Столкнулся с несколькими неприятными моментами, после подключения usb модема Yota (на прошивке D07C_Yota_V046). Судя по информации из интернета можем полностью именуется YOTA 4G LTE WLTUBQ-108. Так как в бумажечке с модемом этого нет, то напишу на память. Вдруг кому-то это тоже пригодится. Сам адрес с настройками указан, но не прописана одна из важнейших функций.

Неприятные моменты

Основных моментов, с которыми я столкнулся два (два с половиной):

  • не работал WireGuard через модем;
  • не работал DNS через модем;
  • 10.0.0.1/8 выдает модем по DHCP (это та самая половину проблемы).

Первая проблема вполне объяснима, так как я взял модем как резервный источник интернета (Multi-WAN Failover Opnsense). Получается, что в ситуации с падением основного канала нужно все равно идти в админку Opnsense и выключать принудительную отправку трафика в vpn.

Вторая проблема связана с тем, что локальный pihole настроен на вполне определенные DNS сервера. В момент отключения основного канала просто не может достучаться никуда. Все запросы на DNS просто срезаются на уровне модема. Можно конечно перенастроить (сделать перехват DNS и перенаправление в модем), но это не очень удобно. Да и пользоваться DNS Yota мне не хочется.

Третий пункт, не то что бы прям минус, все равно эта подсеть раздается только на интерфейс Opnsense и дальше не идет. Так же Opnsense довольно-таки умен, что бы локальные подсети не направлять в модем. Но очень хотелось бы взять другой диапазон.

Дополнительные настройки

Кроме основной страницы статуса модема:

Страница статуса модема

Есть страницы дополнительных настроек по пути http://status.yota.ru/advanced. Для доступа нужно воспользоваться DNS сервером модема, либо посмотреть gateway для интерфейса с модемом и перейти просто по ip. У меня по умолчанию это был адрес http://10.0.0.1/advanced. Так же можно настроить доступ на нее прямо из сети Opnsense, для этого понадобиться добавить правило для сети, которая должны иметь доступ:

Opnsense firewall правило

Да, все в лан сети, по сути стоит иметь отдельную сеть “to rule them all”, но пока так.

После перехода откроется страница:

Дополнительные настройки модема

DHCP

Тут можно выбрать ip модема, который будет влиять на диапазон DHCP (указываю адрес шлюза и первый по порядку адрес DHCP):

НастройкаШлюзАдрес клиента
10.0.0.010.0.0.1/810.0.0.100/8
172.16.0.0172.16.0.1/16172.16.0.100/16
192.168.0.0192.168.0.1/24192.168.0.100/24

DMZ

Основная нужная настройка это DMZ. Его пришлось выключить. Видимо в модеме DMZ направлен строго на 172.16.0.100/16 ( для это сети), но интерфейс в Opnsense получается адрес то 172.16.0.104/16, то 172.16.0.102/16 (не заметил закономерности). В таких условиях оказалось проще всего просто выключить DMZ и настроить как полагается фаервол.