Vorgeschalteter Router - Interface Config?

tiermutter

Well-known member
Moin allerseits,

da hier ja der ein oder andere mit einer sense unterwegs ist und glaube ich auch Router davor geschaltet haben, bin ich hier glaube ich sehr richtig mit meiner Frage...
Wahrscheinlich ist es nur mal wieder das Baum-und-Wald-Syndrom:

tl;dr
Wie sieht die Konfiguration eines Interface (sowie Gateway) aus, an dem ein vorgeschalteter Router zum WAN hängt?
Zwingend erforderlich: Der Zugriff von anderen Interfaces auf den Router muss möglich sein.

Langversion:
Da ich es langsam satt habe mich mit meinem internen LTE Modem (MC7304) rumzuärgern (IPv6, schlechter Empfang), habe ich mir mal versuchsweise für kleines Geld ein kleines externes LTE Modem (HH40V) gegönnt.

Dazu habe ich mir ein weiteres Ethernetinterface (LTE2) in der Sense mit dem Netz 10.13.11.0/24 angelegt und das LAN vom Modem (mit integriertem Router) daran angeschlossen.
Das Modem hat die 10.13.11.1 und die Sense auf dem Interface 10.13.11.2. Bridgemode/ ppp Passthrough ist nicht möglich.

Leider kann ich das Modem nicht aus dem LAN erreichen, was zwecks Config und Überwachung aber erforderlich ist.
Grund dafür ist zunächst, dass es keine Route dorthin gibt, weil ich bereits mittels policy based routing alles an eine Gatewaygruppe (Glasfaser und bisheriges LTE) route. Je nachdem wer in der Gatewaygruppe aktiv ist, wird dann entsprechend ins Glasfaser- oder LTE Netz geroutet.
Mit einer entsprechenden Firewallregel wollte ich das umgehen, die Regel besagt, dass alles was in das Netz des Modems (10.13.11.0) gehen soll, auch an das Gateway von diesem Interface (LTE2) geroutet werden soll. Eine entsprechende pass-Regel auf diesem Interface gibt es auch, die den Zugriff aus dem LAN erlaubt; laut Log wird auch nichts geblockt.
Das Routing in der Sense sieht für mich korrekt aus (link#3 = igb2 = das besagte LTE2 Interface):
1641405786412.png

Hat jemand eine Idee was ich hier nicht blicke und kann mir jemand eine Interface- und Gatewayconfig zeigen, mit der das möglich ist?
 

-jody-

Active member
Ich kenne mich ja nicht mit der Sense aus, aber ich vermute primär ein Routing Problem.
So wie ich es verstanden habe, hast Du einem Netzwerk die Route zum LTE gegeben. Dies wäre sozusagen der Hinweg.
Kennt der LTE-R(outer) denn auch den Rückweg?

Will sagen, der LTE-Router braucht explizit die Ansage, route alles in das Netz 10.13.11.0/24
Nehmen wir an, der LTE-R hat die IP x.y.z.1 und die Sense die x.y.z.254 im gleichen Netz, dann müssen alle Netze hinter der Sense auch im LTE-R hinterlegt sein.
 

tiermutter

Well-known member
Mhh... Das wird es wohl sein... Schließlich kommt die Anfrage ja nicht von dem Interface der Sense, sondern vom LAN Interface, das habe ich nicht bedacht. Blöd, dass man bei dem Mistding keine Routen konfigurieren kann....
Dann muss da also NAT dazwischen, damit die Anfrage vom LTE2 Interface kommt, der Router dorthin antworten kann und NAT es dann ins LAN weiterschickt... Ziemlich blöd finde ich :D
 

-jody-

Active member
Wenn das die Lösung war, dann war es ja einfach ;)
Hoffe Du kommst nun auf den LTE-Router drauf um ihn zu konfigurieren...
 

tiermutter

Well-known member
Tjoa, ehm... Irgendwie war es wohl noch einfacher. Habe mich plötzlich wundern müssen, dass der Router nach der letzten Umstellung von einer LAN IP auf die LTE2 IP auch direkt über WLAN nicht erreichbar war... Nach verzweifeltem Rumprobieren hat er plötzlich auf seine alte LAN IP reagiert, über die er aus dem LAN nach der Umstellung nicht erreichbar war. Einmal spannungsfrei gemacht, dann hat er auf die korrekte IP geantwortet und plötzlich..... Geht es wie gewünscht auch aus dem LAN :)

Irgendwo muss er die Route ja aber trotzdem herhaben, möglicherweise aufgrund der schon länger eingestellten "DMZ" Adresse. Hier habe ich einfach die LTE2 IP der Sense eingetragen, weil ich nicht verstanden habe was mit dieser Einstellung gemeint war (das ist übrigens bei vielen Einstellungen so, musste das alles ausprobieren :D ). Schon ein merkwürdiges Teil, aber nuja, erster Step endlich erfolgreich, dann kann ich mir die Tage mal anschauen ob das Wesentliche auch funktioniert :)
 

Confluencer

Active member
Mhh... Das wird es wohl sein... Schließlich kommt die Anfrage ja nicht von dem Interface der Sense, sondern vom LAN Interface, das habe ich nicht bedacht. Blöd, dass man bei dem Mistding keine Routen konfigurieren kann....
Welches Mistding?

Die OPNsense kann da ja kaum gemeint sein, da man dort Gateways angeben kann und diese dann entsprechend in Routes Konfigurieren kann. Letzteres kann man sogar über die Rest-API (notfalls auch mit curl) konfigurieren.

Ich hab das auf Masse in einer Deployment-Pipeline mit Openstack genutzt. Jedes Deployment hat sein eigenes Subnetz für eine komplette Umgebung einer Anwendung (mehrere VMs + Subnetz-eigene Router-VM) ausgerollt: erst mit Terraform das Netzwerk und die VM's in Openstack angelegt, dann per OPNSense api Routen + Firewall-Regeln hinzugefügt (ebenfalls über Terraform) und dann die eigentlich Anwendung + Datenbank Dumps mit Ansible ausgerollt. Nur die Gateways musst man in OPNsense händisch anlegen.
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
956
Beiträge
13.917
Mitglieder
487
Neuestes Mitglied
hendrik2022
Oben