Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense

sysadminfromhell

Hallo zusammen, ich habe folgendes Problem:

Und zwar, wenn ich meinen neu erworbenen Vigor 167 als FullBridged Mode verwenden möchte bekomme ich leider keinerlei Verbindung zustande.
Vorher bzw. aktuell verwende ich eine FritzBox als Router mit doppel NAT, dies wollte ich gerne austauschen, leider ist es so dass wenn ich PPPoE verwende ich zwar angemeldet werde, ich allerdings keinerlei Verbindung nach außen aufbauen kann.
Verwende ich den Vigor als Router klappt das über Modem Mode und PPPoE an der pfSense leider nicht. Ja ich habe VLAN Tag mal am Vigor wie auch an der pfSense (gegensätzlich natürlich deaktiviert und auch aktiviert probiert) versucht doch leider kriege ich zwar eine IPv4 und eine IPv6 Adresse doch leider keinerlei Verbindung, die Leitung ist einfach Tot.
Beim Vigor sehe ich meine 100MBit Down und meine 41 MBit Up, muss ich da was bei der Telekom noch freischalten lassen?
Achja, mein Anschluss hat einen Easy Login, aber auch ohne kann ich mich anmelden das Ergebnis zwischen Anmeldedaten und "easy Login" ist hierbei das selbe.

Hat jemand da noch einen Rat für mich?

Beste Grüße,

nonick

@sysadminfromhell Hallo, erst mal würde ich den Vigor wieder in den Ausgangszustand bringen. Dieser wird normalerweise richtig für dein Vorhaben konfiguriert als Modem mit VLAN 7 ausgeliefert.
https://www.draytek.de/einrichtung-internet-mit-t-online.html

In der Sense dann folgendes konfigurieren.

Anschließen sollte es funktionieren. Vielleicht hast du ja auch nur den MTU Wert vergessen.

Bob.Dig

So funktioniert es bei mir. PPPoE macht die Sense, VLAN die Fritzbox davor im PPPoE-Passthrough-Modus.

nonick

@bob-dig Hi Bob.Dig, ich nehme mal an das seine Sense Konfiguration so aussieht wie deine. Das funktioniert so mit der Fritzbox (Router) aber nicht richtig mit dem Vigor (Modem).

Bob.Dig

@nonick Aus Ermangelung eines Vigors kann ich Dir nicht widersprechen.

sysadminfromhell

@nonick Danke dir vielmals!
mit der MTU und dem MSS hat es geklappt, bin nun über den VIGOR direkt verbunden!

Vielen lieben Dank!

sysadminfromhell

@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

@sysadminfromhell Hallo, erst mal würde ich den Vigor wieder in den Ausgangszustand bringen. Dieser wird normalerweise richtig für dein Vorhaben konfiguriert als Modem mit VLAN 7 ausgeliefert.
https://www.draytek.de/einrichtung-internet-mit-t-online.html

In der Sense dann folgendes konfigurieren.

Anschließen sollte es funktionieren. Vielleicht hast du ja auch nur den MTU Wert vergessen.

Aber eine Frage hab ich da noch zu, wie reduzierst du dein Package Loss bei hoher auslastung?
Benutzt du da die Traffic Sharper?

nonick

@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

Danke dir vielmals!

Gern geschehen.

@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

wie reduzierst du dein Package Loss bei hoher auslastung?
Benutzt du da die Traffic Sharper?

Das ist Bufferbloat. Das kannst du hier testen.
Bufferbloat Test by Waveform

So sieht es die Dokumentation von Netgate vor.
https://docs.netgate.com/pfsense/en/latest/recipes/codel-limiters.html

Und so würde ich es machen (ohne dem ICMP)
https://isc.sans.edu/forums/diary/Securing+and+Optimizing+Networks+Using+pfSense+Traffic+Shaper+Limiters+to+Combat+Bufferbloat/27102/

So ähnlich könnte dann das Resultat aussehen wenn es funktioniert.

Bob.Dig

@nonick Warum fordert ihr eigentlich alle keine IPv6 Adresse an, nur einen Prefix? Beim rR bekommt doch das WAN seine eigene IP-Adresse und den Prefix bekommt man unabhängig davon. Ich würde also vermuten, der Haken kann in jedem Fall da raus.

nonick

@bob-dig Du benötigst doch nur den Präfix. Der Rest wird doch gewürfelt oder von der MAC Adresse abgeleitet.

Bob.Dig

@nonick Auch wieder wahr.

sysadminfromhell

@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

Danke dir vielmals!

Gern geschehen.

@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

wie reduzierst du dein Package Loss bei hoher auslastung?
Benutzt du da die Traffic Sharper?

Das ist Bufferbloat. Das kannst du hier testen.
Bufferbloat Test by Waveform

So sieht es die Dokumentation von Netgate vor.
https://docs.netgate.com/pfsense/en/latest/recipes/codel-limiters.html

Und so würde ich es machen (ohne dem ICMP)
https://isc.sans.edu/forums/diary/Securing+and+Optimizing+Networks+Using+pfSense+Traffic+Shaper+Limiters+to+Combat+Bufferbloat/27102/

So ähnlich könnte dann das Resultat aussehen wenn es funktioniert.

Super, vielen Dank. Bin jetzt von B- auf A gekommen. Denke mal mehr ist da nicht drin. Wobei da steht dass der Ping dann zwischen 10 und 15 ist was denke ich ok ist.

sysadminfromhell

@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

Danke dir vielmals!

Gern geschehen.

@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

wie reduzierst du dein Package Loss bei hoher auslastung?
Benutzt du da die Traffic Sharper?

Das ist Bufferbloat. Das kannst du hier testen.
Bufferbloat Test by Waveform

So sieht es die Dokumentation von Netgate vor.
https://docs.netgate.com/pfsense/en/latest/recipes/codel-limiters.html

Und so würde ich es machen (ohne dem ICMP)
https://isc.sans.edu/forums/diary/Securing+and+Optimizing+Networks+Using+pfSense+Traffic+Shaper+Limiters+to+Combat+Bufferbloat/27102/

So ähnlich könnte dann das Resultat aussehen wenn es funktioniert.

Hi, du ich brauch doch nochmal deine Hilfe und zwar hab ich ein kleines Problem festgestellt und ich habe dazu leider nichts finden können:

Ich verwende auch port Forwarding und jetzt wird es tricky, lass ich die Floating Rules für die Shaper aktiv dann kann ich keinerlei Port Forwarding verwenden und auch eingehender Verkehr verhält sich sehr komisch (ssh (TCP-22) ist aufeinmal offen?).
Hab ich die Floating rules einfach falsch gebaut bzw. gibt es da noch was zu beachten?

Beste Grüße und vielen Dank für deine super Hilfe!

nonick

@sysadminfromhell Du hast als Aktion statt Match - Pass und zusätzlich Quick ausgewählt. Damit sind das Firewallregeln und kein Filter.

Bob.Dig

@nonick Wobei das bei Limitern normal ist und laut offizieller Anleitung aus der Doku so zu machen ist. Aber die Regeln sind halt fehlerhaft und nicht 1zu1 übernommen worden. Hier wurde quasi die Firewall komplett abgeschaltet!!

nonick

@bob-dig Laut Netgate Dokumentation ja, aber meiner Meinung nach völlig falscher Ansatz. Du erstellst unter Floating Rule eine Firewallregel die alles darf, unabhängig von den eigentlichen Regeln des jeweiligen Interface. Das ist ein riesiges Sicherheitsrisiko!

Bob.Dig

@nonick Jetzt darf ich mal widersprechen.
Die offizielle Regel ist ja nur WAN-Adresse ausgehend, d.h. hier muss schon vorher etwas den Traffic erlaubt haben und damit ist das sauber.

PS: Wenn mir jemand sagt, wie ich die Regeln wieder einzeilig bekomme, wäre ich dankbar!

nonick

@bob-dig said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

Jetzt darf ich mal widersprechen.

Gerne
Das stimmt, sonst wäre das von Netgate auch völlig falsch und grob fahrlässig. Um aber wie in diesem Fall nicht versehentlich die Firewall zu öffnen empfiehlt sich immer bei Traffic Shaper Regeln Match statt Pass zu wählen. Netgate macht das ja auch so über dem Assistenten wenn man Traffic Shaper Regeln erstellt. Damit ist man auf der sicheren Seite und überschreibt keine andere Firewallregel.

Bob.Dig

@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

Netgate macht das ja auch so über dem Assistenten wenn man Traffic Shaper Regeln erstellt.

Shaper ≠ Limiter

Wobei hier gab es ja zuletzt Änderungen am Code, vielleicht muss man das in Zukunft nicht mehr unterscheiden?

sysadminfromhell

@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:

@sysadminfromhell Du hast als Aktion statt Match - Pass und zusätzlich Quick ausgewählt. Damit sind das Firewallregeln und kein Filter.

Super da hab ich einfach Blind der Anleitung gefolgt
Danke dir, bist mein Held der Woche

Beste Grüße,