pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite)

peacok

Hallo zusammen,

ich bin am Verzweifeln bei dem Versuch eine PPPoE-Einwahl an meiner pfSense über ein Vigor 167 im Modem Mode (=Bridge Mode) aufzubauen.

Ich habe dabei (gefühlt) jede Anleitung im Internet durchgekaut und auch hier im Forum viel gelesen, geklappt hat bis jetzt nichts.

Das Modem (Draytek Vigor 167) ist dabei immer schnell verbunden und zeigt nach der Einwahl immer "Showtime".

Ich habe folgendes getestet:

Modem/pfSense

• VLAN im Vigor setzen (ID 7 auch mit VLAN ID 8 getestet)
• VLAN im Vigor entfernen, dafür in der pfSense setzen
• VLAN in keinem Gerät setzen
• VLAN in beiden Geräten setzen

pfSense

• PPPoE Einwahldaten mehrfach geprüft (mit "H"-Präfix und ohne)
  -> Anmerkung: Im Log steht auch authorization successful
• Konfiguration eines GIF Interface mit Daten aus der Fritz!Box eingerichtet (AFTR-Gateway etc.)
• WAN Config auf DHCPv6, Präfix-Länge /56 etc.
• WAN Config (v4) PPPoE
• Gateways für v6 und v4 eingerichtet

Der Guide dazu ist aus dem OPNSense Forum, es wurde aber in der Anleitung an einer pfSense eingerichtet; Suchbegriff: "(gelöst)PPPOE mit Draytek Vigor 167", Letzte Seite

Log der Sense unter oben genannter Konfig gemäß der Anleitung:

Dec 13 12:53:41    ppp     586    [wan] IPCP: state change Req-Sent --> Stopped
Dec 13 12:53:41    ppp     586    [wan] IPCP: protocol was rejected by peer
Dec 13 12:53:41    ppp     586    [wan_link0] LCP: protocol IPCP was rejected
Dec 13 12:53:41    ppp     586    [wan_link0] LCP: rec'd Protocol Reject #3 (Opened)
Dec 13 12:53:41    ppp     586    [wan] IPV6CP: state change Req-Sent --> Ack-Sent
Dec 13 12:53:41    ppp     586    [wan] IPV6CP: SendConfigAck #1
Dec 13 12:53:41    ppp     586    [wan] IPV6CP: rec'd Configure Request #1 (Req-Sent)
Dec 13 12:53:41    ppp     586    [wan] IPV6CP: SendConfigReq #11
Dec 13 12:53:41    ppp     586    [wan] IPV6CP: state change Starting --> Req-Sent
Dec 13 12:53:41    ppp     586    [wan] IPV6CP: Up event
Dec 13 12:53:41    ppp     586    [wan] COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
Dec 13 12:53:41    ppp     586    [wan] IPADDR 0.0.0.0
Dec 13 12:53:41    ppp     586    [wan] IPCP: SendConfigReq #2
Dec 13 12:53:41    ppp     586    [wan] IPCP: state change Starting --> Req-Sent
Dec 13 12:53:41    ppp     586    [wan] IPCP: Up event
Dec 13 12:53:41    ppp     586    [wan] IPV6CP: LayerStart
Dec 13 12:53:41    ppp     586    [wan] IPV6CP: state change Initial --> Starting
Dec 13 12:53:41    ppp     586    [wan] IPV6CP: Open event
Dec 13 12:53:41    ppp     586    [wan] IPCP: LayerStart
Dec 13 12:53:41    ppp     586    [wan] IPCP: state change Initial --> Starting
Dec 13 12:53:41    ppp     586    [wan] IPCP: Open event
Dec 13 12:53:41    ppp     586    [wan] Bundle: Status update: up 1 link, total bandwidth 64000 bps
Dec 13 12:53:41    ppp     586    [wan_link0] Link: Join bundle "wan"
Dec 13 12:53:41    ppp     586    [wan_link0] Link: Matched action 'bundle "wan" ""'
Dec 13 12:53:41    ppp     586    [wan_link0] LCP: authorization successful
Dec 13 12:53:41    ppp     586    [wan_link0] MESG: [UI-****;UI-LINEID:****]
Dec 13 12:53:41    ppp     586    [wan_link0] PAP: rec'd ACK #1 len: 58
Dec 13 12:53:41    ppp     586    [wan_link0] LCP: LayerUp
Dec 13 12:53:41    ppp     586    [wan_link0] PAP: sending REQUEST #1 len: 40
Dec 13 12:53:41    ppp     586    [wan_link0] PAP: using authname "****@*****.de"
Dec 13 12:53:41    ppp     586    [wan_link0] LCP: auth: peer wants PAP, I want nothing
Dec 13 12:53:41    ppp     586    [wan_link0] LCP: state change Ack-Rcvd --> Opened
Dec 13 12:53:41    ppp     586    [wan_link0] MAGICNUM ****
Dec 13 12:53:41    ppp     586    [wan_link0] AUTHPROTO PAP
Dec 13 12:53:41    ppp     586    [wan_link0] MRU 1492

Ich habe in der Sense nie eine v6 oder v4 Adresse erhalten.

Ich habe zum Gegenchecken mal die FritzBox hinter das Draytek gepackt, hier bekomme ich aber auch wenn ich auf den "Fritzbox hinter einem Modem verwenden"-Modus schalte keine Verbindung.
Dabei sollte die Verbindung über den LAN1 (=WAN) Port der FritzBox über das Modem laufen.
Die Fehler wechseln je nach VLAN-Konfig zwischen "Der Fehler konnte nicht ermittelt werden" und "Der Betreiber antwortet nicht auf PPPoE-Pakete".

Das finde ich etwas komisch, zumal sie sich am DSL Anschluss ohne größere Probleme verbindet.
Was im Log der Fritzbox allerdings spannend ist, ist dass sie nach dem Anschluss ans DSL (und Zurückstellen auf Verbindung per DSL) sich zunächst nicht einwählen kann.

Es kommt zum Fehler:
PPPoE-Fehler: Zeitüberschreitung. [5 Meldungen seit...]
und
Internetverbindung IPv6: AFTR konnte nicht bezogen werden: Grund 7 (got no aftr)

Weiteres/Zur Info:
Dual Stack möchte man mir auch nach mehrmaligem Anrufen nicht geben, brauche ich an sich aber auch nicht, möchte eigentlich sowieso hauptsächlich Richtung v6 gehen.

Hat jemand von euch rein zufällig ein Setup an einem 1&1 Anschluss mit DS-Lite hinbekommen?

Ich bin wirklich ratlos und hoffe, dass ihr vielleicht eine Idee habt, wo mein Fehler liegt.

Schonmal vielen Dank an alle!

micneu

@peacok was sagt denn dein Provider wie du es genau einrichten sollst?
Ich hatte an einem Telekom SVDSL Anschluss (Dual Stack) auch mal ein Draytek 167 und ich musste nichts weiter Konfigurieren

• Modem, Werkseinstellung (da ist schon VLAN 7 oder 8 schon konfiguriert
• sense einfach PPPoE ohne VLAN die Zuganges daten eingegeben und das wars.
• nach dem das alles lief habe ich erst danach IPv6 Konfiguriert (frag nicht nach welcher Anleitung, das ist zu lange her, ich hatte einfach gegooglet)

Bob.Dig

@peacok Gute Frage. Könnte mir vorstellen, dass es einfach nicht geht mit DS-Lite. Vielleicht funktioniert es mit dem Vigor als Router? Letztlich dürfte das keine Nachteile bei DS-Lite machen, sofern der Prefix delegiert werden kann. Oder Du nervst die Hotline wiederholt, deren Kundenforum haben sie wohl abgeschaltet...

eagle61

@peacok said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

onfiguration eines GIF Interface mit Daten aus der Fritz!Box eingerichtet (AFTR-Gateway etc.)
Internetverbindung IPv6: AFTR konnte nicht bezogen werden: Grund 7 (got no aftr)

• list itemWas genau hast du da denn eingetragen? Den FQDN oder die IP-Adresse? Der FQDN wäre falsch, wofür auch die Fehlermeldung "AFTR konnte nicht bezogen werden" spricht

• list itemHast du nur das GIF konfiguriert oder diesem auch über “Interface Assignments” ein Interface zur konfiguration zugewiesen; erst dann taucht das gateway unter “System -> Routing” auf und kann als default gateway eingestellt werden.

@peacok said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

VLAN im Vigor setzen

Bleib bei VLAN im Vigor setzen. Macht das eigentlich automatisch richtig.

PS: habe selbst Vigor 167 und pfsense aber mit Dual-Stack, also OHNE lite.
Daher kann ich nur indirekt helfen.
Lies aber mal das hier:
https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html
Damit sollte es klappen, auch wenn du bei 1&1 bist, nicht bei M-Net.
Zudem findet sich dort auch der Hinweis, dass die MSS des GIF-Interfaces eventuell auf 1492 gesetzt werden muss, um Probleme mit Fragmentierung zu vermeiden

PPS: bitte teile mir mit ob du es geschafft hast. Ich befasse mich mit dieser Problematik nicht grundlos, denn bei uns in der Straße wurde im Sommer Glasfaser gelegt. Was fehlt sind noch die Hausanschlüsse. Die sollten im Herbst erfolgen, dann im Dezember, der ja nun auch so gut wie rum ist, aber noch haben wir den nicht. Wenn er dann aber irgendwann kommt kann es passieren dass ich auch bei DS-lite landen und dann vor dem gleichen Problem stehen werde wie du heute.

peacok

Danke euch für die Antworten!

@eagle61 said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

list itemWas genau hast du da denn eingetragen? Den FQDN oder die IP-Adresse? Der FQDN wäre falsch, wofür auch die Fehlermeldung "AFTR konnte nicht bezogen werden" spricht

list itemHast du nur das GIF konfiguriert oder diesem auch über “Interface Assignments” ein Interface zur konfiguration zugewiesen; erst dann taucht das gateway unter “System -> Routing” auf und kann als default gateway eingestellt werde

Beim AFTR habe ich die IPv6 eingetragen, die ich aus der FB habe.
Das sollte passen.

Das Interface des GIFs habe ich auch zugewiesen, braucht das noch irgendwelche Firewallregeln?

Das GW unter System/Routing habe ich auch zugewiesen und als default gesetzt.

@eagle61 said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

https://cybercyber.org/m-net-ds-lite-anschluss-mit-pfsense.html

Das mit dem Parent Interface auf LAN zu setzen wie in der Anleitung habe ich tatsächlich noch nicht getestet.

Weiter hatte ich eine veraltete Firmware Version auf dem Vigor, evtl. ist das auch ein Grund.

@eagle61 said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

PS: habe selbst Vigor 167 und pfsense aber mit Dual-Stack, also OHNE lite.

Bist du bei 1&1? Wenn ja, wie hast du dort Dual Stack bekommen? :D

Danke für die Tipps, ich teste es auf jeden Fall mal noch mit der m-net Anleitung.

eagle61

@peacok said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

Bist du bei 1&1?

Nein noch DSL bei o2.
Aber (siehe PPS oben), wir bekommen hoffentlich bald Glasfaser und dann könnte mir auch DS-lite blühen.
Das Parent-Interface war auch eines der Probleme in der M-Net-Anleitung warum es zunächst nicht geklappt hat. Hoffe du bekommst es hin.

eagle61

@peacok

Ich habe mich nun eigens im OPNsense-Forum angemeldet, um mir dort die PDF-Anleitung herunterlaxden zu können, die du ganz am Anfang erwähnt hast. Auffällig ist dass dort unter "DHCP6 Client Configuration" nur ein v6-Präfix bezogen werden soll, aber keine IPv6-Adresse.
Zudem ist in der PDF-Anleitung die MTU des Default Gateeways bei default 1500. Versuch es mal mit 1492.

Warum? Bei DSL-Verbindungen, die über PPPoE (Point to Point Protocol over Ethernet) hergestellt werden, beträgt die maximale MTU 1492 Byte. Am Kabel- und Glasfaseranschluss beträgt die maximale MTU 1500 Byte. Quelle: AVM

eagle61

@peacok said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

Was im Log der Fritzbox allerdings spannend ist, ist dass sie nach dem Anschluss ans DSL (und Zurückstellen auf Verbindung per DSL) sich zunächst nicht einwählen kann.

Es kommt zum Fehler:
PPPoE-Fehler: Zeitüberschreitung. [5 Meldungen seit...]
und
Internetverbindung IPv6: AFTR konnte nicht bezogen werden: Grund 7 (got no aftr)

Das habe ich ja jetzt erst begriffen, dass diese Fehlermeldung von deienr Fritte kommt und nicht von der pfsense. Das habe ich beim ersten Lesen wohl glatt überlesen.
Mit dieser Fehlermeldung würde ich mich mal an den 1&1 Support wenden. Dass die Fritte diverse Anläufe benötigt um eine Verbindung aufzubauen könnte doch auch auf ein Leitungsproblem hindeuten und einfach auch nur bedeutetn, dass die pfsense einfach aufgibt die Verbindung über AFTR herzustellen nach einigen dieser Fehlermeldungen, du die pfsense aber prinzipiell richtig konfiguriert hast.

eagle61

@peacok said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

Danke für die Tipps, ich teste es auf jeden Fall mal noch mit der m-net Anleitung

Bist du inzwischen weiter gekommen?
Falls nicht und du immer noch keine Verbindung mit der pfsense und dem Vigor hinbekommts sieh dir mal das Log der pfsense an. Das ist ja sehr viel ausführlicher als das der Fritte.

Status -> System Logs -> System -> General
Du kannst die Ausgabe auch nach Zeit sortieren (Klick auf Time) und auch filtern (das Trichter-Simbol oben rechts).
Vielleicht erscheinen dort ja erhellende Fehlermeldungen.

peacok

@eagle61 Ich habe es nochmal auf der sense ohne Erfolg getestet.

Ich habe das Setup jetzt mit dem Vigor im Router Mode getestet auch hier keine Verbindung hinbekommen und ständig DSL Resyncs. MTU hat das Vigor automatisch auf die 1492 gesetzt.

Was ich definitiv sagen kann (aufgrund des Logs im Vigor):

• Die Authentifizierung funktioniert (PAP Auth successful)
• Die Gegenstelle und das Modem kommunizieren (Config Ack und LCP Echo Req/Rep; PADI PADO PADS)
• Der Fehler entsteht bei mir in der Vergabe der IPv6, die Gegenstelle antwortet nämlich nie auf die Solicit-Anfrage des Modems; aka. ich bekomme keine Adresse

Log des Vigor, absteigend sortiert:

Sending PADT (ID:40###) //Terminierung der Session
2024-12-15 21:54:55
WAN
PPPoE ConfAck MRU: 1500
2024-12-15 21:54:54
WAN
==> LCP EchoReq
2024-12-15 21:54:54
WAN
<== LCP EchoRep
2024-12-15 21:54:54
WAN
Interface ( [WAN] WAN1 ) IPv4 connect ...
2024-12-15 21:54:54
WAN
Interface ( [WAN] WAN1 ) IPv6 connect ...
2024-12-15 21:54:48
WAN
[DHCPv6c] Send solicit to ****::1:2
2024-12-15 21:54:44
WAN
PPPoE ConfAck MRU: 1492
2024-12-15 21:54:44
WAN
==> LCP EchoReq
2024-12-15 21:54:44
WAN
<== LCP EchoRep
2024-12-15 21:54:44
WAN
PAP authentication success
2024-12-15 21:54:44
WAN
PPP Shutdown
2024-12-15 21:54:41
WAN
Starting PPP
2024-12-15 21:54:41
WAN
Sending PADI //PPPoE Active Discovery Initiation
2024-12-15 21:54:41
WAN
Receiving PADO //für PPPoE Active Discovery Offer
2024-12-15 21:54:41
WAN
Sending PADR //PPPoE Active Discovery Request
2024-12-15 21:54:41
WAN
Receiving PADS (ID:40###) //PPPoE Active Discovery Session-confirmation
2024-12-15 21:54:41

Es könnte hier auch ein Problem mit dem Modem an sich vorliegen, das habe ich gebraucht gekauft. Von da her kann ich aktuell keine weiteren Infos liefern.

Für mich ist hier zum aktuellen Zeitpunkt die Endstation erreicht und ich plane erstmal keine weiteren Versuche.
Ich habe dem 1&1 Support mal eine E-Mail geschrieben, mal schauen ob/was sie antworten...

eagle61

@peacok said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

Ich habe das Setup jetzt mit dem Vigor im Router Mode getestet

Das konnte auch nicht klappen, denn der Vigor 167 kann im Router-Mode kein AFTR. Das geht nur im Modem-Modus und muss dann vom Device geregelt werden, das das Login erledigt und die IP-Adressen bezieht.

@peacok said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

Log des Vigor, absteigend sortiert:

Bringt insofern gar nichts. Was etwas bringen würde wäre das Log der pfsense

Bob.Dig

@peacok So sieht es bei mir mit DualStack aus.

Spoiler

eagle61

@Bob-Dig said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

So sieht es bei mir mit DualStack aus

Das Problem @peacok hat DS-Lite

Das schreibt Maxxim (Maxxim vertreibt billigere 1&1-Anschlüsse) dazu auf deren Homepge:
Internetzugang

• Die technischen Spezifikationen 1TR112 der Deutschen Telekom, sowie VDSL2 Vectoring nach ITU-T G.993.5 und ITU G.993.2/.3, sowie die RFC 5072 (IPv6 über PPP), RFC 6333 und RFC 6334 (DS-Lite mit netzseitiger Vorgabe des AFTR mittels DHCPv6) müssen von dem Gerät für die verschiedenen Anschlussarten unterstützt werden.

Das Problem, das es zu lösen gilt und das andere offenbar schon mit einer pfsennse und einem Vigor 167 gelöst haben, ist diese netzseitige Vorgabe des AFTR mittels DHCPv6.

Bob.Dig

@eagle61 Warum kann aber der Vigor das nicht im Router-Mode? Eine Fritte könnte es.

eagle61

@Bob-Dig said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

Warum kann aber der Vigor das nicht im Router-Mode? Eine Fritte könnte es.

Da Antworte ich auch mal mit Maxxim:

Kompatible FRITZ!Box-Router

• Für DSL 16, 50 und 100:
  FRITZ!Box 6890 LTE, FRITZ!Box 7360 SL, FRITZ!Box 7360 V1, FRITZ!Box 7360 V2, FRITZ!Box 7362 SL, FRITZ!Box 7369, FRITZ!Box 7390, FRITZ!Box 7412, FRITZ!Box 7430, FRITZ!Box 7490, FRITZ!Box 7510, FRITZ!Box 7520, FRITZ!Box 7530, FRITZ!Box 7530 AX, FRITZ!Box 7560, FRITZ!Box 7580, FRITZ!Box 7581, FRITZ!Box 7582, FRITZ!Box 7583, FRITZ!Box 7590, FRITZ!Box 7590 AX

• lFür DSL 250:
  FRITZ!Box 6890 LTE, FRITZ!Box 7510, FRITZ!Box 7520, FRITZ!Box 7530, FRITZ!Box 7530 AX, FRITZ!Box 7583, FRITZ!Box 7590, FRITZ!Box 7590 AX

Offenbar können es nur Fritten. mutmaßlich weil man DS-Lite hauptsächlich im deutschsprachigen Raum nutzt.
International ist bei Mangel an IPv4-Adresse eher CGNAT gebräuchlich.

Bob.Dig

@eagle61 Also bei gleichem Preis lieber 'ne FRITZ!Box 7510 kaufen.

eagle61

@Bob-Dig said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

Also bei gleichem Preis lieber 'ne FRITZ!Box 7510 kaufen

Ja, wobei man dann eben das doppelte NAT hat und auch die Freigaben, etc. in der pfsense und der 7510 regeln muss. Bei einem Modem eben nicht. Wobei wenn man eh kein IPv4 mehr hat, nur noch ausgehend, dann ist das ja eigentlich auch schon wieder egal. Und für IPv6 kann man die pfsense ja in der 7510 zum Exposed Host machen.

Wobei ich eben nicht verstehe warum man in DE und AT dann dieses DS-Lite nimmt und nicht CGNAT. Da läuft aus Kundesicht alles wie bei Dual-Stack auch. Der ISP regelt das Natting in seinem Netz, dutzende Kunden haben ja eine gemeinsame IPv4-Adresse

Bob.Dig

@eagle61 Jau. Und dank PPPoE Passthrough-Modus kann man sie dann faktisch bei uns in D doch als Modem benutzen.

eagle61

@Bob-Dig said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

Und dank PPPoE Passthrough-Modus kann man sie dann faktisch bei uns in D doch als Modem benutzen

Dann müsste aber doch dieses AFTR wieder von der pfsense geregelt werden. Selbes Problem wie jetzt mit dem Vigor 167 im Modem-Modus.

peacok

@eagle61

Exakt, man kann aber in der Fritzbox seit dem Update auf 8.00 eine zuverlässige Prefix Delegation einrichten.

Bei mir klappt es vom Provider Präfix (/56) ein /57 an die Sense zu delegieren, die verteilt es dann wiederum je nach Track Interface Konfig auf die einzelnen Interfaces.

Damit ist das AFTR Thema abgehakt und man kann dann sein Zeug soweit abbilden, ist halt v6 only.