Anfragen an DNS Root Server werden blockiert, Nutzung von Unbound wird unterbunden

Mmmh, ich nutze einen Turris Omnia (an einem O2 VDSL2@DeutscheTelekom-TAL Anschluss)mit Knot als non-forwarding resolver (also ohne forwarding auf Os’s DNS Server) und sehe da kein Anzeichen fuer O2-Filter:

root@turris:~# dig NS . @193.0.14.129

; <<>> DiG 9.18.16 <<>> NS . @193.0.14.129
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42835
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 27
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       518400  IN      NS      a.root-servers.net.
.                       518400  IN      NS      b.root-servers.net.
.                       518400  IN      NS      c.root-servers.net.
.                       518400  IN      NS      d.root-servers.net.
.                       518400  IN      NS      e.root-servers.net.
.                       518400  IN      NS      f.root-servers.net.
.                       518400  IN      NS      g.root-servers.net.
.                       518400  IN      NS      h.root-servers.net.
.                       518400  IN      NS      i.root-servers.net.
.                       518400  IN      NS      j.root-servers.net.
.                       518400  IN      NS      k.root-servers.net.
.                       518400  IN      NS      l.root-servers.net.
.                       518400  IN      NS      m.root-servers.net.

;; ADDITIONAL SECTION:
a.root-servers.net.     518400  IN      A       198.41.0.4
b.root-servers.net.     518400  IN      A       199.9.14.201
c.root-servers.net.     518400  IN      A       192.33.4.12
d.root-servers.net.     518400  IN      A       199.7.91.13
e.root-servers.net.     518400  IN      A       192.203.230.10
f.root-servers.net.     518400  IN      A       192.5.5.241
g.root-servers.net.     518400  IN      A       192.112.36.4
h.root-servers.net.     518400  IN      A       198.97.190.53
i.root-servers.net.     518400  IN      A       192.36.148.17
j.root-servers.net.     518400  IN      A       192.58.128.30
k.root-servers.net.     518400  IN      A       193.0.14.129
l.root-servers.net.     518400  IN      A       199.7.83.42
m.root-servers.net.     518400  IN      A       202.12.27.33
a.root-servers.net.     518400  IN      AAAA    2001:503:ba3e::2:30
b.root-servers.net.     518400  IN      AAAA    2001:500:200::b
c.root-servers.net.     518400  IN      AAAA    2001:500:2::c
d.root-servers.net.     518400  IN      AAAA    2001:500:2d::d
e.root-servers.net.     518400  IN      AAAA    2001:500:a8::e
f.root-servers.net.     518400  IN      AAAA    2001:500:2f::f
g.root-servers.net.     518400  IN      AAAA    2001:500:12::d0d
h.root-servers.net.     518400  IN      AAAA    2001:500:1::53
i.root-servers.net.     518400  IN      AAAA    2001:7fe::53
j.root-servers.net.     518400  IN      AAAA    2001:503:c27::2:30
k.root-servers.net.     518400  IN      AAAA    2001:7fd::1
l.root-servers.net.     518400  IN      AAAA    2001:500:9f::42
m.root-servers.net.     518400  IN      AAAA    2001:dc3::35

;; Query time: 20 msec
;; SERVER: 193.0.14.129#53(193.0.14.129) (UDP)
;; WHEN: Mon Oct 23 11:59:30 CEST 2023
;; MSG SIZE  rcvd: 811

Das heisst natuerlich nicht, dass es bei Dir nicht an O2 liegen kann, aber das scheint keine generelle O2 Policy zu sein (klopf auf Holz, nicht, dass das gerade ausgerollt wird und nur noch nicht bei meinem Anschluss angekommen ist).

Hallo @dscs und willkommen zurück in unserer o2 Community :-)

Auf jeden Fall ein spannendes Thema, es hat allerdings den Anschein, als ob die Ursache an anderer Stelle liegt. Hab eben in einer VM das ganze einmal an meinem privaten o2 DSL Anschluss getestet und bekomme das gleiche Ergebnis wie @pufferueberlauf0, es klappt genau so, wie es soll:

└─$ dig NS . @193.0.14.129



; <<>> DiG 9.17.19-3-Debian <<>> NS . @193.0.14.129
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47297
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 27
;; WARNING: recursion requested but not available



;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;.                              IN      NS



;; ANSWER SECTION:
.                       518400  IN      NS      g.root-servers.net.
.                       518400  IN      NS      h.root-servers.net.
.                       518400  IN      NS      j.root-servers.net.
.                       518400  IN      NS      d.root-servers.net.
.                       518400  IN      NS      b.root-servers.net.
.                       518400  IN      NS      e.root-servers.net.
.                       518400  IN      NS      f.root-servers.net.
.                       518400  IN      NS      a.root-servers.net.
.                       518400  IN      NS      i.root-servers.net.
.                       518400  IN      NS      l.root-servers.net.
.                       518400  IN      NS      k.root-servers.net.
.                       518400  IN      NS      c.root-servers.net.
.                       518400  IN      NS      m.root-servers.net.



;; ADDITIONAL SECTION:
m.root-servers.net.     518400  IN      A       202.12.27.33
l.root-servers.net.     518400  IN      A       199.7.83.42
k.root-servers.net.     518400  IN      A       193.0.14.129
j.root-servers.net.     518400  IN      A       192.58.128.30
i.root-servers.net.     518400  IN      A       192.36.148.17
h.root-servers.net.     518400  IN      A       198.97.190.53
g.root-servers.net.     518400  IN      A       192.112.36.4
f.root-servers.net.     518400  IN      A       192.5.5.241
e.root-servers.net.     518400  IN      A       192.203.230.10
d.root-servers.net.     518400  IN      A       199.7.91.13
c.root-servers.net.     518400  IN      A       192.33.4.12
b.root-servers.net.     518400  IN      A       199.9.14.201
a.root-servers.net.     518400  IN      A       198.41.0.4
m.root-servers.net.     518400  IN      AAAA    2001:dc3::35
l.root-servers.net.     518400  IN      AAAA    2001:500:9f::42
k.root-servers.net.     518400  IN      AAAA    2001:7fd::1
j.root-servers.net.     518400  IN      AAAA    2001:503:c27::2:30
i.root-servers.net.     518400  IN      AAAA    2001:7fe::53
h.root-servers.net.     518400  IN      AAAA    2001:500:1::53
g.root-servers.net.     518400  IN      AAAA    2001:500:12::d0d
f.root-servers.net.     518400  IN      AAAA    2001:500:2f::f
e.root-servers.net.     518400  IN      AAAA    2001:500:a8::e
d.root-servers.net.     518400  IN      AAAA    2001:500:2d::d
c.root-servers.net.     518400  IN      AAAA    2001:500:2::c
b.root-servers.net.     518400  IN      AAAA    2001:500:200::b
a.root-servers.net.     518400  IN      AAAA    2001:503:ba3e::2:30



;; Query time: 20 msec
;; SERVER: 193.0.14.129#53(193.0.14.129) (UDP)
;; WHEN: Mon Oct 23 07:26:55 EDT 2023
;; MSG SIZE  rcvd: 823

Firewalls oder feste Routen sind aber nicht irgendwo gesetzt und können dazwischenfunken, oder?

Gruß,

Lars

Kurzer Nachtrag: Falls wichtig, das ganze läuft über eine nicht wirklich konfigurierte Fritzbox.

Hmmm, interessant. Danke schon einmal für eure Tests. Nachdem schon die ganze vergangene Woche in die Fehleranalyse geflossen ist, war ich mir eigentlich sicher, dass es das O2-Routing sein muss.

Mein Setup sieht momentan so aus: Ich nutze eine eigene Fritzbox 7530, die allerdings nur als Modem fungiert und keine eigene Verbindung aufbaut (PPPoE Passthrough). Die Einwahl und alles andere macht ein Asus RT-AX86U.

Die fehlgeschlagenen Digs kommen sowohl vom Router selbst als auch von einer Ubuntu-Instanz auf meinem Laptop.

Um die Ursache weiter einzugrenzen, werde ich einerseits den Asus-Router mal rausnehmen und die Fritzbox als Router umkonfigurieren, und andererseits mir ein anderes Modem besorgen und die Fritzbox rausnehmen. Fritzbox als reines Modem ist ja eine Konfiguration außerhalb der offiziellen Spec; nicht dass da irgendwas dazwischen schießt.

Der Asus-Router ist eigentlich gesetzt, und eigentlich hatte ich ein Konfigurationsproblem bereits ausgeschlossen, aber um die Ursache strukturiert einzugrenzen…..

Ach, noch eine Frage dazu: Ich habe o2 My Home L, also einen Supervectoring-Anschluss. Wenn ich testweise ein Modem anschließe, das nicht 35b-fähig ist, was passiert dann? Habe ich einfach nur einen entsprechend niedrigeren Sync, oder funktioniert es gar nicht, oder geht dann irgendwo was kaputt? ;)

Das ganze sieht, bei einem Anschluss der im DSLAM als Profil 35b/Supervectoring konfiguriert ist, im Prinzip so aus:

Der dritte Fall ergibt sich, wenn das Modem (z.B. wegen zu alter Modemfirmware) kein Vectoring unterstuetzt oder wenn sich das Vectoring im DSLAM verschluckt hat. Die Faelle 1 und 2 sollten jedesmal neu ausgehandelt werden, d.h. ein Test mit einem nicht-35b-faehigen Modem sollte einen spaeteren Sync eines 35b-faehigen Modems nicht beeinflussen.

Hallo @dscs,

wie sieht es denn inzwischen aus, konntest du das Problem schon eingrenzen oder vielleicht auch direkt eliminieren?

Lass uns gerne wissen, wenn du noch Fragen hast oder eine Lösung gefunden wurde 😀

Viele Grüße

Giulia

Moin,

die Frage habe ich leider zu spät  gesehen, ich nutze schon seit einem ¼ Jahrhundert einen eigen DNS Server ohne Probleme.

Tipp Bintec Be.ip kaufen damit läuft es.

Ne FRITZ!Box is dann doch nur ein Router der dem Kunden erlaubt was AVM erlaubt.

Und ist primär für den einfachen Enduser gedacht…

Aber schön das man die Schuld erstmal bei O2 sucht…

Locker bleiben, mein trolliger Freund…. 🙂

Ohne Basis ist so eine Aussage halt erst mal nur eine passiv-aggressive Provokation. Und in meinem Fall ist deine Aussage gleich doppelt falsch:

Erstens ging’s hier nie um “Schuld”, sondern ich hatte einfach ein Problem und war dabei mögliche Fehlerquellen auszuschließen, bis der Fehler eingegrenzt ist. Und die DNS Routing Policies von o2 sind dabei nun mal eine mögliche Fehlerquelle. Ich habe hier im Forum mein Problem geschildert und um Hilfe gebeten. Daraufhin haben sich mehrere User gemeldet und mir konstruktiv und vor allem ohne Unterton bei der Fehlersuche geholfen. Dadurch konnte o2 als Fehlerquelle schnell ausgeschlossen werden und ich war einen Schritt weiter.

Zweitens habe ich “erstmal” gar nichts bei o2 gesucht. Wenn du den Eingangspost genau liest, schreibe ich dort schon, dass die Frage “Vielleicht liegt es ja an o2?” schon ein Zwischenergebnis aus einer längeren Fehlersuche mithilfe eines anderen Forums war. Hier ist der ausführliche Thread, falls es dich interessiert: https://www.snbforums.com/threads/solved-unbound-not-resolving-anything.87269/

Dort hat sich auch im Nachhinein übrigens niemand darüber beschwert, dass ich “erstmal” die “Schuld” bei dem Unbound-Addon oder der Router-Firmware gesucht habe, obwohl es am Ende an was ganz anderem lag. 😉

Du scheinst dich ja mit der Materie gut auszukennen, von daher hätte ich mir gewünscht, du hättest deine Expertise bei der Lösung des Problems einfließen lassen anstatt durch flotte Sprüche hier im Nachhinein noch Unruhe reinzubringen.

Ja, das mit den Fritzboxen ist so wie du sagst, aber ich find’s echt schade. Die haben halt ein super Modem drin und man bekommt die auf dem Gebrauchtmarkt für kleines Geld. So musste ich jetzt für ein “schlechteres” Draytek Vigor das Doppelte ausgeben wie für eine gebrauchte Fritzbox.

Die Bintec-Teile habe ich mir kurz angeschaut. Kannte ich noch gar nicht, erscheint mir auf den ersten Blick für meine Zwecke aber überdimensioniert. Ich freue mich aber für dich, dass du mit deinem Setup glücklich bist. Ich bin’s mit meinem aktuellen auch - jetzt, wo alles funktioniert.

Viele Grüße

dscs

Wer troll hier? Und was ist an meiner Aussage falsch?

Oder hast Du das aus dem Zitat nicht geschrieben?

Ohne Eure Diskussion storen zu wollen, die Fritzboxen 7530/7520 (mit lantiq/intel/maxlinear vrx518) lassen sich unter OpenWrt betreiben und dann auch leicht als bridged modem….

Das Problem habe ich gerade bei mir festgestellt ;) Es läuft. Aber nur bis 100 Mbit

Na, also DAS ist mal eine Nachricht, die meine Ohren spitz werden lässt…! 😀

Ich habe bisher immer einen Bogen um OpenWRT gemacht. Zu technisch, zu fortgeschritten. ABER ich habe nach einer (für mich) heldenhaften Aktion gestern Abend nun eine Fritzbox 7530 mit installiertem OpenWRT 23.05.1 sowie aktuellen VDSL-Treibern vor mir liegen.

Es stellte sich dann aber recht schnell Ernüchterung ein, denn wie erwartet stehe ich ein bisschen wie der Ochse vorm Berg, wenn es darum geht, das jetzt als reines Modem (mit VLAN 7-Tagging) zu konfigurieren. Ich weiß, dass ich irgendwie Devices und Interfaces einstellen muss, bin aber ein bisschen ratlos, was genau in welcher Reihenfolge ich tun muss. Hättest du hier einige Tipps für mich? Ich nehme natürlich auch gern ein detailliertes Walkthrough. 😉

Und noch etwas: Ich habe gelesen, man solle am besten noch die Komponente “luci-mod-dsl” installieren um die Modem-/Leitungswerte in der GUI angezeigt zu bekommen. Geht das nur, wenn die OpenWRT-Box selbst “online” ist oder kann ich das Package irgendwie herunterladen und dann offline auf die Box spielen?

Viele Grüße

dscs

Das ist ein Henne Ei Problem. OpenWRT hat default keine Treiber für Storage USB, NFS oder Storage mit installiert. Versuch erst mal mit SCP eine Datei zum Testen abzulegen. Egal was. Es muss nur da ankommen Können. Wenn Du einen Macintosh hast muss Du noch Optionen mitgeben damit das funktioniert. Well Default läuft Dropbear anstatt OpenSSH-Server. Dann kannst Du dich per SSH anmelden und das Paket hoffentlich instalieren. Das System hat Posix als Standard. Heisst unter anderen hast Du shared Libraries anstatt DLL wie unter WIndows. Damit hast Du Abhängigkeiten die Du oder das System sofern es Internet hat auflösen musst.. Wenn das System im Internet ist geht das kompfortabel und automatisch. Ohne Internet muss Du das alles Machen. Mit “opkg install /pfad/zum/paket”  machst Du das. Und opkg checkt vorher ob die Abhängigkeiten aufgelöst sind. Wenn es sich Beschwert muss du alles Besorgen bis es zufrieden ist. Es sagt dir dann was ihm fehlt bevor er es dann macht. Das System kannst du nie ganz kaputt Machen. Mit der Reset-Taste stellst du alles wieder auf Anfang.  

o2_Giulia, 15.11.2023, 17:27: Vollzitat entfernt

Ich bin gerade auf Reisen, aber ich teile gerne alle Informationen die ich habe am Freitag oder am Wochenende.

Der Trick ist entweder eine Firmware komplett selber zu bauen, oder per OpenWrt AUC online zusammenbauen lassen, jeweils mit allem was man so braucht...

Das wäre super, vor allem in Bezug auf die full bridge Konfiguration!

Das Add-on Package “luci-mod-dsl” habe ich mittlerweile selbst installiert bekommen. Habe die OpenWRT-7530 zunächst mal als Client in mein Netz gehängt, so dass ich das Package “einfach” online über die GUI installieren konnte.

Das Zusammenspiel von Devices und Interfaces in Verbindung mit dem VLAN-Tagging übersteigt momentan aber noch mein Verständnis. 😓

Hier der Output von cat /etc/config/network auf meiner 7520: 

config interface 'loopback'
	option device 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config globals 'globals'
	option ula_prefix 'fdcd:4cf3:765d::/48'

config atm-bridge 'atm'
	option vpi '1'
	option vci '32'
	option encaps 'llc'
	option payload 'bridged'
	option nameprefix 'dsl'

config dsl 'dsl'
	option tone 'b'
	option annex 'b'
	option ds_snr_offset '0'

config device
	option name 'br-lan'
	option type 'bridge'
	list ports 'lan1'
	list ports 'lan2'
	list ports 'lan3'
	list ports 'lan4'

config interface 'lan'
	option proto 'static'
	option ip6assign '60'
	option device 'br-lan.42'
	list ipaddr '192.168.100.1/24'

config device
	option name 'dsl0'
	option macaddr '98:9B:CB:C0:F5:BB'

config interface 'wan'
	option device 'dsl0'
	option proto 'none'

config interface 'wan6'
	option device '@wan'
	option proto 'dhcpv6'

config bridge-vlan
	option device 'br-lan'
	option vlan '42'
	list ports 'lan1:t'
	list ports 'lan2'
	list ports 'lan3'
	list ports 'lan4'

config bridge-vlan
	option device 'br-lan'
	option vlan '7'
	list ports 'lan1:t*'

config device
	option type '8021q'
	option ifname 'dsl0'
	option vid '7'
	option name 'dsl0.7'

config device
	option type 'bridge'
	option name 'br-dsl'
	list ports 'br-lan.7'
	list ports 'dsl0.7'

config interface 'MODEM'
	option proto 'none'
	option device 'br-dsl'

Klar hier ist mein bridged-modem config (fuer O2@DeutscheTelekom VDSL2)...:

Ich nutze LAN1 um meinen OpenWrt Router mit dem Modem zu verbinden:

VLAN7 um in die dsl-bridge zu kommen

VLAN42 um ins LAN der 7520 zu kommen (z.B. um  http://192.168.100.1/cgi-bin/luci/admin/status/dsl/spectrum auzubrowsen).

Dabei ist die 7520 selber gar nicht mit dem Internet verbunden, was meine Absicht ist, de 7520 ist ausserhalb meiner Firewall und deshalb mache ich mir da nicht all zu viele Sorgen ueber die Sicherheit…

Die IP Range fuers LAN der 7520 (192.168.100.0/24) ist von DOCSIS inspiriert, da kann man ueblicherweise das Modem von “innen” unter dieser Adresse erreichen, aber das kann man auch anders machen.

Vielen Dank für die Config, @pufferueberlauf0 !!

Leider funktioniert es bei mir noch nicht. Die Box bekommt einen Sync, Line Status wechselt auf “Showtime”. Allerdings kann der über LAN1 verbundene Router keine PPPoE-Verbindung aufbauen.

Ich bekomme im Router-Log folgende Messages endlos periodisch alle paar Minuten angezeigt:

May  5 07:05:43 pppd[1842]: LCP: timeout sending Config-Requests
May  5 07:05:43 pppd[1842]: Connection terminated.
May  5 07:05:43 pppd[1842]: Sent PADT
May  5 07:05:43 pppd[1842]: Modem hangup
...
May  5 07:06:28 pppd[1842]: Timeout waiting for PADO packets

Muss ich im Router eigentlich noch irgendetwas einstellen in Bezug auf das VLAN? Ich bin bisher davon ausgegangen, dass sich mit deiner Config die Box verhält wie ein einfaches DSL-Modem, das aber selbst das VLAN7-Tagging übernimmt.

Woran könnte es noch liegen, dass der Router keine Verbindung herstellen kann?

Viele Grüße

dscs

Bei meiner Konfiguration muss der Router selber VLAN7 verwenden. Das kann man auch anders machen, aber ich bevorzuge eine klare Trennung von Zugang zur DSL-Bridge per VLAN7 und Zugang zum LAN Port der 7520 ueber VLAN42 um da dann die GUI nutzen zu koennen.

Hier meine Konfiguration am Router:

root@turris:~# cat /etc/config/network

config interface 'loopback'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'
	option device 'lo'

config globals 'globals'
	option ula_prefix 'aaaa:bbbb:cccc::/48'
	option packet_steering '1'

config interface 'lan'
	option proto 'static'
	option netmask '255.255.255.0'
	option ip6assign '60'
	option _turris_mode 'managed'
	option ipaddr '192.168.42.1'
	option device 'br-lan'

config interface 'wan'
	option hostname 'turris'
	option ipv6 '1'
	option proto 'pppoe'
	option username 'DSLNNNNNNNNNNNNN@s93.bbi-o2.de'
	option password 'GEHEIMES_PASSWORT'
	option force_link '1'
	option device 'eth2.7'

config interface 'wan6'
	option proto 'dhcpv6'
	option device '@wan'

config interface 'guest_turris'
	option enabled '1'
	option proto 'static'
	option ipaddr '10.111.222.1'
	option netmask '255.255.255.0'
	option device 'br-guest-turris'

config interface 'vpn_turris'
	option enabled '1'
	option proto 'none'
	option auto '1'
	option device 'tun_turris'

config device 'br_lan'
	option name 'br-lan'
	option bridge_empty '1'
	list ports 'lan0'
	list ports 'lan1'
	list ports 'lan2'
	list ports 'lan3'
	list ports 'lan4'
	option type 'bridge'

config device 'br_guest_turris'
	option bridge_empty '1'
	option type 'bridge'
	option name 'br-guest-turris'

config interface 'WAN4FB7520'
	option device 'eth2.42'
	option proto 'static'
	option netmask '255.255.255.0'
	option ipaddr '192.168.100.3'

Wie Du sehen kannst laeuft PPPoE ueber eth0.7. Das ist meine komplette /etc/config/network ich habe nur PPPoE Nutzerkennung und Passwort redigiert ;). In /etc/config/firewall habe ich WAN4FB7520 mit in die WAN Zone aufgenommen:

config zone
	option name 'wan'
	option input 'REJECT'
	option output 'ACCEPT'
	option forward 'REJECT'
	option masq '1'
	option mtu_fix '1'
	list network 'wan'
	list network 'wan6'
	list network 'WAN4FB7520'

Die Idee ist, dass selbst wenn jemand die FB7520 kapern sollte kommt er/sie damit nicht automatisch um meine Firewall herum, aber ich sehe nicht wie man der br-dsl Brige auf der FB7520 entkommen koennen sollte, also eine Guertel und Hosentraeger Loesung...

Puuuh, das ist ne ganz schön steile Lernkurve für mich gerade. 😓 Also ich möchte mein Setup zunächst simpler gestalten: Die 7530 mit OpenWrt soll nur Modem sein und das VLAN-Tagging für DSL machen. An LAN1 soll der Router hängen und die PPPoE-Einwahl übernehmen (und alles weitere). Über LAN2-4 will ich mich per Kabel auf die 7530 verbinden können (und nicht von hinterm Router; das macht mir die Sache gerade zu kompliziert).

Jetzt habe ich mich ein bisschen eingelesen, und es scheint ja echt so zu sein, dass es dafür gar keine Standardkonfiguration gibt, sondern irgendwie alles immer gerätespezifisch ist. Aber soweit ich es verstehe, brauche ich dafür im Wesentlichen doch zwei Bridges, eine mit DSL und LAN1, und eine mit LAN2-4. Das LAN-Interface nutzt dann eben die LAN-Bridge, und das “Modem” nutzt die DSL-LAN1-Bridge.

Oder habe ich da einen grundlegenden Denkfehler? So sähe dann die Config aus (ich kann die erst morgen ausprobieren, aber wenn die schon offenkundiger Quatsch ist, kann ich mir das auch sparen):

config interface 'loopback'
	option device 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config globals 'globals'
	option ula_prefix 'fd0c:bb9d:ca12::/48'

config atm-bridge 'atm'
	option vpi '1'
	option vci '32'
	option encaps 'llc'
	option payload 'bridged'
	option nameprefix 'dsl'

config dsl 'dsl'
	option annex 'b'
	option ds_snr_offset '0'
	option firmware '/lib/firmware/vdsl.bin'

config device
	option name 'br-lan'
	option type 'bridge'
	list ports 'lan2'
	list ports 'lan3'
	list ports 'lan4'

config interface 'lan'
	option device 'br-lan'
	option proto 'static'
	option ip6assign '60'
	list ipaddr '192.168.100.1/24'

config device
	option name 'dsl0'
	option macaddr 'DC:39:6F:51:C3:0B'

config interface 'wan'
	option device 'dsl0.7'
	option proto 'none'

config device
	option type 'bridge'
	option name 'br-dsl'
	list ports 'dsl0.7'
	list ports 'lan1'

config interface 'Modem'
	option proto 'none'
	option device 'br-dsl'

config device
	option type '8021q'
	option ifname 'dsl0'
	option vid '7'
	option name 'dsl0.7'

Und noch ein paar Anfängerfragen:

Kommt es in der /etc/config/network eigentlich auf die Reihenfolge der Einträge an?

Warum brauche ich eigentlich zwei Interfaces, einmal “wan” und einmal “Modem”? Irgendwie erscheint mir das redundant.

Viele Grüße, und ich weiß deine Hilfe sehr zu schätzen, @pufferueberlauf0 !

dscs

Puuuh, das ist ne ganz schön steile Lernkurve für mich gerade. 😓 Also ich möchte mein Setup zunächst simpler gestalten: Die 7530 mit OpenWrt soll nur Modem sein und das VLAN-Tagging für DSL machen. An LAN1 soll der Router hängen und die PPPoE-Einwahl übernehmen (und alles weitere). Über LAN2-4 will ich mich per Kabel auf die 7530 verbinden können (und nicht von hinterm Router; das macht mir die Sache gerade zu kompliziert).

Das Problem mit diesem Set-up mit 2 Kabeln ist halt, wer Dein Modem uebernimmt hat direkten Zugang zu Deinem Heimnetzwerk. Und Du brauchst halt zwei Kabel; aber das ist Geschmacksache, da ist Deine Vorliebe genau so gut wie meine ;)

Ansonsten ist das aber kein Hexenwerk, einfach LAN1 ganz aus dem br-lan rausschmeissen und nur in die bridge mit dem dsl port packen. Fuer mich sieht Deine Konfiguration aus, als koenne sie funktionieren, aber getestet habe ich das selber nicht.

Kommt es in der /etc/config/network eigentlich auf die Reihenfolge der Einträge an?

Soweit ich weiss ist die Reihenfolge egal, aber ich habe das selber noch nicht bewusst ausprobiert.

Warum brauche ich eigentlich zwei Interfaces, einmal “wan” und einmal “Modem”? Irgendwie erscheint mir das redundant.

Ich meine OpenWrt will ein wan interface und erzeugt das automatisch* (und wenn Du die 7520 als All-in-one Modemrouter betreiben willst ist wan auch notwendig) aber versuch doch mal was passiert wenn Du die Zeilen fuer das wan interface loeschst?

*) Kann aber sein, dass das bei mir nur ein Ueberest des Prozesses war mit dem ich die Konfiguration erzeugt habe und keinen weiteren Sinn mehr hat.

Dadurch spare ich mir halt die VLAN-Segmentierung, die ich bisher eben nur als Stichwort und in der Theorie kenne, in der Praxis aber eine Nummer zu fortgeschritten für mich ist.

Könntest du das mit dem Sicherheitsaspekt bitte noch einmal näher erklären? Ich denke mir das so:

An LAN1 (WAN-Bridge) hängt der Router. Mein Heimnetz ist hinter dem Router. Wie kann jemand mein Modem übernehmen? Der Endpunkt der Verbindung von außen ist doch der Router, das Modem sollte eigentlich vollkommen transparent sein. Und der Router hat Firewall, NAT etc. aktiviert. Oder gibt es etwa Angriffe auf einer anderen OSI-Schicht, die dann direkt aufs Modem gehen können?

An LAN2 (LAN-Interface) hängt ein Kabel, und zwar zu 99,8% der Zeit in der Luft. Ich hänge da nur zu Diagnosezwecken meinen Laptop dran, wenn ich ein Internetproblem habe oder aus einem anderen Grund ins OpenWrt muss. Aus Sicht der Fritzbox ist das LAN also eigentlich immer leer. Sprich: Selbst wenn jemand das Modem übernimmt… wo soll er hin? Da müsste also jemand schon einen Wurm, Trojaner, etc. auf dem Modem platzieren, der dort auf Clients wartet und sich dann von dort aus weiterverbreitet. Davon habe ich ehrlicherweise noch nie gehört. Eher übernimmt jemand den Router und gliedert ihn in ein Botnet ein...

Wie gesagt, wenn du hier mehr weißt als ich, ich freue mich immer was dazu zu lernen.

Natürlich habe ich nicht von dir erwartet, dass du das selbst testest. Mir hat das “schaut plausibel aus” schon vollkommen gereicht. 🙂 Ich habe die Config so getestet, und es funktioniert sogar! Das ist für mich, der noch vor ein paar Tagen keinen blassen Schimmer von der Materie hatte, schon ein kleiner Erfolg, an dem du großen Anteil hast! Noch einmal vielen, vielen Dank für deine geduldige Hilfe!!

Im Sinne von “never change a running system” werde ich wohl auch erst einmal nicht mehr an den WAN/Modem-Interfaces rumdoktern….

Viele Grüße

dscs

Dadurch spare ich mir halt die VLAN-Segmentierung, die ich bisher eben nur als Stichwort und in der Theorie kenne, in der Praxis aber eine Nummer zu fortgeschritten für mich ist.

Unter OpenWrt ist das fuer die WAN Seite ein Kinderspiel…

Könntest du das mit dem Sicherheitsaspekt bitte noch einmal näher erklären? Ich denke mir das so:

An LAN1 (WAN-Bridge) hängt der Router. Mein Heimnetz ist hinter dem Router. Wie kann jemand mein Modem übernehmen? Der Endpunkt der Verbindung von außen ist doch der Router, das Modem sollte eigentlich vollkommen transparent sein. Und der Router hat Firewall, NAT etc. aktiviert. Oder gibt es etwa Angriffe auf einer anderen OSI-Schicht, die dann direkt aufs Modem gehen können?

Es geht hier um die Frage ob die Annahme “das Modem sollte eigentlich vollkommen transparent sein”, die ich teile, auch 100% korrekt ist… ich vermute “ja sie ist es” aber da ich nicht 100% sicher bin…

An LAN2 (LAN-Interface) hängt ein Kabel, und zwar zu 99,8% der Zeit in der Luft. Ich hänge da nur zu Diagnosezwecken meinen Laptop dran, wenn ich ein Internetproblem habe oder aus einem anderen Grund ins OpenWrt muss. Aus Sicht der Fritzbox ist das LAN also eigentlich immer leer. Sprich: Selbst wenn jemand das Modem übernimmt… wo soll er hin? Da müsste also jemand schon einen Wurm, Trojaner, etc. auf dem Modem platzieren, der dort auf Clients wartet und sich dann von dort aus weiterverbreitet. Davon habe ich ehrlicherweise noch nie gehört. Eher übernimmt jemand den Router und gliedert ihn in ein Botnet ein…

Das reduziert das Risiko deutlich, allerdings erhoeht das den Aufwand um “mal eben” die DSL-Werte zu ueberpruefen… als ich mit “gelegentlich draufschauen” gearbeitet habe, hatte ich einfach auf dem Modem ein WLAN aktiviert und habe das dann zum Zugang verwendet, aber spaeter hatte ich eine automatisierte Ueberwachung aktiviert (bzw. heute um gelegentlich mal mit go-dsl ueber ~24 Stunden zu messen) und da war es hinderlich, dass der Messrechner kein Internet mehr hatte… Daher habe ich eine dauerhaftere Loesung gesucht und gefunden… bei mir ist das Modem im Flur direkt an der TAE und der Router im Wohnzimmer (wegen der WLAN Abdeckung) und ich wollte jetzt nicht zwei Kabel fuer das Modem opfern…

Im Sinne von “never change a running system” werde ich wohl auch erst einmal nicht mehr an den WAN/Modem-Interfaces rumdoktern….

Nachvollziehbar ;). Ach ja, wenn Du Dir die Firmware selber kompilieren solltest, es gibt einen einfachen Weg eine Firmware zu bauen, die direkt mit einer angepassten /etc/config/network kommt, so dass man sich neue Images bauen kann, die direkt ohne weitere Konfiguration nutzbar sind.

Ansonsten ist das OpenWrt Forum ein guter und in der Regel freundlicher Platz um OpenWrt Themen zu diskutieren...:

Hallo @dscs,

klasse, dass jetzt alles passen konfiguriert ist, und vielen Dank auch noch einmal an @pufferueberlauf0 für den großartigen Support hier im Beitrag 💙

Viele Grüße

Giulia