8
Doppelte WAN-IP (OPNsense)
Guten Morgen und fast Mahlzeit liebes Forum (je nach dem wann man aufsteht ;) ),
nun endliche schaffe ich es auch mal mich hier anzumelden und hoffe meine Zeit lässt es zu, auch selbst anderen zu helfen.
Tatsächlich schlägt das Wetter bei mir völlig zu und so richtig will sich mir das nicht erklären...
Hintergrund
- Einfacher VDSL Anschluss (1und1, privat)
- IPv4 (kein DS-Lite, kein Dual-Stack)
- Proxmox-Host
- Dedizierte Netzwerkarte für die OPNsense (WAN und LAN)
- OPNsense als VM (ja lässt sich drüber streiten)
- TP-Link Archer VR200v im Bridge-Mode
Einstellungen in der OPNsense
Hier seht ihr das Dashboard meiner OPNsense.
Auf dem WAN Interface habe ich eine PPPOE Verbindung eingerichtet.
Problem/Wissenslücke
Welchen Hintergrund hat es, dass das WAN-Interface eine zusätzliche IP zur PPPOE Verbindung erhält?
Die IP auf der PPPOE ist laut Konfiguration das Gateway und letztlich meine öffentliche IP vom Provider.
Die IP des WAN-Interface ist auch eine "öffentliche" IP, aber passt weder zum Provider noch zu anderen Einstellungen. Die IP ist jedenfalls keine IP aus dem privaten Bereich (192, 10, 172, usw.).
Wahrscheinlich sehe ich die Antwort vor lauter Bäumen nicht, aber ich gehe mal nach dem Motto: "Dumme Fragen gibt es nicht, nur dumme Antworten!". :P
Sonnige Grüße ins WWW
nun endliche schaffe ich es auch mal mich hier anzumelden und hoffe meine Zeit lässt es zu, auch selbst anderen zu helfen.
Tatsächlich schlägt das Wetter bei mir völlig zu und so richtig will sich mir das nicht erklären...
Hintergrund
- Einfacher VDSL Anschluss (1und1, privat)
- IPv4 (kein DS-Lite, kein Dual-Stack)
- Proxmox-Host
- Dedizierte Netzwerkarte für die OPNsense (WAN und LAN)
- OPNsense als VM (ja lässt sich drüber streiten)
- TP-Link Archer VR200v im Bridge-Mode
Einstellungen in der OPNsense
Problem/Wissenslücke
Welchen Hintergrund hat es, dass das WAN-Interface eine zusätzliche IP zur PPPOE Verbindung erhält?
Die IP auf der PPPOE ist laut Konfiguration das Gateway und letztlich meine öffentliche IP vom Provider.
Die IP des WAN-Interface ist auch eine "öffentliche" IP, aber passt weder zum Provider noch zu anderen Einstellungen. Die IP ist jedenfalls keine IP aus dem privaten Bereich (192, 10, 172, usw.).
Wahrscheinlich sehe ich die Antwort vor lauter Bäumen nicht, aber ich gehe mal nach dem Motto: "Dumme Fragen gibt es nicht, nur dumme Antworten!". :P
Sonnige Grüße ins WWW
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7521419031
Url: https://administrator.de/contentid/7521419031
Printed on: May 6, 2024 at 20:05 o'clock
8 Comments
Latest comment
Dumme Fragen gibt es nicht, nur dumme Antworten!
So ist es! Mal sehen ob es ohne Blamage abgeht...?! 😉Auf einem PPPoE WAN Interface passieren 2 Dinge:
- Aufbau eine PPPoE Verbindung (PADI/PADO) über ein Bridging Modem und Etablierung einer PPPoE Session (PADR/PADS). PPPoE ist rein Layer 2 und basiert nur auf Mac Adressen. https://de.wikipedia.org/wiki/PPP_over_Ethernet
- Auf der bestehenden PPPoE Session wird dann eine PPP Session aufgebaut. LCP und IPCP handeln dann die IP Adresse, Gateway und DNS Server aus. Wie der Name schon sagt ist PPP Point to Point und damit haben alle Adressen einen /32er Prefix wie du in deiner Interface Ansicht oben sicher auch siehst. https://de.wikipedia.org/wiki/Point-to-Point_Protocol#LCP_–_Link_C ...
Prinzipbedingt gibt es also immer nur eine IP Adresse welche dann auch die öffentliche WAN bzw. Internet IP Adresse ist. Oben im Screenshot sieht man ja auch nur eine.
Technisch kann PPP aber weitere Adressen negotiaten. Einige ISP nutzen das heute manchmal noch wenn sie z.B. IP-TV Multicast aus einem getrennten Providernetz bedienen oder auch VoIP. Das mag die Ursache sein wenn du wirklich 2 WAN IPs haben solltest, was man oben leider nicht sehen kann.
https://www.techtarget.com/searchnetworking/definition/PPPoE
... soweit habe ich das verstanden! Danke für deine Klarstellung. 
Ich habe definitiv nur eine öffentliche WAN-IP. Die sich die OPNsense eben also Gateway "holt".
Was du nicht ganz beantwortet hast oder eben nur indirekt, ob die IP-Adresse auf dem WAN Interface "normal" ist bzw. woher diese stammt.
Welche Bilder/Infos kann ich nachreichen um 100%ige Klarheit für mich zu schaffen?
Die OPNsense ist abgesehen vom DHCP, DNS und eben den zwei besagten Interfaces völlig im Standard eingerichtet.
Ich habe definitiv nur eine öffentliche WAN-IP. Die sich die OPNsense eben also Gateway "holt".
Was du nicht ganz beantwortet hast oder eben nur indirekt, ob die IP-Adresse auf dem WAN Interface "normal" ist bzw. woher diese stammt.
Welche Bilder/Infos kann ich nachreichen um 100%ige Klarheit für mich zu schaffen?
Die OPNsense ist abgesehen vom DHCP, DNS und eben den zwei besagten Interfaces völlig im Standard eingerichtet.
Ich habe definitiv nur eine öffentliche WAN-IP.
Redest aber oben verwirrenderweise von 2 oder "zwei besagten Interfaces" ohne das man genau weiss welche du meinst. LAN und WAN?! 🤔ob die IP-Adresse auf dem WAN Interface "normal" ist bzw. woher diese stammt.
Die Frage ist was du als "normal" bezeichnest? Per se ist ja erstmal jede IP Adresse "normal" und stammen tut sie ganz sicher wohl vom ISP wenn du hier vom WAN Port sprichst. Kommt allerdings auch darauf an WAS noch an weiterer Hardware (oder ggf. Software) am WAN Port hängt, wozu du leider keine Angaben machst. Was also genau meinst du mit der Frage??Nur so viel:
Wenn du mit "normal" öffentliche v4 IPs meinst (geraten), sind das alle v4 IPs die nicht aus der RFC 1918 Range privater IP Adressen stammen oder Teil des RFC 6598, IANA-Reserved IPv4 Prefix für Shared Address Space sind. Diese werden häufig von DS-Lite / CGNAT Providern eingesetzt.
Der Rest ist mehr oder minder "normal".
Ok, hast recht, die Information habe ich im Erstbeitrag gegeben, aber versteckt. Hier nochmal deutlich:
TAE-Dose ---- TP-Link ---- OPNsense ---- LAN
- TP-Link ist eigentlich ein Router, aber im Bridge-Mode aktiv.
- Das Modem übernimmt das VLAN für den DSL-Anschluss.
- OPNsense hat letztlich zwei Interfaces (WAN und LAN). Beim WAN habe ich die PPPoE eingerichtet.
Automatisch wurde ein Gateway erstellt und die beiden Interfaces sind aktiv, siehe hier:
Die 1 im Bild ist meine öffentliche (vom Provider erhaltene) IP. Bei der 2 hingegen wird auch eine IP (nicht RFC 1918 Range, also "öffentlich"?) hinterlegt.
Da ich die IPs unkenntlich gemacht habe, hier einmal ähnliche IPs zur Verdeutlichung:
Gateway: 62.171.261.142 -> Vom Provider
WAN: 79.236.241.218 -> Woher und warum keine Ahnung.
Wäre der TP-Link für die Einwahl zuständig, so müsste ich auf dem WAN ja nur eine private IP vergeben oder eben den TP-Link der Sense eine per DHCP verpassen lassen. Dann wäre mir die IP auf dem WAN Interface klar.
Da ich aber kein Doppel-Nat installieren will, macht die Sense die Einwahl und der TP-Link dient nur als Modem.
TAE-Dose ---- TP-Link ---- OPNsense ---- LAN
- TP-Link ist eigentlich ein Router, aber im Bridge-Mode aktiv.
- Das Modem übernimmt das VLAN für den DSL-Anschluss.
- OPNsense hat letztlich zwei Interfaces (WAN und LAN). Beim WAN habe ich die PPPoE eingerichtet.
Automatisch wurde ein Gateway erstellt und die beiden Interfaces sind aktiv, siehe hier:
Da ich die IPs unkenntlich gemacht habe, hier einmal ähnliche IPs zur Verdeutlichung:
Gateway: 62.171.261.142 -> Vom Provider
WAN: 79.236.241.218 -> Woher und warum keine Ahnung.
Wäre der TP-Link für die Einwahl zuständig, so müsste ich auf dem WAN ja nur eine private IP vergeben oder eben den TP-Link der Sense eine per DHCP verpassen lassen. Dann wäre mir die IP auf dem WAN Interface klar.
Da ich aber kein Doppel-Nat installieren will, macht die Sense die Einwahl und der TP-Link dient nur als Modem.
Zitat von @simple198:
Automatisch wurde ein Gateway erstellt und die beiden Interfaces sind aktiv, siehe hier:
Die 1 im Bild ist meine öffentliche (vom Provider erhaltene) IP. Bei der 2 hingegen wird auch eine IP (nicht RFC 1918 Range, also "öffentlich"?) hinterlegt.
Da ich die IPs unkenntlich gemacht habe, hier einmal ähnliche IPs zur Verdeutlichung:
Gateway: 62.171.261.142 -> Vom Provider
WAN: 79.236.241.218 -> Woher und warum keine Ahnung.
Automatisch wurde ein Gateway erstellt und die beiden Interfaces sind aktiv, siehe hier:
Da ich die IPs unkenntlich gemacht habe, hier einmal ähnliche IPs zur Verdeutlichung:
Gateway: 62.171.261.142 -> Vom Provider
WAN: 79.236.241.218 -> Woher und warum keine Ahnung.
Hi,
kann es sein, dass du Gateway mit der IP deines Anschlusses verwechselst? Dein Gateway wird sicherlich nicht deine IP sein, das ergibt keinen Sinn.
Unter Gateways > Einzeln steht doch das Gateway deines Providers drin. Bei meiner OPNSense hinter einem Draytek Modem habe ich die 62.156.244.9.
Die feste IP meines Anschlusses finde ich z.B. unter Schnittstellen > Überblick > WAN_PPOE (so habe ich das Interface genannt) meine öffetliche IP.
Oder anders: Wie bei dir im Dashbboard wird mir bei [1] das Gateway angezeigt und bei [2] meine öffentliche IP. Was ist dir unklar?
MfG
Unklar war deine Beschreibung da du immer von "zwei" WAN Adressen geredet hast die es de facto aber gar nicht gibt. Ist durch deine Ausführungen oben aber ja nun geklärt!
Das wäre dann das klassische Beispiel einer Router Kaskade mit doppeltem NAT und doppeltem Firewalling.
Dein Design der direkten PPPoE Terminierung auf der Firewall ist also das deutlich Bessere wie du richtigerweise auch schon selber sagst! 👍
Der Rest ist klassischer Standard...
Wäre der TP-Link für die Einwahl zuständig, so müsste ich auf dem WAN ja nur eine private IP vergeben
Das ist richtig! Oder die OPNsense zieht sich diese WAN IP per DHCP (DHCP Client Mode)Das wäre dann das klassische Beispiel einer Router Kaskade mit doppeltem NAT und doppeltem Firewalling.
Dein Design der direkten PPPoE Terminierung auf der Firewall ist also das deutlich Bessere wie du richtigerweise auch schon selber sagst! 👍
Der Rest ist klassischer Standard...
- vtnetx sind die physischen Interface Namen der Firewall die das FreeBSD Betriebssystem je nach Hardware vergibt. "LAN" und "WAN" entsprechende Aliases dafür. Achtung bei Proxmox!: Achte darauf das du den Interfaces den Typ VirtIO (paravirtualized) zuordnest und die CPU AES/NI Krypto Funktion an die Firewall VM durchreichst! Siehe dazu HIER. VirtIO sollte laut Doku auch Offloading supporten. Sollte es dennoch zu wirrem Verhalten im Durchsatz oder der NICs kommen, solltest du besser das Offloading im FW Setup deaktivieren.
- Der Rest ist klassisches PPPoE bzw. PPP Verhalten nach Bilderbuch
- WAN IP Adresse kommt dynamisch per IPCP vom Provider
- Ebenso die Gateway IP die auch per IPCP dynamisch vom Provider kommt (Siehe auch Kollege @support-m oben)
- Zusätzlich solltest du im DNS Setup auch 1 vermutlich aber 2 DNS Server sehen die der Provider auch dynamisch per IPCP sendet
- Fazit: Alles klassischer PPP Bilderbuch Standard und "Works as designed" 👍😉
Zitat von @support-m:
Oder anders: Wie bei dir im Dashbboard wird mir bei [1] das Gateway angezeigt und bei [2] meine öffentliche IP. Was ist dir unklar?
MfG
Oder anders: Wie bei dir im Dashbboard wird mir bei [1] das Gateway angezeigt und bei [2] meine öffentliche IP. Was ist dir unklar?
MfG
Das war der entscheidende Satz!
Mich hat die Angabe so verrückt gemacht, dass ich das völlig durcheinander geworfen habe. Damit ist deine Aussage gleich das, was ich hier vorliegen habe."WAN" Interface hat die öffentliche IP und das Gateway ist eben Gateway und nichts anderes.
=> Danke!
Zitat von @aqui:
Dein Design der direkten PPPoE Terminierung auf der Firewall ist also das deutlich Bessere wie du richtigerweise auch schon selber sagst! 👍
Der Rest ist klassischer Standard...
Dein Design der direkten PPPoE Terminierung auf der Firewall ist also das deutlich Bessere wie du richtigerweise auch schon selber sagst! 👍
Der Rest ist klassischer Standard...
- vtnetx sind die physischen Interface Namen der Firewall die das FreeBSD Betriebssystem je nach Hardware vergibt. "LAN" und "WAN" entsprechende Aliases dafür. Achtung bei Proxmox!: Achte darauf das du den Interfaces den Typ VirtIO (paravirtualized) zuordnest und die CPU AES/NI Krypto Funktion an die Firewall VM durchreichst! Siehe dazu HIER. VirtIO sollte laut Doku auch Offloading supporten. Sollte es dennoch zu wirrem Verhalten im Durchsatz oder der NICs kommen, solltest du besser das Offloading im FW Setup deaktivieren.
Yes, doppeltes NAT finde ich irgendwie doof! ;)
Danke für deinen Tipp bezüglich der AES Funktion. Die hatte ich aus den Augen verloren. VirtIO (paravirtualized) war schon eingestellt.
Am liebsten wäre mir die OPNsense auf eine dedizierte Hardware zu packen, aber so lange ich nichts vernünftiges Gebrauchtes im Netz finde, muss das warten.
So, ich verschwinde jetzt mal besser wieder im Spielebecken und fange mal mit dem Grundkurs "Gateway" an. 🤣
1"WAN" Interface hat die öffentliche IP und das Gateway ist eben Gateway und nichts anderes.
Wie bei Millionen anderer Router und Firewalls auf der Welt auch! aber so lange ich nichts vernünftiges Gebrauchtes im Netz finde, muss das warten.
Vielleicht etwas Neues??https://www.amazon.de/Firewall-Appliance-Mikrotik-OPNsense-HUNSN-RS41-2- ...
und fange mal mit dem Grundkurs "Gateway" an.
Oder mit ein bisschen Lektüre zum Thema Routing?! Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
