Hallo zusammen,
ich möchte meine Fritz!Box mit Opnsense ablösen, aber ich scheitere schon beim erste Schritt eine Verbindung mit 1&1(DS-Lite) über PPPOE herzustellen.
Meine Aufbau besteht aus Draytek Vigor 167 als Modem + Opnsense. Ich habe viel in der Forum und im Internet gelesen, Anleitungen ausprobiert, aber bisher ohne Erfolg.
Das Vigor hat zwei LAN Port und deswegen habe ich eine heute mit der Fritz!Box die andere mit das Opnsense angebunden. Mit der Fritz!Box kann ich über das Vigor (VLAN Tag 7 ausgeschaltet) ohne Probleme mich mit PPPOE einwählen.
So haben wir Internet bis ich probiere Opnsense richtig zu konfigurieren. Ich habe auch diese Woche die Opnsense mehrmals neu aufgesetzt, dass nichts von früheren versuchen in config übrig bleibt.
Das Einzige was ich mit diese Konfiguration hingekriegt hatte, dass ich beim Opnsense nach Installation+ Konfiguration überprüfen konnte ob eine Update gibt. Es gab eine und ich konnte es auch installieren.
Ich habe leider keine Ideen mehr was ich noch anders machen könnte, wo ich eine Fehler gemacht hatte.
Ich hoffe jemand kann mir weiterhelfen.
Meine Aufbau:
WAN / Internet
:
: PPPoE Provider-1&1: DS-Lite
:
.-----+-----.
| Gateway | (DrayTek Vigor167)
'-----+-----'
| |WAN .-----+------.
| | +--- | Fritzbox + PPPOE funktioniert
| '-----+------'
WAN |
|
.-----+------.
| OPNsense +
'-----+------'
|
LAN |
|
.-----+------.
| Laptop |
'-----+------'
Die Rest von meine config.
Sicher, dass du PPPoE für IPv4 und DHCP für IPv6 konfigurieren musst? Welcher Provider ist das?
Ich bin bei 1&1 und habe leider DS- lite. Ich habe die Anleitung gefolgt was ich hier gefunden hatte. Was soll ich nach deine Meinung nach ändern?
Da die Installation von Updates funktioniert hast Du offensichtlich Internetzugang. Was genau funktioniert denn nicht?
OPNsense unterstützt keine automatische DS-Lite-Konfiguration. Falls Du den AFTR von 1&1 nutzen möchtest, dann musst Du manuell ein GIF-Interface anlegen und als IPv4-WAN konfigurieren.
Grüße
Maurice
Wenn ich in opnsense eine Ping z.B. auf 1.1.1.1 mache dann kommt nichts zurück. Wie soll ich dass GIF-Interface konfigurieren? Gibt es dafür eine Anleitung?
Aber ein IPv6-Ping funktioniert? Das ist entscheidender.
Offizielle Doku ist mir dazu keine bekannt, im Forum ist es bestimmt "irgendwo" beschrieben. Kurzfassung aus dem Kopf:
- AFTR-Adresse herausfinden, z. B. im dhcp6c-Log schauen (ggfs. Log-Level erhöhen) oder im GUI der Fritzbox.
- GIF-Port anlegen. Parent = WAN / PPPoE, remote address = AFTR-Adresse, tunnel local address = 192.0.0.2, tunnel remote address = 192.0.0.1/29.
- In den Interface Assignments den GIF-Port einem neuen Interface zuweisen und dieses aktivieren. Im Interface muss nichts weiter eingestellt werden und ein Gateway wird automatisch erstellt. Diesem die höchste Prio geben.
- Outbound NAT deaktivieren, wird bei DS-Lite nicht benötigt.
Grüße
Maurice
Ja, heute habe ich es ausprobiert ein IPv6- Ping funktioniert.
Ich habe eine GIF- Port angelegt, hoffentlich habe ich alles richtig gemacht.
Ist die AFTR-Adresse die selbe wie das AFTR-Gateway beim Fritzbox?
Ich sehe im Overview noch, dass das DHCP6 down ist.
Hier sind meine Einstellungen zum GIF:
der Rest
das fehlt noch
Sieht soweit gut aus, bis auf das erwähnte "DHCPv6 down".
Funktioniert der Tunnel denn? IPv4-Ping mit Source address 192.168.178.11 geht? Der GIF-Tunnel sollte auch ohne DHCPv6 funktionieren, da die WAN-Adresse per SLAAC generiert wird.
Ohne DHCPv6 bekommst Du aber kein Präfix und hast daher kein IPv6 im LAN. Was passiert bei einem manuellen DHCP-Reload? Was sagt das dhcp6c-Log?
Das Ping auf 192.168.178.11 geht.
Ich habe unter Interfaces-> Overview -> WAN interface (wan, pppoe1) mehrmals DHCP-Reload gemacht, aber ich sehe nichts neues im Log (System: Log Files: General).
Das letzte ist von heute Nachmittag. Habe ich an der richtige Stelle das Reload gemacht und nach das Log gesucht?
Ping zu einem Host im Internet mit Source address 192.168.178.11 war gemeint, also z. B. Hostname google.com und Source address 192.168.178.11.
Ja, sind die richtigen Stellen für DHCPv6 Reload / Renew und das Log. Setze den Filter dort mal auf 'Debug' und erhöhe auch das Log Level unter 'Interfaces: Settings'.
Poste gerne auch den Output von ifconfig, möglichst nicht oder wenig zensiert.
Hallo Maurice,
Sorry ich habe es überlesen, dass du source address geschrieben hast.
Ich kann keine IPv4 Adresse erfolgreich anpingen.
Ich habe die Log Level auf "Debug" gestellt neu gestartet, aber ich kriege nur "Notice" und keine "Debug" unter System: Log Files: General.
Wo finde ich die Output von ifconfig? Mir als Neuling sagt das nichts. :(
Quote from: coni77 on September 04, 2023, 11:25:28 AM
Wo finde ich die Output von ifconfig? Mir als Neuling sagt das nichts. :(
Du meldest dich auf der Kommandozeile der Firewall (z.B. per SSH) an und gibst den Befehl "ifconfig" ein.
Danke! Jetzt weiß ich bescheid. :)
Ist das eigentlich eine VDSL- oder eine Glasfaserleitung?
In einigen Foren steht man braucht für ersteres einen 'H'-Präfix vor dem Benutzernamen.
https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/1-1-zugangskennung-benutzername-bei-adsl-vdsl-pppo-t10408.html
Und auch hier hat der Benutzer bei einer Glasfaserleitung ein 'H'-Präfix:
https://forum.opnsense.org/index.php?topic=28216.0
Aber mit DS-Lite hast du ja gar keine IPv4, die Einwahl kann doch dann eigentlich nicht funktionieren. Bei IPv4 müsste dann eigentlich auch DHCP stehen, damit er die IP von CGNAT zugewiesen bekommt?
Bei diesem Benutzer ging PPPoE über IPv4 auch erst als er ein richtiges Dual Stack hatte.
https://forum.opnsense.org/index.php?topic=22193.0
Meine Leitung ist eine VDSL mit DS-Lite und mit PPPoE Einwahl beim 1&1.
Ich habe auch beim 1&1 angerufen wie diese Kommentare beschrieben, aber sie stellen mich nicht mehr um auf Dual Stack. Wäre zu schön gewesen. :(
Ich konnte bisher meine Modem als Problem Quelle ausschließen, weil ich mit meine Fritzbox und mit eine externe Modem (DrayTek) ich keine Probleme habe.
Das Opnsense macht DS-Lite leider nicht automatisch in Gegensatz zum Fritzbox. Ich verstehe es so, dass ich selbst die Tunnel bauen muss.
Weiss nicht wieso, aber meine DHCPv6 Server ist leider "down" und vieleicht ist das Tunnel auch noch nicht richtig konnfiguriert.
Das Einwahl sollte OK sein, weil meine Opnsense kann eine IPv6 Addresse anpingen und es kann auch nach Update suchen und wenn es etwas findet dann kann es auch installieren.
Meine Laptop was dierekt mit Opnsense verbunden ist kann leider keine IPv6 Addresse anpingen.
Ich habe auch schon mit "H"-Präfix und auch ohne probiert, bei mir macht es keine Unterschied.
@coni77 Hier bestehen zwei Probleme, die eventuell, aber nicht zwangsläufig zusammenhängen:
- Keine Antwort vom DHCPv6-Server, damit keine Prefix Delegation, damit kein IPv6 im LAN. Laut dhcp6c-Log wird der Solicit über igc1 geschickt, also das LAN-Interface [sic]. Der muss aber durch den PPP-Link, d. h. über das Interface pppoe1. Dafür sorgt 'Use IPv4 connectivity' in den DHCPv6-Einstellungen des WAN-Interfaces, aber das hast Du ja gesetzt (nochmal kontrollieren). Spekulation: OPNsense verschluckt sich daran, dass zwar eine PPPoE-Verbindung aufgebaut, dann aber keine IPv4-Adresse über IPCP zugewiesen wird. Möglich, dass das noch gepatcht werden muss.
- GIF-Tunnel wird nicht aufgebaut. Laut ifconfig fehlen die äußeren IPv6-Adressen (WAN- und AFTR-Adresse). So etwas hatte ich bei 4in6-GIF mit dynamischem Parent schon beobachtet. Wahrscheinlich wird das GIF-Interface generiert, bevor das Parent-Interface seine Adresse bezogen hat. Was dann immer geholfen hat ist, unter 'Interfaces: Other Types: GIF' auf den Tunnel zu gehen und nochmals zu speichern. Mach das mal und schaue, ob ifconfig gif0 dann auch IPv6-Adressen anzeigt. Falls das nicht hilft, dann könnte die Ursache die selbe wie bei 1. sein.
@vpx23 Der PPPoE-Verbindungsdaufbau funktioniert ja grundsätzlich, eine funktionierende IPv6-Verbindung besteht. An Zugangsdaten wird es daher nicht liegen. IPv4 auf DHCP zu stellen funktioniert nicht, denn dann erfolgt die erforderliche PPPoE-Anmeldung nicht. Bei DS-Lite wird vom ISP gar keine IPv4-Adresse zugewiesen. Es handelt sich um eine IPv6-only-Verbindung mit 4in6-Tunnel für IPv4.
Hi Maurice,
Gestern habe ich versucht das DHCPv6-Server hinzukriegen, aber nur mit kurzzeitigen Erfolg.
Ich habe Gestern Opnsense neu aufgesetzt und die PPPoE konfiguriert.
Da funktionierte einmal das DHCPv6-Server. Danach habe ich das GIF-Tunnel konfiguriert und das hat laut ifconfig auch besser funktioniert, aber IPv4 hatte ich noch nicht.
Dann habe ich das Log Level auf "Debug" gestellt neu gestartet. Dann funktionierte einmal das DHCPv6-Server nicht mehr, egal was ich versucht hatte.
Danach habe ich es wieder neu installiert PPPoE konfiguriert und dann funktionierte wieder das DHCPv6-Server. Dann habe ich neu gestartet ohne etwas noch einzustellen
und hatte wieder das gleiche Ergebnis DHCPv6-Server "down".
Danach habe ich zwei frühere Versionen opnsense Versionen ausprobiert mit gleiche Ergebnis. Heute Morgen habe ich die neueste Version wieder installiert ohne
am Anfang irgend etwas einzustellen (ports für WAN, LAN, IPv4 Adresse) alles ist auf Standard Einstellung um user error auszuschließen.
Ich hatte wieder nur bis Neustart eine DHCPv6-Server, danach wieder "down".
Hast du vielleicht eine Idee wieso passiert das nach Neustart und wie ich es hinkriege?
Danke!
Da wird man ohne tiefergehende Analyse nicht weiterkommen, was aber ohne entsprechenden Anschluss schwierig ist. Es ist nicht ganz unwahrscheinlich, dass bisher niemand DS-Lite über PPPoE mit OPNsense betreibt, es schlicht noch nicht funktioniert und Du Pionierarbeit leisten müsstest. Was natürlich schwierig ist, wenn man gerade erst einsteigt.
Das Dilemma bei solchen Anschlussarten ist, dass sie von der zahlenden Deciso-Kundschaft wahrscheinlich eher nicht eingesetzt werden und das (kleine) Core-Team solche Themen daher verständlicherweise nicht priorisiert. Die freien Contributor implementieren überwiegend das, was sie selbst einsetzen (beruflich oder privat). Und die reinen (Privat)anwender, die tatsächlich Bedarf dafür hätten, haben oft nicht das Know-How oder die Motivation, die Entwicklung selbst anzugehen oder zu sponsern.
Ich kann dir nur sagen, dass DS-Lite über die beschriebene Konfiguration mittels GIF-Tunnel grundsätzlich funktioniert, das hatte ich selbst schon im Einsatz. Aber nicht mit PPPoE, sondern mit IPv4-WAN-Typ "None" und ohne VLAN.
Alternativ könntest Du versuchen, die PPPoE-Verbindung durch den Vigor aufbauen zu lassen, so dass OPNsense sich nur um DHCPv6 + 4in6-Tunnel kümmern muss. Ob sich der Vigor entsprechend konfigurieren lässt müsstest Du aber selbst herausfinden.
Grüße
Maurice
Etwas off-topic aber ist es nicht unlogisch, dass PPPoE in der Interface-Konfiguration ein Unterpunkt von IPv4 ist aber nicht von IPv6?
Laut OSI-Modell ist PPPoE auf Schicht 2 und IPv4/IPv6 auf Schicht 3.
Ist das "Use IPv4 connectivity" also quasi ein Hack um IPv6 auch über PPPoE verwenden zu können wie hier beschrieben?
https://forum.opnsense.org/index.php?topic=26754.0
Ich bin ausdrücklich kein PPP(oE)-Experte, meinem Verständnis nach ist das aber rein historisch bedingt. PPP ist deutlich älter als IPv6, ursprünglich waren PPP-Verbindungen daher IPv4-only. Es ist richtig, dass der Verbindungsaufbau inkl. Authentifizierung zunächst unabhängig von der IP-Version ist. Erst im letzten Schritt werden per IPCP (nicht DHCP) die IPv4-Parameter ausgehandelt (Adresse, DNS etc.).
Für IPv6 wurde dann IPV6CP entwickelt, im Unterschied zu IPCP wird darüber aber nur die link-local Adresse ausgehandelt. Für GUAs, Präfixe, DNS etc. hat man das Rad nicht neu erfunden, sondern auf SLAAC und DHCPv6 zurückgegriffen. Daher bei Dual Stack in vielen Routern die Einstellung "PPPoE" für IPv4 und "DHCPv6" für IPv6, obwohl meist auch ein IPV6CP-Handshake stattfindet und die IPv6-Pakete durch den PPP-Link gehen. Das ist in OPNsense mit der etwas unglücklich formulierten DHCPv6-Einstellung "Use IPv4 connectivity" gemeint.
Bei IPv6-only (nichts anderes ist DS-Lite) fällt IPCP weg, man muss in OPNsense aber dennoch IPv4 auf "PPPoE" stellen, da es für IPv6 noch keinen Konfigurationstyp "PPPoE + DHCPv6" gibt.
(Wie Franco im verlinkten Thread erwähnt gibt es auch ISPs, die IPv6 unabhängig von PPPoE abwickeln, d. h. nur IPv4 durch den PPP-Link, IPv6 direkt über Ethernet. Daher lässt sich "Use IPv4 connectivity" abschalten. Ist in Deutschland aber eher unüblich.)
Danke für die Erläuterung, für einen Nicht-PPPoE-Experten kennst du dich aber gut aus. ;D
> Etwas off-topic aber ist es nicht unlogisch, dass PPPoE in der Interface-Konfiguration ein Unterpunkt von IPv4 ist aber nicht von IPv6?
PPPoEv6 gibt es doch ;) Aber es reicht einfach nicht wenn man einen Prefix aushändigt.
Grüsse
Franco
Quote from: franco on September 06, 2023, 09:24:33 PM
PPPoEv6 gibt es doch ;)
Tatsächlich. Leider hatte ich gestern nur in der Dokumentation unter "Interface configuration" geschaut, da steht es nicht drin. Es steht aber unter "IPv6 setup". OPNsense ändert sich einfach zu schnell für die Dokumentation.
Was passiert eigentlich wenn man bei IPv4 "None" wählt und bei IPv6 "PPPoEv6", baut das dann trotzdem eine IPv4-Verbindung auf?
Die Interface-Konfiguraton müsste mal komplett überarbeitet werden, so dass "PPP(oE) Configuration Type" ein eigenes Dropdown-Menü hat, z.B.:
Direkt darunter dann "PPPoE" als Checkbox.
Dann könnten auch die 6 Instanzen (3x PPP + 3x PPPoE) von "Use IPv4 connectivity" wegfallen. Vielleicht erstelle ich mal ein Issue oder einen Pull Request.
> Was passiert eigentlich wenn man bei IPv4 "None" wählt und bei IPv6 "PPPoEv6", baut das dann trotzdem eine IPv4-Verbindung auf?
Geht nicht. Die Validierung benötigt PPPoE (IPv4) für PPPoEv6 und unter der Haube macht PPPoE (IPv4) den kompletten Verbingundsaufbau un PPPoEv6 setzt nur das "ipv6cp" Attribut.
"müsste mal komplett überarbeitet werden" -- die Frage ist ja ob PPP überhaupt die Modellierung IPv4/IPv6 klassisch abbildet. Die Antwort ist in dem Fall "nein", d.h. warum die Modellierung für einen Randfall umgestalten? :)
Grüsse
Franco
IPv6-only-WAN (mit oder ohne PPPoE) ist allerdings längst Normalität, von einem "Randfall" würde ich da nicht mehr sprechen.
Ja, im Business-Umfeld sind Internetanbindungen mit IP-Transition (DS-Lite, 464XLAT etc.) noch nicht so verbreitet wie bei Privatkunden, ist aber nur eine Frage der Zeit. Mittelfristig werden wir auch bei OPNsense nicht mehr daran vorbei kommen, das besser zu integrieren. Die Frage ist nur, wer es wann macht.
Bei OpenWrt ist es z. B. gut gelöst, hat aber natürlich eine andere Ausrichtung und Zielgruppe.
Grüße
Maurice
Wenn es einen Weg gibt IPv4 gezielt abzuschalten in der mpd.conf dann wäre das kein grosses Problem. Es ändert hier sich nichts an der bestehenden Modellierung, ausser dass man dann IPv4 PPPoE nicht auswählen muss wenn man PPPoEv6 einstellt.
Kompliziert wird es erst wenn man dan auch noch DHCPv6 will :>
Grüsse
Franco
Für mpd5 sollte es vermutlich ausreichen, IPCP in der conf wegzulassen. Ohne DHCPv6 ergibt es aber wenig Sinn. Kein Präfix, folglich kein IPv6 im LAN. IPv4-only LAN am IPv6-only WAN ist zwar möglich, indem man alles tunnelt, wäre aber reichlich kurios.
Daher die spontane Idee eines IPv6-Typs "PPPoE + DHCPv6" (was natürlich auch IPV6CP impliziert). Oder komplett umstrukturieren, z. B. wie von vpx vorgeschlagen.
Das praktische ist, dass das PPP Device mit dem WAN Interface verbunden ist. Ich denke also man könnte PPPoE aktivieren wenn entweder PPPoE angewählt ist oder PPPoEv6/DHCPv6/SLAAC. Passt alles gut in die GUI sofern man es darunter umstrukturiert.
Aber dann brauchen wir für IPv6 "Use IPv6 connectivity" und ich frage mich bis heute warum man es nicht "Use PPP(oE) connection" genannt hat..
Grüsse
Franco
Dann müsste man das PPPoE-Interface manuell erstellen und zuweisen, aber für den Anfang wäre das wohl okay.
Quote from: franco on September 07, 2023, 09:11:25 PM
Aber dann brauchen wir für IPv6 "Use IPv6 connectivity"
Man könnte die Option ausblenden und im Hintergrund auf true setzen, wenn Device = ppp* und IPv4 Configuration Type = None.
Quote from: franco on September 07, 2023, 09:11:25 PM
ich frage mich bis heute warum man es nicht "Use PPP(oE) connection" genannt hat..
Das frage ich mich in der Tat auch. Es gab ja schon einige Vorschläge, das zu ändern, was nach meiner Erinnerung aber nicht bei allen Beteiligten auf Begeisterung stieß. ;)
Danke an euere Hilfe insbesondere an Maurice!!!
Weil ich für meine DHCPv6 Server ,,down" Problem trotz euere Unterstützung keine Lösung gefunden hatte(nach Neustart das DHCPv6 Server ist für immer tot), habe ich für Pfsense eine Chance gegeben.
Da hat das PPPoE Konfiguration genauso gut geklappt wie beim Opnsense. Leider gefällt mir die Oberfläche nicht so gut wie beim Opnsense.
Zum Glück da stirbt das DHCPv6 Server nicht wenn ich neu starte. Vielleicht ist das eine bug was nur mit meine Hardware zusammen auftritt.
Was ich hier beim Tunnel Konfiguration von Maurice und aus das Netzt gelernt hatte konnte ich beim Pfsense anwenden und eine funktionierende Tunnel aufbauen so kann ich jetzt IPv4 und IPv6 Adressen erreichen.
Ich habe schnell noch eine Anleitung mit meine Pfsense Konfiguration geschrieben und lade hier hoch. Hoffentlich hilft es für andere DS- Lite gestrafte Neulinge.
Wenn sie keine Problem mit der DHCPv6 Server haben sollte es funktionieren.
Ich habe Gestern noch einmal Opnsense installiert, alles als Standard Konfiguration gelassen (auch das IP Adresse), das PPPoE konfiguriert und gehofft, dass es wundersamer weise funktionieren wird.
Leider hat es wie immer nur bis zum ersten Neustart funktioniert.
Ich werde später mal die neue Opnsense Versionen ausprobieren, vielleicht klappt es dann beim mir mit der DHCPv6 Server.
Ps.: Ich kann leider nur max. 256KB hochladen, deswegen musste ich das Bildauflösung stark reduzieren, aber ich denke es ist immer noch lesbar.