31.01.2019

2672

Opensense und Fritzbox von Unitymedia

Den Aufbau (unten) wollte ich bei einem Freund, der ein Cable Frtzbox von Unitymedia hat realisieren. Ich habe den Aufbau mit IPv4 mit einer FB von O2 bereits am laufen. D.h. ich habe in der Fritzbox DHCP ausgeschaltet und dem WAN Interface der sense eine statische IP im Netzbereich der FB erstellt.

IP FB: 192.168.100.1
IP Sense WAN:192.100.20/24
Gateway: 192.168.100.1
LAN1 in der sense: 192.168.120/24
LAN2 in der sense: 192.168.130/24

LAN1, LAN2 und WAN - IPs wurden statisch erstellt. Die Clients der LANs erhalten per DHCP ihre IPs.

Dazu folgende Fragen:

1. So, was ist nun der erste Schritt bzw. die Schritte, die ich machen muss, um das mit der Fritzbox von Unitymedia zum laufen zu bringen.
Kann ich denn dei Einstellungen, die jetzt bei mir laufen 1:1 von der sense übernehmen, oder muss auch in der sense einiges verändert werden?

2. Kann ich testen ob es sich um eine dynamische oder feste IPv6 handelt, also ohne täglich drauf zu schauen, sonst würde ich es ja sehen, bin aber nicht davor.

3. Müsste ich jetzt LAN1 und LAN2 mit einer statische IPv6 erstellen, also in der sense. Oder kann ich das interne LAN auch auf IP4 lassen, und nur die WAN IP der sense auf IPv6 umstellen. Ich würde gerne IPv4 in den LANs so lassen, die Frage ist ob dann auch mit DS-Lite funktioniert?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 400045

Url: https://administrator.de/contentid/400045

Ausgedruckt am: 23.11.2024 um 01:11 Uhr

12 Kommentare

Neuester Kommentar

Hallo,

Zitat von @Balivorinsky:
IP Sense WAN:192.100.20/24

Das ist keinegültige IP oder sonst was. Stand deines Warmwasserzählers?

Kann ich denn dei Einstellungen, die jetzt bei mir laufen 1:1 von der sense übernehmen, oder muss auch in der sense einiges verändert werden?

Duhast bei dir einiges Konfiguriert und willst jetzt wissen ob du alles übernehmen kannst? Ist denn bei den Kiumpel die Identische Hardware/Firmware vorhanden?

2. Kann ich testen ob es sich um eine dynamische oder feste IPv6 handelt, also ohne täglich drauf zu schauen, sonst würde ich es ja sehen, bin aber nicht davor.

In denn entsprechenden Vertrag(Verträgen) rein schauen oder min. 24 Std (bis zu 9 Monate) Warten, die Kisten die dazwischen am ISP hängen erneut starten mit eine kleinen Wartezeit von ca. 5 - 10 Minuten dazwischen, Die Support Hotlines deiner ISP anrufen und schauen was die die sagen können.

3. Müsste ich jetzt LAN1 und LAN2 mit einer statische IPv6 erstellen, also in der sense. Oder kann ich das interne LAN auch auf IP4 lassen, und nur die WAN IP der sense auf IPv6 umstellen. Ich würde gerne IPv4 in den LANs so lassen, die Frage ist ob dann auch mit DS-Lite funktioniert?

Das sollte funktionieren wenn du alles korrekt gemacht hast und es bei dir läuft - vorrausgesetzt du hast auch DSL-Lite.
Antwort also wie immer hier - es kommt drauf an

Gruß,
Peter

Zitat von @Balivorinsky:

Den Aufbau (unten) wollte ich bei einem Freund, der ein Cable Frtzbox von Unitymedia hat realisieren. Ich habe den Aufbau mit IPv4 mit einer FB von O2 bereits am laufen. D.h. ich habe in der Fritzbox DHCP ausgeschaltet und dem WAN Interface der sense eine statische IP im Netzbereich der FB erstellt.

IP FB: 192.168.100.1
IP Sense WAN:192.100.20/24

???
Oder menist Du 192.168.10020./24

Gateway: 192.168.100.1
LAN1 in der sense: 192.168.120/24
LAN2 in der sense: 192.168.130/24

LAN1, LAN2 und WAN - IPs wurden statisch erstellt. Die Clients der LANs erhalten per DHCP ihre IPs.

Dazu folgende Fragen:

1. So, was ist nun der erste Schritt bzw. die Schritte, die ich machen muss, um das mit der Fritzbox von Unitymedia zum laufen zu bringen.
Kann ich denn dei Einstellungen, die jetzt bei mir laufen 1:1 von der sense übernehmen, oder muss auch in der sense einiges verändert werden?

Wenn die Einstellungen der fritzbox bei Deinem Kumpel die gleichen sind (Netz & Co.), ja.

2. Kann ich testen ob es sich um eine dynamische oder feste IPv6 handelt, also ohne täglich drauf zu schauen, sonst würde ich es ja sehen, bin aber nicht davor.

Richte myfritz ein und schaue dann darüber nach.

Das kommt drafu an, was der Provider Dir gibt.

lks

Zu den Fragen:
1.)
Du solltest bei statischer Adressierung unbedingt noch den DNS Server statisch in der pfSense einstellen auf die 192.168.100.1 da die FB ja Proxy DNS ist. Ansonsten klappt die Namensauflösung nicht.
Internet Connectivity testest du dann immer unter Diagnostics -> Ping

Ansonsten ist das alles was du tun musst für die Grundkonfig.
Wenn du planst mit VPNs zu arbeiten um Netze zu verbinden solltest du natürlich für LAN1 und LAN2 tunlichst andere IP Adressen verwenden ! Guckst du auch hier:
VPNs einrichten mit PPTP
2.)
Wenn du ganz stinknormaler Consumer Kunde bist bekommst du IMMER eine dynamische IPv6 Adresse per Prefix Delegation (PD) vom Provider.

Feste IPv6 Adressen bekommst du nur als Business Kunde. Wie die pfSense mit v6 Prefix Delegation umgeht (Konfig) kannst du hier nachlesen:
https://moerbst.wordpress.com/2016/07/31/ipv6mit-pfsense-an-dsl-der-tele ...
https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritz ...
usw. usw.
3.)
Ja und nein...
Wenn du dynamisch eine IP per Prefix Delegation bekommst dann nicht. Meist ist das ein /56er Block, den du dann selber per PD und /64er v6 Netze an deine lokalen Interfaces weitergibst.
Wenn du ein statisches Subnetz vom Provider bekommen hast teilst du das entsprechend selber in /64er Subnetze und vergibst dann natürlich deine Adressen statisch.

Hallo,

Hallo,

WAN:192.100.20/24 Das ist keinegültige IP oder sonst was. Stand deines Warmwasserzählers?

Ja sorry habe mich verschrieben, 192.168.100.10/24

Du hast bei dir einiges Konfiguriert und willst jetzt wissen ob du alles übernehmen kannst? Ist denn bei den Kiumpel die Identische
Hardware/Firmware vorhanden?

Fritzbox hat er, aber ein anderes Modell, wie gesagt ein cable Typ von Unity. Also ein anderer Provider, ich habe o2 er Unity

Das sollte funktionieren wenn du alles korrekt gemacht hast und es bei dir läuft - vorrausgesetzt du hast auch DSL-Lite.
Antwort also wie immer hier - es kommt drauf an

Wenn die Einstellungen der fritzbox bei Deinem Kumpel die gleichen sind (Netz & Co.), ja.

Also ich kann mit einer IP4 ganz normal auf meine Fritzbox per VPN Zugerifen, also habe ich wohl kein DS-Lite würde ich mal sagen.
So wie ich es verstadnen habe kann ich bei DS-Lite nur per IPv6 von außen Zugreifen. Wenn alles gleich wäre benötigte ich eigentlich keine Frage dazu

Es geht ja hauptsächlich um diese IP6 zu IP4 Problematik.

Zitat von @aqui:

Du solltest bei statischer Adressierung unbedingt noch den DNS Server statisch in der pfSense einstellen auf die 192.168.100.1 da die FB ja Proxy DNS ist. Ansonsten klappt die Namensauflösung nicht.

Moment... kann ich hier keinen externen DNS Server (1.1.1.1) eintragen?

Wenn du planst mit VPNs zu arbeiten um Netze zu verbinden solltest du natürlich für LAN1 und LAN2 tunlichst andere IP Adressen verwenden !

Nur Road Warior kein Site2Site

Wenn du ganz stinknormaler Consumer Kunde bist bekommst du IMMER eine dynamische IPv6 Adresse per Prefix Delegation (PD) vom Provider.
Wenn du dynamisch eine IP per Prefix Delegation bekommst dann nicht. Meist ist das ein /56er Block, den du dann selber per PD und /64er v6 Netze an deine lokalen Interfaces weitergibst.

Als Normaler Kunde hat er den Vertrag gemacht. Also dynamische IP, ok.
Habe ich das jetzt richtig verstanden. Wenn ich per PD eine IP erhalte, dann kann ich die IPv4 lokaen Netzte so lassen. Ich muss die nicht zwingend auf IPv6 umstellen. Dann kann ich meine Firewall Regeln für IP4 so lassen?

Moment... kann ich hier keinen externen DNS Server (1.1.1.1) eintragen?

Doch natürlich !
Es macht aber keinerlei Sinn einen DNS Server vom anderen Ende der Welt dort einzutragen, da das unnötig die Latenz zur Auflösung von Namen vergrößert und somit die Wartezeit im Netz. Sowas ist also immer kontraproduktiv für die Gesamtperformance
Wenn es denn unbedingt sein muss solltest du, wenn dann, nur sichere DNS Server nehmen:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...

Nur Road Warior kein Site2Site

VPN IP Adress Design gilt natürlich auch dafür !!
Befindet sich der Road Warrior mal in einem Hotel WLAN mit der gleichen IP wie dein lokales LAN ists logischerweise aus mit dem VPN !
Einsprechende Road Warrior Konfig zum Abtippen findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Wenn ich per PD eine IP erhalte, dann kann ich die IPv4 lokaen Netzte so lassen.

Wie meinst du das... ???
PD gilt einzig und allein NUR für IPv6 IP Adressen ! IPv4 Adressen haben damit nichts zu tun. v4 und v6 sind 2 vollkommen getrennte Baustellen !

Wenn ich per PD eine IP erhalte, dann kann ich die IPv4 lokaen Netzte so lassen.

Wie meinst du das... ???
PD gilt einzig und allein NUR für IPv6 IP Adressen ! IPv4 Adressen haben damit nichts zu tun. v4 und v6 sind 2 vollkommen getrennte Baustellen !

Meine Sense hat ja 3 Interfaces, WAN und LAN1, LAN2. Ich wollte, falls es geht, die lokalen Netzte so belassen wie sie sind, also mit IPv4 Adrerssen, und das WAN Interface per PD erhält dann per dhcpv6 die ip6 Adresse. Oder geht das nicht?
Muss ich IPv6 auch in den lokaen Netzen LAN1,LAN2 nutzen und komplett auf IPv4 verzichten, um mit der unitymedia Fritzbox arbeiten zu können?

Ich wollte, falls es geht, die lokalen Netzte so belassen wie sie sind

WELCHE der "lokalen" Netze meinst du denn genau ??? Die IPv4 oder die IPv6 Netze ??
Wenn du hier schon von v4 und v6 sprichst dann sei doch bitte etwas genauer in deiner Beschreibung damit wir hier alle wissen worum es geht und dir zielführend helfen können !

Nochmal für dich zum Mitschreiben:
IPv4 Setup:
Hier ist alles wie gewohnt. Die beiden Segmente bekommen private RFC 1918 IP Adressen:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
nach deiner Wahl mit etwas "Adress Intelligenz" bei VPN Nutzung. (Siehe oben) die Netze werden über das WAN Interface per NAT (IP Adress Translation) ins Internet geroutet.
Simpler, banaler Standard also...
IPv6 Setup:
Bei IPv6 gibt es kein NAT. Die bekommst per PD vom Provider ein IPv6 Subnetz zugeteilt was du dann auf deine beiden Segmente LAN 1 und 2 mit einer /64er Maske weitergibst !
LAN 1 und LAN 2 haben also je ein öffentliches /64er IPv6 Subnetz was sie automatisch bekommen aus dem größeren Pool den du per PD vom Provider automatisch bekommst. Bei der T-Com ist das ein /56er Subnetz, das variiert aber bei anderen Providern ggf.
Guckst du auch hier:
https://service.avm.de/help/de/FRITZ-Box-7390-avme/012/hilfe_ipv6_introd ...
und hier
IPv6 "Einarbeitungsbastelei": Präfix Delegation Range für 48er Subnetz (Cisco AccessPoint hinter pfSense)
Fertisch...

Wie gesagt: IPv4 und IPv6 koexistieren zwar auf demselben Draht, sind aber von der Adresseinrichtung 2 unterschiedliche Baustellen, da sie andere Verfahren nutzen.

Zitat von @aqui:

Ich wollte, falls es geht, die lokalen Netzte so belassen wie sie sind

WELCHE der "lokalen" Netze meinst du denn genau ??? Die IPv4 oder die IPv6 Netze ??

OK, Sorry für meine Ungenaugikeit. Ich meinte natürlich die IPv4!! Und zwar folgender Aufbau:

LAN1
1. PASS Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY

LAN2
2. BLOCK Source: Drucker, Port:ANY --> Destination: ANY, Port: ANY
3. BLOCK Source: LAN2_net, Port:ANY --> Destination: LAN1_net, Port:ANY
4. PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: ANY

Den wollte ich so lassen. Es können also beide parallet Existieren? Das meinte ich.

IPv6 Setup:
Bei IPv6 gibt es kein NAT. Die bekommst per PD vom Provider ein IPv6 Subnetz zugeteilt was du dann auf deine beiden Segmente LAN 1 und 2 mit einer /64er Maske weitergibst !
LAN 1 und LAN 2 haben also je ein öffentliches /64er IPv6 Subnetz was sie automatisch bekommen aus dem größeren Pool den du per PD vom Provider automatisch bekommst. Bei der T-Com ist das ein /56er Subnetz, das variiert aber bei anderen Providern ggf.

OK, sagen wir ich habe jetzt per PD ein IPv6 Subnetz erhalten. Was muss ich jetzt zusätzlich in der Firewall Regel ändern, das wie oben, LAN2 nicht ins LAN1 darf, und der Drucker auch nirgends raus kann.
Einfach nur anstatt IP4 jetzt (IP4/IP6) in der sense FW-Regel auswählen, und die IPv6 für den Drucker noch zusätzlich als alias erstellen, und eine zusätzliche Regel für den Drucker-ip6?
Ich weiß ehrlich gesagt aber auch nicht ob die Nezwerkkarte des Druckers IPv6 untertützt. Falls ja, ich diese aber im Drucker nicht statisch festlegen kann, wie sorge ich dafür das die IPv6 immer gleich belibt, da ich ja im LAN1 und LAN2 den DHCP Server aktiviert habe?

Ja, du musst auch entsprechend den Traffic für IPv6 regeln. In der Firewall kannst du das ja explizit auswählen für welche Protokoll Adress Family das gelten soll !

Es sei denn du hast da ausgewählt das die Regel für v4+v6 gelten soll ?!

Ich weiß ehrlich gesagt aber auch nicht ob die Nezwerkkarte des Druckers IPv6 untertützt.

Das wissen wir ja hier alle im Forum auch nicht, da du ja noch nicht einmal das Modell genannt hast. Ist aber auch egal, denn ein Blick ins Handbuch oder ins Datenblatt hätte dir diese Frage sofort beantwortet !

Falls ja, ich diese aber im Drucker nicht statisch festlegen kann, wie sorge ich dafür das die IPv6 immer gleich belibt

Das kannst du nicht, denn du bekommst ja zyklisch per PD wechselnde Netze vom Provider zugeteilt ob du willst oder nicht. Die Adress Anonymisierung bei v6 sorgt dann auch noch das die sich selber nochmal ändert.
Du kannst also nur ganz grobe Regelwerke für IPv6 festlegen da du als PD Kunde keinerlei Einfluss auf deine Adressierung nehmen kannst sofern du eine aktive IPv6 Internetverbindung haben willst.

Das ist aber schlecht. Wie kann ich dann sicher dafür sorgen das der Drucker, ins LAN1 kann. D.h. ich kann dann auch keine aliase für den Drucker, NAS usw. für IPv6 fest legen. Da hilft dann wahrscheinlich nur ein eigenes Netz je Gerät? Nur ich nur 3 NICs... oder IP6 für diese Geräte deaktivieren, falls es geht.