OPNsense: keine Internetverbindung trotz zugewiesener öffentlicher IP
Hallo, zusammen!
Vor meiner Problemschilderung möchte ich diesem Forum und den teilnehmenden Foristen meinen Dank für die Fülle an Informationen, die Art und Weise ihrer Vermittlung und vor allem für die konstruktive Anleitung und Problemlösung. Für mein Projekt habe ich bis hierher durch Suchen/Finden und Lesen schon einiges an Hintergrundinformationen bekommen können. Gerade als nur technikaffiner Laie fühle ich mich hier gut aufgehoben.
Nachdem ich nun hoffentlich ausreichend Respekt bezeugt habe
hier nun mein Problem:
Ziel
Da mein Speedport W723V vom Rosa Riesen seit längerem nicht mehr mit neuer Firmware versorgt wird und ich aus Sicherheitsgründen Unterhaltungsgeräte (Android-Devices und IP-TV) von Produktivgeräten (bestimmte PC, NAS) trennen sowie Internetnutzung regulieren möchte, habe ich vor, basierend auf der Anleitung von aqui
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
- zwei Netze aufzubauen (ein Produktivnetz "LAN" für Büro-Anwendungen und Telefonie mit einem Gigaset S850A-Go; ein Unterhaltungsnetz mit WLAN und IP-TV)
- beide Netze mittels VLAN über eine Leitung (möchte ich aus Aufwandsgründen nicht ändern, Wände aufkloppen und so) zum - Internetanschluß zu bringen,
- einen echten Router mit Firewall zu betreiben und mich aus der Zwangsroutersituation zu befreien.
- später noch mit traffic-shaping am WAN-Anschluß eine bestimmte Übertragungsrate für Telefonie zu reservieren (max. 600 kbit/s) und den restlichen Verkehr zu priorisieren
Die o.a. Anleitung zeigt dieses klassische Design auf. Folgenden Aufbau habe ich umgesetzt:
Aufbau
VDSL-Anschluß Telekom Magenta M (VDSL25)
Allnet_ALL-BM200VDSL2V im Bridge-Modus als Nur-Modem mit VLAN-Tag 7
APU-Board mit OPNsense
Netgear_GS108Ev3 konfiguriert mit VLAN-Tagging (der ganze Aufbau bis hierher ist im Keller; da mein Leben aber nicht im Keller sondern im EG stattfindet, muß alles über eine Leitung ins WZ)
Netgear_GS108Ev3 konfiguriert mit VLAN-Tagging (Gegenstück zum obigen Switch)
Umsetzungsstand
Zunächst habe ich in der OPNsense die Interfaces zugewiesen, Netze definiert, Standardgateways bestimmt und für LAN-Interfaces den DHCPv4-Server aktiviert sowie pro Netz/Interface MAC-basierte Gerätelisten erstellt:
igb0, LAN, Zweck Büro/produktiv, 172.16.1.0/25, Gateway 172.16.1.1, Firewallregeln angelegt
igb1, LAN2, Zweck Unterhaltung, 192.168.1.0/24, Gateway 192.168.1.1, Firewallregeln angelegt
Switches mit VLAN-Tagging konfiguriert
Getestet habe ich zunächst erstmal die LAN-Seite über beide Netgear-Switches für beide Netze wie folgt:
- Anschluß von Client-PCs an verschiedenen als Endgeräteports untagged definierten Switch-Ports,
- IP-Adressbezug: funktioniert,
- ping des jw. Gateways vom Client: funktioniert,
- ping zwischen zwei Clients im selben Netz: funktioniert,
- Aufruf des web-Interface der OPNsense vom Client in beiden Netzen: funktioniert,
- selbe Schritte via WLAN-Anbindung im LAN2 (Unterhaltung): funktioniert.
Problem
Dann sollte der Anschluß der Internetverbindung über den WAN-Port erfolgen.
Nach Konfiguration des Allnet-Modems als Nur-Modem mit VLAN-Tag7 und Konfiguration des WAN-Anschluß der OPNsense im pppoe-Modus (aufgrund des bereits im Allnet vorgenommen Taggings ist am WAN-Anschluß kein VLAN-Tag 7 gesetzt) bekomme ich am WAN-Anschluß eine öffentliche IP:
Allerdings lassen sich öffentliche IPs nicht pingen, Homepages werden nicht aufgebaut.
Bislang habe ich das gesamte Projekt immer schön stückweise abends umgesetzt und durch Lesen, trial and error und anschließendem Verstehen den Aufbau bis hierher vollzogen. Da die LAN-Seite meiner Einschätzung nach funktioniert, vermute ich einen Konfigurationsfehler irgendwo anders. Nach Abgleich mit der o.a. Anleitung und anderer Problemlösungen in diesem Forum finde ich ihn aber nicht (Wald-vor-lauter-Bäume-Problem?)!
weitere Screenshots
Allnet-Konfig
so wie im Datenblattausschnitt (offizielle Konfig-Anleitung von Allnet für Telekom-VDSL-Anschlüsse) konfiguriert, war nach den ganzen OPNsense-Screenshots nur zu faul, auch noch ins Allnet-Modem zu gehen...
OPNsense-Konfig
Schnittstellen_Gateways_einzeln
Schnittstellen_Überblick_WAN
Schnittstellen_WAN
Firewall-Regeln_LAN
Habe zu Testzwecken zuerst eine allow_all-Regel gesetzt, die nach detaillierten Verbindungstests deaktiviert werden soll. Ansonsten habe ich alles aufgenommen, was für mich nach derzeitigem Stand erwartbar ist.
Firewall-Regeln_WAN
keine angelegt, nur der Vollständigkeit halber
Firewall_NAT-ausgehend
automatisch konfiguriert
Ich hoffe, daß ich alle notwendigen Infos beigefügt habe, und danke Euch für Eure Unterstützung im voraus. Am morgigen Tag werde ich abwesenheitsbedingt frühestens erst am Abend auf Nachfragen reagieren können!
Gruß
Alex
Vor meiner Problemschilderung möchte ich diesem Forum und den teilnehmenden Foristen meinen Dank für die Fülle an Informationen, die Art und Weise ihrer Vermittlung und vor allem für die konstruktive Anleitung und Problemlösung. Für mein Projekt habe ich bis hierher durch Suchen/Finden und Lesen schon einiges an Hintergrundinformationen bekommen können. Gerade als nur technikaffiner Laie fühle ich mich hier gut aufgehoben.
Nachdem ich nun hoffentlich ausreichend Respekt bezeugt habe
Ziel
Da mein Speedport W723V vom Rosa Riesen seit längerem nicht mehr mit neuer Firmware versorgt wird und ich aus Sicherheitsgründen Unterhaltungsgeräte (Android-Devices und IP-TV) von Produktivgeräten (bestimmte PC, NAS) trennen sowie Internetnutzung regulieren möchte, habe ich vor, basierend auf der Anleitung von aqui
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
- zwei Netze aufzubauen (ein Produktivnetz "LAN" für Büro-Anwendungen und Telefonie mit einem Gigaset S850A-Go; ein Unterhaltungsnetz mit WLAN und IP-TV)
- beide Netze mittels VLAN über eine Leitung (möchte ich aus Aufwandsgründen nicht ändern, Wände aufkloppen und so) zum - Internetanschluß zu bringen,
- einen echten Router mit Firewall zu betreiben und mich aus der Zwangsroutersituation zu befreien.
- später noch mit traffic-shaping am WAN-Anschluß eine bestimmte Übertragungsrate für Telefonie zu reservieren (max. 600 kbit/s) und den restlichen Verkehr zu priorisieren
Die o.a. Anleitung zeigt dieses klassische Design auf. Folgenden Aufbau habe ich umgesetzt:
Aufbau
VDSL-Anschluß Telekom Magenta M (VDSL25)
Allnet_ALL-BM200VDSL2V im Bridge-Modus als Nur-Modem mit VLAN-Tag 7
APU-Board mit OPNsense
Netgear_GS108Ev3 konfiguriert mit VLAN-Tagging (der ganze Aufbau bis hierher ist im Keller; da mein Leben aber nicht im Keller sondern im EG stattfindet, muß alles über eine Leitung ins WZ)
Netgear_GS108Ev3 konfiguriert mit VLAN-Tagging (Gegenstück zum obigen Switch)
Umsetzungsstand
Zunächst habe ich in der OPNsense die Interfaces zugewiesen, Netze definiert, Standardgateways bestimmt und für LAN-Interfaces den DHCPv4-Server aktiviert sowie pro Netz/Interface MAC-basierte Gerätelisten erstellt:
igb0, LAN, Zweck Büro/produktiv, 172.16.1.0/25, Gateway 172.16.1.1, Firewallregeln angelegt
igb1, LAN2, Zweck Unterhaltung, 192.168.1.0/24, Gateway 192.168.1.1, Firewallregeln angelegt
Switches mit VLAN-Tagging konfiguriert
Getestet habe ich zunächst erstmal die LAN-Seite über beide Netgear-Switches für beide Netze wie folgt:
- Anschluß von Client-PCs an verschiedenen als Endgeräteports untagged definierten Switch-Ports,
- IP-Adressbezug: funktioniert,
- ping des jw. Gateways vom Client: funktioniert,
- ping zwischen zwei Clients im selben Netz: funktioniert,
- Aufruf des web-Interface der OPNsense vom Client in beiden Netzen: funktioniert,
- selbe Schritte via WLAN-Anbindung im LAN2 (Unterhaltung): funktioniert.
Problem
Dann sollte der Anschluß der Internetverbindung über den WAN-Port erfolgen.
Nach Konfiguration des Allnet-Modems als Nur-Modem mit VLAN-Tag7 und Konfiguration des WAN-Anschluß der OPNsense im pppoe-Modus (aufgrund des bereits im Allnet vorgenommen Taggings ist am WAN-Anschluß kein VLAN-Tag 7 gesetzt) bekomme ich am WAN-Anschluß eine öffentliche IP:
Allerdings lassen sich öffentliche IPs nicht pingen, Homepages werden nicht aufgebaut.
Bislang habe ich das gesamte Projekt immer schön stückweise abends umgesetzt und durch Lesen, trial and error und anschließendem Verstehen den Aufbau bis hierher vollzogen. Da die LAN-Seite meiner Einschätzung nach funktioniert, vermute ich einen Konfigurationsfehler irgendwo anders. Nach Abgleich mit der o.a. Anleitung und anderer Problemlösungen in diesem Forum finde ich ihn aber nicht (Wald-vor-lauter-Bäume-Problem?)!
weitere Screenshots
Allnet-Konfig
so wie im Datenblattausschnitt (offizielle Konfig-Anleitung von Allnet für Telekom-VDSL-Anschlüsse) konfiguriert, war nach den ganzen OPNsense-Screenshots nur zu faul, auch noch ins Allnet-Modem zu gehen...
OPNsense-Konfig
Schnittstellen_Gateways_einzeln
Schnittstellen_Überblick_WAN
Schnittstellen_WAN
Firewall-Regeln_LAN
Habe zu Testzwecken zuerst eine allow_all-Regel gesetzt, die nach detaillierten Verbindungstests deaktiviert werden soll. Ansonsten habe ich alles aufgenommen, was für mich nach derzeitigem Stand erwartbar ist.
Firewall-Regeln_WAN
keine angelegt, nur der Vollständigkeit halber
Firewall_NAT-ausgehend
automatisch konfiguriert
Ich hoffe, daß ich alle notwendigen Infos beigefügt habe, und danke Euch für Eure Unterstützung im voraus. Am morgigen Tag werde ich abwesenheitsbedingt frühestens erst am Abend auf Nachfragen reagieren können!
Gruß
Alex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 576212
Url: https://administrator.de/forum/opnsense-keine-internetverbindung-trotz-zugewiesener-oeffentlicher-ip-576212.html
Ausgedruckt am: 05.04.2025 um 05:04 Uhr
10 Kommentare
Neuester Kommentar
bekomme ich am WAN-Anschluß eine öffentliche IP:
Was schon mal ein sehr gutes Zeichen ist, denn das zeigt eindeutig das die gesamte Modem Anbindung und PPPoE Setup auf der Firewall fehlerfrei sind.Du hast aber den Fehler gemacht mit einem Endgerät zu pingen. Hilfreicher wäre gewesen zuallererst den Ping aus dem Diagnostics Menü der Firewall direkt zu machen. Erstmal auf eine nackte IP und dann auf einen Hostnamen um die DNS Auflösung zu testen.
Das hätte dann gezeigt das aus Sicht der Firewall selber alles OK ist und das Problem lokal ist.
Die Story oben mit den 3 Gateways ist natürlich etwas komisch. Fragt sich woher die kommen, denn die muss man niemals eintragen oder konfigurieren ! Hast du das konfiguriert ?
Das Default Gateway wird automatisch über die PPPoE Verbindung auf der Firewall definiert OHNE das man das konfigurieren muss.
Ggf. also nochmal die Firewall auf die Werkseinstellungen zurücksetzen und neu anfangen. Du musst dazu lediglich den PPPoE Mode setzen und die Zugangsdaten eingeben. Mehr ist erstmal nicht zu machen, denn die Default Einstellung ist dann von sich auch schon voll lauffähig.
So ist es zumindestens bei der pfSense Firmware die letztlich stabiler und verlässlicher arbeitet als OPNsense. Ob das GUI der OPNsense intuitiver sein soll ist auch mehr als fraglich aber sicher wie immer Geschmackssache.
Die Installation auf meinem APU-board fror aber mehrmals ein.
Komisch, das gleiche habe ich immer bei der OPNsense. Bzw. danach auch Abstürze bzw. Hänger im Betrieb.Kann es sein das du den falschen Installer Stick bzw. Image verwendet hast ??
Architecture muss AMD64 sein und das Image: pfSense-CE-memstick-serial-2.4.5-RELEASE-amd64.img.gz
Entzippen und mit Win32Diskimager oder balenaEtcher einen USB Stick brennen und davon booten und das Image mit dem Autoinstaller auf die m.Sata installieren. Das geht automatisch ohne das man da irgendwas eingeben muss.
Wichtig:
Du solltest darauf achten das dein APU ein aktuelles BIOS hat !
https://pcengines.ch/howto.htm#bios
Es klappt aber auch bei älteren BIOS Versionen völlig fehlerfrei. Aber egal...wenns mit OPNsense auch geht ist ja gut.
Der Fehler liegt natürlich in der unsinnigen Gateway Konfig. Ohne das sollte es klappen.
Zitat von @aqui:

Da die Diskussion etwas abdriftet möchte ich anmerken, dass eine OPNsense durchaus stabil laufen kann.Als Linux-Nutzer habe ich die jeweiligen Images mit 'nem dd auf die Sticks gebracht.
Vorbildlich !! Ist schon komisch, wie das so funktioniert:
Frage 1: Windows oder Linux?
Frage 2: iPhone oder Android?
Frage 3: pfsense oder OPNSense?
aber lassen wir das....
Grüße
lcer