ICMP gaat eruit, maar er komt GEEN reply terug
> → 99% zeker **Proxmox firewall of MAC filtering / bridge config**.

---

# 🧪 Test of dit het probleem is

In Proxmox shell:

```
iptables -L -n
iptables -t filter -L -n
```

Als je tabellen ziet met REJECT of DROP op vmbrX → firewall actief.

Ook:

```
cat /proc/net/bridge/bridge-nf-call-iptables
cat /proc/net/bridge/bridge-nf-call-ip6tables
```

Als deze **1** zijn → brug loopt door firewall → moet **0** zijn.

---