[HowTo] Pfsense an Wilhelm.tel FTTH mit Fritzbox 7490 dahinter (DualStack)

Dirk_Platt

Nachdem nun mit der aktuellen Version offenbar vieles stabiler läuft, hier mal ein Update meiner aktuellen Einstellungen:

– Angepasst für pfSense Version 2.4.2-RELEASE-p1 --

Hallo zusammen,

nachdem es mich doch einige Tage gekostet hat, meinen (ehemaligen Zwangs-)Router Fritzbox 7490 des Anbieters Wilhelm.tel als reines VOIP-Gerät "in die zweite Reihe zu verbannen", möchte ich meine nun offenbar funktionierende Konfiguration mit Euch teilen und hoffe, dass es jemandem nützt :)

Mein Aufbau ist derzeit:

ISP <--(Glasfaser)--> Genexis Medienkonverter(/Modem)? <--(Ethernet)--> WAN-PFsense-LAN <--(Ethernet)--> Clients (über Switch)

Mein Anschluss ist (schon seit geraumer Zeit) als "echtes" DualStack konfiguriert. Die nötige Konfiguration an einem (heute meist üblichen) DS-Lite Anschluss könnte vom hier beschriebenen abweichen!

Die vom Provider bereitgestellte Fritzbox läuft als reine "VOIP-Telefonanlage" im IP-Client Modus im LAN, wie alle anderen Clients auch.

Dazu waren folgende Einstellungen nötig:

1. in der Fritzbox:

unter "Internet / Zugangsdaten / Internetzugang" ist ein neuer Eintrag (heisst bei mir "Pfsense") einzurichten mit den aktivierten Einstellungen "Anschluß an externes Modem oder Router" und "Vorhandene Internetverbindung mitbenutzen (IP-Client-Modus)".

Diese Einstellung deaktiviert den ansonsten aktiven DHCP-Server der Fritzbox komplett, was ich in Ordnung finde.

Etwas problematischer könnte für manchen sein, dass man an der so konfigurierten Box offenbar keine IPV6-Einstellungen ändern kann (die Box versucht, vermutlich vorkonfiguriert, eine IPV6-Adresse über PPPoE zu bekommen, was dann hinter dem Pfsense-Router scheitern. Da ich die Box nur noch zum Telefonieren nutze, stört mich aber nicht, dass die Fritzbox so nur eine IPV4-Adresse hat.

==> inzwischen habe ich die Providerbox durch eine eigene FB7590 ersetzt, damit geht auch IPv6 <==

2. in Pfsense (ich nutze die aktuelle 2.4.2-RELEASE-p1 (amd64) Version):

WAN Konfiguration:

• "IPv4 Configuration Type": PPPoE

• "IPv6 Configuration Type": DHCP6

• In "DHCP6 Client Configuration" sind ausgewählt:
    - "Use IPv4 connectivity as parent interface"
    - als "DHCPv6 Prefix Delegation size": 56
    - "Send IPv6 prefix hint"

• In "PPPoE Configuration" sind eingetragen:
    - Username und Passwort des eigenen PPPoE Zuganges (von Willhelm.tel erfragen)
    - Periodic Reset "Custom" mit Wunschzeit (bei mir um 4:30h)

• Unter "Reserved Networks":
    - "Block private networks and loopback addresses" aktiv
    - "Block bogon networks" aktiv

LAN Konfiguration:

• "IPv4 Configuration Type": Static IPv4
• "IPv6 Configuration Type": Track Interface
• Unter "Static IPv4 Configuration":
    - "IPv4 Address": eine 192.168.x.y/24 Adresse nach Wunsch
    - "IPv4 Upstream gateway": None
• Unter "Track IPv6 Interface":
    - "IPv6 Interface": WAN
    - "IPv6 Prefix ID": ein (Hex-)Wert nach Wunsch zwischen 0 und ff (weitere LAN-Interfaces bekommen jeweils eine eigene Pfefix ID!)

Um die VOIP-Verbindung in der Fritzbox stabil zu halten, habe ich:

1. für die Fritzbox unter "Services / DHCP Server / LAN" ein statisches IP-Mapping zugewiesen (aus dem gewählten 192.168.x Netz). Dazu habe ich vorher unter "Status / DHCP Leases" die MAC-Adresse der Fritzbox ermittelt und nach dem Eintrag des statischen Mappings die Fritzbox einmal durchgestartet.
2. unter "Firewall / NAT / Outbound" Mappings für das Interface WAN für die Quelle "<statische ip="" der="" fritzbox="">/32" und den Port 5060 (sowie in einem zweiten Mapping für die Portrange 7078:7109) und das Ziel "Any" mit den gleichen Ports angelegt und dabei (wichtig!) unter "Translation" das Häkchen bei "Static Port" gesetzt.

Mit diesen Einstellungen bleibt die VOIP-Verbindung auch nach dem nächtlichen Reconnect bei mir stabil online ("registriert") ohne, dass ich dafür irgendwelche Portweiterleitungen "von Außen nach innen" einrichten musste.

Wichtig ist dabei aber vermutlich, daß in der Fritzbox die Einstellung "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" (zu finden unter "Telefonie / Eigene Rufnummern / Anschlusseinstellungen / Verbindungseinstellungen ändern" aktiviert ist und auf "alle 30 Sek." steht. Soweit ich weiß, ist das aber bei den Wilhelm.tel Boxen Default.

Für die Verwendung der IPV6-Adressen der Clients habe ich keinen DHCPv6-Server in der Pfsense konfiguriert, sondern lediglich unter "Services / DHCPv6 Server & RA / LAN / Router Advertisements" den "Router-Mode" auf "Unmanaged" gestellt, um die Clients zur Stateless Autoconfiguration (SLAAC) zu motivieren.

Mit den bisher beschriebenen Einstellungen habe ich eine funktionierende IPv4/IPv6 Konfiguration meines LANs hinbekommen.

==> dieser Abschnitt stimmt so anscheinend nicht mehr, die Pfsense läuft derzeit ohne diese Tricks stabil <==

==>Allerdings hatte ich danach immer noch das Problem, daß die Pfsense nach einer nicht ganz genau zu ==>bestimmenden Zeit offenbar nicht mehr in der Lage war irgendwelchen IPv6-Traffic ins Internet zu routen. ==>1-2 Stunden funktionierte alles, danach funktionierte zum Beispiel ein "Diagnostics / traceroute" mit IPv6 ==>auf das Ziel "ipv6.google.com" nicht mehr.
==>
==>Dieses Problem könnte spezifisch an dem Provider Wilhelm.tel liegen, der offenbar nicht ohne fortlaufende ==>Router-Solicitations erneute Router-Advertisements versendet - Keine Ahnung, ob er das eigentlich müsste. ==>Per Trial und Error habe ich aber für mich herausgefunden, daß das "rc.newwanipv6"-Script auf der ==>Pfsense, welche anscheinend beim Reconnect der PPPoE-Verbindung abschließend aufgerufen wird, dieses ==>Problem lösen kann, wenn man es regelmäßig wiederholt.
==>
==>Daher habe ich letztlich mit dem cron-Package alle "*/15"-Minuten einen Aufruf von /etc/rc.newwanipv6 ==>eingeplant. Wahrscheinlich tut das viel zu viel - es löst aber bei mir das beschriebene Problem.
==> Ende des obsoleten Teils <==

Mit den genannten Maßnahmen habe ich letztlich mein Ziel erreicht, die Fritzbox vom direkten Aufbau der Internetverbindung abzulösen und in die "zweite Reihe" zu verbannen, wo sie nur noch Telefonanlage spielt.

Nicht verschweigen, will ich den "Nachteil" dass ich damit auch auf dein eingebauten Switch und jegliches WLAN in der Fritzbox verzichte. Das ebenfalls so nicht funktionierende Fritzbox-Gastnetz habe ich aber inzwischen durch ein separates Netz an der OPT1-Schnittstelle und ein paar WLAN-APs ersetzt.

Ich hoffe meine Konfiguration kann irgendwem helfen und grüße die Community :)

Dirk Platt

P.S.: Ich möchte ausdrücklich betonen, dass die geschliderten Massnahmen nur meinem (beschränkten) Netzverständnis und einer gehörigen Portion "Google-Recherche + Trial und Error" entstammen. Wahrscheinlich kann man einiger anders/besser machen. Auf jeden Fall funktioniert die beschriebene Konfiguration bei mir nun wunschgemäß :). Kommentare und Verbesserungsvorschläge sind natürlich willkommen.</statische>

jankkm

Moin Dirk,
ich hab ähnliches vor und bin gerade über deinen Beitrag gestolpert. Klingt alles sehr gut und ziemlich so, wie ich es auch realisieren möchte, nur verstehe ich nicht ganz, was für ein Modem du da verwendest. Unter dem Namen Genexis Medienkonverter finde ich nicht so recht ein Produkt zu kaufen. Oder ist das der Abschlusspunkt von Wilhelm.Tel?
Würd mich über nen Hinweis freuen!
VG Jan

Dirk_Platt

Richtig, der Genexis Medienkonverter ist der graue Kasten vvom Wilhelm.tel, der das Glasfaserkabel auf Ethernet umsetzt.

Gruß, Dirk

jankkm

Danke für die Rückmeldung!
Ich wohne in einem Mehrfamilienhaus und bei mir stecke ich die Fritz Box in die TAE-Dose um ans Internet zu kommen. Kann ich so den RJ45-Stecker, der in die Fritz Box geht einfach in mein pfsense-System stecken und eine PPPoE-Verbindung aufbauen?

RAYs3T

Wenn du deinen Anschluss üver vDSL beziehst, kann ich dir dieses Modem empfehlen: http://www.allnet.de/de/allnet-brand/produkte/alle-produkte/p/allnet-all-mc115vdsl2-vdsl2-100-mbit-mini-modem-masterslave/.

Du kannst dort sowohl den RJ11 (?) Stecker einstecken, als auch die Adern der Dose direkt, so wie ich.

Damit betreibe ich bei mir auch PFSense und bin bisher super zufrieden. Das ganze läuft schon seit über 1,5 Jahren.

SD_456

@RAYs3T:

Wenn du deinen Anschluss üver vDSL beziehst, kann ich dir dieses Modem empfehlen: http://www.allnet.de/de/allnet-brand/produkte/alle-produkte/p/allnet-all-mc115vdsl2-vdsl2-100-mbit-mini-modem-masterslave/.

Du kannst dort sowohl den RJ11 (?) Stecker einstecken, als auch die Adern der Dose direkt, so wie ich.

Damit betreibe ich bei mir auch PFSense und bin bisher super zufrieden. Das ganze läuft schon seit über 1,5 Jahren.

Genau das habe ich gesucht. Ich habe in meiner Fritzbox ausm Keller ein RJ-45 Kabel, über welches sich scheinbar die Internetverbindung aufbaut. Ich will die Fritzbox aber loswerden und mein Plan ist es hinterm Modem eine pfsense zu betreiben.

Ich bin mir aber nicht sicher, wenn ich mir das Modem kaufen sollte wie ich das anschließe oder konfiguriere. Was hast du rechte angeschlossen? Die beiden abisolierten Kabel?

LAN geht sicherlich in deine pfsense, richtig?

Gruß

Eike

Moin Männer,
ich habe genau den gleiche aufbau.
ISP <–(Glasfaser)--> Genexis Medienkonverter(/Modem)? <--(Ethernet)--> WAN-PFsense-LAN <--(Ethernet)--> Clients (über Switch)

Ich würde nur gern jetzt noch die Einwahl ins TelQuick /Wilhem Tel Netz machen lassen von der PF. Kannst du mir das auch mal posten bitte ?

Dirk_Platt

@Eike:

Moin Männer,
ich habe genau den gleiche aufbau.
ISP <–(Glasfaser)--> Genexis Medienkonverter(/Modem)? <--(Ethernet)--> WAN-PFsense-LAN <--(Ethernet)--> Clients (über Switch)

Ich würde nur gern jetzt noch die Einwahl ins TelQuick /Wilhem Tel Netz machen lassen von der PF. Kannst du mir das auch mal posten bitte ?

die Einstellungen, die ich gemacht habe stehen am Anfang des Threads beschrieben (habe ich mal aktualisiert auf die aktuelle pfSense Version) - was fehlt Dir genau?

Gruß, Dirk

Eike

Moin ich bin leider totaler Anfänger was diese Firewall angeht und leider sieht es für mich so aus als wenn dort nichts passiert wenn ich auf pppoe stelle.
Sobald ich alles auf DHCP stelle (deine Einstellungen so lasse) bekomme eine ip 172.x.x.x/20 das hilft mir aber nicht. Ich bin bei Quicktel das ist ein Reseller von Wilhelm Tel.

Eike

PS: Guck mal das habe ich gerade gefunden…....hilft das ?
Ich werde gleich mal anrufen und genau fragen welchen Anschluss ich habe.

https://www.telquick.de/downloads/start/einrichtung-kundeneigener-router.html

Dirk_Platt

@Eike:

Moin ich bin leider totaler Anfänger was diese Firewall angeht und leider sieht es für mich so aus als wenn dort nichts passiert wenn ich auf pppoe stelle.
Sobald ich alles auf DHCP stelle (deine Einstellungen so lasse) bekomme eine ip 172.x.x.x/20 das hilft mir aber nicht. Ich bin bei Quicktel das ist ein Reseller von Wilhelm Tel.

Eike

PS: Guck mal das habe ich gerade gefunden…....hilft das ?
Ich werde gleich mal anrufen und genau fragen welchen Anschluss ich habe.

https://www.telquick.de/downloads/start/einrichtung-kundeneigener-router.html

Der Link scheint irgendwie nicht zu funktionieren. Offenbar stellt Dir Dein Provider den Internetzugang aber doch anders als Wilhelm.tel zur Verfügung, wenn PPPoE keine IP liefert. Die 172.x.x.x/20 Adresse ist außerdem keine öffentliche IPv4 Adresse, sondern aus einem (Provider-)lokalen Subnetz geNATed…

Man könnte also sagen, dass telquick Dir keinen Zugang ins Internet schaltet, sondern nur einen Zugang in ein Providernetz mit Gateway ins öffentliche Internet.

Meine Konfiguration setzt auf einem als DualStack eingerichteten PPPoE Anschluss auf. Ist also in Deinem Fall so wohl eher nicht anwendbar.

Gruß, Dirk

Edit: Jetzt konnte ich das PDF herunterladen ... dort ist von PPPoE Einwählen die Rede. keine Ahnung, warum Du damit keine IP bekommst. Username und Passwort wirst Du sicher überprüft haben. Allerdings ist in dem Dokument auch von Ds-Lite im Gegensatz zu Dual-Stack als Zugangsart die Rede.

pfadmin

Moin,

WilhelmTel hat VLAN 10 für PPPoE, davon steht bei tel.quick ausdrücklich nichts und das macht m.M. auch Sinn.

Güße
pfadmin

Eike

ich habs mal als jpg angehängt….....

@pfadmin
was heißt das für mich?

ich sage mal so die dusselige fritzbox kommt sofort ins internet sprich dort kann mit  seinen logindaten eingeben und direkt los legen.
ich hab damals meinen anschluss nur auf ipv4 umstellen lassen mehr nicht. also dslight habe ich nicht mehr.

Dirk_Platt

@Eike:

ich habs mal als jpg angehängt….....

@pfadmin
was heißt das für mich?

ich sage mal so die dusselige fritzbox kommt sofort ins internet sprich dort kann mit  seinen logindaten eingeben und direkt los legen.
ich hab damals meinen anschluss nur auf ipv4 umstellen lassen mehr nicht. also dslight habe ich nicht mehr.

Und mit der Fritte bekommst Du eine öffentliche IPv4 Adresse?

Gruß, Dirk

Dirk_Platt

Also in der Schnittstellenbeschreibung bei Wilhelm.tel (https://www.wilhelm-tel.de/privatkunden/service/technikoffensive/schnittstellenbeschreibung/) steht für

Datenübertragung bei Ethernet und VDSL Anschlusstechnik

1.      Bei Kommunikation über ein Interface

a.      Die Einwahl erfolgt per PPPoE nach RFC 2516 ohne VLAN
https://tools.ietf.org/html/rfc2516

b.      Die Zugangsart ist IPv6 dual-stack lite nach RFC 6333
https://tools.ietf.org/html/rfc6333

c.      die SIP Kommunikation erfolgt über das Internet Interface

Bei mir geht Alles über ein Interface und ohne VLAN … jedenfalls habe ich dafür nichts konfigurieren müssen.

Gruß, Dirk

Eike

Moin,
ja bekomme ich. Ich habs angehängt. Habe ich nun einen dualStack oder nicht ?

Ich gebn Bier aus wenn mir das eben einer von Euch hier im Keller bei mir macht :)


Dirk_Platt

@Eike:

Moin,
ja bekomme ich. Ich habs angehängt. Habe ich nun einen dualStack oder nicht ?

Ich gebn Bier aus wenn mir das eben einer von Euch hier im Keller bei mir macht :)

Das sieht in der Tat nach DualStack aus …  und auch die IPS der DNS Server kommen mir sehr bekannt vor.

Wo ist denn Dein Keller? Ich bin aus Henstedt-Ulzburg. Kannst mir ja mal ne PM mit Telefonnummer schicken.

Gruß, Dirk

Eike

Bei dir um die Ecke :) pm kommt

Eike

Ich bin Online ….es ist ein Bug in der Software.

Also ich habe ja die pf neu und habe logischerweise auch auf der Konsole auch die erst Einrichtung vorgenommen.
Soweit so gut alles sieht auch gut aus, nur das wan interface war durch pppoe immer offline

pppoe war netzwerk karte 0 von 4 also von 0 bis 3
so in der übersicht wurde mir zwar angezeigt das es netzwerkkarte 0 sein sollte diese war aber noch gar nicht unter netzwerkkartren hinzugefügt.

ich habe sie also per hand an hand der mac erkannt und hinzugefügt.

dann habe ich gesagt du pppoe interface bist jetzt die genau die neue netzwerkarte 0 
und schwups kam ich online.

also sowohl die anzeige auf der webseite als auch auf der konsole stimmen nicht. man kann damit nicht direkt einen pppoe account einrichten.

man muss erst alle netzwerkarten einrichten und dann pppoe on top "installieren"

kann man verstehen was ich geschrieben habe?

Dirk_Platt

@Eike:

Ich bin Online ….es ist ein Bug in der Software.

Also ich habe ja die pf neu und habe logischerweise auch auf der Konsole auch die erst Einrichtung vorgenommen.
Soweit so gut alles sieht auch gut aus, nur das wan interface war durch pppoe immer offline

pppoe war netzwerk karte 0 von 4 also von 0 bis 3
so in der übersicht wurde mir zwar angezeigt das es netzwerkkarte 0 sein sollte diese war aber noch gar nicht unter netzwerkkartren hinzugefügt.

ich habe sie also per hand an hand der mac erkannt und hinzugefügt.

dann habe ich gesagt du pppoe interface bist jetzt die genau die neue netzwerkarte 0 
und schwups kam ich online.

also sowohl die anzeige auf der webseite als auch auf der konsole stimmen nicht. man kann damit nicht direkt einen pppoe account einrichten.

man muss erst alle netzwerkarten einrichten und dann pppoe on top "installieren"

kann man verstehen was ich geschrieben habe?

so ganz verstehe ich vielleicht nicht, was Du meinst, aber Hauptsache die Verbindung klappt nun erst einmal  ;D

Für mein Verständnis funktioniert psSense hier so:

• in der Ersteinrichtung (Konsole) ordnest Du erstmal nur die physischen NICs logischen Interfaces (WAN. LAN, OPT1, OPT2 …) zu.
• immer noch in der Konsole kannst Du dann für die zu benutzenden Interfaces festlegen, ob sie eine statische IP oder per DHCP konfiguriert werden sollen.
• wichtig ist hierbei erstmal, dem WAN-Interface auch wirklich den richtigen Port zuzuweisen, an dem später die Verbindung "ins Internet" aufgebaut wird. Da die Ports (je nach Hersteller der Netzwerkadapter) aber immer etwas anders heißen (Realtek: re0, re1 ... meine Intel-NICs heißen em0, em1 ... ) und außerdem die Reihenfolge der Nummerierung nicht mit den evtl. vorhandenen Angaben an der tatsächliche Buchse übereinstimmen müssen, nutz man hier im Zweifel am besten die "Autoerkennung" indem man nacheinander ein Netzwerkkabel (z.B. zu einem Switch) einsteckt und an der Konsole mit verfolgt, welcher Port jeweils als "up" gemeldet wird.
• damit hat man dann erstmal nur festgelegt, welcher physische Port künftig das WAN Interface sein soll, und von wo die LANs abgehen.
• Alles weitere (auch PPPoE) wird anschließend nur im Webinterface eingestellt.
• Also unter Interfaces WAN auswählen und dann als "IPv4 configuration type" PPPoE einstellen. Dabei entsteht dann (zu sehen unter Assignments) ein neuer logischer Netzwerk-Port - bei mir z.B. "PPPOE1(em0)" der auch automatisch dem WAN Interface zugeordnet wird.

Also als Bug würde ich das nicht bezeichnen - vielleicht als nicht immer erwartungskonform. Die Konsole ist halt wirklich nur für die Grundeinstellung und Identifizierung der vorhandenen NICs da, der Rest geht dann erst im Webinterface.

Wenn ich das nun richtig deute, rührten Deine Probleme daher, dass bei der Grundzuordnung WAN -> NIC in der Konsole nicht der richtige Port ausgewählt war, so dass hinterher die PPPoE Einstellung im Webinterface für den vermeintlichen WAN-Port gemacht wurde, Dein Kabel aber an einem anderen NÍC hing.

Schöne Grüße, Dirk

pfadmin

Ich meine, dass du bei WT im Layer 2 mit einem VLAN10 "unter" der PPPoE Verbindung arbeiten mußt, und bei deinem Anbieter nicht. Möglicherweise weiss dass die FB, wenn du die Daten eingibst oder sie bekommt das automatisch per TR69. Jedenfalls schreibst du ja nach deinem "Bug", dass du kein VLAN einrichtest und dann passt das ja wieder alles.

Gruß
pfadmin