IPV6 hinter FritzBox, aber wie?

MrGrimod

@pfsnooker vielen dank für die ausführliche Beschreibung aber hat nichts gebracht, es haben zwar alle Geräte ne V6 Adresse aber im WWW hab ich keine V6 Adresse…

MFG

JeGr

@pfsnooker:

Allerdings belegt davon die Fritte immer schon zwei /64er selbst:

Bist du sicher, bzw ist das bei KD tatsächlich so? Bei Unitymedia bekommt die FB selbst eine eigene /128er bei der Einwahl trägt selbst noch ein /56er Prefix

Beispiel:
IPv6-Adresse: 2a02:xxxx:xx00::463:f8d4:8bba:9de8
IPv6-Präfix: 2a02:xxxx:xx9f:9e00::/56

Dabei kommt die Adresse wie man nach den xxxx:xx en sieht aus einem anderen Präfixbereich als das /56er Präfix das geroutet wird.

pfsnooker

@JeGr:

@pfsnooker:

Allerdings belegt davon die Fritte immer schon zwei /64er selbst:

Bist du sicher, bzw ist das bei KD tatsächlich so? Bei Unitymedia bekommt die FB selbst eine eigene /128er bei der Einwahl trägt selbst noch ein /56er Prefix

Beispiel:
IPv6-Adresse: 2a02:xxxx:xx00::463:f8d4:8bba:9de8
IPv6-Präfix: 2a02:xxxx:xx9f:9e00::/56

Dabei kommt die Adresse wie man nach den xxxx:xx en sieht aus einem anderen Präfixbereich als das /56er Präfix das geroutet wird.

Leider ja,

die Fritzbox bekommt selbst eine /128er Adresse. Die liegt in einem anderen Bereich wie der geroutete /62er Prefix. Und die FB nutzt halt die ersten zwei /64er in dem zugewiesenen Prefix für eigene Zwecke (LAN und GastLAN) und deligiert sie daher nicht weiter.

Diese Knauserigkeit von VF/KD ist ärgerlich, da man so kaum in der Lage ist, sein Netz ordentlich zu strukturieren. Denn bei V6 routet und filtert man ja nicht auf Basis von IP-Adressen, sondern auf Basis von Netzen… Nur gegen Geld (Business Vertag plus feste IP/Prefix) bekommt man ein /56er Netz.

Beste Grüße

Parsec

Warum versuchen alle mehrere Router zu kaskadieren und sich das Leben unnötig schwer zu machen?

Ein reines Modem an den Anschluss und die Pfsense als Router - fertig, zumindest wenn man kein Entertain hat.

Ansonsten halt - mit Entertian keine Pfsense sondern ein routerOs mit funktionierendem IGMPPROXY UND SSM Support.

pfsnooker

@MrGrimod:

@pfsnooker vielen dank für die ausführliche Beschreibung aber hat nichts gebracht, es haben zwar alle Geräte ne V6 Adresse aber im WWW hab ich keine V6 Adresse…

MFG

Das hört sich nicht so gut an.

Poste doch bitte mal fürs Debugging:

FB: "Internet->Online Monitor"

FB: "Heimnetz->Heimnetzübersicht->Netzwerkverbindungen" und dann unter dem "Edit-Stift" im Eintrag deiner pfsense

pfsense: "Status->Interfaces"

Viele Grüße

pfsnooker

@Parsec:

Warum versuchen alle mehrere Router zu kaskadieren und sich das Leben unnötig schwer zu machen?

Ein reines Modem an den Anschluss und die Pfsense als Router - fertig, zumindest wenn man kein Entertain hat.

Ansonsten halt - mit Entertian keine Pfsense sondern ein routerOs mit funktionierendem IGMPPROXY UND SSM Support.

Für (v)DSL-Anschlüsse ist das sicher ein berechtigter Einwand.

Für Kabelanschlüsse gibt es leider vertragliche Konstellationen, wo man um eine (geliehene) FritzBox kaum rumkommt. Bei VF/KD immer dann, wenn man Telefonie mit zumindest zwei gleichzeitigen Verbindungen geordert hat.

magicteddy

@Parsec:

Ein reines Modem an den Anschluss und die Pfsense als Router - fertig, zumindest wenn man kein Entertain hat

Es ist nicht alles so einfach.

• Telefonie: 9 Rufnummern bei KD geht nur beim KD Router, 6 Nummern werden hier aktiv genutzt.
• Haftung: Blitzschlag oder Störungen? Keine Frage, KD ist Schuld, spart Diskussionen und macht bis auf IPv6 keine Probleme.

-teddy

Parsec

Im Thread ging es ja zunächst um VDSL

Bei Kabel kenne ich mich nicht sonderlich aus.
irgendwie ist aber alles was auf doppeltes NAT und irgendwelche Klimmzüge bei der Konfiguration erfordert Murks, da stellt sich dann die Frage ob an nicht gleich nur bei der Fritzbox bleibt
Aber gut, muss jeder selbst wissen.

magicteddy

@Parsec:

…irgendwie ist aber alles was auf doppeltes NAT und irgendwelche Klimmzüge bei der Konfiguration erfordert Murks, da stellt sich dann die Frage ob an nicht gleich nur bei der Fritzbox bleibt ...

Super Logik, dank TR-069 ist eine Fritte, egal ob DSL oder Kabel in der Hand des Providers und somit keine sichere Netztrennung.
Die Segmentierung eines Netzes mit VLans läßt sich mit einer Fritte auch nur notdürftig hinfrickeln, und das auch nur in 2 Segmente (LAN & Gastnetz). Mit einem Layer3 Switch geht natürlich mehr aber dafür fehlen mir andere Funktionen. Für ein einfaches plattes Netz braucht man nicht unbedingt pfSense, aber selbst das kann Sinn machen. Doppeltes NAT hat mit Murks nichts zu tun und Klimmzüge brauchts auch nicht bei IPv4. Einfach pfSense hinter die Fritte hängen und als exposed Host in der Fritte einstellen und schon hast Du alles was die Fritte nicht für Telefonie intern fest verbiegt auf der pfSense. Läuft hier sauber und stabil.

-teddy

Parsec

Hab ich irgendwo geschrieben, dass man TR-069 auf keinen Fall ausschalten darf?
Wenn ich "Klimmzüge" schreibe, wo beschränke ich mich da auf IPv4 und warum machst du diese Einschränkung?
Davon abgesehen ist die Formulierung "in der Hand des Providers" stark übertrieben.

Es gibt hier etliche Threads in dem Konfigurationsprobleme mit pfSense hinter anderen Routern beschrieben werden.
Wenn es alles so einfach wäre, wie von dir beschrieben wärend ei ja alle überflüssig.
Schön ist doppeltes NAT aber auf keinen Fall - hier führt es ja sogar zu IPv6 Subnezten die man so eigentlcih gar nicht will.

Ich habe aber ja schon geschrieben, dass es jeder machen kann wie er will - hier geht es mir um einen Gedankenaustausch.

Zu der Problematik bzgl. der Anzahl von Telefonnummern kann ich leider nichts sagen, da ich keine Infos darüber habe.
Mein Standpunkt war und ist - wenn  ein reines Modem doppeltes NAT vermeiden kann, so ist es diesem immer vorzuziehen.

magicteddy

Wenn ich TR-069 abschalten könnte & dürfte würde ich es sicherlich machen. Da ich keine 100% Kontrolle über die ferngwartete Box habe betrachte ich sie als Teil des WAN.
Der Provider kann auf jeden Fall Portfreigaben remote entfernen (bei Anderen und mir passiert), also höchstwahrscheinlich auch einrichten  :o …

-teddy

JeGr

Warum versuchen alle mehrere Router zu kaskadieren und sich das Leben unnötig schwer zu machen?

Weil es nicht unnötig schwer ist wenn man weiß was man tut. Komisch, dass dieses Setup problemlos schon seit Jahren hier läuft.

Ein reines Modem an den Anschluss und die Pfsense als Router - fertig, zumindest wenn man kein Entertain hat.

Bringt vielen rein gar nichts, weil man mit der Umstellung auf SIP und Co. immer mehr Probleme mit "nur Modem" hat. Ich packe mir lieber die Provider Fritte vor die pfSense und lass die VoIP machen als mich mit Siproxy und Co rumzuschlagen, was immer mal wieder zu Problemen führt.

Ansonsten halt - mit Entertian keine Pfsense sondern ein routerOs mit funktionierendem IGMPPROXY UND SSM Support.

Weil wir im pfSense Forum und nicht bei RouterOS X oder Y sind ;) Und die Leute hier pfSense einsetzen wollen :)

Und da man - mit den AVM Handsets - ganz passable Telefone haben kann (zumindest im Heim/SMB Bereich) ist das auch eine recht geläufige Lösung.
Wenn es um Business Cases geht, wo ich ggf. die SIP Anlage eh intern habe, baue ich das Netz auch komplett anders auf. Aber sonst ist das ein völlig legitimes Setup mit dem Vorteil, dass man jeden Provider dran bekommt, wenn es Probleme gibt. Sobald die nämlich sonst hören "ich nutze was eigenes" ist Ende beim Support. "Wir unterstützen nur unsere Router". So kann man ihnen ganz problemlos ihre Kiste davor resetten und sie können den Fehler suchen und es ist mir völlig egal, weil sich davon nichts in meinem LAN abspielt. :)

magicteddy

Moin,

@pfsnooker:

ich habe eine ähnliche Konfiguration, nämlich eine Fritz!Box 6490 Cable hinter der eine Box mit pfsense hängt. Bei mir läuft IPV6, sogar unauffällig.

nur kurz als Rückmeldung, habe eine neue 6490 von Vodafone bekommen und musste eh alles neu einrichten, IPv6 läuft, danke!

-teddy