Messages

Now my router doesn't get anymore an IPv6 from WAN side

Sounds like an ISP problem. Have you contacted them? What technique do they use, DHCPv6? Request the prefix over IPv4?

For most applications, the source port number is random, that is why it is not colliding.
I still don't understand the whole setup or what you are trying to achieve here.

Can we try something different?
Can we simply make sure 1:1 NAT is disabled under advanced and we have set outbound NAT to automatic?
That would be the sane default setting.
If after that setting something is not working, because some service, for some obscure reason, needed NAT redirect, we can go from there.

My bet would be that this is a misunderstanding from your previous network guy and not something actually needed.
And if it is, now it is a good time to find out and document it :)

Looks pretty strange to me, but I am no NAT expert. Take this with a grain of salt.

First of all, I am wondering if you don't suffer from many other issues like VoIP not working?
Because you have not set it to auto or hybrid.
Do you have 1:1 NAT under advanced enabled?

Second I would wonder if and why these NAT rules are needed.
If they really are, then I would go with hybrid. That way you get your manual NAT redirects, but other normal devices like an iPhone can do STUN other VoIP stuff.

Stimme Patrick zu, eigentlich sollten von "Innen" nach "Aussen" sowieso alle Ports offen sein.

Warum muss der Port offen sein? Na, aus dem gleichen Grund warum Port 443 offen sein muss, damit du auf opnsense.org zugreifen kannst.

NAT und Port Forward ist was ganz anderes, dabei geht es um von "Aussen" nach "Innen".

Als wir letztens in einem kleinen Hotel waren klappte im Hotel-WLAN nix.

Die Frage ist, warum?

Also mein Ziel ist es, von irgendeinem DS Lite Anschluss, irgendwo im Urlaub auf mein Zuhause mit einem richtigen DS Anschluss zuzugreifen.

Auch ein DS Lite Anschluss im sollte auf ein IPv4 only endpoint Zugreifen können. Da war eventuell noch was anderes schief. Vielleicht haben die Ports blockiert um VPN zu unterbinden?

Bin auch noch relativ neu im IPv6-Umfeld. Aber man muss ja mal langsam auch die "neue" Technik umschwenken.

Nur um eines gleich klarzustellen, der Tunnel und das lokale Netzwerk sind zwei verschiedene paar Schuhe und haben nix miteinander zu tun. Ich kann per IPv6 Tunnel auf mein IPv4 Heimnetz zugreifen und umgekehrt.



Die sauberste Lösung wäre natürlich, dein Zuhause hat echtes Dual Stack.
Da Wireguard leider nicht wirklich dual stack ready ist (bevorzugt IPv4), würde ich zwei DynDNS einrichten ipv4wg.kay.com und ipv6wg.kay.com. Dann kannst du auf dem Gerät selber bestimmen, worüber der Tunnel gehen soll.

Wenn du dann noch einen standard Port wie 80 oder 443 nimmst, kannst du auch eventuelle Hotel Port Blocker umgehen.

Did you buy OPNsense Business Support package?


Looking at this:
https://community.intel.com/t5/Embedded-Connectivity/Intel-X553-driver-Support-for-Freebsd-12-1/m-p/697726

it seems to me like Intels stance on this is, that you need to contact you Qotom to resolve any issues.

I guess you already tried the latest drivers?
https://www.intel.com/content/www/us/en/download/14303/intel-network-adapters-driver-for-pcie-10-gigabit-network-connections-under-freebsd.html?wapkw=x553

Not sure what the question is.
Yes you got a working recursive, local DNS aka unbound up and running.

XGS-PON

XGS-PON is a PITA and you might need a bridge in front of OPNsense.
If not, you could simply get a XGS-PON SFP+ module (again, please check with your ISP, I have seen the weirdest stuff when it comes to XGS-PON) and either an old SSF PC with a SFP+ NIC or something like the DEC740 from OPNsense.

In general, despite some very recently announced and I think still unavailable Intel NICs, 10Gbit copper uses way more power and is way more expensive than fiber or DAC.

Ohne seriöses Troubleshooting ist es Kaffeesatzlesen.

Letzter Stand war glaube ich, OPNsense kann IPv6 anpingen, Clients dahinter aber nicht?

Das deutet eigentlich nicht auf ein Telekom Problem.

@Patrick
Wirklich alle? Die von mir genannte Zyxel GM4100 hat es schon mal nicht ;)

@bamf

War nicht sicher ob die Client mit dem Problem hinter der Fritte sind, die Fritte einen zweiten DHCP oder RA im gleichen Netz macht. Oder warum man überhaupt eine Fritte hinter einer OPNsense verwenden sollte.

Seltsame Bridge. Bridges die ich kenne machen einfach nur die Wandlung von VDSL zu RJ45. Die haben kein webGUI. Alleine schon, weil sie gar keine eigene IP haben kann. Deine macht also ein bridge mode auf Port 2,3 und 4 und auf Port 1 macht sie DHCP für das webGUI? Super seltsames Gerät.

Normalerweise wären auch die DSL Parameter in der OPNsense, schliesslich bridge eine normale bridge das Signal dir nur durch. 

Ist es ein Zyxel GM4100?

Ich verstehe leider immer noch nicht, wo die Fritte hier im Spiel ist.

Ok, das Ding ist also kein Modem sondern eine VDSL Bridge?
Bekommt keine IP, macht kein DHCP.


Von der Zyxel Bridge gehst du auf die OPNsense WAN. Und von OPNsense LAN gehst du auf eine Fritzbox? Und die Geräte sind dahinter?

Doofe Frage, aber ist es möglich das Zyxel Business Modem wegzulassen und direkt OPNsense zu nutzen? DMZ und Bridges machen häufig nur Ärger, unnötig kompliziert, brauchen Strom usw.

First things first. Does you modem support bridge mode? If not, you are in for a lot of pain and double NAT.
What ISP do you have?
Since you have fiber, you are probably better off by just getting SFP+ for OPNsense. That way you can ditch the ISP router.


If for some reason (like phone or TV) you really need to use your ISP router, maybe it has a DMZ option you can put your OPNsense behind.

Thank for this tutorial.


I achieved some results with it, but then got stuck. Unfortunately I don't know how to troubleshoot the issues I have, maybe someone here can steer me into the right direction.

First thing that maybe isn't obvious to anyone, for your AppleTV, you have to go into the system settings -> app settings -> TV7 and there set the mode to multicast. It does not do that automatically!

My setup looks like this: OPNsense -> MikrotTik Switch -> Unifi Switch -> AppleTV.

I for the love of god was not able to run it over the Unifi Switch. I set the ingress port and AppleTV port to multicast, and even set it to flood all multicast traffic, without luck.

By connecting the AppleTV to the MikroTik Switch I got some results. The stream works for a few seconds, then drops.
Mikrotik has fast leave and IGMP Querier disabled, Independent VLAN Lookup, Flood unknown multicast traffic and IGMP Snooping set to true and IGMP version set to 2.

I don't think this is related, but the AppleTV is in a VLAN.