Modem Bridge Modus und opnsense

tcpluess

Hallo zusammen

nachdem ich nun also auf Quickline migriert worden bin, musste ich meinen Router in den Bridge Modus setzen, damit meine üblichen Server wieder erreichbar sind.

Zuvor hatte ich mit WWZ einfache Portweiterleitungen wie folgt konfiguriert gehabt:

80, 443 TCP: weiterleiten auf 192.168.1.11, Webserver mit Nextcloud

51820 UDP: weiterleiten auf 192.168.1.10, Wireguard VPN um auf das restliche Heimnetz zuzugreifen

da ich jetzt keine Portweiterleitungen mehr konfigurieren kann, habe ich also den Bridge Modus genutzt und am Port 4 des Glasfasermodems jetzt eine VM angeschlossen, auf der opnsense läuft. Da ich nun (hoffentlich) volle Kontrolle über mein Netzwerk habe, wollte ich nun auch IPv6 korrekt einrichten. Was muss ich dazu alles konfigurieren?

Ich habe gesehen, dass bei opnsense auf dem WAN Port korrekt eine IPv6 bezogen wird, sowie natürlich eine IPv4. Sehr gut. Nun möchte ich per Prefix Delegation und Router Advertisements die opnsense auf meinen LAN Clients als Router anerkennen lassen. Ich habe schon einiges herum gepröbelt, aber es funktioniert noch nicht richtig. Die Hosts hinter der opnsense bekommen zwar eine IPv6 zugewiesen, aber nach aussen (https://test-ipv6.com/) ist diese nicht sichtbar, irgendwas läuft also noch schief.

Da ich unbedingt die Nextcloud brauche, habe ich jetzt temporär mal den Bridge Modus wieder abgeschaltet und die DMZ Funktion aktiviert, und den 192.168.1.11 als DMZ Host angegeben, damit ich immerhin auf die Nextcloud zugreifen kann. Das funktioniert soweit. Aber so kann ich natürlich nicht Wireguard auch nutzen. (ich habe getrennte VMs für jeden Dienst auf einem Proxmox Server.)

Interessant: wenn ich einen PC an einem der Ports 1..3 des Quickline/WWZ Glasfaser Modems anschliesse, dann bekomme ich von dort korrekt eine IPv6 zugewiesen per Prefix Delegation von der Quickline Box, obgleich ich eigentlich DHCP auf der Quickline Box abgeschaltet habe. Dann dürfte sie sich meiner Meinung nach auch nicht mehr als Router advertisen. :-)

Bonus: ist es irgendwie möglich, den WLAN AP in der Quickline Box trotzdem noch zu nutzen? ich möchte eigentlich nicht noch eine weitere extra Box aufstellen müssen für WLAN.

Jonny

tcpluess

Hab mal den"test" gemacht, welchen du erwähnst…

…und was bedeutet das für mich resp. mein System?

Gruss

tcpluess

Hallo zusammen

also nachdem leider niemand helfen konnte, habe ich es nach längerem herum pröbeln heraus gefunden. Es funktioniert nun schon ca 1 Woche sehr zuverlässig, auch inklusive Wireguard VPN, IPv4 und IPv6 Freigaben und so weiter.

Ich dachte, falls jemand anderes einen ähnlichen Setup machen will, schreibe ich hier kurz auf, wie ich es gemacht habe.

In der opnsense habe ich den WAN Interface, der zur Bridge geht, so konfiguriert:

wichtig sind DHCP und DHCPv6. Die Einstellungen für den DHCPv4 Server kann man alle auf Default lassen; bei DHCPv6 muss man noch folgende Settings eingeben:

Damit bezieht die opnsense eine IPv4 Adresse, sowie einen IPv6 Präfix. Den braucht es dann, um ihn an die Clients im LAN zu verteilen. Beim LAN interface, was an den Switch geht, wo dann die ganzen PCs und so weiter dran sind, muss man auch noch was einstellen:

besonders wichtig ist hier “Track IPv6 Interface”. Dadurch wird dem LAN interface die IPv6 mittels Präfix Delegation zugewiesen.

Wir können dann einen beliebigen DHCP Server benutzen, oder Denjenigen in der opnsense; das spielt keine Rolle. Die opnsense wird auf dem LAN interface die IPv6 Router Advertisements schicken; PCs im LAN werden diese Router Advertisements sehen und können sich dadurch eine IPv6 holen.

Bei mir sieht es in der opnsense unter “Interfaces” dann so aus:

beim WAN sieht man, dass eine öffentliche IPv4 bezoen wurde. Die IPv6, welche die opnsense vom ISP bezieht, sieht man beim LAN interface. Wenn man einen PC an den LAN interface anschliesst, wird er sich per DHCPv4 eine IP holen, ausserdem wird er mit den Router Advertisements entweder per SLAAC oder DHCPv6 eine IPv6 sich konfigurieren.

Auf meinem PC z.B. sieht es dann so aus:

Bei “DNS Server” sollte sich automatisch die opnsense eintragen.

Unter “Firewall”, “Rules” kann man sich dann den Zugriff aus dem Internet auf gewünschte Hosts konfigurieren.

Vielleicht helfen meine Tips jemandem. Für die Meisten ist es wohl trivial, aber mich hat es ein bisschen Hirnschmalz gekostet, bis alles funktioniert hat. Nun ist es ziemlich ein guter Setup mit Wireguard und allem, was ausserordentlich nützlich ist.

Wenn man noch einen WLAN AP benutzt, hat man sogar die Möglichkeit mit der opnsense diesem ein anderes Subnet zuzuweisen, sodass z.B. Gäste nicht auf alles zugreifen dürfen, usw.

Jonny

tcpluess

Wow, du bist ne geile Socke!

Ich arbeite zwar mit anderen Systemen und bin eher im “einfacheren” Modus tätig.

Aber, darf ich fragen, wiso du keine fixe IPv6 vergibst und warum du mehrere IPv6 Adressen zulässt?

Falls ich da was falsches interpretiere, bitte ich um Entschuldigung;-)

tcpluess

Jonny

Merci für die Blumen 😂

Es gibt mehrere IPv6, weil der ISP dir ein Präfix gibt (was sehr cool ist). Du bekommst dein eigenes /56 IPv6 Netz zugewiesen, und dort drin kannst du IPs vergeben, wie du lustig bist.

Du kannst dann mehrere Rechner an den Router anschliessen und jeder hat seine weltweit eindeutige IPv6, dadurch kannst du da drauf Server laufen lassen und diese von extern erreichen (sofern deine Firewall das dann zulässt).

tcpluess

weiss nicht sicher, entweder hat der ISP grade Probleme, oder dein System hat keinen IPv6 DNS Server konfiguriert?

bei mir sieht er so aus:

schau mal beim Status deiner Netzwerkverbindung, ob da ein IPv6 DNS Server eingetragen ist, so wie bei mir.

Jonny

Irgendwo zwischen Router und “DNS-Server” könnte ein problem sein…

Im Moment bin ich aber grad zufrieden und hab keine lust, das zu ändern (-> IPv6 Support;-)

IPv4 ist also i.O,-)

scheuri

@tcpluess - vielen herzlichen Dank!!

Nachdem ich von pfsense auf opnsens umgestiegen bin, hatte ich kein IPv6 mehr (bin nur umgestigen, weil ich glasfaser bekommen hab und mir neue HW als router gegönnt habe).

MIt Deiner Anleitung scheint es nun wieder bestens zu klappen - Tausend Dank!

Jonny

Frage an die Community;

Was ist so “geil” an IPv6. Hat das vorallem was mit Glasfaser zu tun. Ansonsten ist diese Adresse doch nur noch “direkter” an ein Gerät gebunden?

Kann / will mir ev. jemand den Vorteil davon Beschreiben (so wie früher in den “für Dummies” Büchern;-))

Sirius

Antwort von KI: IPv6 (Internet Protocol Version 6) bietet mehrere Vorteile gegenüber dem älteren IPv4 (Internet Protocol Version 4). Hier sind einige der wichtigsten Vorteile: 1. **Größerer Adressraum**: - IPv4 verwendet 32-Bit-Adressen, was etwa 4,3 Milliarden eindeutige Adressen ermöglicht. - IPv6 verwendet 128-Bit-Adressen, was theoretisch etwa 340 Sextillionen (3,4×10³⁸) eindeutige Adressen ermöglicht. Dies beseitigt praktisch das Problem der Adressknappheit. 2. **Effizienteres Routing**: - IPv6-Adressen sind hierarchisch strukturiert, was effizienteres Routing ermöglicht und die Routing-Tabellen vereinfacht. 3. **Bessere Unterstützung für Mobile Geräte**: - IPv6 wurde entwickelt, um die Anforderungen moderner mobiler Netzwerke besser zu unterstützen, einschließlich effizienter Adressierung und Handhabung von Mobilität. 4. **Integrierte Sicherheit**: - IPv6 beinhaltet IPSec (Internet Protocol Security) nativ, was für eine sichere Kommunikation sorgt. Bei IPv4 muss IPSec als zusätzliche Option implementiert werden. 5. **Bessere QoS (Quality of Service)**: - IPv6 bietet verbesserte Mechanismen zur Behandlung von Datenpaketen mit unterschiedlichen Prioritäten, was für Echtzeit-Anwendungen wie VoIP und Video-Streaming wichtig ist. 6. **Automatische Konfiguration**: - IPv6 unterstützt sowohl stateless als auch stateful Address Autoconfiguration. Geräte können ihre eigene IPv6-Adresse selbstständig konfigurieren, ohne einen DHCP-Server (Dynamic Host Configuration Protocol) zu benötigen. 7. **Kein Bedarf an NAT (Network Address Translation)**: - Aufgrund des großen Adressraums ist bei IPv6 kein NAT erforderlich, was die Komplexität reduziert und die End-to-End-Konnektivität verbessert. 8. **Effizienteres Multicasting**: - IPv6 verbessert die Unterstützung für Multicast-Übertragungen, was für Anwendungen wie Multimedia-Streaming und Online-Gaming von Vorteil ist. Diese Vorteile machen IPv6 zu einer robusteren und zukunftssicheren Lösung für das wachsende Internet und die zunehmende Anzahl vernetzter Geräte.

Jonny

Die meisten schilderungen aus der KI genannten Erläuterungen kenne ich.

Schon vor gefühlten 15jahren wurden wir durch ausgehende IPv4-Adressen gewarnt:-!

MarkusQuick

Früher nannte man das einfach Suchmaschine, heute heisst es KI 😉

Aber logischerweise galt schon vor 15 Jahren, dass ca. 4 Milliarden Adressen nicht für alle Leute und Dienste auf diesem Planeten reichen. RIPE hat vor ein paar Jahren bekannt gegeben, dass die letzten IPv4 Adressen nun vergeben sind. Es gibt keine mehr. Nun werden die bestehenden wie auf dem Schwarzmarkt gehandelt. Und wie immer trifft es als erstes die Ärmeren, in gewissen Gegenden gibt’s keine IPv4 Adresse mehr oder nur zu hohen Preisen.

Mit IPv6 hat jedermann einen luxuriösen Adressbereich, der sich auch noch logisch unterteilen lässt. Zum Beispiel bei Quickline bekommnt man einen /56 Präfix. So kann ich das in 256 weitere VLAN-Netze unterteilen. Jedes dieser Netze hat dann einen vollen 64-Bit Adressraum. Geräte mit IPv6 können sich mit SLAAC selber konfigurieren, benötigen also keinen DHCP mehr. Ausserdem unterstützt IPv6 zusammen mit SLAAC auch Privacy Extensions. Das sind sowas wie zufällige und wechselnde Adressen, welche das Tracking im Internet erschwert.

Allerdings kann der technische Aufwand für IPv6 hoch sein und ich finde auch nicht dass es sehr robust läuft. Insbesondere wenn QL wiedermal die Adressen ändert. Mit dem Medium Glasfaser hat IPv6 übrigens nichts zu tun. Es ist ein Protokoll.

Jonny

MarkusQuick Allerdings kann der technische Aufwand für IPv6 hoch sein und ich finde auch nicht dass es sehr robust läuft. Insbesondere wenn QL wiedermal die Adressen ändert. Mit dem Medium Glasfaser hat IPv6 übrigens nichts zu tun. Es ist ein Protokoll.

Wie gesagt, es ist für mich sehr aufwendig zum Umsetzen, zumal auch noch ein DNS-Server prima funktioniert:-)

Was müsste ich z.B. bei der FritzBox anders einstellen (als erster anhalts-Punkt). PS: Kann ich jetzt meine IPv4 teuer verkaufen;-))

MarkusQuick

Wenn du deine FritzBox hinter einem anderen Router wie z.B. von Quickline hast, funktioniert IPv6 höchstwarscheinlich nicht.

Bei IPv6 nutzt man kein NAT mehr. Somit kann man nicht mehr einfach Router hinter Router hinter Router hinter Router hinter Router anschliessen 😉 Also keine Kaskasde mehr aufbauen.

Wenn du deine Fritzbox als Hauptrouter nutzen willst, müsstest du die Quickline Box in den Bridge-Mode versetzen lassen. Für fachlich versierte Anwender ist das sowieso immer der beste Weg. Aber damit musst du dann dein internes Netz auch selber konfigurieren und verwalten.

Jonny

MarkusQuick Bei IPv6 nutzt man kein NAT mehr. Somit kann man nicht mehr einfach Router hinter Router hinter Router hinter Router hinter Router anschliessen 😉 Also keine Kaskasde mehr aufbauen.

Oho, ahaa…Danke für deine Antwort!

MarkusQuick Wenn du deine Fritzbox als Hauptrouter nutzen willst, müsstest du die Quickline Box in den Bridge-Mode versetzen lassen. Für fachlich versierte Anwender ist das sowieso immer der beste Weg. Aber damit musst du dann dein internes Netz auch selber konfigurieren und verwalten.

Kann ich das mit einer DSL Box auch machen, oder braucht es da einen TV / Glasfaser-Anschluss an der FritzBox?

Gruss Jonny

MarkusQuick

Wie bereits gesagt, hat IPv6 nichts mit der Art des Anschlusses zu tun. Ob du Internet über Telefonkabel, Koax-Kabel oder Glasfaser beziehst, ist egal. Aber dein Internet Provider muss natürlich IPv6 auf dem Anschluss auch anbieten.

Dass das Protokoll nichts mit dem Übertragungsmedium zu tun hat, kann man hier sehen:
https://de.wikipedia.org/wiki/Internet_Protocol_over_Avian_Carriers

Da hat man spasseshalber das Internet Protokoll (IP) mittels Übertragung per Brieftaube entwickelt (IPoAC) und es später noch auf IPv6 erweitert.

Jonny

MarkusQuick Da hat man spasseshalber das Internet Protokoll (IP) mittels Übertragung per Brieftaube entwickelt (IPoAC)

Es gibt auch noch das "Turnschuhnetzwerk -> siehe Wikipedia: https://de.wikipedia.org/wiki/Turnschuhnetzwerk *lol

Jonny

@MarkusQuick

Was passiert wenn ich das QL-Modem auf ipv6 umstellen lasse. Funktioniert mein DNS-Server noch. Oder muss ich da mit einem Ausfall des internetes rechnen. Was muss ich in meiner frixbox einstellen. Und funktionieren ipv4-Adressen generell nicht mehr? (das sind nur einige Fragen;-)

Gruss Jonny

MarkusQuick

IPv4 und IPv6 funktionieren normalerweise parallel, das nennt sich Dual Stack. Deshalb kann man bei Quickline auch nicht auf IPv6 umstellen lassen, sondern das ist höchstwahrscheinlich schon längst aktiviert. Du kannst aber die QL-Box in den Bridge-Mode setzen lassen, dann geht in der QL-Box u.a. DNS, DHCP und NAT nicht mehr und der Internet-Verkehr wird direkt durchgestellt. Danach kannst du einen eigenen Router anschliessen.

Firewall, DNS, DHCP und NAT/IPv4 übernimmt dann dein Router, also z.B. die FritzBox. Und wenn deine FritzBox nicht ein uralt Gerät > 10-15 Jahren ist, funktionieren dann auch IPv4 und IPv6 parallel. Ev. muss man bei den Einstellung irgendwo noch ‘IPv6 aktivieren’ anklicken.

Alle Betriebssysteme sind schon länger IPv6 tauglich.

Jonny

Hallo @MarkusQuick und Community

Konnte mich endlich aufraffen um das Thema anzugehen; Per Anruf, habe ich erfahren, dass mein QL Modem bereits im Bridge-Modus ist :-))

Nun frage ich mich, was ich auf meiner FritzBox einstellen muss. Bis jetzt hatte ich auf der FB unter dem Reiter “IPv6” den Punkt “Native IPv4-Anbindung verwenden” verwendet. Nun habe ich den Punkt “Native IPv6-Anbindung verwenden” gewählt (siehe Bild) mit entsprechender Verbindungseinstellung. Wenn ich den Punkt “Nur IPv6 verwenden” aktiviere, habe ich keinen Zugang zum Internet mehr. Und irgendwie geht das mit dem Ipv6-Adressen vergabe auch nicht. Ev. kennt sich jemand damit aus (FritzBox) und will mir helfen? Vielen Dank und Gruss.

Nächste Seite »