Starlink mit OPNsense / pfSense als Router

Vor einigen Wochen habe ich über meine ersten Erfahrungen mit Starlink geschrieben, nun folgt die konkrete Anleitung wie man statt des bei Starlink mitgelieferten Routers OPNsense, bzw pfSense konfiguriert. Letztendlich schließt man die Satellitenschüssel zusammen mit dem PoE Injektor direkt an den WAN Port von OPNsense an. Der Router von Starlink kann dann verstaut werden. Warum ich dieses Setup bevorzuge kann man in diesem Beitrag lesen.

Zielvorstellung

Wenn du dieses Artikel durchgelesen hast, weißt du wie du OPNsense oder pfSense konfigurieren musst, damit du auf den mitgelieferten Starlink Router verzichten kannst. Außerdem erkläre ich was nötig ist, damit die Starlink Status Seite unter http://192.168.100.1 weiterhin funktioniert, genauso wie die Starlink App. Ich erkläre das Vorgehen anhand OPNsense, bei pfSense ist vorallem die Menüstruktur anders, mit kleinen Abweichungen kann man dieser Anleitung aber auch für pfSense folgen.

Vorbereitung

Bevor wir beginnen können, muss Starlink zusammen mit der Starlink App und dem Starlink Router fertig eingerichtet sein. Erst wenn das sicher gestellt ist, können wir den Starlink Router abstecken und dafür den WAN Port von OPNsense in den PoE Injektor stecken. Der PoE Injektor leuchtet nun nicht mehr, aber das ist normal.

Es geht los

Wir beginnen im Menüpunkt System -> Settings -> General. Hier stellen wir sicher dass die Checkbox bei „Do not use the local DNS service as a nameserver for this system“ gesetzt ist und speichern die Seite.

Nun wechseln wir nach Interfaces -> [WAN]. Zum einen stellen wir sicher, dass die Einstellung „Block private networks“ nicht gesetzt ist, zum anderen stellen wir „IPv4 Configuration Type“ auf DHCP. Im Bereich „DHCP client configuration“ stellen wir den Configuration Mode auf „Advanced“ und geben dann bei „Reject Leases From“ die IP 192.168.100.1 ein. Der Hintergrund ist, dass die Dish während sie keine Verbindung zum Satelliten Netzwerk von SpaceX hat, die IP 192.168.100.1 annimmt und in diesem Netzbereich auch DHCP Leases vergibt. Das ist jedoch nur ein temporärer Lease, der sobald die Dish eine Verbindung bekommt verfällt. Das führt in der Praxis zu Problemen, daher verhindern wir direkt dass OPNsense so einen temporären Lease annimmt.

Jetzt müssen wir uns noch um die Statusseite unter der IP 192.168.100.1 kümmern. Diese IP soll ebenfalls auf die Dish routen. Um das zu lösen gehen wir ins Menü Interfaces -> Virtual IPs -> Settings“ und fügen eine virtuelle IP hinzu:

Mode: IP Alias
Interface: WAN
Type: Single Address
Address: 192.168.100.2 / 24
Description: Starlink Subnet

Diese IP Adresse ist nur ein Platzhalter. Die Adresse selbst benötigen wir nicht, aber wir brauchen sie um auf das Subnetz zuzugreifen in dem dann auch die IP 192.168.100.1 erreichbar ist.

Damit wir das Subnetz erreichen, brauchen wir noch eine Regel, die erstellen wir hier: Firewall -> NAT -> Outbound. Zuerst prüfen wir dass der Mode entweder Hybrid oder Manual ist. Ist das noch nicht der Fall, wählen wir z.b. „Hybrid“ und speichern die Änderung.

Nun fügen wir eine Regel hinzu:

Interface: WAN
TCP/IP Version: IPv4
Protocol: any
Source Address: Single host or network -> Das Netz in dem sich OPNsense befindet. Hat OPNsense die IP 192.168.15.1, so geben wir hier 192.168.15.0 / 24 ein
Source port: any
Destination Address: Single host or network -> 192.168.100.0 / 24
Destination port: any
Translation / target: 192.168.100.2 (aus dem Dropdown)

Für OPNsense sind wir hier fertig. Bei pfSense müssen wir nun noch die neu erstellte Regel über die automatisch erstelle Regel hochschieben.

Anschließend OPNsense / pfSense neustarten und ab dann surft ihr über Starlink im Zusammenspiel mit OPNsense / pfSense.

5 Kommentare

  1. Servus,
    toll und danke das du so eine Anleitung gemacht hast. Findet man selten.
    Leider funktioniert die nicht bei mir. Mein Gateway bekommt keine Adresse von Dishy.
    WAN-Port, Virtual IPs, und NAT Outbound entsprechend deiner Anleitung konfiguriert und neu gestartet, aber ausser Status Pending am WAN-Port passiert leider nicht.

    • Hallo Adrian,

      hast du eine OPNsense oder pfSense? Wenn der WAN Port noch nichtmal eine IP von der Dish bekommt, muss das schon eher was Grundlegendes sein, all die anderen Einstellungen bauen ja erst darauf auf. Du hast deinen WAN Port auf DHCP gestellt? Und den Haken bei „Block private networks“ hast du entfernt?
      Viel mehr sollte gar nicht mehr nötig sein damit der Port erstmal nur eine IP Adresse zugwiesen bekommt.

  2. Hi Matthias,
    thanks for the great guide. I struggle with the direct route to the statistics page: When I ping the address from the Opnsense (Protectli) it works, but from my connected mac I get an error when I try to access the page. From where the Opnsense WAN port gets the proper DNS server ? Should I add them manually ?
    Thanks once more for your work and efforts !
    Cheers Peter

2 Trackbacks / Pingbacks

  1. Starlink mit eigenem Router betreiben – matthias.guru
  2. Starlink mit IPv6 (OPNsense) – matthias.guru

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*