simple198
Goto Top

Doppelte WAN-IP (OPNsense)

Guten Morgen und fast Mahlzeit liebes Forum (je nach dem wann man aufsteht ;) ),

nun endliche schaffe ich es auch mal mich hier anzumelden und hoffe meine Zeit lässt es zu, auch selbst anderen zu helfen.

Tatsächlich schlägt das Wetter bei mir völlig zu und so richtig will sich mir das nicht erklären...

Hintergrund
- Einfacher VDSL Anschluss (1und1, privat)
- IPv4 (kein DS-Lite, kein Dual-Stack)
- Proxmox-Host
- Dedizierte Netzwerkarte für die OPNsense (WAN und LAN)
- OPNsense als VM (ja lässt sich drüber streiten)
- TP-Link Archer VR200v im Bridge-Mode

Einstellungen in der OPNsense
2023-06-14 11_55_37-dashboard _ lobby _ opnsense.home.bnt.zone
Hier seht ihr das Dashboard meiner OPNsense.

2023-06-14 11_57_17-assignments _ interfaces _ opnsense.home.bnt.zone
Auf dem WAN Interface habe ich eine PPPOE Verbindung eingerichtet.


Problem/Wissenslücke
Welchen Hintergrund hat es, dass das WAN-Interface eine zusätzliche IP zur PPPOE Verbindung erhält?
Die IP auf der PPPOE ist laut Konfiguration das Gateway und letztlich meine öffentliche IP vom Provider.
Die IP des WAN-Interface ist auch eine "öffentliche" IP, aber passt weder zum Provider noch zu anderen Einstellungen. Die IP ist jedenfalls keine IP aus dem privaten Bereich (192, 10, 172, usw.).

Wahrscheinlich sehe ich die Antwort vor lauter Bäumen nicht, aber ich gehe mal nach dem Motto: "Dumme Fragen gibt es nicht, nur dumme Antworten!". :P

Sonnige Grüße ins WWW

Content-ID: 7521419031

Url: https://administrator.de/forum/doppelte-wan-ip-opnsense-7521419031.html

Ausgedruckt am: 21.12.2024 um 18:12 Uhr

aqui
aqui 14.06.2023 aktualisiert um 14:08:27 Uhr
Goto Top
Dumme Fragen gibt es nicht, nur dumme Antworten!
So ist es! Mal sehen ob es ohne Blamage abgeht...?! 😉
Auf einem PPPoE WAN Interface passieren 2 Dinge:

Prinzipbedingt gibt es also immer nur eine IP Adresse welche dann auch die öffentliche WAN bzw. Internet IP Adresse ist. Oben im Screenshot sieht man ja auch nur eine.
Technisch kann PPP aber weitere Adressen negotiaten. Einige ISP nutzen das heute manchmal noch wenn sie z.B. IP-TV Multicast aus einem getrennten Providernetz bedienen oder auch VoIP. Das mag die Ursache sein wenn du wirklich 2 WAN IPs haben solltest, was man oben leider nicht sehen kann. face-sad
https://www.techtarget.com/searchnetworking/definition/PPPoE
simple198
simple198 14.06.2023 um 15:34:01 Uhr
Goto Top
... soweit habe ich das verstanden! Danke für deine Klarstellung. face-smile

Ich habe definitiv nur eine öffentliche WAN-IP. Die sich die OPNsense eben also Gateway "holt".
Was du nicht ganz beantwortet hast oder eben nur indirekt, ob die IP-Adresse auf dem WAN Interface "normal" ist bzw. woher diese stammt.

Welche Bilder/Infos kann ich nachreichen um 100%ige Klarheit für mich zu schaffen?

Die OPNsense ist abgesehen vom DHCP, DNS und eben den zwei besagten Interfaces völlig im Standard eingerichtet.
aqui
aqui 14.06.2023 aktualisiert um 15:52:40 Uhr
Goto Top
Ich habe definitiv nur eine öffentliche WAN-IP.
Redest aber oben verwirrenderweise von 2 oder "zwei besagten Interfaces" ohne das man genau weiss welche du meinst. LAN und WAN?! 🤔
ob die IP-Adresse auf dem WAN Interface "normal" ist bzw. woher diese stammt.
Die Frage ist was du als "normal" bezeichnest? Per se ist ja erstmal jede IP Adresse "normal" und stammen tut sie ganz sicher wohl vom ISP wenn du hier vom WAN Port sprichst. Kommt allerdings auch darauf an WAS noch an weiterer Hardware (oder ggf. Software) am WAN Port hängt, wozu du leider keine Angaben machst. Was also genau meinst du mit der Frage??
Nur so viel:
Wenn du mit "normal" öffentliche v4 IPs meinst (geraten), sind das alle v4 IPs die nicht aus der RFC 1918 Range privater IP Adressen stammen oder Teil des RFC 6598, IANA-Reserved IPv4 Prefix für Shared Address Space sind. Diese werden häufig von DS-Lite / CGNAT Providern eingesetzt.
Der Rest ist mehr oder minder "normal". face-wink
simple198
simple198 14.06.2023 um 16:28:36 Uhr
Goto Top
Ok, hast recht, die Information habe ich im Erstbeitrag gegeben, aber versteckt. Hier nochmal deutlich:

TAE-Dose ---- TP-Link ---- OPNsense ---- LAN

- TP-Link ist eigentlich ein Router, aber im Bridge-Mode aktiv.
- Das Modem übernimmt das VLAN für den DSL-Anschluss.
- OPNsense hat letztlich zwei Interfaces (WAN und LAN). Beim WAN habe ich die PPPoE eingerichtet.
wan-pppoe
pppoe


Automatisch wurde ein Gateway erstellt und die beiden Interfaces sind aktiv, siehe hier:
dashboard
Die 1 im Bild ist meine öffentliche (vom Provider erhaltene) IP. Bei der 2 hingegen wird auch eine IP (nicht RFC 1918 Range, also "öffentlich"?) hinterlegt.

Da ich die IPs unkenntlich gemacht habe, hier einmal ähnliche IPs zur Verdeutlichung:
Gateway: 62.171.261.142 -> Vom Provider
WAN: 79.236.241.218 -> Woher und warum keine Ahnung.


Wäre der TP-Link für die Einwahl zuständig, so müsste ich auf dem WAN ja nur eine private IP vergeben oder eben den TP-Link der Sense eine per DHCP verpassen lassen. Dann wäre mir die IP auf dem WAN Interface klar.

Da ich aber kein Doppel-Nat installieren will, macht die Sense die Einwahl und der TP-Link dient nur als Modem.
support-m
Lösung support-m 14.06.2023 um 16:44:29 Uhr
Goto Top
Zitat von @simple198:
Automatisch wurde ein Gateway erstellt und die beiden Interfaces sind aktiv, siehe hier:
dashboard
Die 1 im Bild ist meine öffentliche (vom Provider erhaltene) IP. Bei der 2 hingegen wird auch eine IP (nicht RFC 1918 Range, also "öffentlich"?) hinterlegt.

Da ich die IPs unkenntlich gemacht habe, hier einmal ähnliche IPs zur Verdeutlichung:
Gateway: 62.171.261.142 -> Vom Provider
WAN: 79.236.241.218 -> Woher und warum keine Ahnung.

Hi,
kann es sein, dass du Gateway mit der IP deines Anschlusses verwechselst? Dein Gateway wird sicherlich nicht deine IP sein, das ergibt keinen Sinn.

Unter Gateways > Einzeln steht doch das Gateway deines Providers drin. Bei meiner OPNSense hinter einem Draytek Modem habe ich die 62.156.244.9.
Die feste IP meines Anschlusses finde ich z.B. unter Schnittstellen > Überblick > WAN_PPOE (so habe ich das Interface genannt) meine öffetliche IP.

Oder anders: Wie bei dir im Dashbboard wird mir bei [1] das Gateway angezeigt und bei [2] meine öffentliche IP. Was ist dir unklar?

MfG
aqui
Lösung aqui 14.06.2023 aktualisiert um 17:09:47 Uhr
Goto Top
Unklar war deine Beschreibung da du immer von "zwei" WAN Adressen geredet hast die es de facto aber gar nicht gibt. Ist durch deine Ausführungen oben aber ja nun geklärt! face-wink
Wäre der TP-Link für die Einwahl zuständig, so müsste ich auf dem WAN ja nur eine private IP vergeben
Das ist richtig! Oder die OPNsense zieht sich diese WAN IP per DHCP (DHCP Client Mode)
Das wäre dann das klassische Beispiel einer Router Kaskade mit doppeltem NAT und doppeltem Firewalling. face-wink
Dein Design der direkten PPPoE Terminierung auf der Firewall ist also das deutlich Bessere wie du richtigerweise auch schon selber sagst! 👍

Der Rest ist klassischer Standard...
  • vtnetx sind die physischen Interface Namen der Firewall die das FreeBSD Betriebssystem je nach Hardware vergibt. "LAN" und "WAN" entsprechende Aliases dafür. Achtung bei Proxmox!: Achte darauf das du den Interfaces den Typ VirtIO (paravirtualized) zuordnest und die CPU AES/NI Krypto Funktion an die Firewall VM durchreichst! Siehe dazu HIER. VirtIO sollte laut Doku auch Offloading supporten. Sollte es dennoch zu wirrem Verhalten im Durchsatz oder der NICs kommen, solltest du besser das Offloading im FW Setup deaktivieren.
hwoff
  • Der Rest ist klassisches PPPoE bzw. PPP Verhalten nach Bilderbuch
  • WAN IP Adresse kommt dynamisch per IPCP vom Provider
  • Ebenso die Gateway IP die auch per IPCP dynamisch vom Provider kommt (Siehe auch Kollege @support-m oben)
  • Zusätzlich solltest du im DNS Setup auch 1 vermutlich aber 2 DNS Server sehen die der Provider auch dynamisch per IPCP sendet
  • Fazit: Alles klassischer PPP Bilderbuch Standard und "Works as designed" 👍😉
simple198
simple198 14.06.2023 um 18:00:15 Uhr
Goto Top
Zitat von @support-m:

Oder anders: Wie bei dir im Dashbboard wird mir bei [1] das Gateway angezeigt und bei [2] meine öffentliche IP. Was ist dir unklar?

MfG

Das war der entscheidende Satz! face-smile Mich hat die Angabe so verrückt gemacht, dass ich das völlig durcheinander geworfen habe. Damit ist deine Aussage gleich das, was ich hier vorliegen habe.

"WAN" Interface hat die öffentliche IP und das Gateway ist eben Gateway und nichts anderes.

=> Danke!


Zitat von @aqui:

Dein Design der direkten PPPoE Terminierung auf der Firewall ist also das deutlich Bessere wie du richtigerweise auch schon selber sagst! 👍

Der Rest ist klassischer Standard...
  • vtnetx sind die physischen Interface Namen der Firewall die das FreeBSD Betriebssystem je nach Hardware vergibt. "LAN" und "WAN" entsprechende Aliases dafür. Achtung bei Proxmox!: Achte darauf das du den Interfaces den Typ VirtIO (paravirtualized) zuordnest und die CPU AES/NI Krypto Funktion an die Firewall VM durchreichst! Siehe dazu HIER. VirtIO sollte laut Doku auch Offloading supporten. Sollte es dennoch zu wirrem Verhalten im Durchsatz oder der NICs kommen, solltest du besser das Offloading im FW Setup deaktivieren.



Yes, doppeltes NAT finde ich irgendwie doof! ;)

Danke für deinen Tipp bezüglich der AES Funktion. Die hatte ich aus den Augen verloren. VirtIO (paravirtualized) war schon eingestellt. face-smile

Am liebsten wäre mir die OPNsense auf eine dedizierte Hardware zu packen, aber so lange ich nichts vernünftiges Gebrauchtes im Netz finde, muss das warten.


So, ich verschwinde jetzt mal besser wieder im Spielebecken und fange mal mit dem Grundkurs "Gateway" an. 🤣 
aqui
aqui 15.06.2023 um 11:49:58 Uhr
Goto Top
"WAN" Interface hat die öffentliche IP und das Gateway ist eben Gateway und nichts anderes.
Wie bei Millionen anderer Router und Firewalls auf der Welt auch! face-wink
aber so lange ich nichts vernünftiges Gebrauchtes im Netz finde, muss das warten.
Vielleicht etwas Neues??
https://www.amazon.de/Firewall-Appliance-Mikrotik-OPNsense-HUNSN-RS41-2- ...
und fange mal mit dem Grundkurs "Gateway" an.
Oder mit ein bisschen Lektüre zum Thema Routing?! face-wink
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router