23
PFsense am DS-LITE Anschluss - fast geschafft, oder?
Hallo zusammen, ich versuche eine pfsense an einem 1und-Anschuss (ds-lite) zum Laufen zu bekommen.
Habe mich in den letzten Tagen mit Hilfe diverser Beiträge aus diesem und anderen Foren durch die Einrichtung gekämpft. Jetzt bin ich an einem Punkt angelangt, an dem ich nicht mehr weiter weiß.
Ich habe einen 100Mbit Anschluss bei 1und1, der auf ds-lite gestellt ist.
Nach einigem hin und her, habe ich mir einen DrayTek Vigor167 zugelegt und angeschlossen, ohne etwas an dessen Config zu ändern.
Die Sense habe ich wie folgt eingestellt:
WAN:
LAN:
DHCPv6:
Von den Rechnern, deren Gateway auf 10.0.10.1 eingestellt ist, kann ich nicht Pingen. (Zielhost nicht gefunden)
Wenn ich aus der Sense heraus google.de anpinge, funktioniert es, wenn ich die Source-Addresse auf Auto stehen lasse. Wenn ich auf LAN stelle, geht es nicht. Auf WAN geht es, auf LANv6 geht es auch.
Eine zusätzliche Info habe ich noch. Die ACT-LED blinkt am Router. DSL leuchtet dauerhaft (das signalisiert: Alles OK).
Auf dem Dashboart ist WAN grün (Pfeil) eine IPv6 Adresse ist da aber die UP-Time zeigt nichts (Strich).
Bei LAN steht die 10.0.10.1 und die IPv6 Adresse der WAN-Schnittstelle.
Habe bestimmt etwas Dummes vergessen, stimmst?
Vielleicht kann mir jemand einen Hinweis geben, wo ich noch etwas stellen kann.
Viele Grüße
Chris
Habe mich in den letzten Tagen mit Hilfe diverser Beiträge aus diesem und anderen Foren durch die Einrichtung gekämpft. Jetzt bin ich an einem Punkt angelangt, an dem ich nicht mehr weiter weiß.
Ich habe einen 100Mbit Anschluss bei 1und1, der auf ds-lite gestellt ist.
Nach einigem hin und her, habe ich mir einen DrayTek Vigor167 zugelegt und angeschlossen, ohne etwas an dessen Config zu ändern.
Die Sense habe ich wie folgt eingestellt:
WAN:
LAN:
DHCPv6:
Von den Rechnern, deren Gateway auf 10.0.10.1 eingestellt ist, kann ich nicht Pingen. (Zielhost nicht gefunden)
Wenn ich aus der Sense heraus google.de anpinge, funktioniert es, wenn ich die Source-Addresse auf Auto stehen lasse. Wenn ich auf LAN stelle, geht es nicht. Auf WAN geht es, auf LANv6 geht es auch.
Eine zusätzliche Info habe ich noch. Die ACT-LED blinkt am Router. DSL leuchtet dauerhaft (das signalisiert: Alles OK).
Auf dem Dashboart ist WAN grün (Pfeil) eine IPv6 Adresse ist da aber die UP-Time zeigt nichts (Strich).
Bei LAN steht die 10.0.10.1 und die IPv6 Adresse der WAN-Schnittstelle.
Habe bestimmt etwas Dummes vergessen, stimmst?
Vielleicht kann mir jemand einen Hinweis geben, wo ich noch etwas stellen kann.
Viele Grüße
Chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41540519709
Url: https://administrator.de/contentid/41540519709
Printed on: April 27, 2024 at 21:04 o'clock
23 Comments
Latest comment
Moin,
kurze Frage am Rande....warum hast Du im LAN die MTU auf 1280 begrenzt?
Lösch den Wert mal raus.....
Gruß
Looser
kurze Frage am Rande....warum hast Du im LAN die MTU auf 1280 begrenzt?
Lösch den Wert mal raus.....
Gruß
Looser
Moment, ich versuche es mal. Den Wert hatte ich aus der FB. Der stand ausgegraut in dem Feld, in dem man manuell den MTU-Wert eintragen kann.
Hat leider nichts gebracht. Unter Status steht der WAN_PPPOE auf Pending.
Der WAN_DHCP6 steht auf online.
Der WAN_DHCP6 steht auf online.
Deaktiviere auf der WAN Schnittstelle mal zum Test IPv6. Wenn es dann läuft, weißt Du wo Du ansetzen musst.
Btw....der MTU Wert, den Du hier, wenn überhaupt setzen musst, wäre der aus dem Draytek. Bei mir läuft das in identischer Kombo ohne Vorgaben problemlos (allerdings ohne IPv6).
Btw....der MTU Wert, den Du hier, wenn überhaupt setzen musst, wäre der aus dem Draytek. Bei mir läuft das in identischer Kombo ohne Vorgaben problemlos (allerdings ohne IPv6).
Das ging auch nicht. Ich glaube durch das ds-lite gibt es ja nur noch ne ipv6 Adresse. Ich würde aber ungern bei 1und1 betteln, dass sie meinen Anschluss auf Dual Stack umstellen.
Was ich aber gerade gesehen hab, die Firewall blockiert fleißig.
Firewall Loks:
interface igc0 (WAN) Block traffic from port 0
Source: 0.0.0.0
Destination: 255.255.255.xxxx
Protokoll: UDP
Da stimmt doch was nicht.
Was ich aber gerade gesehen hab, die Firewall blockiert fleißig.
Firewall Loks:
interface igc0 (WAN) Block traffic from port 0
Source: 0.0.0.0
Destination: 255.255.255.xxxx
Protokoll: UDP
Da stimmt doch was nicht.
Setze im LAN mal eine Any/Any-Regel damit erstmal alles raus geht. WICHTIG: Die Regel muss nach ganz oben in die Liste, denn first-match-wins.... 
@Looser27 hast Du auch ds-lite an deinem Anschluss?
Wenn ja, könnten wir die Grundeinstellungen mal vergleichen?
Natürlich nur, wenn Du Lust und Zeit hast.
Habe jetzt gesehen, das der DNS Resover an war. Weiß nicht, ob das nötig ist und habe ihn ausgeschaltet. Gab keine Veränderung. Traffic wird immer noch geblockt.
Wenn ja, könnten wir die Grundeinstellungen mal vergleichen?
Natürlich nur, wenn Du Lust und Zeit hast.
Habe jetzt gesehen, das der DNS Resover an war. Weiß nicht, ob das nötig ist und habe ihn ausgeschaltet. Gab keine Veränderung. Traffic wird immer noch geblockt.
Ich habe zwar auch einen 1&1 Anschluss, allerdings klassisch mit IPv4-Adresse.....
Hast Du am Draytek irgendwas eingestellt?
Hast Du am Draytek irgendwas eingestellt?
Nein, den hab ich aus der Verpackung gleich so angeschlossen. Das habe ich in einem Beitrag so gelesen.
Sorry, bin lange raus mit der Konfiguration einer Sense. Für WAN gibt es doch keine Regel, die es LAN ins Internet erlaubt, oder? Mich irritieren diese Blockings auf dem WAN Interface.
Sorry, bin lange raus mit der Konfiguration einer Sense. Für WAN gibt es doch keine Regel, die es LAN ins Internet erlaubt, oder? Mich irritieren diese Blockings auf dem WAN Interface.
In der leeren Konfig der pfSense gibt es die Anti-Lockout-Rule und eine Any/Any-Regel (?).
Ansonsten setz die pfSense doch nochmal auf Werkseinstellung zurück und beginne von vorn.
Ansonsten setz die pfSense doch nochmal auf Werkseinstellung zurück und beginne von vorn.
Ich glaube, dass ist das Beste. Vielleicht habe ich schon zu viel rumprobiert.
Melde mich dann wieder.
Viele Grüße und vor allem vielen Dank für deine Hilfe bis hierher.
Melde mich dann wieder.
Viele Grüße und vor allem vielen Dank für deine Hilfe bis hierher.
Habe mal alles auf Werkseinstellungen zurückgesetzt - leider ohne Erfolg.
Der Ping von einem Rechner durch die PFsense auf 8.8.8.8:
4 gesendet, 4 empfangen, 0 verloren aber der Zielhost ist nicht erreichbar. Der Rechner sagt komischerweise, dass er mit dem Internet verbunden ist??? WAN Traffic liegt nur bei 100bit gelegentlich geht er auf 200bit hoch. Hab gelesen, das ist der Traffic-Graph.
Gateway Status:
Da gibt es zwei???
Einmal WAN_PPPOE - dieser steht auf Pending
Der zweite ist WAN_DHCP6 (Default) - der steht auf Online.
Sagt das jemandem etwas?
Der Ping von einem Rechner durch die PFsense auf 8.8.8.8:
4 gesendet, 4 empfangen, 0 verloren aber der Zielhost ist nicht erreichbar. Der Rechner sagt komischerweise, dass er mit dem Internet verbunden ist??? WAN Traffic liegt nur bei 100bit gelegentlich geht er auf 200bit hoch. Hab gelesen, das ist der Traffic-Graph.
Gateway Status:
Da gibt es zwei???
Einmal WAN_PPPOE - dieser steht auf Pending
Der zweite ist WAN_DHCP6 (Default) - der steht auf Online.
Sagt das jemandem etwas?
ohne etwas an dessen Config zu ändern.
Das kann ja so niemals funktionieren, denn zumindestens das VLAN Tagging was dein Provider im VDSL fordert musst du dort einstellen!https://idomix.de/supervectoring-draytek-vigor-165-als-modem-einrichten
https://www.youtube.com/watch?v=hMWVMd8-SYE
Der Ping von einem Rechner durch die PFsense auf 8.8.8.8:
Das ist auch nicht sinnvoll so zu testen.Besser ist über das "Diagnostics" Menü den Ping auszuführen indem du deinen WAN Port als Source IP auswählst.
So ist sichergestellt das deine WAN IP als Absender IP agiert. Das macht natürlich nur dann Sinn wenn du an der Firewall überhaupt eine IPv4 und auch eine IPv6 vom Provider bekommen hast.
Ansonsten scheitert ja schon deine PPPoE Adress Negotiation mit dem Provider.
Deine PPPoE Konfig mit deinen VDSL Zugangs Credentials fehlt oben bei den Screenshots völlig!
Hallo aqui, danke, dass Du dich hier einklinkst. 
Also das Modem läuft auf VLan 7.
Wenn ich WAN auf der Firewall als Source wähle, dann geht der Ping erfolgreich Richtung google.de.
Also hat die Sense doch Internet, oder?
Also das Modem läuft auf VLan 7.
Wenn ich WAN auf der Firewall als Source wähle, dann geht der Ping erfolgreich Richtung google.de.
Also hat die Sense doch Internet, oder?
Achso, PPPOE wollt ich nicht veröffentlichen, weil da nur der User mit dem H davor und das Password eingetragen ist. Das H sollte für VDSL2 passen. Die Leitungen sind von der Telekom. Jedenfalls rücken die immer an, wenn es einen Defekt gibt.
Achso, PPPOE wollt ich nicht veröffentlichen
Na ja, wenn man einmal etwas intelligent nachdenkt kann man sowas auch anonymisiert hier posten.Also das Modem läuft auf VLan 7
Ist die Frage ob dein 1&1 Anschluss das auch so verwendet? 1&1 ist ja in erster Linie billiger Wiederverkäufer von bestehenden Provideranschlüssen und dort können die Tags variieren. Siehe bei dir Telekom.Aber da du ja pingen kannst ist das alles kein Thema mehr, dann ist die Providerverbindung in der Tat OK!
Wenn ich WAN auf der Firewall als Source wähle, dann geht der Ping erfolgreich Richtung google.de.
Perfekt! 👍 Zeigt dann das deine Modem/Providerverbindung auf der Firewall sauber rennt.Frage die noch offen bleibt:
Hast du eine nackte IP gepingt wie 8.8.8.8 oder gleich einen Hostnamen wie www.heise.de ?
Wenn letzteres auch klappt zeigt das zusätzlich das deine DNS Auflösung auch sauber funktioniert.
Dann liegt der fehler also NICHT an der 1&1 Verbindung sondern an deinem Firewall Setup.
Eigentlich komisch, denn die Firewall funktioniert schon so mit den Default Settings ohne das überhaupt etwas eingestellt werden muss.
Wenn das wie oben beschrieben so alles über den WAN Port klappt, dann teste das alles mal von einem Client im LAN aus:
- Ping des pfSense LAN Interfaces
- Ping 8.8.8.8
- Ping www.heise.de
Wenn es nur Letzteres ist dann ist deine DNS Konfig falsch. Ggf. solltest du die nochmal nochmal checken. Siehe dazu hier.
Hallo aqui, vielen Dank für's kümmern.
Du hast natürlich Recht, die Mühe mit der Anonymisierung hätte ich mir schon noch machen können. Dachte wirklich, ist nicht so wichtig.
Ping aus der Sense (WAN als Source):
google.de = Ok
8.8.8.8 = Nicht OK
(3 gesendet, 0 empfangen, 100% verloren)
Also Ping-Resultate vom Rechner im LAN:
Zur Sense (10.0.10.1) geht.
Auf 8.8.8.8 = Nicht OK
(3 gesendet, 3 empfangen, verloren 0 aber Zielhost nicht erreichbar)
Auf www heiße.de oder www google.de kam folgendes:
Png-Anforderung konnte Host www.google.de nicht finden. Überprüfen Sie den Namen , und versuchen Sie es erneut.
Du hast natürlich Recht, die Mühe mit der Anonymisierung hätte ich mir schon noch machen können. Dachte wirklich, ist nicht so wichtig.
Ping aus der Sense (WAN als Source):
google.de = Ok
8.8.8.8 = Nicht OK
(3 gesendet, 0 empfangen, 100% verloren)
Also Ping-Resultate vom Rechner im LAN:
Zur Sense (10.0.10.1) geht.
Auf 8.8.8.8 = Nicht OK
(3 gesendet, 3 empfangen, verloren 0 aber Zielhost nicht erreichbar)
Auf www heiße.de oder www google.de kam folgendes:
Png-Anforderung konnte Host www.google.de nicht finden. Überprüfen Sie den Namen , und versuchen Sie es erneut.
Wenn ich Sense Ping anstelle des Hostnamens eine IPv6 Adresse eingebe, im Protokoll IPv6 einstelle und als Source WAN nehme geht es auch. Das Ganze in IPv4 geht, wie oben geschrieben, nicht.
Das bedeutet du hast nur eine reine IPv6 Connectivity aber keine IPv4 Connectivity.
Alles also was du per IPv6 erreichen kannst und auch DNS auflösbar ist in IPv6 Zieladressen funktioniert.
Du hast nur keine IPv4 Connectivity. Das siehst du daran das du keinerlei IPv4 Zieladressen im Internet pingen kannst.
Bekommst du eine RFC 1918 oder RFC 6598 (100.64er) IPv4 am WAN Port??
Ansonsten mal googeln. Zu der Thematik gibt es viele Threads im Netz und in der pfSense Knowledgebase:
https://forum.netgate.com/topic/169251/pfsense-ds-lite-1-1
Besonders der hier und das dort beschriebene GIF Interface (GRE Tunnel) was den internen IPv4 Tunnel realisiert bei DS-Lite:
https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html
Ein realer Telekom Anschluss wäre deutlich stressfreier gewesen als die DS-Lite Frickelei mit dem 1&1 Billigheimer...
Alles also was du per IPv6 erreichen kannst und auch DNS auflösbar ist in IPv6 Zieladressen funktioniert.
Du hast nur keine IPv4 Connectivity. Das siehst du daran das du keinerlei IPv4 Zieladressen im Internet pingen kannst.
Bekommst du eine RFC 1918 oder RFC 6598 (100.64er) IPv4 am WAN Port??
Ansonsten mal googeln. Zu der Thematik gibt es viele Threads im Netz und in der pfSense Knowledgebase:
https://forum.netgate.com/topic/169251/pfsense-ds-lite-1-1
Besonders der hier und das dort beschriebene GIF Interface (GRE Tunnel) was den internen IPv4 Tunnel realisiert bei DS-Lite:
https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html
Ein realer Telekom Anschluss wäre deutlich stressfreier gewesen als die DS-Lite Frickelei mit dem 1&1 Billigheimer...
Das DS-Thema scheint bei 1&1 neu zu sein, denn an meinem (alten) 1&1 Anschluss rennt das über IPv4 problemlos.
1
🤣🤣 Das stimmt wohl. Hab gestern Nachmittag die Umstellung auf Dual Stack beantragt. Jetzt hatte ich kurz wieder Hoffnung, dass man es doch hinbekommen kann.
Das mit dem GIF-Tunnel hatte ich auch gelesen, aber nicht weiter verfolgt. Muss ich nachher mal versuchen.
Hab jetzt einen 2-3 Stunden Termin. Danach gehe ich gleich wieder ans Werk.
Bis gleich und Danke für die Hilfe.
@Looser27 - bis 2022 als ich aus den USA zurück kam, hatte meine alte Sense mit ipv4 noch funktioniert. Dann Hardware abgeraucht, erst Mal ohne Sense weiter und jetzt halt das böse Erwachen mit ds-lite. 🙈
Das mit dem GIF-Tunnel hatte ich auch gelesen, aber nicht weiter verfolgt. Muss ich nachher mal versuchen.
Hab jetzt einen 2-3 Stunden Termin. Danach gehe ich gleich wieder ans Werk.
Bis gleich und Danke für die Hilfe.
@Looser27 - bis 2022 als ich aus den USA zurück kam, hatte meine alte Sense mit ipv4 noch funktioniert. Dann Hardware abgeraucht, erst Mal ohne Sense weiter und jetzt halt das böse Erwachen mit ds-lite. 🙈
Was ich bei dem GIF Interface nicht verstehe, sind die IP Einträge.
Speziell diese Remote Adresse:
Zitat aus der Anleitung:
Die “Remote Address” ist die DNS-Auflösung von aftr.prod.m-online.net (siehe Zugangsdaten oben) — trägt man hier einen DNS-Namen ein, kommt die Fehlermeldung:
Hat er da seinen User- Accountnamen aufgelöst?
Speziell diese Remote Adresse:
Zitat aus der Anleitung:
Die “Remote Address” ist die DNS-Auflösung von aftr.prod.m-online.net (siehe Zugangsdaten oben) — trägt man hier einen DNS-Namen ein, kommt die Fehlermeldung:
Hat er da seinen User- Accountnamen aufgelöst?
Hallo zusammen, hatte kurz Kontakt mit dem Kundenservice über das 1und1 Kundenforum und per Email. Kurz erklärt, wo der Schuh drückt und schon habe ich wieder Dual Stack und damit eine IPv4 Adresse.
Vielen Dank noch mal für eure Mühe und euer Arrangement. Immer wieder cool, wie unkompliziert man hier Hilfe bekommt. Bestes Forum. 👍
Vielen Dank noch mal für eure Mühe und euer Arrangement. Immer wieder cool, wie unkompliziert man hier Hilfe bekommt. Bestes Forum. 👍
