hetemit
Goto Top

OPNsense: keine Internetverbindung trotz zugewiesener öffentlicher IP

Hallo, zusammen!

Vor meiner Problemschilderung möchte ich diesem Forum und den teilnehmenden Foristen meinen Dank für die Fülle an Informationen, die Art und Weise ihrer Vermittlung und vor allem für die konstruktive Anleitung und Problemlösung. Für mein Projekt habe ich bis hierher durch Suchen/Finden und Lesen schon einiges an Hintergrundinformationen bekommen können. Gerade als nur technikaffiner Laie fühle ich mich hier gut aufgehoben.
Nachdem ich nun hoffentlich ausreichend Respekt bezeugt habe face-wink hier nun mein Problem:

Ziel
Da mein Speedport W723V vom Rosa Riesen seit längerem nicht mehr mit neuer Firmware versorgt wird und ich aus Sicherheitsgründen Unterhaltungsgeräte (Android-Devices und IP-TV) von Produktivgeräten (bestimmte PC, NAS) trennen sowie Internetnutzung regulieren möchte, habe ich vor, basierend auf der Anleitung von aqui
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
- zwei Netze aufzubauen (ein Produktivnetz "LAN" für Büro-Anwendungen und Telefonie mit einem Gigaset S850A-Go; ein Unterhaltungsnetz mit WLAN und IP-TV)
- beide Netze mittels VLAN über eine Leitung (möchte ich aus Aufwandsgründen nicht ändern, Wände aufkloppen und so) zum - Internetanschluß zu bringen,
- einen echten Router mit Firewall zu betreiben und mich aus der Zwangsroutersituation zu befreien.
- später noch mit traffic-shaping am WAN-Anschluß eine bestimmte Übertragungsrate für Telefonie zu reservieren (max. 600 kbit/s) und den restlichen Verkehr zu priorisieren
Die o.a. Anleitung zeigt dieses klassische Design auf. Folgenden Aufbau habe ich umgesetzt:


Aufbau
VDSL-Anschluß Telekom Magenta M (VDSL25)
Allnet_ALL-BM200VDSL2V im Bridge-Modus als Nur-Modem mit VLAN-Tag 7
APU-Board mit OPNsense
Netgear_GS108Ev3 konfiguriert mit VLAN-Tagging (der ganze Aufbau bis hierher ist im Keller; da mein Leben aber nicht im Keller sondern im EG stattfindet, muß alles über eine Leitung ins WZ)
Netgear_GS108Ev3 konfiguriert mit VLAN-Tagging (Gegenstück zum obigen Switch)


Umsetzungsstand
Zunächst habe ich in der OPNsense die Interfaces zugewiesen, Netze definiert, Standardgateways bestimmt und für LAN-Interfaces den DHCPv4-Server aktiviert sowie pro Netz/Interface MAC-basierte Gerätelisten erstellt:
igb0, LAN, Zweck Büro/produktiv, 172.16.1.0/25, Gateway 172.16.1.1, Firewallregeln angelegt
igb1, LAN2, Zweck Unterhaltung, 192.168.1.0/24, Gateway 192.168.1.1, Firewallregeln angelegt
Switches mit VLAN-Tagging konfiguriert

Getestet habe ich zunächst erstmal die LAN-Seite über beide Netgear-Switches für beide Netze wie folgt:
- Anschluß von Client-PCs an verschiedenen als Endgeräteports untagged definierten Switch-Ports,
- IP-Adressbezug: funktioniert,
- ping des jw. Gateways vom Client: funktioniert,
- ping zwischen zwei Clients im selben Netz: funktioniert,
- Aufruf des web-Interface der OPNsense vom Client in beiden Netzen: funktioniert,
- selbe Schritte via WLAN-Anbindung im LAN2 (Unterhaltung): funktioniert.


Problem
Dann sollte der Anschluß der Internetverbindung über den WAN-Port erfolgen.
Nach Konfiguration des Allnet-Modems als Nur-Modem mit VLAN-Tag7 und Konfiguration des WAN-Anschluß der OPNsense im pppoe-Modus (aufgrund des bereits im Allnet vorgenommen Taggings ist am WAN-Anschluß kein VLAN-Tag 7 gesetzt) bekomme ich am WAN-Anschluß eine öffentliche IP:
status_interfaces

Allerdings lassen sich öffentliche IPs nicht pingen, Homepages werden nicht aufgebaut.
status_ping google-namesrv

Bislang habe ich das gesamte Projekt immer schön stückweise abends umgesetzt und durch Lesen, trial and error und anschließendem Verstehen den Aufbau bis hierher vollzogen. Da die LAN-Seite meiner Einschätzung nach funktioniert, vermute ich einen Konfigurationsfehler irgendwo anders. Nach Abgleich mit der o.a. Anleitung und anderer Problemlösungen in diesem Forum finde ich ihn aber nicht (Wald-vor-lauter-Bäume-Problem?)!


weitere Screenshots

Allnet-Konfig
so wie im Datenblattausschnitt (offizielle Konfig-Anleitung von Allnet für Telekom-VDSL-Anschlüsse) konfiguriert, war nach den ganzen OPNsense-Screenshots nur zu faul, auch noch ins Allnet-Modem zu gehen...
allnet_all-bm200vdsl2v_konfig


OPNsense-Konfig

Schnittstellen_Gateways_einzeln
system_gateways_einzeln

Schnittstellen_Überblick_WAN
schnittstellen_Überblick_wan_

Schnittstellen_WAN
schnittstellen_wan_teil1
schnittstellen_wan_teil2_pppoe

Firewall-Regeln_LAN
Habe zu Testzwecken zuerst eine allow_all-Regel gesetzt, die nach detaillierten Verbindungstests deaktiviert werden soll. Ansonsten habe ich alles aufgenommen, was für mich nach derzeitigem Stand erwartbar ist.
firewall_regeln_lan

Firewall-Regeln_WAN
keine angelegt, nur der Vollständigkeit halber
firewall_regeln_wan

Firewall_NAT-ausgehend
automatisch konfiguriert
firewall_nat_ausgehend


Ich hoffe, daß ich alle notwendigen Infos beigefügt habe, und danke Euch für Eure Unterstützung im voraus. Am morgigen Tag werde ich abwesenheitsbedingt frühestens erst am Abend auf Nachfragen reagieren können!

Gruß
Alex

Content-Key: 576212

Url: https://administrator.de/contentid/576212

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 31.05.2020 um 23:04:59 Uhr
Goto Top
Hallo Alex,

sieht so aus, als würde was mit dem Routing nicht stimmen, weiss allerdings nicht, ob die Opnsense nativ pings etc blockiert.

VG
Mitglied: lcer00
Lösung lcer00 01.06.2020 um 09:02:32 Uhr
Goto Top
Hallo,

Du hast 3 gateways definiert. Eigentlich brauchst Du aber nur eins, das vom ISP. Lösch die ersten 2 Gateways.

Und poste mal die Routingtabelle.

Grüße

lcer
Mitglied: ChriBo
Lösung ChriBo 01.06.2020 um 10:19:52 Uhr
Goto Top
Hi,
wie @icer00 schon schrieb:
mit den Gateways stimmt was nicht.
Das WAN_Gateway muß das einzige (IPv4) Gateway sein und Active sein.

Dann teste die Vebindung mal mit einem tracert anstelle von Ping.

CH
Mitglied: aqui
Lösung aqui 01.06.2020 aktualisiert um 14:25:59 Uhr
Goto Top
bekomme ich am WAN-Anschluß eine öffentliche IP:
Was schon mal ein sehr gutes Zeichen ist, denn das zeigt eindeutig das die gesamte Modem Anbindung und PPPoE Setup auf der Firewall fehlerfrei sind.
Du hast aber den Fehler gemacht mit einem Endgerät zu pingen. Hilfreicher wäre gewesen zuallererst den Ping aus dem Diagnostics Menü der Firewall direkt zu machen. Erstmal auf eine nackte IP und dann auf einen Hostnamen um die DNS Auflösung zu testen.
Das hätte dann gezeigt das aus Sicht der Firewall selber alles OK ist und das Problem lokal ist.
Die Story oben mit den 3 Gateways ist natürlich etwas komisch. Fragt sich woher die kommen, denn die muss man niemals eintragen oder konfigurieren ! Hast du das konfiguriert ?
Das Default Gateway wird automatisch über die PPPoE Verbindung auf der Firewall definiert OHNE das man das konfigurieren muss.

Ggf. also nochmal die Firewall auf die Werkseinstellungen zurücksetzen und neu anfangen. Du musst dazu lediglich den PPPoE Mode setzen und die Zugangsdaten eingeben. Mehr ist erstmal nicht zu machen, denn die Default Einstellung ist dann von sich auch schon voll lauffähig.
So ist es zumindestens bei der pfSense Firmware die letztlich stabiler und verlässlicher arbeitet als OPNsense. Ob das GUI der OPNsense intuitiver sein soll ist auch mehr als fraglich aber sicher wie immer Geschmackssache.
Mitglied: hetemit
hetemit 01.06.2020 um 18:31:52 Uhr
Goto Top
Vielen Dank für Eure Antworten!

Die Gateways LAN und LAN2 habe ich tatsächlich manuell angelegt. Ist ein Verständnisfehler meinerseits gewesen, weil ich davon ausging, daß ich damit das konfiguriere, was ich bei statischer IP-Adresskonfiguration in einem Rechner als Standardgateway eingebe. Der Gedanke war: igb0 für LAN bekommt eine IP-Adresse, und das muß ich als Standardgateway für dieses Netz anlegen.
Das WAN-Gateway ist automatisch konfiguriert worden.

Werde also zunächst die manuell konfigurierten Gateways löschen,
anschließend den Ping aus der Firewall durchführen
danach DNS-Auflösung probieren.

Ergebnis kommt dann, im negativen Fall packe ich die Routingtabelle mit dazu. Setze mich heute abend daran, wenn bei mir alle schlafen face-wink. Die Rückmeldung kommt damit entsprechend etwas später!

Ich hätte tatsächlich auch lieber pfSense genutzt, weil das Handbuch für mich echt Charme hat. Die Installation auf meinem APU-board fror aber mehrmals ein. Die OPNsense-Installation lief in einem Rutsch durch. So gerne ich mich mit der Technik auch auseinandersetze, Zeit ist ein knappes Gut face-smile
Mitglied: aqui
aqui 01.06.2020 aktualisiert um 22:03:23 Uhr
Goto Top
Die Installation auf meinem APU-board fror aber mehrmals ein.
Komisch, das gleiche habe ich immer bei der OPNsense. Bzw. danach auch Abstürze bzw. Hänger im Betrieb.
Kann es sein das du den falschen Installer Stick bzw. Image verwendet hast ??
Architecture muss AMD64 sein und das Image: pfSense-CE-memstick-serial-2.4.5-RELEASE-amd64.img.gz
Entzippen und mit Win32Diskimager oder balenaEtcher einen USB Stick brennen und davon booten und das Image mit dem Autoinstaller auf die m.Sata installieren. Das geht automatisch ohne das man da irgendwas eingeben muss.
Wichtig:
Du solltest darauf achten das dein APU ein aktuelles BIOS hat !
https://pcengines.ch/howto.htm#bios
Es klappt aber auch bei älteren BIOS Versionen völlig fehlerfrei. Aber egal...wenns mit OPNsense auch geht ist ja gut.
Der Fehler liegt natürlich in der unsinnigen Gateway Konfig. Ohne das sollte es klappen.
Mitglied: hetemit
hetemit 01.06.2020 um 23:15:32 Uhr
Goto Top
Als Linux-Nutzer habe ich die jeweiligen Images mit 'nem dd auf die Sticks gebracht. Das zur Architektur passende Image hatte ich ausgewählt. Vermute daher eher, daß es ggf an der BIOS-Version gelegen haben könnte. Würde ich vielleicht mal ausprobieren, wenn ich vor Langeweile gar nicht mehr weiß, was ich machen soll... Solange die OPNsense läuft, lasse ich sie erstmal werkeln.

Zwischenzeitlich hatte ich die beiden Gateways gelöscht, die WAN-Verbindung mit o.a. Aufbau hergestellt, von der OPNsense den Ping auf eine öffentliche IP sowie auf eine URL gemacht und siehe da - es geht!

Nochmals verschärften Dank für Eure Antworten face-smile!

Jetzt kann ich mit den Firewall-Regeln spielen und danach dann das Traffic-Shaping ausprobieren!
Mitglied: aqui
aqui 02.06.2020 um 11:08:00 Uhr
Goto Top
Als Linux-Nutzer habe ich die jeweiligen Images mit 'nem dd auf die Sticks gebracht.
Vorbildlich !! face-wink
Mitglied: lcer00
lcer00 02.06.2020 um 12:01:31 Uhr
Goto Top
Zitat von @aqui:

Als Linux-Nutzer habe ich die jeweiligen Images mit 'nem dd auf die Sticks gebracht.
Vorbildlich !! face-wink
Da die Diskussion etwas abdriftet möchte ich anmerken, dass eine OPNsense durchaus stabil laufen kann.

Ist schon komisch, wie das so funktioniert:

Frage 1: Windows oder Linux?
Frage 2: iPhone oder Android?
Frage 3: pfsense oder OPNSense?

face-smile

aber lassen wir das....

Grüße

lcer
Mitglied: hetemit
hetemit 02.06.2020 um 20:36:48 Uhr
Goto Top
Solche Dinge betrachte ich nicht so "ideologisch". Hab' zwar eine Präferenz für Linux und demzufolge Android wegen der Anpaßbarkeit, meiner Erfahrung nach gibt es aber Dinge, die laufen unter Windows einfach besser. Das ist bei unserem Thema hier schon die meiner Erfahrung nach verläßlichere Verbindung mit einem Netgear Switch oder einem Mikrotik-Gerät, weil es dafür Windows-Anwendungen gibt.

Vielen Dank Euch nochmal!