Konfiguration einer pfSense am Deutsche Giganetz MyNet 600

Jung-Fernmelder

@eagle61 Vielen Dank für die pfeilschnelle Rückmeldung.
Das zweite war als Failover konzipiert. Dein impliziter Verbesserungsvorschlag wurde bereits im Glasfaserforum geäußert, von mir umgesetzt und es war keine Veränderung des Verhaltens erkennbar.
Deine WAN-DHCPv6-Konfiguration werde ich zeitnah testen.
Die Präfixlänge von 56 Bit habe ich aus der support.txt der AVM FRITZ!Box ausgelesen. Allerdings spielte es bei meinen Tests auch keine Rolle, welchen Wert man in der pfSense unter "DHCPv6 Prefix Delegation size" einträgt und ob man den Haken bei "Send IPv6 prefix hint" setzt oder nicht - dieser ISP weist unabhängig dieser Parameter stets ein 56er-Präfix zu.

eagle61

@Jung-Fernmelder

Also ich bin erst vor zwei Monaten von einer IPFire zur pfsense gewechselt. Dazu hatte ich dann übergangsweise wieder eine bereits ausgemusterte FritzBox hervorgeholt und sowohl IPFire wie auch pfsense parallell hinter der FB angeschlossen.

Als ich die Migration dann beendet hatte und die pfsense die IPFire vollständig ersetzen konnte, habe ich die FB wieder entfernt und durhc ein Modem ersetzt.

Während der Übergangsphase bezog die FB den 56er Präfix vom ISP. Die pfsense konnte daher von der FB nur einen 57er Präfix beziehen. Nach dem Austausch FB gegen Modem hatte ich zunächst übersehen in der pfsense die DHCPv6 Prefix Delegation size von 57 auf 56 zu ändern. In der Folge hatte ich zunächst ziemlich genau die Probleme, die du nun auch hast.

Daher scheint es meiner Ansicht nach nicht egal zu sein was man einträgt. Es sollte dem entsprechen was der ISP erwartet, bzw. bereitstellt. Notfalls bei Deutsche Giganetz nachfragen.

Zudem fordert die FritzBox nicht automatisch einen IPv6-Präfix an. Das tut sie erst nach Änderung der Defaultkonfiguration.
Siehe: https://docs.opnsense.org/manual/how-tos/ipv6_fb.html
den Abschnitt Step 1 - prepare the Fritz!Box und die Verlinkung dort.

eagle61

@Jung-Fernmelder

Deine General DNS Resolver Options verstehe ich auch nicht. Warum stehen bei Dir die Network Interfaces wie auch Outgoing Network Interfaces auf all?

Normal soll der Resolver doch Anfragen an den lokalen Interfaces beantworten (LAN, etc.) und das Outgoing Network Interfaces ist das WAN, denn über dieses wird ja der DNS-Server des ISP under eine anderer übergeordneter DNS-Server erreicht, sofern du nicht im LAN noch weitere DNS-Server hast, die das erledigen

Jung-Fernmelder

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Während der Übergangsphase bezog die FB den 56er Präfix vom ISP. Die pfsense konnte daher von der FB nur einen 57er Präfix beziehen. Nach dem Austausch FB gegen Modem hatte ich zunächst übersehen in der pfsense die DHCPv6 Prefix Delegation size von 57 auf 56 zu ändern. In der Folge hatte ich zunächst ziemlich genau die Probleme, die du nun auch hast.

Erst einmal herzlichen Glückwunsch zur funktionierenden Konfiguration! Darf ich nach ISP, Tarif und Dual Stack / DS Lite / CGNAT fragen?
Die Präfixlänge habe ich einerseits aus dem support.txt der vom ISP übersandten AVM FRITZ!Box, mit der vor dem Erstellen der support.txt erst einmal circa eine halbe Stunde lang probeweise gesurft wurde. Ein Auszug aus der support.txt:

0: name internet (attached, active internet)
0: sync_group: sync_ata
0: iface eth0 PPPoE/26/dsl xx:xx:xx:xx:xx:xx stay online 1 vlan 7 prio 0 (prop: default internet) (prop6: default internet)
0: IPv6: native (ia_na)
0: IPv6: connected since 2024-08-16 23:42:07 (setup time 6 secs) (connect cnt 2)
0: IPv6: address 2a01:41e3:0:1::xx:xxx/64 valid 86245 prefered 86245
0: IPv6: prefix 2a01:41e3:xxxx:xx00::/56 valid 86245 prefered 86245
0: IPv6: mtu 1492
0: IPv6: dns 2a01:41e0:10::6 valid 86245 (dhcp)
0: IPv6: dns 2a01:41e1:ffff:f001::4 valid 86245 (dhcp)
0: IPv4: ds-lite 2a01:41e3:ffff:cafe:face::3 (aftr.fra.purtel.com)

In der Ereignisanzeige der AVM FRITZ!Box fand sich folgendes (hier jedoch nach acht Minuten Betriebsdauer, da ich vor Erstellen dieses Screenshots das Gerät habe neu starten lassen):

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Zudem fordert die FritzBox nicht automatisch einen IPv6-Präfix an. Das tut sie erst nach Änderung der Defaultkonfiguration.

Vorweg zur Vermeidung von Missverständnissen: Die Konfiguration, an der ich arbeite, kommt ohne AVM FRITZ!Box aus - diese Geräte können in bestimmten Bereichen den zwischenzeitlich gestiegenen Anforderungen der Anschlussnutzerinnen und -nutzer nicht genügen; höchstens als WLAN-Access-Point können diese Geräte zufriedenstellend eingesetzt werden. Die pfSense ist den Aufgaben auch als alleiniges IAD (neben dem ONT) gewachsen.
Der Verfasser dieses Beitrages hat die AVM FRITZ!Box nur kurzzeitig betrieben, um die grunsätzliche Funktion des Anschlusses zu prüfen sowie zur Ausforschung technischer Details (Präfixlänge, MTU, MSS).
Die AVM FRITZ!Box wurde in diesem Fall ausschließlich durch den ISP konfiguriert. Ob der ISP das Gerät werksmäßig vorkonfiguriert oder per TR-069 fernkonfiguriert hat, entzieht sich der Kenntnis des Verfassers dieses Beitrages. Änderungen der Konfiguration des ISPs erfolgten jedoch nicht.

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Deine General DNS Resolver Options verstehe ich auch nicht.

Der Verfasser dieses Beitrages wird gleich einen Testlauf mit angepassten Einstellungen hinsichtlich DHCPv6-Client-Parametern, Paramtern des GIF-Tunnels und der General DNS Resolver Options durchführen und berichten.

slu

@Jung-Fernmelder

ich kann dir bei IPv6 (noch) nicht helfen, wir haben nur ein IPv4 Business Anschluss bei der DGN und der läuft ausgezeichnet am ONT über PPPoE an der pfSense (VLAN 7 wird jedoch benötigt).
Wenn es ein Privatkunden Anschluss ist hast du leider die 24h Zwangstrennung und dann den ganzen Mist mit Prefix wechseln, ich kann dir nur raten Tickets beim Support zu eröffnen.

Zwangstrennung ist Mist, Zwangstrennung bei einem IPv6 Anschluss ist ein riesengroßer Mist und sorgt nur für Störungen beim Prefix wechsel, auch innerhalb vom LAN wenn IPv6 verwendet wird.

Etwas OT, aber es können gar nicht genug Leute ein Zwangstrennungsticket beim ISP eröffnen.

Jung-Fernmelder

@slu said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

ich kann dir nur raten Tickets beim Support zu eröffnen

Wie ist die Störung zu beschreiben? Tatsächlich kann ich bislang keine Störung seitens des ISP erkennen.

slu

@Jung-Fernmelder said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Wie ist die Störung zu beschreiben? Tatsächlich kann ich bislang keine Störung seitens des ISP erkennen.

Das war auf die 24h Zwangstrennung bezogen...

Jung-Fernmelder

@slu said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Das war auf die 24h Zwangstrennung bezogen...

Achso. Und Du hoffst, dass die ISPs die 24h-Zwangstrennung abschaffen, insofern sich genug Kundinnen und Kunden darüber beschweren? Es wäre jedenfalls vorteilhaft.

Jung-Fernmelder

Nun habe ich folgende Einstellungen angepasst und getestet:
WAN:

AFTR:

General DNS Resolver options:

Zum Procedere:

1. Start der pfSense mit ausgeschaltetem ONT
2. Anpassung der Konfiguration
3. Neustart der pfSense und Einschalten des ONT
4. Testen
   Ergebnis:
   DNS ohne Funktion.
   Ping auf IPv6-Adressen funktioniert.
   Ping auf IPv4 nicht möglich.
   Bei General DNS Resolver options habe ich daraufhin Outgoing Networking Interfaces auf All gestellt und die pfSense neugestartet. Meine Vermutung war, dass aufgrund der fehlenden "eigenen" IPv6-Adresse des Intefaces FIBER_DGN (Haken bei "Only request an IPv6 prefix, do not request an IPv6 adress" gesetzt) dieses keine Verbindungen zum per IPv6 erreichbaren DNS-Server aufbauen kann. Nach einem Neustart der pfSense funktionierte das DNS.
   Ergebnis:
   Ping auf IPv6-Adressen möglich.
   Nutzung von per IPv6 erreichbaren Webseiten möglich.
   IPv4 ohne Funktion (Ping mit 100 % Paketverlust, Traceroute meldet: "Error: 8.8.8.8 could not be traced/resolved").
   DNS funktioniert.

Jung-Fernmelder

@Jung-Fernmelder Nachtrag: Beim Test von einem anderen Rechner, der LAN2 zugeordnet ist, war die Aufnahme von IPv4-Verbindungen zu manchen Zielen, aber eben nicht zu allen, möglich.
Insgesamt ist das Verhalten also inkonsistent und kaum vorhersehbar. IPv6 hat jedoch bei diesem kurzen Test keine erkennbaren Probleme verursacht; außer dass der andere Rechner ein "ipconfig /release" und "ipconfig /renew" benötigte, um eine funktionsfähige IPv6-Adresse zu erhalten.

eagle61

@Jung-Fernmelder said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Start der pfSense mit ausgeschaltetem ONT
Anpassung der Konfiguration
Neustart der pfSense und Einschalten des ONT

Warum Neustart der pfSense und dann erst Einschalten des ONT?
Ohne eigeschalteten ONT kann die pfsense doch keinen AFTR-Tunnel aufbauen und darüber die IPv4-Verbindung einrichten.

Umgekehrt macht es mehr Sinn. ONT einschalten und warten bis die Verbindung steht. dann pfsense neu starten.

Nun habe ich folgende Einstellungen angepasst und getestet:

unter Services / DNS Resolver / General Settings sollte meiner Meinung nach nur das das WAN-Interface als Outgoing Network Interfaces eingetragen sein, nicht auch das AFTR-Interface. Aber das ich selbst zum Glück keinen CGNAT- (DS-Lite)-Anschluss habe, sondern einen gewöhnlichen Dual-Stack-Anschluss mit öffentlicher statt privater IPv4-Adresse kann ich das nicht definitiv bestätigen.

Ich verweise dich daher noch mal auf folgenden Link:
https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html
Der bezieht sich zwar auf M-Net, bis auf die unterschiedliche VLAN-ID M-Net = 40, DG = 7 sollte die aber auch auf den CGNAT-Anschluss bei DG zutreffen.
Dort findet sich kein Hinweis dazu, dass das GIF Interface für AFTR auch als Outgoing Network Interfaces beim DNS-Resolver eingetragen werden sollte. Dafür aber ein Hinweis, dass das Parent Interface des GIF das LAN-Interface sein sollte, nicht das WAN-Interface. Was ist da bei dir eingetragen?

Generell zur Funktionsweise von CGNAT hift vielleicht auch das hier noch weiter:
https://www.elektronik-kompendium.de/sites/net/2010211.htm

eagle61

@Jung-Fernmelder

Sorry, die Konfiguration deines GIF-Interfaces hatte ich vorhin wohl übersehen. Dort ist richtigerweise LAN0 als Parent Interface eingetragen.

Auch wenn es auf den ersten Blick eine ziemlich dumme Frage ist, aber woher kommt die IPv6-Adresse (GIF Remote Adress) dort? Manchmal sind ja die kleinsten Fehler die entscheidenden Fehler. Ist das tatsächlich die korrekte DNS-Auflösung des AFTR-Servers von DG? Wenn ich diesen bei Dr G00gle suche finde ich da nichts dazu,

Der korrekte FQDN des AFTR-Servers von DG müsste sich aber aus der FB7530 auslesen lassen, wenn du die nochmals anschließt. Über den FQDN dann mttels ping6 auch die IPv6-Adresse. Der FQDN des AFTR-Servers von DG sollte sich in der FB unter Internet - Online-Monitor und dann neben Internet, IPv6 finden lassen.

Hintergrund meiner Frage ist:
Wenn ich das was du bisher geschrieben hast richtig interpretiere. sceitern selbst IPv4-Pings an IPv4-Adresse wie 8.8.8.8 oder 9.9.9.9
Das würde ziemlich sicher bedeuten, dass das GIF-Interface für AFTR nicht korrekt funktioniert, denn bei CGNAT wird der IPv4-Verkehr ja eben mit dessen Hilfe durch einen IPv6-Tunnel geleitet.
Somit sollte die Fehlersuche beim GIF-Interface starten.

Jung-Fernmelder

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Umgekehrt macht es mehr Sinn. ONT einschalten und warten bis die Verbindung steht. dann pfsense neu starten.

Nein. Beim ISP wird die Anzahl der Verbindungen gezählt. Nur eine bestimmte Anzahl von Verbindungen ist innerhalb einer bestimmten Zeiteinheit zulässig. Überschreitet man diese, wird man wegen des Verdachtes, dass man mit dem Anschluss Straftaten begeht, gesperrt. Folglich muss man insbesondere beim Testen mit etwas Umsicht agieren und sich nicht unnötig oft mit dem ISP verbinden. Vor allem bei der Deutschen Giganetz ist diese zulässige Anzahl der Verbindungen wohl recht sparsam bemessen.

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

unter Services / DNS Resolver / General Settings sollte meiner Meinung nach nur das das WAN-Interface als Outgoing Network Interfaces eingetragen sein, nicht auch das AFTR-Interface.

Ohne auch das AFTR-Interface einzutragen, können keine IPv4-Verbindungen zu den DNS-Servern hergestellt werden. Das WAN-Interface hat ausschließlich IPv6-Konnektivität.

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

CGNAT-Anschluss bei DG zutreffen

Wenn mit DG die Deutsche Giganetz gemeint ist, gibt es keinen CGNAT-Anschluss. Die Deutsche Giganetz vergibt, wie alle ISPs, die die Infrastruktur von Purtel nutzen, ihren Kundinnen und Kunden IP-Adressen mit DS Lite, es sei denn, es wurde die Option Dual Stack oder ein "Professional Package" (hier weiß ich aber nicht, ob Dual Stack in allen verfügbaren "Professional Packages" inkludiert ist) kostenpflichtig hinzugebucht.
Unterscheid zwischen DS Lite und CGNAT: Bei DS Lite erhält man (in der Regel per IA_PD) ein IPv6-Subnetz mit einer Präfixlänge von 48 bis 64 Bit, abhängig von der Vergabepolitik des ISPs, welches man in seinem Netzwerk nutzen kann. Eingehende IPv4-Verbindungen sind nicht möglich (außer mit Vermittlungstechnologien wie TURN). Ausgehende IPv4-Verbindungen muss das IAD entgegennehmen und über einen 4-in-6-Tunnel zum AFTR senden, wo sie weiterverarbeitet und beantwortet werden.
Bei CGNAT wiederum gibt es keinen 4-in-6-Tunnel und auch kein AFTR. Das IAD wird genauso konfiguriert, wie man es bei Dual Stack konfigurieren würde. Der Unterschied ist nur, dass der ausgehende IPv4-Verkehr nicht direkt geroutet wird, sondern erst durch einen vom ISP betriebenen NAT-Router, der ähnlich wie ein "normales" IAD arbeitet, geroutet wird. Die IPv4-Adresse ist dann auch nicht von außen erreichbar - die IPv4-Adresse, die dem IAD zugewiesen wird, existiert nur innerhalb des Netzwerkes dieses ISPs und die IPv4-Adresse des CGNAT-Routers ist einer Vielzahl von Kundinnen und Kunden zugeordnet. Bei CGNAT erhält man nicht zwingend ein IPv6-Subnetz ... hat man einen Internetzugang mit CGNAT und ohne IPv6, sind eingehende Verbindungen ohne Vermittlungstechnologien unmöglich.

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

aber woher kommt die IPv6-Adresse (GIF Remote Adress) dort?

Die ist an mehreren Stellen auffindbar: Einerseits in der support.txt der FRITZ!Box (steht in der letzten Zeile des ersten Codeblocks zu meinem Beitrag von gestern, 14:42 Uhr MESZ). Und in der Ereignisanzeige der FRITZ!Box (findet man auf dem Screenshot zu meinem Beitrag von gestern, 14:42 Uhr MESZ) steht der FQDN. Löst man diesen auf, erhält man folgendes Ergebnis:

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Wenn ich das was du bisher geschrieben hast richtig interpretiere. sceitern selbst IPv4-Pings an IPv4-Adresse wie 8.8.8.8 oder 9.9.9.9

Da habe ich mich wohl nicht deutlich genug ausgedrückt: Das Verhalten ist nicht vorhersehbar und nicht reproduzierbar. Manchmal funktioniert es, manchmal nicht. Manchmal kann man die genannten IPv4-Adressen anpingen; manchmal endet der Ping mit Paketverlust. Trotz unveränderter Konfiguration.
Der 4-in-6-Tunnel zum AFTR ist also nicht zur Gänze defekt, wie das der Fall wäre, wenn man beispielsweise eine falsche IP-Adresse eingetragen hätte, sondern eben "launisch".

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Somit sollte die Fehlersuche beim GIF-Interface starten.

Das sehe ich genauso.

eagle61

@Jung-Fernmelder said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

Somit sollte die Fehlersuche beim GIF-Interface starten.

Das sehe ich genauso.

Eventuell sogar noch früher, nämlich beim IPv4 Configuration Type des WAN-Interfaces. Eines der ganz am Anfang von dir gesendeten Bilder legt nahe, dass du dort PPPoE eingestellt hast. Ich weiß, du bist bei Deutsche GigaNetz. Hier gibt es einen Post zu Deutsche Glasfaser. Dort werden keine Kredentials (Benutzername / Kennwort) für den Verbindungsaufbau genutzt wie bei Deutsche Telekom oder o2 sondern die Mac-Adresse des ONT dient zur Legitimation.

Bei meiner Recherche vorhin wegen der AFTR-Adresse fand ich bei deutsche-giganetz.de/downloads/ ein Dokument "LEISTUNGSBESCHREIBUNG MyNet und ProNet mit kundeneigenem ONT". Diesem ist zu entnehmen, dass auch Deutsche GigaNetz, genau wie Deutsche Glasfaser, Benutzername / Kennwort nicht nutzt sondern stattdessen die ONT-Seriennummer.

Nun zu dem Punkt auf den ich hinaus will. Bei Deutsche Galsfaser verbindet man sich deswegen dann auch nicht per PPPoE mit dem ONT sondern per DHCP. Deswegen vermute ich nun, das man auch bei Deutsche GigaNetz für den Verbindungsaufbau im WAN Interface unter IPv4 Configuration Type DHCP eintragen sollte, statt PPPoE. Weil die PPPoE Configuration ja eben auf die Übermittlung von Username und Password abzielt, was es bei dir demnach ja beides nicht geben düfte.

Jung-Fernmelder

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

LEISTUNGSBESCHREIBUNG MyNet und ProNet mit kundeneigenem ONT

Es wird der vom ISP gestellte ONT eingesetzt.
Die Deutsche Giganetz hat dem Anschlussinhaber kurz vor Vertragsbeginn einen Brief mit PPPoE-Zugangsdaten zugesandt.