Hier eine coole Lösung für Nutzer von OPNsense mittels GRE Tunnel, so kann man ebenfalls DS Lite oder auch CGNAT umgehen. Anstelle von IPv4 Endpunkten wird dann natürlich IPv6 verwendet. Ich z.B. habe dadurch ein bestimmtes VLAN welches allen Clients dahinter mittels DHCP direkt öffentliche IPv4 Adressen verteilt. Das ganze ohne NAT, als Anbieter für den GRE Tunnel verwende ich NOEZ.
Falls es Fragen oder Probleme gibt, einfach raus damit.
Schritt 1: GRE-Tunnel einrichten
- Navigiere zu „Interfaces: Other Types: GRE“ und füge einen neuen GRE-Tunnel hinzu:
- Lokale Adresse: WAN-IP
- Entfernte Adresse: Externe IP der Gegenstelle
- Tunnel-Lokale Adresse: z. B. 10.0.6.2
- Tunnel-Entfernte Adresse: z. B. 10.0.6.1
- Tunnel-Netzmaske/Präfix: 30
- Beschreibung: z. B. NOEZ
- Speichern
Schritt 2: Client-Interface erstellen
- Lege ein neues Interface für die Clients an (z. B. VLAN), hier unter dem Namen „DMZ_EXT_IP“.
Schritt 3: Interfaces zuweisen
- Navigiere zu „Interfaces: Assignments“ und weise ein neues Interface zu:
- gre0 (NOEZ)
- Das zuvor erstellte Interface „DMZ_EXT_IP“
- Speichern
Schritt 4: DMZ-Interface konfigurieren
- Gehe zu „Interfaces: DMZ_EXT_IP“ und aktiviere das Interface:
- IPv4-Konfigurationstyp: Statische IPv4
- IPv4-Adresse: Die erste IP des gewünschten Subnetzes (z. B. 5.230.167.168) mit Netzmaske
- Hinweis: Bei einem /29-Subnetz wird z. B. /28 gesetzt, bei /27 entsprechend /26.
- Speichern
Schritt 5: NOEZ-Interface konfigurieren
- Gehe zu „Interfaces: NOEZ“ und aktiviere das Interface:
- MTU: 1468 bei PPPoE WAN oder 1476 bei Ethernet WAN
- Speichern
Schritt 6: Firewall-Regeln hinzufügen
- Gehe zu „Firewall: Rules: NOEZ“ und füge eine neue Regel hinzu:
- Alle Standard-Einstellungen beibehalten
- Speichern
- Gehe zu „Firewall: Rules: DMZ_EXT_IP“ und füge eine neue Regel hinzu:
- Quelle: DMZ_EXT_IP-Netz
- Ziel (invertiert): Alle LAN-Netze (z. B. per Alias)
- Gateway: NOEZ_TUNNELV4
- Speichern
Schritt 7: DHCP für DMZ-Interface aktivieren
- Gehe zu „Services: ISC DHCPv4: [DMZ_EXT_IP]“ und aktiviere den DHCP-Server:
- Bereich definieren
- DNS-Server nach Wunsch eintragen
- Gateway: IP des „DMZ_EXT_IP“-Interfaces (z. B. 5.230.167.168)
- Speichern
Schritt 8: NAT-Regeln konfigurieren
- Gehe zu „Firewall: NAT: Outbound“ und wähle „Manuelle NAT-Regelgenerierung“:
- Füge eine neue Regel hinzu:
- Interface: WAN
- Quelladresse: Alle LAN-Netze (z. B. per Alias)
- Ziel (invertiert): Alle LAN-Netze
- Translation/Target: WAN-Adresse
- Speichern
- Füge eine neue Regel hinzu:
Schritt 9: Konfiguration übernehmen
- Wende die Änderungen an.
Jetzt sollten Clients hinter dem „DMZ_EXT_IP“-Interface eine externe IPv4-Adresse aus dem Pool erhalten und sowohl aus dem Internet erreichbar sein als auch ins Internet gelangen können.
Speedtest "normal" (direkt per WAN):
Speedtest hinter GRE (Client mit externer IP):
Ich würde es dann in meinem POST direkt hinzufügen unten, wenn das für dich okay ist (wirst natürlich erwähnt).
