Konfiguration einer pfSense am Deutsche Giganetz MyNet 600

Jung-Fernmelder

Hoch geschätztes Netgate-Forum!

Die Deutsche Giganetz hat dem X eine FTTH-Glasfaser gelegt und auf diese den Tarif MyNet 600 geschaltet. Aufgrund diverser Limitierungen der im Tarif enthaltenen AVM FRITZ!Box hat der X entschieden, als IAD eine pfSense zu nutzen, zumal er an diese aus mehreren anderen Umfeldern bereits gewöhnt ist. Die Aufgabe des Themenerstellers ist die Konfiguration der pfSense.

Der Themenersteller hat die Konfiguration der pfSense vorgenommen und es tritt noch ein Fehler auf. Die Verbindung ist ausgesprochen unzuverlässig. Nach dem Hochfahren der pfSense wird eine Verbindung aufgebaut, jedoch lassen sich nicht alle Internetseiten nutzen. Zeitweise sind überhaupt keine Verbindungen ins Internet möglich; zeitweise fällt nur IPv6, zeitweise fallen nur der AFTR und somit IPv4-Verbindungen aus. Aus Sicht des Themenerstellers ist dieses Verhalten unvorhersehbar. Die Ursache sucht er in der Konfiguration der pfSense, da dieses Verhalten bei Nutzung der bereitgestellten AVM FRITZ!Box nicht aufgetreten ist.

Die Konfiguration der pfSense ist wie folgt gestaltet:

Jung-Fernmelder

This post is deleted!

Jung-Fernmelder

Dies sind Konfigurationseinstellungen und keim Spam.

Jung-Fernmelder

Anmerkung zum ersten Screenshot: Manchmal haben alle drei Gateways eine Verbindung ins Internet; manchmal ist eines der beiden AFTRs oder auch beide offline. Manchmal ist eben, wie gezeigt, keines der Gateways online.
Alle hier nicht gezeigten Einstellungen habe ich entweder auf der Voreinstellung belassen oder halte sie für nicht relevant.
Das Netzwerk wird in vier LANs für vier Verwendungszwecke unterteilt. Die Konfigurationen von LAN1, LAN2 und LAN3 sind entsprechend zu der von LAN0 und werden daher nicht gezeigt.
Diese IP-Adressen werden einem Rechner zugewiesen, den man an die LAN0-Schnittstelle direkt oder über ein Switch anschließt:

Und hier die Ausgabe von ifconfig:

Shell Output - ifconfig

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
description: LAN1
options=82098<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
ether 00:censored
inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
inet6 fe80::censored%re0 prefixlen 64 scopeid 0x1
inet6 fe80::1:1%re0 prefixlen 64 scopeid 0x1
inet6 2a01:41e3:xxxx:xxx1:213:3bff:fe0f:d93c prefixlen 64
media: Ethernet autoselect (none)
status: no carrier
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
description: LAN2
options=82098<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
ether 00:censored
inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
inet6 fe80::censored%re1 prefixlen 64 scopeid 0x2
inet6 fe80::1:1%re1 prefixlen 64 scopeid 0x2
inet6 2a01:41e3:xxxx:xxx2:213:3bff:fe0f:d93d prefixlen 64
media: Ethernet autoselect (none)
status: no carrier
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
re2: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
description: LAN0
options=82098<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
ether 00:censored
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::censored%re2 prefixlen 64 scopeid 0x3
inet6 fe80::1:1%re2 prefixlen 64 scopeid 0x3
inet6 2a01:41e3:xxxx:xxx0:223:54ff:fe61:2278 prefixlen 64
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
bge0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
ether 00:censored
media: Ethernet autoselect
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
re3: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
options=82099<RXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
ether 0c:censored
inet6 fe80::censored%re3 prefixlen 64 scopeid 0x5
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
description: LAN3
options=2008<VLAN_MTU,WOL_MAGIC>
ether 00:censored
inet 192.168.3.1 netmask 0xffffff00 broadcast 192.168.3.255
inet6 fe80::censored%rl0 prefixlen 64 scopeid 0x6
inet6 fe80::1:1%rl0 prefixlen 64 scopeid 0x6
inet6 2a01:41e3:xxxx:xxx3:250:baff:febb:9c2d prefixlen 64
media: Ethernet autoselect (none)
status: no carrier
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
enc0: flags=0 metric 0 mtu 1536
options=0
groups: enc
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
lo0: flags=1008049<UP,LOOPBACK,RUNNING,MULTICAST,LOWER_UP> metric 0 mtu 16384
options=680003<RXCSUM,TXCSUM,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
inet 127.0.0.1 netmask 0x0
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x8
groups: lo
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
pflog0: flags=100<PROMISC> metric 0 mtu 33152
options=0
groups: pflog
pfsync0: flags=0 metric 0 mtu 1500
options=0
maxupd: 128 defer: off version: 1400
syncok: 1
groups: pfsync
re3.7: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
options=80000<LINKSTATE>
ether 0c:censored
inet6 fe80::censored%re3.7 prefixlen 64 scopeid 0xb
groups: vlan
vlan: 7 vlanproto: 802.1q vlanpcp: 0 parent interface: re3
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
pppoe0: flags=10088d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1492
description: Fiber_DGN
options=0
inet6 fe80::censored%pppoe0 prefixlen 64 scopeid 0xc
inet6 2a01:41e3:4000::1:xxxx prefixlen 128 pltime 86400 vltime 86400
nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>
gif0: flags=1008051<UP,POINTOPOINT,RUNNING,MULTICAST,LOWER_UP> metric 0 mtu 1412
description: AFTR3_DGN
options=80000<LINKSTATE>
tunnel inet6 2a01:41e3:4000::1:xxxx --> 2a01:41e3:ffff:cafe:face::3
inet 192.0.0.2 --> 192.0.0.1 netmask 0xfffffff8
inet6 fe80::censored%gif0 prefixlen 64 scopeid 0xd
groups: gif
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
gif1: flags=1008051<UP,POINTOPOINT,RUNNING,MULTICAST,LOWER_UP> metric 0 mtu 1412
description: AFTR2_DGN
options=80000<LINKSTATE>
tunnel inet6 2a01:41e3:4000::1:xxxx --> 2a01:41e3:ffff:cafe:face::2
inet 192.0.0.2 --> 192.0.0.1 netmask 0xfffffff8
inet6 fe80::censored%gif1 prefixlen 64 scopeid 0xe
groups: gif
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

PPP-Log nach circa einer halben Stunde Betrieb:

Aug 20 13:34:04 	ppp 	16625 	[wan] IFACE: Up event
Aug 20 13:34:04 	ppp 	16625 	[wan] IFACE: Rename interface ng0 to pppoe0
Aug 20 13:34:04 	ppp 	16625 	[wan] IFACE: Add description "Fiber_DGN"
Aug 20 13:34:01 	ppp 	16625 	[wan_link0] CHAP: rec'd SUCCESS #169 len: 4
Aug 20 13:34:01 	ppp 	16625 	[wan_link0] LCP: authorization successful
Aug 20 13:34:01 	ppp 	16625 	[wan_link0] Link: Matched action 'bundle "wan" ""'
Aug 20 13:34:01 	ppp 	16625 	[wan_link0] Link: Join bundle "wan"
Aug 20 13:34:01 	ppp 	16625 	[wan] Bundle: Status update: up 1 link, total bandwidth 64000 bps
Aug 20 13:34:01 	ppp 	16625 	[wan] IPCP: Open event
Aug 20 13:34:01 	ppp 	16625 	[wan] IPCP: state change Initial --> Starting
Aug 20 13:34:01 	ppp 	16625 	[wan] IPCP: LayerStart
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: Open event
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: state change Initial --> Starting
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: LayerStart
Aug 20 13:34:01 	ppp 	16625 	[wan] IPCP: Up event
Aug 20 13:34:01 	ppp 	16625 	[wan] IPCP: state change Starting --> Req-Sent
Aug 20 13:34:01 	ppp 	16625 	[wan] IPCP: SendConfigReq #1
Aug 20 13:34:01 	ppp 	16625 	[wan] IPADDR 0.0.0.0
Aug 20 13:34:01 	ppp 	16625 	[wan] COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: Up event
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: state change Starting --> Req-Sent
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: SendConfigReq #1
Aug 20 13:34:01 	ppp 	16625 	[wan_link0] LCP: rec'd Protocol Reject #245 (Opened)
Aug 20 13:34:01 	ppp 	16625 	[wan_link0] LCP: protocol IPCP was rejected
Aug 20 13:34:01 	ppp 	16625 	[wan] IPCP: protocol was rejected by peer
Aug 20 13:34:01 	ppp 	16625 	[wan] IPCP: state change Req-Sent --> Stopped
Aug 20 13:34:01 	ppp 	16625 	[wan] IPCP: LayerFinish
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: rec'd Configure Request #148 (Req-Sent)
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: SendConfigAck #148
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: state change Req-Sent --> Ack-Sent
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: rec'd Configure Ack #1 (Ack-Sent)
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: state change Ack-Sent --> Opened
Aug 20 13:34:01 	ppp 	16625 	[wan] IPV6CP: LayerUp
Aug 20 13:34:01 	ppp 	16625 	[wan] xxxx:xxxx:xxxx:xxxx -> xxxx:xxxx:xxxx:xxxx
Aug 20 13:34:00 	ppp 	16625 	PPPoE: rec'd ACNAME "mx.fra4"
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] PPPoE: connection successful
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] Link: UP event
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: Up event
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: state change Starting --> Req-Sent
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: SendConfigReq #1
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] PROTOCOMP
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] MRU 1492
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] MAGICNUM 0x55d1470b
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: rec'd Configure Request #244 (Req-Sent)
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] MRU 1492
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] AUTHPROTO CHAP MD5
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] MAGICNUM 0x763262fe
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: SendConfigAck #244
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] MRU 1492
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] AUTHPROTO CHAP MD5
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] MAGICNUM 0x763262fe
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: state change Req-Sent --> Ack-Sent
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: rec'd Configure Ack #1 (Ack-Sent)
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] PROTOCOMP
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] MRU 1492
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] MAGICNUM 0x55d1470b
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: state change Ack-Sent --> Opened
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: auth: peer wants CHAP, I want nothing
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] LCP: LayerUp
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] CHAP: rec'd CHALLENGE #169 len: 31
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] Name: "JUNOS"
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] CHAP: Using authname "Pxxxxxxx@dgn.digital"
Aug 20 13:34:00 	ppp 	16625 	[wan_link0] CHAP: sending RESPONSE #169 len: 41
Aug 20 13:33:53 	ppp 	16625 	[wan_link0] Link: reconnection attempt 1
Aug 20 13:33:53 	ppp 	16625 	[wan_link0] PPPoE: Connecting to ''
Aug 20 13:33:50 	ppp 	16625 	[wan_link0] PPPoE connection timeout after 9 seconds
Aug 20 13:33:50 	ppp 	16625 	[wan_link0] Link: DOWN event
Aug 20 13:33:50 	ppp 	16625 	[wan_link0] LCP: Down event
Aug 20 13:33:50 	ppp 	16625 	[wan_link0] Link: reconnection attempt 1 in 3 seconds
Aug 20 13:33:41 	ppp 	16625 	Multi-link PPP daemon for FreeBSD
Aug 20 13:33:41 	ppp 	16625 	process 16625 started, version 5.9
Aug 20 13:33:41 	ppp 	16625 	web: web is not running
Aug 20 13:33:41 	ppp 	16625 	[wan] Bundle: Interface ng0 created
Aug 20 13:33:41 	ppp 	16625 	[wan_link0] Link: OPEN event
Aug 20 13:33:41 	ppp 	16625 	[wan_link0] LCP: Open event
Aug 20 13:33:41 	ppp 	16625 	[wan_link0] LCP: state change Initial --> Starting
Aug 20 13:33:41 	ppp 	16625 	[wan_link0] LCP: LayerStart
Aug 20 13:33:41 	ppp 	16625 	[wan_link0] PPPoE: Connecting to '' 

Das DHCP-Log ist zu lang, um es hier komplett zu veröffentlichen. Eine Meldung tritt häufig auf:

Aug 20 13:55:03 	kea-dhcp6 	87926 	WARN [kea-dhcp6.dhcpsrv.0x2bd53fa12000] DHCPSRV_LEASE_SANITY_FAIL The lease 2a01:41e3:xxxx:xxx0::1000 with subnet-id 1 failed subnet-id checks (the lease IP address did not belong to a configured subnet). 

Es wäre super, wenn mir jemand mitteilen könnte, welche Einstellung (-en) ich falsch vorgenommen habe und wie ich die zu korrigieren habe.
Tatsächlich habe ich mir überlegt, ob ich diesen Beitrag im Glasfaser oder im Netgate-Forum veröffentliche und habe mich zuerst dazu entschieden, ihn im Glasfaserforum zu veröffentlichen, da es hier eher darum geht, die korrekten Einstellungen für einen konkreten Glasfaser-Anbieter zu finden als um pfSense.
Dort erhielt ich die Anregung das Monitoring auszuschalten und mich auf einen GIF-Tunnel zu einem AFTR zu beschränken. Beides zu keinen Änderungen am Verhalten geführt. Weiter wurde die Idee geäußert, man könne beim ISP die kostenpflichtige Option Dual Stack buchen. Ferner wurde darauf hingewiesen, dass es bei diesem konkreten ISP eine Zwangstrennung gibt und ein Nutzer hat mitgeteilt, er betreibe ein seit rund zwei Wochen fehlerfrei laufendes Setup mit dem Deutsche Giganetz MyNet 600 mit Dual Stack und einer OPNsense 24.7.1.
Ich hoffe, dass doch noch die Anregung geäußert werden wird, die zum Ziel führen wird. Habt eine gute Zeit! Ich freue mich darauf, gemeinsam mit Ihnen die korrekte Konfiguration zu erarbeiten.

Mit freundlichen Grüßen

Jung-Fernmelder

eagle61

@Jung-Fernmelder

Hallo Jung-Fernmelder,

warum zwei GIF's für AFTR sollte eines reichen!?
Siehe dazu: https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html

Die WAN - DHCP6 Client Configuration sollte meiner Meinung nach so aussehen:

Wobei ich nicht weiß ob 56 bei deinem ISP der richtige Wert für den Präfix ist. Wenn die FB noch vorhanden ist, einfach die FB noch mal anschließen und den korrekten Wert der FritzBox entnehmen. DIe zeigt den an.

Jung-Fernmelder

@eagle61 Vielen Dank für die pfeilschnelle Rückmeldung.
Das zweite war als Failover konzipiert. Dein impliziter Verbesserungsvorschlag wurde bereits im Glasfaserforum geäußert, von mir umgesetzt und es war keine Veränderung des Verhaltens erkennbar.
Deine WAN-DHCPv6-Konfiguration werde ich zeitnah testen.
Die Präfixlänge von 56 Bit habe ich aus der support.txt der AVM FRITZ!Box ausgelesen. Allerdings spielte es bei meinen Tests auch keine Rolle, welchen Wert man in der pfSense unter "DHCPv6 Prefix Delegation size" einträgt und ob man den Haken bei "Send IPv6 prefix hint" setzt oder nicht - dieser ISP weist unabhängig dieser Parameter stets ein 56er-Präfix zu.

eagle61

@Jung-Fernmelder

Also ich bin erst vor zwei Monaten von einer IPFire zur pfsense gewechselt. Dazu hatte ich dann übergangsweise wieder eine bereits ausgemusterte FritzBox hervorgeholt und sowohl IPFire wie auch pfsense parallell hinter der FB angeschlossen.

Als ich die Migration dann beendet hatte und die pfsense die IPFire vollständig ersetzen konnte, habe ich die FB wieder entfernt und durhc ein Modem ersetzt.

Während der Übergangsphase bezog die FB den 56er Präfix vom ISP. Die pfsense konnte daher von der FB nur einen 57er Präfix beziehen. Nach dem Austausch FB gegen Modem hatte ich zunächst übersehen in der pfsense die DHCPv6 Prefix Delegation size von 57 auf 56 zu ändern. In der Folge hatte ich zunächst ziemlich genau die Probleme, die du nun auch hast.

Daher scheint es meiner Ansicht nach nicht egal zu sein was man einträgt. Es sollte dem entsprechen was der ISP erwartet, bzw. bereitstellt. Notfalls bei Deutsche Giganetz nachfragen.

Zudem fordert die FritzBox nicht automatisch einen IPv6-Präfix an. Das tut sie erst nach Änderung der Defaultkonfiguration.
Siehe: https://docs.opnsense.org/manual/how-tos/ipv6_fb.html
den Abschnitt Step 1 - prepare the Fritz!Box und die Verlinkung dort.

eagle61

@Jung-Fernmelder

Deine General DNS Resolver Options verstehe ich auch nicht. Warum stehen bei Dir die Network Interfaces wie auch Outgoing Network Interfaces auf all?

Normal soll der Resolver doch Anfragen an den lokalen Interfaces beantworten (LAN, etc.) und das Outgoing Network Interfaces ist das WAN, denn über dieses wird ja der DNS-Server des ISP under eine anderer übergeordneter DNS-Server erreicht, sofern du nicht im LAN noch weitere DNS-Server hast, die das erledigen

Jung-Fernmelder

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Während der Übergangsphase bezog die FB den 56er Präfix vom ISP. Die pfsense konnte daher von der FB nur einen 57er Präfix beziehen. Nach dem Austausch FB gegen Modem hatte ich zunächst übersehen in der pfsense die DHCPv6 Prefix Delegation size von 57 auf 56 zu ändern. In der Folge hatte ich zunächst ziemlich genau die Probleme, die du nun auch hast.

Erst einmal herzlichen Glückwunsch zur funktionierenden Konfiguration! Darf ich nach ISP, Tarif und Dual Stack / DS Lite / CGNAT fragen?
Die Präfixlänge habe ich einerseits aus dem support.txt der vom ISP übersandten AVM FRITZ!Box, mit der vor dem Erstellen der support.txt erst einmal circa eine halbe Stunde lang probeweise gesurft wurde. Ein Auszug aus der support.txt:

0: name internet (attached, active internet)
0: sync_group: sync_ata
0: iface eth0 PPPoE/26/dsl xx:xx:xx:xx:xx:xx stay online 1 vlan 7 prio 0 (prop: default internet) (prop6: default internet)
0: IPv6: native (ia_na)
0: IPv6: connected since 2024-08-16 23:42:07 (setup time 6 secs) (connect cnt 2)
0: IPv6: address 2a01:41e3:0:1::xx:xxx/64 valid 86245 prefered 86245
0: IPv6: prefix 2a01:41e3:xxxx:xx00::/56 valid 86245 prefered 86245
0: IPv6: mtu 1492
0: IPv6: dns 2a01:41e0:10::6 valid 86245 (dhcp)
0: IPv6: dns 2a01:41e1:ffff:f001::4 valid 86245 (dhcp)
0: IPv4: ds-lite 2a01:41e3:ffff:cafe:face::3 (aftr.fra.purtel.com)

In der Ereignisanzeige der AVM FRITZ!Box fand sich folgendes (hier jedoch nach acht Minuten Betriebsdauer, da ich vor Erstellen dieses Screenshots das Gerät habe neu starten lassen):

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Zudem fordert die FritzBox nicht automatisch einen IPv6-Präfix an. Das tut sie erst nach Änderung der Defaultkonfiguration.

Vorweg zur Vermeidung von Missverständnissen: Die Konfiguration, an der ich arbeite, kommt ohne AVM FRITZ!Box aus - diese Geräte können in bestimmten Bereichen den zwischenzeitlich gestiegenen Anforderungen der Anschlussnutzerinnen und -nutzer nicht genügen; höchstens als WLAN-Access-Point können diese Geräte zufriedenstellend eingesetzt werden. Die pfSense ist den Aufgaben auch als alleiniges IAD (neben dem ONT) gewachsen.
Der Verfasser dieses Beitrages hat die AVM FRITZ!Box nur kurzzeitig betrieben, um die grunsätzliche Funktion des Anschlusses zu prüfen sowie zur Ausforschung technischer Details (Präfixlänge, MTU, MSS).
Die AVM FRITZ!Box wurde in diesem Fall ausschließlich durch den ISP konfiguriert. Ob der ISP das Gerät werksmäßig vorkonfiguriert oder per TR-069 fernkonfiguriert hat, entzieht sich der Kenntnis des Verfassers dieses Beitrages. Änderungen der Konfiguration des ISPs erfolgten jedoch nicht.

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Deine General DNS Resolver Options verstehe ich auch nicht.

Der Verfasser dieses Beitrages wird gleich einen Testlauf mit angepassten Einstellungen hinsichtlich DHCPv6-Client-Parametern, Paramtern des GIF-Tunnels und der General DNS Resolver Options durchführen und berichten.

slu

@Jung-Fernmelder

ich kann dir bei IPv6 (noch) nicht helfen, wir haben nur ein IPv4 Business Anschluss bei der DGN und der läuft ausgezeichnet am ONT über PPPoE an der pfSense (VLAN 7 wird jedoch benötigt).
Wenn es ein Privatkunden Anschluss ist hast du leider die 24h Zwangstrennung und dann den ganzen Mist mit Prefix wechseln, ich kann dir nur raten Tickets beim Support zu eröffnen.

Zwangstrennung ist Mist, Zwangstrennung bei einem IPv6 Anschluss ist ein riesengroßer Mist und sorgt nur für Störungen beim Prefix wechsel, auch innerhalb vom LAN wenn IPv6 verwendet wird.

Etwas OT, aber es können gar nicht genug Leute ein Zwangstrennungsticket beim ISP eröffnen.

Jung-Fernmelder

@slu said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

ich kann dir nur raten Tickets beim Support zu eröffnen

Wie ist die Störung zu beschreiben? Tatsächlich kann ich bislang keine Störung seitens des ISP erkennen.

slu

@Jung-Fernmelder said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Wie ist die Störung zu beschreiben? Tatsächlich kann ich bislang keine Störung seitens des ISP erkennen.

Das war auf die 24h Zwangstrennung bezogen...

Jung-Fernmelder

@slu said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Das war auf die 24h Zwangstrennung bezogen...

Achso. Und Du hoffst, dass die ISPs die 24h-Zwangstrennung abschaffen, insofern sich genug Kundinnen und Kunden darüber beschweren? Es wäre jedenfalls vorteilhaft.

Jung-Fernmelder

Nun habe ich folgende Einstellungen angepasst und getestet:
WAN:

AFTR:

General DNS Resolver options:

Zum Procedere:

1. Start der pfSense mit ausgeschaltetem ONT
2. Anpassung der Konfiguration
3. Neustart der pfSense und Einschalten des ONT
4. Testen
   Ergebnis:
   DNS ohne Funktion.
   Ping auf IPv6-Adressen funktioniert.
   Ping auf IPv4 nicht möglich.
   Bei General DNS Resolver options habe ich daraufhin Outgoing Networking Interfaces auf All gestellt und die pfSense neugestartet. Meine Vermutung war, dass aufgrund der fehlenden "eigenen" IPv6-Adresse des Intefaces FIBER_DGN (Haken bei "Only request an IPv6 prefix, do not request an IPv6 adress" gesetzt) dieses keine Verbindungen zum per IPv6 erreichbaren DNS-Server aufbauen kann. Nach einem Neustart der pfSense funktionierte das DNS.
   Ergebnis:
   Ping auf IPv6-Adressen möglich.
   Nutzung von per IPv6 erreichbaren Webseiten möglich.
   IPv4 ohne Funktion (Ping mit 100 % Paketverlust, Traceroute meldet: "Error: 8.8.8.8 could not be traced/resolved").
   DNS funktioniert.

Jung-Fernmelder

@Jung-Fernmelder Nachtrag: Beim Test von einem anderen Rechner, der LAN2 zugeordnet ist, war die Aufnahme von IPv4-Verbindungen zu manchen Zielen, aber eben nicht zu allen, möglich.
Insgesamt ist das Verhalten also inkonsistent und kaum vorhersehbar. IPv6 hat jedoch bei diesem kurzen Test keine erkennbaren Probleme verursacht; außer dass der andere Rechner ein "ipconfig /release" und "ipconfig /renew" benötigte, um eine funktionsfähige IPv6-Adresse zu erhalten.

eagle61

@Jung-Fernmelder said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Start der pfSense mit ausgeschaltetem ONT
Anpassung der Konfiguration
Neustart der pfSense und Einschalten des ONT

Warum Neustart der pfSense und dann erst Einschalten des ONT?
Ohne eigeschalteten ONT kann die pfsense doch keinen AFTR-Tunnel aufbauen und darüber die IPv4-Verbindung einrichten.

Umgekehrt macht es mehr Sinn. ONT einschalten und warten bis die Verbindung steht. dann pfsense neu starten.

Nun habe ich folgende Einstellungen angepasst und getestet:

unter Services / DNS Resolver / General Settings sollte meiner Meinung nach nur das das WAN-Interface als Outgoing Network Interfaces eingetragen sein, nicht auch das AFTR-Interface. Aber das ich selbst zum Glück keinen CGNAT- (DS-Lite)-Anschluss habe, sondern einen gewöhnlichen Dual-Stack-Anschluss mit öffentlicher statt privater IPv4-Adresse kann ich das nicht definitiv bestätigen.

Ich verweise dich daher noch mal auf folgenden Link:
https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html
Der bezieht sich zwar auf M-Net, bis auf die unterschiedliche VLAN-ID M-Net = 40, DG = 7 sollte die aber auch auf den CGNAT-Anschluss bei DG zutreffen.
Dort findet sich kein Hinweis dazu, dass das GIF Interface für AFTR auch als Outgoing Network Interfaces beim DNS-Resolver eingetragen werden sollte. Dafür aber ein Hinweis, dass das Parent Interface des GIF das LAN-Interface sein sollte, nicht das WAN-Interface. Was ist da bei dir eingetragen?

Generell zur Funktionsweise von CGNAT hift vielleicht auch das hier noch weiter:
https://www.elektronik-kompendium.de/sites/net/2010211.htm

eagle61

@Jung-Fernmelder

Sorry, die Konfiguration deines GIF-Interfaces hatte ich vorhin wohl übersehen. Dort ist richtigerweise LAN0 als Parent Interface eingetragen.

Auch wenn es auf den ersten Blick eine ziemlich dumme Frage ist, aber woher kommt die IPv6-Adresse (GIF Remote Adress) dort? Manchmal sind ja die kleinsten Fehler die entscheidenden Fehler. Ist das tatsächlich die korrekte DNS-Auflösung des AFTR-Servers von DG? Wenn ich diesen bei Dr G00gle suche finde ich da nichts dazu,

Der korrekte FQDN des AFTR-Servers von DG müsste sich aber aus der FB7530 auslesen lassen, wenn du die nochmals anschließt. Über den FQDN dann mttels ping6 auch die IPv6-Adresse. Der FQDN des AFTR-Servers von DG sollte sich in der FB unter Internet - Online-Monitor und dann neben Internet, IPv6 finden lassen.

Hintergrund meiner Frage ist:
Wenn ich das was du bisher geschrieben hast richtig interpretiere. sceitern selbst IPv4-Pings an IPv4-Adresse wie 8.8.8.8 oder 9.9.9.9
Das würde ziemlich sicher bedeuten, dass das GIF-Interface für AFTR nicht korrekt funktioniert, denn bei CGNAT wird der IPv4-Verkehr ja eben mit dessen Hilfe durch einen IPv6-Tunnel geleitet.
Somit sollte die Fehlersuche beim GIF-Interface starten.

Jung-Fernmelder

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Umgekehrt macht es mehr Sinn. ONT einschalten und warten bis die Verbindung steht. dann pfsense neu starten.

Nein. Beim ISP wird die Anzahl der Verbindungen gezählt. Nur eine bestimmte Anzahl von Verbindungen ist innerhalb einer bestimmten Zeiteinheit zulässig. Überschreitet man diese, wird man wegen des Verdachtes, dass man mit dem Anschluss Straftaten begeht, gesperrt. Folglich muss man insbesondere beim Testen mit etwas Umsicht agieren und sich nicht unnötig oft mit dem ISP verbinden. Vor allem bei der Deutschen Giganetz ist diese zulässige Anzahl der Verbindungen wohl recht sparsam bemessen.

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

unter Services / DNS Resolver / General Settings sollte meiner Meinung nach nur das das WAN-Interface als Outgoing Network Interfaces eingetragen sein, nicht auch das AFTR-Interface.

Ohne auch das AFTR-Interface einzutragen, können keine IPv4-Verbindungen zu den DNS-Servern hergestellt werden. Das WAN-Interface hat ausschließlich IPv6-Konnektivität.

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

CGNAT-Anschluss bei DG zutreffen

Wenn mit DG die Deutsche Giganetz gemeint ist, gibt es keinen CGNAT-Anschluss. Die Deutsche Giganetz vergibt, wie alle ISPs, die die Infrastruktur von Purtel nutzen, ihren Kundinnen und Kunden IP-Adressen mit DS Lite, es sei denn, es wurde die Option Dual Stack oder ein "Professional Package" (hier weiß ich aber nicht, ob Dual Stack in allen verfügbaren "Professional Packages" inkludiert ist) kostenpflichtig hinzugebucht.
Unterscheid zwischen DS Lite und CGNAT: Bei DS Lite erhält man (in der Regel per IA_PD) ein IPv6-Subnetz mit einer Präfixlänge von 48 bis 64 Bit, abhängig von der Vergabepolitik des ISPs, welches man in seinem Netzwerk nutzen kann. Eingehende IPv4-Verbindungen sind nicht möglich (außer mit Vermittlungstechnologien wie TURN). Ausgehende IPv4-Verbindungen muss das IAD entgegennehmen und über einen 4-in-6-Tunnel zum AFTR senden, wo sie weiterverarbeitet und beantwortet werden.
Bei CGNAT wiederum gibt es keinen 4-in-6-Tunnel und auch kein AFTR. Das IAD wird genauso konfiguriert, wie man es bei Dual Stack konfigurieren würde. Der Unterschied ist nur, dass der ausgehende IPv4-Verkehr nicht direkt geroutet wird, sondern erst durch einen vom ISP betriebenen NAT-Router, der ähnlich wie ein "normales" IAD arbeitet, geroutet wird. Die IPv4-Adresse ist dann auch nicht von außen erreichbar - die IPv4-Adresse, die dem IAD zugewiesen wird, existiert nur innerhalb des Netzwerkes dieses ISPs und die IPv4-Adresse des CGNAT-Routers ist einer Vielzahl von Kundinnen und Kunden zugeordnet. Bei CGNAT erhält man nicht zwingend ein IPv6-Subnetz ... hat man einen Internetzugang mit CGNAT und ohne IPv6, sind eingehende Verbindungen ohne Vermittlungstechnologien unmöglich.

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

aber woher kommt die IPv6-Adresse (GIF Remote Adress) dort?

Die ist an mehreren Stellen auffindbar: Einerseits in der support.txt der FRITZ!Box (steht in der letzten Zeile des ersten Codeblocks zu meinem Beitrag von gestern, 14:42 Uhr MESZ). Und in der Ereignisanzeige der FRITZ!Box (findet man auf dem Screenshot zu meinem Beitrag von gestern, 14:42 Uhr MESZ) steht der FQDN. Löst man diesen auf, erhält man folgendes Ergebnis:

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Wenn ich das was du bisher geschrieben hast richtig interpretiere. sceitern selbst IPv4-Pings an IPv4-Adresse wie 8.8.8.8 oder 9.9.9.9

Da habe ich mich wohl nicht deutlich genug ausgedrückt: Das Verhalten ist nicht vorhersehbar und nicht reproduzierbar. Manchmal funktioniert es, manchmal nicht. Manchmal kann man die genannten IPv4-Adressen anpingen; manchmal endet der Ping mit Paketverlust. Trotz unveränderter Konfiguration.
Der 4-in-6-Tunnel zum AFTR ist also nicht zur Gänze defekt, wie das der Fall wäre, wenn man beispielsweise eine falsche IP-Adresse eingetragen hätte, sondern eben "launisch".

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Somit sollte die Fehlersuche beim GIF-Interface starten.

Das sehe ich genauso.

eagle61

@Jung-Fernmelder said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Somit sollte die Fehlersuche beim GIF-Interface starten.

Das sehe ich genauso.

Eventuell sogar noch früher, nämlich beim IPv4 Configuration Type des WAN-Interfaces. Eines der ganz am Anfang von dir gesendeten Bilder legt nahe, dass du dort PPPoE eingestellt hast. Ich weiß, du bist bei Deutsche GigaNetz. Hier gibt es einen Post zu Deutsche Glasfaser. Dort werden keine Kredentials (Benutzername / Kennwort) für den Verbindungsaufbau genutzt wie bei Deutsche Telekom oder o2 sondern die Mac-Adresse des ONT dient zur Legitimation.

Bei meiner Recherche vorhin wegen der AFTR-Adresse fand ich bei deutsche-giganetz.de/downloads/ ein Dokument "LEISTUNGSBESCHREIBUNG MyNet und ProNet mit kundeneigenem ONT". Diesem ist zu entnehmen, dass auch Deutsche GigaNetz, genau wie Deutsche Glasfaser, Benutzername / Kennwort nicht nutzt sondern stattdessen die ONT-Seriennummer.

Nun zu dem Punkt auf den ich hinaus will. Bei Deutsche Galsfaser verbindet man sich deswegen dann auch nicht per PPPoE mit dem ONT sondern per DHCP. Deswegen vermute ich nun, das man auch bei Deutsche GigaNetz für den Verbindungsaufbau im WAN Interface unter IPv4 Configuration Type DHCP eintragen sollte, statt PPPoE. Weil die PPPoE Configuration ja eben auf die Übermittlung von Username und Password abzielt, was es bei dir demnach ja beides nicht geben düfte.

Jung-Fernmelder

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

LEISTUNGSBESCHREIBUNG MyNet und ProNet mit kundeneigenem ONT

Es wird der vom ISP gestellte ONT eingesetzt.
Die Deutsche Giganetz hat dem Anschlussinhaber kurz vor Vertragsbeginn einen Brief mit PPPoE-Zugangsdaten zugesandt.