VDSL-Zugang mit ZyXEL VMG1312-B30A Modem und OpnSense Firewall
datamate bietet neben seinen Produkten Homie, Buddy, Fellow und Hero auch individuellen IT-Support für Privat- und Gewerbekunden. Dazu gehört auch der Aufbau einer professionellen Firewall und die entsprechende Konfiguration der Internetleitung. Bei solche einer Anfrage empfehlen wir unseren Kunden typischerweise eine Kombination aus einer OpnSense Firewall und einem ZyXEL VMG1312-B30A Modem. Durch diese Kombination holen wir das Maximum aus der Internetleitung heraus, können sämtliche Funktionen der Busines-Firewall nutzen und der Kunde hat keine laufenden Lizenz- oder Wartungskosten.
Im folgenden Artikel finden Sie eine Schritt für Schritt Anleitung, wie diese beiden Geräte zusammen eingerichtet werden können.
Wichtiger Hinweis: dieser Artikel bezieht sich auf das Model ZyXEL VMG1312-B30A, welches für deutsche DSL-Anschlüsse geeignet ist. Das Model VMG1312-B10A kann nicht verwendet werden.
Erster Login
Der ZyXEL Router hat im Auslieferungszustand die feste IP-Adresse 192.168.1.1 und DHCP ist nicht aktiviert. Der Zugriff auf die Weboberfläche des ZyXEL VMG1312-B30A erfordert somit die manuelle Konfiguration der LAN-Schnittstelle des eigenen Rechners. Tragen Sie also in den Adptereinstellungen der Netzwerkkarte eine IP-Adresse aus dem gleichen Subnetz, z.B.192.168.1.10, ein und verbinden Sie den Rechner per Netzwerkabel mit dem Modem. Anschließend genügt die Eingabe der IP des Geräts in einem beliebigen Browser, um zur Login-Fenster zu gelangen.
Die Standard-Zugangsdaten lauten admin und 1234. Anschließend schließt man den Quickstart-Assistenten, da man zu erst die Firmware aktualisieren sollte.
Firmware des ZyXEL Routers aktualisieren
Die aktuell verwendete Firmware des ZyXEL-Routers finden Sie unter Wartung > Firmware Upgrade. Zum Zeitpunkt der Veröffentlichung dieses Artikel ist die Version 1.00(AATO.6)C0 vom 21.11.2016 die neueste Firmware für dieses Produkt. Wenn Sie ein Firmwareupgrade durchführen, wozu wir dringend raten, dann achten Sie darauf, dass Sie die Firmware für das richtige Modell (B30A und nicht B10A) herunterladen und die ZIP-Datei erst entpacken. Die neueste Firmware finden Sie in der Download Library von ZyXEL
Der VDSL-Anschluß wird erkannt
Auf der startseite (network map) sollte die verbindung zwischen VMG1312-B30A und Internet nun grün sein. Auch unter System Monitor > xDSL Statistics sollte schon ein VDSL-Anschluß erkannt werden. Damit sind alle Voraussetzungen erfüllt und man kann mit der Konfiguration des Internetanschlußes beginnen.
Wenn dies nicht der Fall ist, dann gibt es ein grundsätzliches Problem mit dem Anschluß und der Internetprovider sollte hinzugezogen werden.
Routing oder Bridge? Welcher Modus ist besser geeignet
Es gibt zwei Möglichkeiten, um die Internetverbindung aufzubauen. Beide Varianten haben Ihre Vor- und Nachteile und somit gibt es keine richtige und falsche Konfiguration. Wir haben aber eine klare Empfehlung: Wir empfehlen den Routing-Modus, wenn man keine Business-Firewall im Einsatz hat und den Bridge-Modus, wenn man Besitzer einer OpnSense oder PfSense ist.
Routing-Modus
Beim Routing-Modus werden die PPPoE-Einwahldaten im Zyxel-Router eingetragen und dieser baut eigenständig die Internetverbindung auf. Sobald diese aufgebaut ist, kann die Internetverbindung von jedem Endgerät an einem der vier LAN-Ports genutzt werden. Die OpnSense wird quasi zu einem Client des ZyXEL-Routers.
Der Nachteil bei dieser Konfiguration ist, dass der ZyXEL Sicherheits- und Routingfunktionen übernimmt, die eigentlich die OpnSense übernehmen soll. Die notwendigen Einstellungen sind nicht kompliziert, jedoch hat man eine etwas kompliziertere Technik, da am Ende zwei Geräte gewartet und konfiguriert werden müssen.
Um den Routing-Modus zu nutzen, müssen folgende Änderungen im ZyXEL vorgenommen werden:
- Eintragen der PPPoE-Zugangsdaten, Auswahl von VLAN 7 und der MTU-Size 1492
- Aktivieren des DHCP-Dienstes (z.B. für den Bereich 192.168.1.10 – 192.168.1.20)
- Zuweisen einer festen IP an die OpnSense mit Hilfe der MAC-Adresse (z.B. 192.168.1.2)
- Aktivieren einer DMZ mit der IP der OpnSense (z.B. 192.168.1.2)
- WAN-Interfaces der OpnSense auf DHCP-Modus ändern
Auf den folgenden Bildern werden die notwendigen Einstellungen nochmal gezeigt.
Sollte nun irgendetwas nicht funktionieren, kann man auf dem ZyXEL-Router das Logging aktivieren. Hierzu aktiviert man das Logging unter Maintenance > Log Settings und speichert den Modus Local File. Nach dem Speichern dieser Einstellung kann man unter System Monitor > Log die Statusmeldungen einsehen. In dem letzten Bild sieht man beispielsweise wie es aussieht, wenn die PPPoE-Zugangsdaten falsch eingetragen werden.
Bridge-Modus
Die Alternative ist der Bridge-Modus, bei dem die PPPoE-Einwahldaten in die OpnSense eingetragen werden. Die OpnSense degradiert den ZyXEL zu einem reinen VDSL-Modem und übernimmt sämtliche Netzwerkfunktionen. Der Vorteil ist, dass dem ZyXEL VMG-B30A nur einmalig mitgeteilt werden muss, dass es in diesem Modus arbeiten soll. Danach erfolgt die gesamte Konfiguration und die gesamte Administration in der Firewall.
Entfesselte Business Firewall
Dank des Bridge-Modus ist es fast schon kinderleicht, mit dem ZyXEL VMG-B30A eine VDSL-Verbindung aufzubauen. Durch die Degradierung zum DSL-Modem muss das Gerät nicht mehr administriert und überwacht werden und sämtliche Steuerungsfunktionen im lokalen Netzwerk übernimmt die OpnSense. Dies sind die Aufgaben, die die Firewall perfekt beherrscht und wofür man Sie einsetzen will.
Der Routing-Modus funktioniert auch, ist aus unserer Sicht aber eher für den Fall geeignet, dass man keine separate Firewall verwenden möchte. In diesem Fall übernimmt der ZyXEL-Router die Steuerungsfunktionen im Netzwerk.