DS-Lite pfSense Disconnect

JeGr

@ashold7 Hallo Jonas,

du hast also auch ein Modem am Start? Oder wie läuft die Verbindung ab?

Hast du nach der Verbindungstrennung denn noch IPv6 wenigstens? Oder liegt da auch keine Verbindung mehr an? Dann käme das Problem daher, nicht vom GIF Interface.

Ansonsten wäre im Falle dass es nicht (mehr) läuft bevor du einen kompletten Reset machst interessant ob nach Rückbau (also löschen des GIF Interface, so dass nur noch der v6 Part aktiv ist) dann das hier funktioniert:

ifconfig gif0 create
ifconfig gif0 inet6 tunnel <<LOCAL IPv6 ADDRESS>> <<AFTR ADDRESS>> 
mtu 1460 -accept_rtadv ifdisabled
ifconfig gif0 inet 192.0.0.2 192.0.0.1 netmask 255.255.255.248
route add default -interface gif0

also das manuelle erstellen des GIF Tunnels mit Setzen auf aktiv bekommener IPv6 (auf dem LAN wenn ich das recht verstehe weil das WAN wohl keine public bekommt?) und die AFTR Adresse von M-Net.

ashold7

@jegr Hallo,
vielen Dank für deine ausführliche Antwort. Ich benutze das Vigor 130 als Modem und dieses hängt in der aktuellen Kofiguration noch vor der Fritzbox und das läuft einwandfrei, also sollte dies nicht das Problem sein.

Ich habe das heute versucht: Als erstes habe ich das so alles eingerichtet, dass ich Internet habe, dann habe ich das OPT1 Interface und das GIF Interface gelöscht. Ich hatte erstmal trotzdem weiterhin Internet, weil das GIF Interface, soweit ich es verstehe ja nur einmal gebraucht wird, um eine ipv4 zu ziehen. Dann habe ich das WAN disconnected und wieder neu verbunden. Ich hatte kein Internet mehr auch nicht ipv6. Ich habe sogar explizit 2a00:1450:4001:81f::2003 (google) angepingt, um DNS-Probleme zu umgehen, sollte es diese geben. Ich habe aber auch dort nur einen Timeout bekommen.

Ich weiß nicht, ob das was damit zu tun hat, aber, ich habe ja bei dem WAN - Interface, welches über DHCPv6 konfiguriert ist, eingestellt "Request a IPv6 prefix/information through the IPv4 connectivity link". Deswegen frage ich mich, ob man nicht sogar das GIF-Interface braucht, um eine IPv6 Internetverbindung aufzubauen, aber der Tutorialschreiber soll ja trotzdem schon IPv6 Internet, ohne das GIF-Interface gehabt haben?

Grüße,
Jonas

JeGr

@ashold7 said in DS-Lite pfSense Disconnect:

vielen Dank für deine ausführliche Antwort. Ich benutze das Vigor 130 als Modem und dieses hängt in der aktuellen Kofiguration noch vor der Fritzbox und das läuft einwandfrei, also sollte dies nicht das Problem sein.

Darf ich doof fragen warum? Wenn du doch ein Modem hast, warum dann umständlich die Verbindung über die Fritzbox aufbauen lassen (die ja eigentlich selbst ein Modem hat - warum soll diese dann ein externes nutzen?) und nicht direkt über die pfSense? Ist mir jetzt im ersten Moment nicht ganz klar, aber vielleicht überlese ich auch was? :)

@ashold7 said in DS-Lite pfSense Disconnect:

Ich weiß nicht, ob das was damit zu tun hat, aber, ich habe ja bei dem WAN - Interface, welches über DHCPv6 konfiguriert ist, eingestellt "Request a IPv6 prefix/information through the IPv4 connectivity link". Deswegen frage ich mich, ob man nicht sogar das GIF-Interface braucht, um eine IPv6 Internetverbindung aufzubauen, aber der Tutorialschreiber soll ja trotzdem schon IPv6 Internet, ohne das GIF-Interface gehabt haben?

Genau das macht mich an der Geschichte ebenfalls stutzig. Denn DSlite bezieht ja gerade nicht die IP via v4 sondern umgekehrt. Ich würde daher den Haken mit v6 via v4 beziehen mal rausnehmen und versuchen, ob/dass du soweit kommst, dass du zumindest auf IPv6 Level ein sauberes "UP" hinbekommst und zumindest weiter als einen Hop weit mit v6 pingen kannst. Das wäre dann schonmal ein Erfolg. Dann könnte man immer noch sehen, wie man danach die v4 draufgemogelt bekommt :)

Grüße

hik

Hallo zusammen.

Ich bin nun Kunde bei der Netcom BW (FTTB) und habe mit der Anleitung aus dem ersten Link auch eine DS-Lite Verbindung zum Laufen bekommen.

Abweichend zur o.g. Anleitung musste ich bei gif0 als Interface "WAN" und eben die AFTR von Netcom BW eintragen.

Automatik OUTBOUND NAT darf nicht an sein, sonst wird die IP der GIF-Schnittstelle genommen.

Was mich fast verrückt gemacht hat, war der Umstand, dass zunächst nicht alle Web-Seiten aufrufbar waren. Grund war der fehlende MSS Wert. Habe diesem bei der GIF-Schnittstelle dann auf 1420 (?) reduziert.

Lokale Verbindung von der Firewall gehen erst, wenn man manuelles Outbound NAT macht und die IPv4 von LAN nimmt.

Jedoch funktioniert auch bei mir die Verbindung nach einem Disconnect nicht mehr. Offenbar werden nach einem

service netif restart gif0

die Endpoint IPv4-Adressen 192.0.0.1 und 192.168.0.2 nicht mehr gesetzt. Das geschieht erst wieder, wenn ich in die Weboberfläche gehe und beim GIF auf speichern klicke.

Allerdings reicht das allein auch nicht aus, da die default-Route wegfällt. Erst, wenn ich diese wieder von Hand setze, funktioniert die Verbindung wieder.

Aber grundsätzlich scheint pfSense mit DS-Lite bei der NetCom BW zu klappen. Der Rest benötigt ggf. noch etwas Handarbeit bzw. ein Script, welches den Link überwacht und ggf. die richtigen Einträge setzt.

--
hik

JeGr

@hik Autsch, das liest sich ja grausam. Also nicht falsch verstehen: Super fürs durchstehen und danke fürs Posten!

Aber das ist genauso ein Rempel wieder der IPv6 und Glasfaser kaputt macht, weil der Anbieter das ganze verhunzt. Statt DSlite selbst zu machen und dem Kunden auf Wunsch ordentliches DualStack zu liefern ohne BS wird da vor lauter "alter Technik" wieder schön alles verkompliziert und verdummt. Dass man dann sogar noch an der MTU/MSS rumspielen muss, noch schlimmer.

hik

@jegr Ja, das war wirklich eine kleine Odyssee.

Mittlerweile kriege ich es auch hin, dass sich die Verbindung nach einem Disconnect wieder fängt.

Die GIF-Schnittstellen werden nur über das Skript rc.newwanip neu gesetzt. Da der Tunnel aber auf einer IPv6 aufbaut, müsste das Skript rc.newwanipv6 die GIF-Schnittstellen neu konfigurieren, was es aber anscheinend nicht tut. Ich habe es testweise händisch ergänzt (Copy & Paste) und jetzt siehts eigentlich ganz gut aus.

Ich werde diesbezüglich noch einen Bugreport machen.

hik

@jegr Als Nachtrag: gegen derzeit 2,50€/Monat Aufpreis kriegt man eine dynamische IPv4-Adresse (dual Stack). Vermutlich werde ich das bald noch machen, damit der Ärger ein Ende hat.

JeGr

@hik Das ist echt frech, denn für 2,5€ könnten Sie auch ne statische v4 und ein statisches Prefix rausrücken. Von mir aus 4-5€ Aber dynamisch...

Ach seufz. Ich sag ja. Kokosnusspflücker oder was mit Holz...

ashold7

@hik Oh whoa, cool, dass du es geschafft hast. Ich habe das Projekt auch noch nicht generell aufgegeben, aber ich habe aktuell wenig Zeit und hoffe, dass DS-lite mit OPNsense bzw. Pfsense irgendwann tatsächlich voll funktionstüchtig ist.

Aktuell habe ich einen Openwrt Router auf einem alten PC. Ich weiß nicht, ob Openwrt dir das bringt, was du haben möchtest, aber die haben zum nachinstallieren ein dslite Paket und das läuft wunderbar, wenn man es mal zum Laufen gebracht hat. Hab dann auch einen adblocker, https-dns, openvpn und wireguard installiert, funktioniert alles.

Flole

@hik Hast du den Bug-Report mittlerweile geschrieben? Könntest du das hier kurz verlinken (und am besten auch deine Änderungen direkt darin beschreiben).

hik

@flole Voila: GIF interfaces should be reconfigured when IPv6 address of a WAN-Interface changes

Das Problem wurde m.E. nicht wirklich beseitigt und wegen des echten DualStacks (was ich später nachgebucht habe) habe ich das Thema nicht weiter verfolgt.