# Internet Connectivity: ISP-Links & WAN-Setup in OPNsense

TL;DR / Management Summary Ein stabiler Internetzugang ist das Lebenselixier jedes Unternehmens. In OPNsense integrieren wir verschiedene ISP-Technologien (VDSL, Glasfaser, Kabel, LTE). Ein Senior Admin achtet streng auf das Bridge-Mode Konzept: Der Router des Providers darf nur als Modem fungieren, damit OPNsense die öffentliche IP direkt am WAN-Interface erhält. Nur so lassen sich VPNs (Artikel 567) und Port-Forwardings (Artikel 561) ohne instabile “Double-NAT” Konstrukte betreiben.

# 1. ISP Technologien & Protokolle

Wie wir die IP bekommen.

1. VDSL / DSL: Nutzt meist PPPoE (Point-to-Point Protocol over Ethernet).
   • Setup: OPNsense übernimmt die Einwahl mit Benutzername/Passwort.
2. Kabel / Glasfaser (FTTH): Nutzt meist DHCP.
   • Setup: Das Modem liefert der OPNsense direkt eine IP.
3. Mobilfunk (LTE/5G): Oft via CGNAT (Private IP vom Provider).
   • Problem: Eingehende VPNs funktionieren hier meist nicht ohne Relay.

# 2. Das Modem-Konzept: Bridge Mode

Weg mit der FritzBox-Logik.

Die meisten Consumer-Router (FritzBox, Speedport) sind Router + Modem in einem.

• Aktion: Stellen Sie das Provider-Gerät in den Bridge-Mode (falls vom ISP unterstützt) oder nutzen Sie ein dediziertes Modem (z.B. DrayTek Vigor).
• Warum?: OPNsense braucht die öffentliche IPv4/IPv6 direkt an ihrem WAN-Port, um den State-Table (Artikel 554) und IPsec korrekt zu verwalten.

# 3. Deep Dive: WAN-Schnittstellen Härtung

Den Eingang absichern.

In OPNsense unter Interfaces -> WAN:

• Block private networks: Aktivieren. Verhindert, dass Pakete aus privaten Netzen am WAN-Port akzeptiert werden (Schutz vor Spoofing).
• Block bogon networks: Aktivieren. Blockiert unzugeordnete IP-Bereiche.
• IPv6: Nutzen Sie DHCPv6 mit Prefix-Delegation (Artikel 550) für moderne Anschlüsse.

# 4. Day-2 Operations: Gateway Monitoring

Den ISP auf die Finger schauen.

System -> Gateways -> Configuration.

• Monitor IP: Pingen Sie einen externen Host (z.B. Google DNS 8.8.8.8).
• KPI: Latenz (RTT) und Paketverlust (Loss).
• Nutzen: Automatische Mail-Benachrichtigung bei Ausfall oder Qualitätsverschlechterung (Artikel 585).

# 5. Troubleshooting & “War Stories”

Wenn die Leitung ‘wackelt’.

# Top 3 Fehlerbilder

1. Symptom: Internet geht, aber VPN bricht ab.

   • Ursache: Double-NAT. Das Provider-Modem macht noch Routing.
   • Lösung: Exposed Host (FritzBox) konfigurieren oder echtes Modem nutzen.

2. Symptom: “Authentication Failed” bei VDSL.

   • Ursache: VLAN ID 7 fehlt bei der PPPoE Einwahl (typisch für Telekom/Deutschland).
   • Fix: Erstellen Sie ein VLAN 7 Interface auf dem physischen WAN-Port und binden Sie PPPoE an dieses VLAN.

3. Symptom: Volle Bandbreite wird nicht erreicht.

   • Ursache: MTU-Mismatch. PPPoE reduziert die MTU auf 1492.
   • Lösung: MSS Clamping auf 1452 setzen.

# “War Story”: Die “MAC-Lock” Falle

Ein Admin tauschte seine alte OPNsense Hardware gegen einen neuen Server aus. Das Kabel-Modem war bereits im Bridge-Mode. Das Ereignis: Die neue Firewall bekam keine IP-Adresse vom Modem. Die Ursache: Viele Kabel-Provider (z.B. Vodafone) speichern die MAC-Adresse des angeschlossenen Geräts. Sie verweigern eine neue IP, bis das Modem neugestartet wird. Lösung: Modem für 10 Minuten stromlos machen. Erst danach erkennt es die neue MAC der OPNsense und vergibt eine IP. Lehre: Bei jedem Hardware-Tausch am WAN ist ein Power-Cycle des Modems der erste Schritt.

# 6. Monitoring & Reporting

ISP-Qualität im Blick.

# Quality Graphen

Reporting -> Health -> System -> Gateway.

• Analyse: Suchen Sie nach “Packet Loss” Clustern. Dies deutet auf eine Überlastung beim Provider (Peering-Probleme) oder ein defektes Kabel hin.

# 7. Fazit & Empfehlung

Der ISP-Link ist das Fundament Ihrer Cloud-Strategie.

• Empfehlung: Nutzen Sie einen Business-Anschluss mit fester IP. Es spart Ihnen 90% der Probleme beim VPN-Setup (Artikel 581).
• Wichtig: Redundanz ist Pflicht. Planen Sie eine zweite Leitung (z.B. LTE/5G) via Multi-WAN Failover (Artikel 573) ein.

# Anhang: Checkliste für neues WAN-Setup

1. [ ] Modem im Bridge-Mode?
2. [ ] VLAN ID 7 nötig? (VDSL)
3. [ ] Öffentliche IP am WAN-Interface sichtbar?
4. [ ] Gateway Monitoring aktiv?
5. [ ] MTU/MSS Clamping konfiguriert?

# Referenzen

• OPNsense Docs: Setup WAN Interface
• RFC 2516: A Method for Transmitting PPP Over Ethernet (PPPoE)
• DrayTek: VDSL/ADSL Modem Configuration Guide