OPNSense

[CHW1979]

Heren - Dames,

Ik besef dat er al meerdere topics zijn als het gaat om een privé router gebruiken in combinatie met proximus. Alleen zorgt dat ervoor dat ik het bos door de bomen niet meer zie

Wat zou ik graag bereiken.

InternetBox -> bridge -> managed switch (vlan tagging) -> OPNSense -> LAN

Naar wat ik begrijp moet je bridge activeren en het mac-address ingeven in het portaal van Proximus om u eigen router te gebruiken. Krijg je dan een WAN adres ?

Dus dat lijkt op zich geen rocketscience maar nu komt de fameuze MAAR . Ik heb in gedachten om te bridgen en dat naar een switch te koppelen zodat ik meerdere poorten kan assigneren met een WAN adres. Waarvan dan 1 naar de router kan gekoppeld worden.
Stel dat dit lukt dan zou ik het de WAN vlan kunnen aanbieden aan proxmox om zo VM's aan te maken die een WAN adres krijgen.

Alvast bedankt om mij wat klaarheid te scheppen aub.

Christoph

[silentkiller]

Het klopt inderdaad dat je door bridging het MAC adres moet ingeven in het portaal van Proximus.
Je krijgt op dat MAC adres dan inderdaad een IPv4 WAN adres
Wat je wil bereiken, gaat niet lukken. Je kan maar 1 MAC adres opgeven waarvoor je een publiek IP gaat krijgen.
(In jouw situatie zou je dan de MAC adressen van de VMs ook moeten kunnen opgeven)

Voordat de internetbox er was, kon je aparaten een eigen PPPoE sessie laten opzetten. Toen was het wel mogeijk om meedere WAN adressen te verkrijgen (ik weet niet hoeveel).
Ik dacht dat dit ondertussen ook was dicht gedraaid tot 1 extra PPPoE sessie (en dus 1 extra WAN IP) maar daar ben ik niet zeker van.

[CHW1979]

Silentkiller,

Alvast dikke merci om te antwoorden

Stupid question - unmanaged switch na de bridge hangen en daarvan het mac-address ingeven zal niet lukken ?

Alvast bedankt,

Christoph

[Sinna]

Een unmanaged switch heeft geen MAC-adres, maar nice try.
Da's de manier waarop ik het bij Telenet deed om meerdere WAN-adressen (1 fixed + een aantal dynamische) te krijgen.
Op een CV7160 lukt dat, op een CV8560 niet meer.

[CHW1979]

Juist ik ook deed bij telenet

Dank u wel Sinna voor jullie reactie.

Mag ik nog een vraag stellen.

Het heeft te maken met lui zijn ... 192.168.128.0/23 is momenteel proximus - ik heb wel wat toestellen op fixed ip en op termijn zou ik graag wat segmenteren.

Is 192.168.128.0/23 opdelen in pakweg 4 stukken een slecht idee ?

Alvast bedankt voor jullie reactie.

Christoph

[silentkiller]

Als je het opsplitst, moet je een router hebben die de opgesplitste netwerken (subnets) routeert.

Imo zet je best je internetbox in bridge, je gebruikt het mac adres van je opnsense router. Deze krijgt dan een eigen WAN ip.
Achter de opnsense kan je dan verschillende netwerken maken, dat zorgt voor je opsplitsing. Alle netwerken gaan dan wel met het WAN ip van de opnsense het internet op (is geen probleem maar dat wilde je niet bekomen in je openingspost)

[CHW1979]

Dank u wel @silentkiller

Toegevoegd na 6 minuten 9 seconden:
@Sinna en wat met een managed switch ? Per poort heb ik wel een mac address

[silentkiller]

Waar ga je die mac adressen ingeven zodat ze door de passthrough een eigen IP krijgen?
Je kan in het portaal van proximus maar 1 mac adres ingeven.

(je zou daar trouwens het mac adres moeten ingeven van het apparaat dat een IPv4 moet krijgen, niet een mac adres van een switch).

Als je er meer over wil weten, denk ik dat je je best eens goed inleest in de materie.
Maar in a nutshell: wat je wilt, gaat niet lukken.

[devilkin]

OT: ik heb die portal nog nooit gezien, maar zouden ze daar deftige validatie op doen? Kan je daar geen json array injecteren?

[CHW1979]

Hey iedereen,

Alvast bedankt om te antwoorden - ik ben ondertussen geraakt tot WAN via bridge op opnsense - alleen heb ik een latency op digibox en als ik daar wat op doorlees zou dat te maken hebben omdat ik niet de public DNS van proximus gebruik maar 1.1.1.1 & 8.8.8.8;

Kan iemand mij de public DNS van proximus geven aub ?

Hier vind ik er een paar (lees teveel) https://public-dns.info/nameserver/be.html

Alvast bedankt voor jullie reactie.

Christoph

[Sinna]

Dat krijg je toch door als je de WAN op DHCP zet?
Enfin: zo lijkt mijn Fritz! ze toch te krijgen (die ik zelf overrule) zonder vertraging op de v5c-decoder.

[silentkiller]

Of je laat de digicorder op de internetbox zitten ipv achter opnsense

[CHW1979]

@silentkiller eerst en vooral mijn kennis van netwerken is niet top dus mea culpa

Zou dit dan werken ?

BBOX -> Bridge -> opnsense -> 192.168.128.0/23
BBOX -> poort 2 -> vlan_xx -> digibox fixed ip ?

Alvast bedankt

[silentkiller]

Ja, dat is inderdaad wat mijn voorstel is.

Je opnsense zit achter de bridge, die heeft op geen enkele manier nog 'interferentie' met het netwerk van je internetbox
Je zorgt idd dat je digicorder op een poort zit van je internetbox (als je dat verkeer door manages switches duwt, idd in een aparte VLAN). Of die een fixed IP moet hebben of niet, weet ik net. Ik denk dat je die dingen best via DHCP van de internetbox alles laat ophalen

[CHW1979]

@silentkiller dank u wel voor u geduld

Ik hou j(u)llie op de hoogte.

Alvast bedankt

[ITnetadmin]

Opgepast wel, 1.1.1.1 en 8.8.8.8 hebben verschillende filter rules en configs, je kan dus wel ns verschillende resultaten krijgen.

Bv bij Cloudflare:
1.1.1.1 is open (alt 1.0.0.1)
1.1.1.2 filtert malware (alt 1.0.0.2)
1.1.1.3 filtert malware en adult content (alt 1.0.0.3)

Bij Quad9:
9.9.9.9 blockt malware, gebruikt DNSSEC (alt 149.112.112.112)
9.9.9.11 blockt malware, gebruikt DNSSEC, en heeft ECS* actief staan (alt 149.112.112.11)
9.9.9.10 blokkeert niks, geen DNSSEC (alt 149.112.112.10)

*ECS:
"What is EDNS Client-Subnet?
EDNS Client-Subnet is a method that includes components of end-user IP address data in requests that are sent to authoritative DNS servers. This means that there is privacy “leakage” for recursive resolvers that send EDNS Client-Subnet data, where components of the end user’s IP address are transmitted to the remote site."
ECS wordt gebruikt om de user naar de geografisch dichtsbijzijnde server te leiden (eg bij CDNs).


Het is dus vaak een goed idee om bij dezelfde resolver te blijven als je bepaalde features wilt.