KabelBW und statische IPs
-
Wenn es um kritische Dienste und hohe Verfügbarkeit geht sind die Office Internet Tarife ohnehin nicht das richtige Produkt.
Da würde ich sogar zustimmen. Schade ist es trotzdem, dass man es so schwierig macht, mehr als eine statische IP zu bekommen. Allerdings verständlich, wenn man die Lage der v4 Adressen und der Kabelbetreiber kennt (denen massivst die v4 Adressen ausgehen/fehlen)
Anderfalls muss man damit leben ein paar 4Port Nics einzubauen damit es zuverlässig funktioniert :)
Was irgendwie etwas Overkill ist ;) (also zumindest 4x 1GB NIC um dann doch nur 150 MBit in Summe maximal zu bekommen und nur die IPs zu haben :D)
Fies. -
Allerdings verständlich, wenn man die Lage der v4 Adressen und der Kabelbetreiber kennt (denen massivst die v4 Adressen ausgehen/fehlen)
Ich finde das überhaupt nicht verständlich. Ganz im Gegenteil! Eine statisch IP zu reservieren ist sogar extrem simpel. Was hier erschwert wird, ist die Nutzung einer bereits reservierten IP. Sorry, aber hier fehlt mir jedes Verständnis!
Um die IPs nutzen zu können, soll ich meine Endgeräte ohne jeden Schutz direkt ans Netz hängen. Tolle Wurst!
-
Ich finde das überhaupt nicht verständlich. Ganz im Gegenteil! Eine statisch IP zu reservieren ist sogar extrem simpel. Was hier erschwert wird, ist die Nutzung einer bereits reservierten IP. Sorry, aber hier fehlt mir jedes Verständnis!
Nein, du verstehst nicht, was ich mit meiner Aussage mein(t)e. Ich sprach davon, dass ich verstehen kann, warum man bei IP(v4) Adressen so knausrig und wenig entgegenkommend ist. Weil man sich keinen Verschnitt durch Routing etc. mehr leisten kann. Jeder User der ein wenig ohne Plan an seinem Heimrouter herumbaut hat Probleme mit DualStack oder IPv6 und pocht somit auf seine alte IPv4 Adresse. Und gerade die Kabelanbieter sind die jüngsten ISPs im Ring und haben eben nicht den Altersvorteil wie eine Telekom oder Vodafone, die schon aus legacy Gründen damals große Zuteilungen an IP Adressen für ihre Netze bekamen. Dummerweise sind aber die Kabelanbieter diejenigen, die gerade mit das größte Wachstum an Kunden haben, da sie die Anschlüsse entkoppelt von Telefon, Mobilfunk oder sonstigen Knebelverträgen in die Haushalte bekommen haben und das mit Geschwindigkeiten, bei denen die klassischen Telcos erst einmal schwindelig waren und mit technischen Kniffen und Workarounds ankommen mussten um ihr DSL konkurrenzfähig zu halten.
Beispiel Vodafone/KabelDeutschland. Hatten wir erst auf einem IPv6 Tag, dass die Jungs und Mädels dort mit die größte wachsende Userbase haben, ihnen aber massiv IPlegacy Adressen fehlen. Also gibts dort keine Alternative zu IPv6 und Carrier Grade NAT etc. KabelBW hat da ein paar Jahre mehr auf dem Buckel und noch etwas größere IP "Reserven" da auch kleinere Userbasis, somit können sie es sich momentan noch leisten, Adressen rauszuhauen und tun das natürlich gerne, um mehr Kunden anzuziehen. Aber endlos ist das Kapitel eben nicht mehr spielbar. Wenn jeder Geschäftskunde ankäme und 5 IPs will, würde das auch weh tun. Bei den Privatkunden mal ganz zu schweigen. Wenn ich dann noch anfange, das ganze richtig komfortabel einzurichten, dass ich dem Kunden sogar noch ein Subnetz route (und damit 2 Adressen Verschnitt pro Netz habe - Broadcast und Netz), kann ich für jeden 3. Kunden der sowas will schon wieder einen Kunden nicht mehr abdecken (weil ich dann schon 6 Adressen verschnitt habe). Weise ich Adressen einzeln zu und noch dazu unabhängig von Netzen kann ich überall einzelne IPs recyclen und weiternutzen, ohne dass diese als Netz zusammenhängen müssen.
Deshalb: Ich kann die Sicht der ISPs da ganz gut nachvollziehen. Dass es nicht schön ist für den Kunden, ist eine andere Frage und steht auf einem anderen Blatt.
Allerdings: Dass das Konstrukt so ist, wurde immerhin offen kommuniziert (auch wenn ich dabei bleibe und dir zustimme dass es großer Murks ist)Zynisch aber OT: Das wäre alles kein so großes Thema, wenn alle endlich mal ordentlich IPv6 einführen würden. Aber auch da murksen leider die ISP an vorderster Front wieder ganz großen Mist zusammen…
Um die IPs nutzen zu können, soll ich meine Endgeräte ohne jeden Schutz direkt ans Netz hängen. Tolle Wurst!
Nicht zwangsläufig. Du könntest trotzdem eine transparente pfSense im Bridge Modus dazwischenhängen, aber siehe oben: Ich stimme dir vollkommen zu, dass es richtig großer Murks ist. (Ist im übrigen ein ähnlicher Fall wie Hetzners IP Vergabe mit Switch Port MAC Bindung etc.)
Grüße
-
Hallo zusammen,
entschuldigt bitte die späte Antwort.
Sebastian, hast Du schon mal versucht, mehrere IPs unter der der gleichen MAC einzutragen?
(kurz) versucht ja, allerdings ohne Erfolg.
Habe mich damit aber auch nicht lange aufgehalten.
Ich bin der gleichen Meinung wie ihr, das diese Thematik "unschön" gelöst ist seitens KabelBW.
Bevor ich da aber Stunden oder Tage versemmel pack ich auch eher eine 4-Port Karte an.Gruß Sebastian
PS (wenn auch OT):
Zwischenzeitlich ist die Verwaltung der MACs ja vergleichsweise gut gelöst.
Diese lassen sich mittlerweile bequem über eine Weboberfläche vom Kunden selbst verwalten. Änderungen greifen dabei auch innerhalb von Minuten.
Anfangs musste man alles erst beantragen.
Und wehe dem, dein Endgerät macht die Grätsche und dein neues Endgerät kann kein MAC-Spoofing,
dann hast du anfangs auch mal 2-3 Tage ohne Internet auskommen müssen (leider auch persönlich erlebt) … -
dann hast du anfangs auch mal 2-3 Tage ohne Internet auskommen müssen (leider auch persönlich erlebt) …
Dito, kenne ich leider auch aus den Anfangstagen bei KabelBW Business. Das war aber schon ziemlich zu Beginn. Glücklicherweise hatten wir da noch ein Kabelmodem vornedran und konnten die pfSense damals selbst die Verbindung herstellen lassen und dort die MAC eintragen. Wir kamen da aber glücklicherweise mit einer festen IP aus und brauchten nicht mehrere.
-
@sanches:
Bevor ich da aber Stunden oder Tage versemmel pack ich auch eher eine 4-Port Karte an.
Naja, bei mir muss es unbedingt eine kleine und stromsparende HW sein, weil das Ding in eine Medienverteilung soll, wo möglichst keine Abwärme entstehen darf. In solche HW (derzeit ist APU.1d4 angedacht) passt nunmal keine 4port-Karte.
-
Man kann sich jedoch einfach die MACs von alter Hardware nehmen und diese im entsprechenden Interface eintragen.
Nein, das geht m.W. nicht. Das Problem besteht einfach daran, dass die pfSense via DHCP von KabelBW nicht mehr als eine IP zugewiesen bekommen kann. Du bräuchtest quasi 4 virtuelle NICs auf der pfSense mit eigener IP die dann auch noch alle eine andere/definierte MAC haben. Das ist nach meinem Kenntnisstand so nirgends konfigurierbar und wenn dann nur auf der Console und mit bösen Hacks
Wenngleich spät in der Diskussion wollte ich mich doch noch einmal kurz dazu melden.
Natürlich geht das, das ist in der Konfig des Interfaces als eigenes Feld ausgeführt. Und das funktioniert auch für VLANs. Man braucht also auch mit einer APU nicht verzweifeln sondern einfach 5 virtuelle (WAN) Interface anlegen und denen je eine eigene MAC mitgeben.
Ein "böser Hack" sieht IMHO anders aus. :D -
Ein "böser Hack" sieht IMHO anders aus. :D
Wenn dem so ist, wäre das ja wünschenswert :)
Allerdings ist es im Normalfall schon so, wie es vorher gesagt wurde, dass die VLANs auch die MAC Adresse der physikalischen Interfaces annehmen. Hast du das zufällig aktiv mal getestet ob mehrere VLANs auf dem gleichen physikalischen Interface bei der MAC Vergabe sich nicht gegenseitig beeinflussen?Ich grüble zwar noch, wie dann diese 4 VLAN Interfaces mit dem vorgeschalteten Modem reden (das ja im Normalfall keine VLAN Tags kennt)… aber evtl. könnte das klappen.
-
Moin,
…
Ich grüble zwar noch, wie dann diese 4 VLAN Interfaces mit dem vorgeschalteten Modem reden (das ja im Normalfall keine VLAN Tags kennt)... aber evtl. könnte das klappen.kleinen managed Switch und dort die virtuellen Schnittstellen auf physische Port erweitern, also mit 1x VLAN tagged rein und 4x untagged raus? Würde das funktionieren?
-teddy
-
Hast du das zufällig aktiv mal getestet ob mehrere VLANs auf dem gleichen physikalischen Interface bei der MAC Vergabe sich nicht gegenseitig beeinflussen?
Nö, getestet nicht, aber wieso sollte das nicht funktionieren? Kann VMware doch zB auch für die NICs seiner VMs. Und die generieren sogar eigene MAC Adressen pro VM.
kleinen managed Switch und dort die virtuellen Schnittstellen auf physische Port erweitern, also mit 1x VLAN tagged rein und 4x untagged raus? Würde das funktionieren?
anders herum. ;-). Du willst die ja bridgen.
4x tagged VLANs rein und auf einem Port untagged heraus
Ist Quatsch, das kann ja kaum ein Switch. Selbst mit PVIDs hast Du immer nur ein solches.
Also doch 4x raus und dann wieder auf einem Switch/Segment zusammenführen um auf das eine Modem zu gelangen.![Bildschirmfoto 2015-05-21 um 20.32.13.png](/public/imported_attachments/1/Bildschirmfoto 2015-05-21 um 20.32.13.png)
![Bildschirmfoto 2015-05-21 um 20.32.13.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2015-05-21 um 20.32.13.png_thumb)
![Bildschirmfoto 2015-05-21 um 20.32.51.png](/public/imported_attachments/1/Bildschirmfoto 2015-05-21 um 20.32.51.png)
![Bildschirmfoto 2015-05-21 um 20.32.51.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2015-05-21 um 20.32.51.png_thumb) -
Ahoi Chris,
ja die Idee ist schon interessant, du bekommst dann vielleicht auf jedem VLAN Interface eine IP Adresse. Ich bin mir nur nicht schlüssig ob das Modem dann den DHCP von jedem VLAN sauber empfangen und bearbeiten kann weil es selbst kein VLAN spricht. Und wenn es an einem Switchport hängt, der für alle 4 VLANs getaggt ist - schön und gut - aber wer taggt die Pakete dann? Das Modem hat keine Ahnung von VLANs und wenn es dann auf dem Switchport DHCP Antwort Pakete sendet - welche VLAN ID sollen die annehmen? Man kann ja dem Switchport ein Default VLAN mitgeben, aber dann landen alle ungetaggten Pakete im gleichen VLAN -> wieder nichts gewonnen. Das Modem müsste ja dann entsprechend auch an 4 x LAN hängen, damit jeder Port transparent eine Gegenstelle hat.
Vielleicht übersehe ich jetzt vor lauter Wald den Baum aber irgendwie wüsste ich nicht wie ein nicht-VLAN fähiges bzw. non-VLAN-aware Gerät das hinbekommen sollte?
Grüße
Jens -
ja die Idee ist schon interessant, du bekommst dann vielleicht auf jedem VLAN Interface eine IP Adresse. Ich bin mir nur nicht schlüssig ob das Modem dann den DHCP von jedem VLAN sauber empfangen und bearbeiten kann weil es selbst kein VLAN spricht.
Wozu DHCP? Statisch konfigurieren un feddich! IMHO ist DHCP das geringste Problem…
Und wenn es an einem Switchport hängt, der für alle 4 VLANs getaggt ist - schön und gut - aber wer taggt die Pakete dann?
?!?
Dafür hat man doch den VLAN-fähigen switch?
Ideal wäre ein Switch, der auf einen Port mehrere ungetaggte VLANs legen kann. Gibt es sowas?
Alternativ könnte man die fünf Ports des VLAN-Switches mit einem dummen 8-Port-Billig-Switch zusammenfassen, um zum Modem zu gehen.
Angenommen, die Web-Oberfläche würde es tatsächlich zulassen, mehrere IPs auf eine MAC zu konfigurieren. Und ich würde dann zB folgende Adressen bekommen (hier hypothetisches Beispiel):
111.223.149.94
111.222.148.95
111.223.147.96
111.222.146.97
110.222.145.98Dann könnte ich auf diesem Interface einfach 110.0.0.0/7 konfigurieren, und alles wäre gut. Ich sehe nicht, was dagegen sprechen würde.
BTW: Ich habe jetzt mal flüchtig an einem KabelBW-Modem gelauscht und erstaunliches festgestellt: AFAIR ist da ARP-Traffic von 4.x.x.x über 103.x.x.x bis hin zu 2??.x.x.x zu sehen. Da scheinen sogar mehrere Class-A-Netze drauf zu liegen :o Die routen da wohl Kraut und Rüben hin. Wenn ich mal wieder an die Leitung komme, werde ich mal genauer hinschauen, was da alles an Adressen unterwegs ist.
-
Wozu DHCP? Statisch konfigurieren un feddich! IMHO ist DHCP das geringste Problem…
Nicht bei Unitymedia / KabelBW. Da gab es schon häufiger Probleme, wenn die IP statisch konfiguriert ist, weil man etwaige Gateway oder Routing Änderungen dann nicht mitbekommt. Es wird auch explizit davon abgeraten das statisch zu konfigurieren, da es zu genannten Problemen kommen kann. Deshalb - unschön.Dafür hat man doch den VLAN-fähigen switch?
Nein. Der Switch ist konfiguriert auf (bspw.) einen Trunk-Port für die pfS, der dann die 4 VLANs hat. 10,20,30,40 als Beispiel. Schön und gut. In der pfSense werden die dann eingetragen und werden somit eigene Pseudo-Interfaces. Das Kabelmodem hat aber auch nur einen Port, hat aber keine Ahnung von VLANs. Wie soll das Kabelmodem jetzt Antwortpakete in das entsprechende VLAN schicken, wenn es die Pakete nicht taggt? Der Switch kann einen Port per default nur in ein VLAN taggen. Er kann ja auch gar nicht wissen, mit welchem VLAN du reden willst wenn du kein VLAN Tag benutzt, aber auf dem Port mehrere VLANs definiert sind. Das Modem schickt also jetzt ein DHCP-ACK und taggt das Paket nicht - weil es keine Ahnung davon hat - und der Switch weißt es dann seinem Default VLAN zu. Aber eben nicht den 3 anderen.Ideal wäre ein Switch, der auf einen Port mehrere ungetaggte VLANs legen kann. Gibt es sowas?
Nein, zumindest wäre mir nichts dergleichen bekannt, weil er ja keine Ahnung hat in welches der VLANs er das Paket schicken soll. Dazu müsste man den Port "quasi" programmieren und ihm zusätzliche Logik verpassen, damit er das Paket komplett auseinander nimmt und dann ggf. MAC based das VLAN erkennt.Trotzdem erschließt es sich mir noch nicht, ob/wie das sinnvoll funktionieren wird.
Angenommen, die Web-Oberfläche würde es tatsächlich zulassen, mehrere IPs auf eine MAC zu konfigurieren. Und ich würde dann zB folgende Adressen bekommen (hier hypothetisches Beispiel):
Die Oberfläche hat damit ja gar nichts zu tun. Die WebGUI unterstützt das, ebenso wie pfSense nativ. Nennt sich Virtual IP/Alias IP.Dann könnte ich auf diesem Interface einfach 110.0.0.0/7 konfigurieren, und alles wäre gut. Ich sehe nicht, was dagegen sprechen würde.
Nope, geht nicht. Außer du sägst dir mal kurz instant das komplette 110/111.er Netz ab, denn du würdest alle Adressen verlieren. Da deine pfSense dann denkt, dass die Adressen bei ihr direkt auf dem WAN Interface lokal erreicht werden können, würde sie diese nie mehr an den Default-Router weiterreichen. Mag sein, dass dir das an der Stelle egal ist, aber wenn da ggf. wichtige Services drin liegen, die du erreichen musst, bist du aufgeschmissen. Zudem gibt dir KabelBW zu jeder IP Adresse ggf. ein anderes Gateway, so dass du nicht einfach platt 110/7 via Gateway X konfigurieren kannst, weil das bei denen dann überhaupt nicht rausgeroutet wird. So einfach ist es leider nicht.Was das Kraut und Rüben angeht: Du lauschst an einem Modem, was ggf. im Background in einem privaten Netzbereich hängt und bekommst da ggf. Rest-Traffic von anderen Kunden aus dem Segment mit. Wäre zwar unschön, aber vorstellbar. Muss nicht unbedingt was mit dem Routing zu tun haben. Da hab ich bei 1&1 und Co schon anderes gesehen...
Grüße
-
…du bekommst dann vielleicht auf jedem VLAN Interface eine IP Adresse. Ich bin mir nur nicht schlüssig ob das Modem dann den DHCP von jedem VLAN...
Wenn ich Euch richtig verstanden habe, dann bekommt Ihr mehrere (5?) public IP Adressen zugewiesen, für die es jeweils eine eigene MAC benötigt. Diese muss beim Provider hinterlegt werden. Richtig?
Das Modem selbst ist ja dumm (sollte zumindest) und bridged nur das vom Kabel kommende Signal auf ein Ethernet. Dafür müssen alle 5 NICs, deren MACs eine IP zugewiesen bekommen sollen, für dieses Modem direkt "sichtbar" sein.In der pfSense baust Du Dir nun einen Trunk, in dem alle 5 vWAN Interfaces hängen. Diesen verbindest Du mit dem Trunk-Port eines Switches. Der Switch hat 5 untagged Ports konfiguriert, auf denen jeweils ein VLAN herauskommt. Jedes bridgest Du mit einem CAT-Kabel auf 5 Ports eines (unmanaged) Switches, an dem auch der Lan-Port des Modems hängt. (Das kann natürlich auch der gleiche Switch mit einem separierten Segment sein)
Nachvollziehbar oder solch ich eine Skizze machen?Probiert das mal bitte jemand aus! Ich habe zwar Kabel (KDG) aber bekomme nur eine dynamische p-IPv4 zugewiesen. Wenn überhaupt…
-
Ideal wäre ein Switch, der auf einen Port mehrere ungetaggte VLANs legen kann. Gibt es sowas?
Jain.
Eins der VLANs muss immer eine PVID tragen, was bedeutet, dass jeder Traffic zum Interface immer in dieses VLAN verpackt wird.
"Hören" kannst Du alle. -
@Jahonix: Wow, ja mit einer Switchkaskade könnte es dann tatsächlich hinhauen. Trunk mit 4 VLANs auf VLAN Switch, dort dann 4 Einzelstrecken zu nächstem Switch/Hub wo dann final das Modem dranhängt. Könnte wirklich hinhauen, hört sich aber mighty overdosed an für den Erfolg ;) Aber interessant wärs tatsächlich. Der "dumme" Switch und der VLAN Switch müssen dann nur ordentlich ihre MAC State Table im Griff haben, dann könnte das wirklich hinhauen. Das heißt dann aber auch, dass man ein Spinnennetz aus Leitungen am WAN hat (eigentlich gruselig um nur die IP abzugreifen), aber wenns klappt.
Interessant wäre ja noch ein zweiter Test:
Wenn man für alle IPs die gleiche MAC angeben kann, wäre es eine interessante Variante, die zusätzlichen IPs statisch zu konfigurieren (nicht empfohlen, klar) und die primary IP eben per DHCP zu holen.
Grüße Jens
-
Wie kommt ihr eigentlich drauf man könnte bei KabelBW mehrere IPs mit einer identischen MAC reservieren? Das geht schlicht und ergreifend nicht ???
-
mit einer Switchkaskade könnte es dann tatsächlich hinhauen. […] hört sich aber mighty overdosed an für den Erfolg
Wieso?
Der OP hatte IMHO die Einschränkung, aus platz- und thermischen Gründen nur eine ALIX/APU verwenden zu können.
Mit den Kisten habe ich doch kaum eine andere Chance, als es in dieser Form zu konfigurieren.Wenn man für alle IPs die gleiche MAC angeben kann, wäre es eine interessante Variante, die zusätzlichen IPs statisch zu konfigurieren
Warum sollte das funktionieren können, wenn man die MACs in einem Web-Interface des Providers vorher konfigurieren muss?
Dabei hilft es jetzt auch nicht, über die generelle Sinnhaftigkeit dieses Vorgehens zu diskutieren. Nur mal so präventiv. -
@tpf: Das wurde zwischendurch behauptet/in der Raum geworfen, da ich selbst kein Business Kunde bin konnte/kann ich dazu nichts sagen :)
Wieso?
"overdosed", da mit zwei vorgeschalteten Switches wovon einer noch intelligent mit VLANs sein muss und entsprechend wirre Verkabelung. Wenn Platzgründe das Problem des OP sind, könnten zwei Switches und der Kabelsalat ja durchaus ein Argument sein. War aber nicht negativ/abwertend gemeint, nur eben ziemlich aufwändig für "möchte eigentlich nur 4 IPs haben".Warum sollte das funktionieren können, wenn man die MACs in einem Web-Interface des Providers vorher konfigurieren muss?
Da ich zumindest einmal in der Vergangenheit KabelBW Business bei einer Firma hatte, weiß ich, dass man damals zumindest eine Zeit lang das Interface auch statisch konfigurieren konnte, es gab aber in unregelmäßigen Abständen dann immer mal wieder Probleme (Routing o.ä.) so dass das eben nicht empfohlen ist. Die Idee - die ja nicht funktionieren wird, da @tpf ja schon gezeigt hat, dass es nicht möglich ist - war dann lediglich darauf zu vertrauen, dass so lange eine IP wenigstens dynamisch konfiguriert ist, es nicht so problematisch ist die anderen statisch zu konfigurieren, da hoffentlich meist das gleiche Gateway o.ä. definiert wird.Ist aber nun ebenfalls egal, da wir ja nun sehen, dass es überhaupt nicht möglich ist. Hätte mich auch stark gewundert, denn da die IPs per DHCP vergeben werden, würde jeder DHCP Server streiken wenn man ihn mit 4 gleichen MACs für unterschiedliche IPs füttert. :)
Trotzdem eine interessante Diskussion, vor allem die Idee mit dem Switch. :)
-
Servus,
also ich hatte das ja auch versucht, als ich Dual-WAN mittels KabelBW und T-Com aufgebaut habe. Als ich auf der pfS manuell die MAC für das VLAN-Interface geändert habe, wurde gleichzeitig auch die MAC des Partent-Interface geändert. Das kam dann zwar die angedachte IP von KabelBW, funktionierte aber sonst nicht. Das kann zwar auch andere Gründe gehabt haben, ich habe es dann aber nicht weiter untersucht sondern mit der alten MAC einfach weiter gemacht. Ich habe einen 8-Port VLAN-Switch, gebe KabelBW und T-COM jeweils untagged auf einem Port rein und gebe sie tagged auf einem Port an die pfS.