Messages

Als wir letztens in einem kleinen Hotel waren klappte im Hotel-WLAN nix.

Die Frage ist, warum?

Also mein Ziel ist es, von irgendeinem DS Lite Anschluss, irgendwo im Urlaub auf mein Zuhause mit einem richtigen DS Anschluss zuzugreifen.

Auch ein DS Lite Anschluss im sollte auf ein IPv4 only endpoint Zugreifen können. Da war eventuell noch was anderes schief. Vielleicht haben die Ports blockiert um VPN zu unterbinden?

Bin auch noch relativ neu im IPv6-Umfeld. Aber man muss ja mal langsam auch die "neue" Technik umschwenken.

Nur um eines gleich klarzustellen, der Tunnel und das lokale Netzwerk sind zwei verschiedene paar Schuhe und haben nix miteinander zu tun. Ich kann per IPv6 Tunnel auf mein IPv4 Heimnetz zugreifen und umgekehrt.



Die sauberste Lösung wäre natürlich, dein Zuhause hat echtes Dual Stack.
Da Wireguard leider nicht wirklich dual stack ready ist (bevorzugt IPv4), würde ich zwei DynDNS einrichten ipv4wg.kay.com und ipv6wg.kay.com. Dann kannst du auf dem Gerät selber bestimmen, worüber der Tunnel gehen soll.

Wenn du dann noch einen standard Port wie 80 oder 443 nimmst, kannst du auch eventuelle Hotel Port Blocker umgehen.

Did you buy OPNsense Business Support package?


Looking at this:
https://community.intel.com/t5/Embedded-Connectivity/Intel-X553-driver-Support-for-Freebsd-12-1/m-p/697726

it seems to me like Intels stance on this is, that you need to contact you Qotom to resolve any issues.

I guess you already tried the latest drivers?
https://www.intel.com/content/www/us/en/download/14303/intel-network-adapters-driver-for-pcie-10-gigabit-network-connections-under-freebsd.html?wapkw=x553

Not sure what the question is.
Yes you got a working recursive, local DNS aka unbound up and running.

XGS-PON

XGS-PON is a PITA and you might need a bridge in front of OPNsense.
If not, you could simply get a XGS-PON SFP+ module (again, please check with your ISP, I have seen the weirdest stuff when it comes to XGS-PON) and either an old SSF PC with a SFP+ NIC or something like the DEC740 from OPNsense.

In general, despite some very recently announced and I think still unavailable Intel NICs, 10Gbit copper uses way more power and is way more expensive than fiber or DAC.

Ohne seriöses Troubleshooting ist es Kaffeesatzlesen.

Letzter Stand war glaube ich, OPNsense kann IPv6 anpingen, Clients dahinter aber nicht?

Das deutet eigentlich nicht auf ein Telekom Problem.

@Patrick
Wirklich alle? Die von mir genannte Zyxel GM4100 hat es schon mal nicht ;)

@bamf

War nicht sicher ob die Client mit dem Problem hinter der Fritte sind, die Fritte einen zweiten DHCP oder RA im gleichen Netz macht. Oder warum man überhaupt eine Fritte hinter einer OPNsense verwenden sollte.

Seltsame Bridge. Bridges die ich kenne machen einfach nur die Wandlung von VDSL zu RJ45. Die haben kein webGUI. Alleine schon, weil sie gar keine eigene IP haben kann. Deine macht also ein bridge mode auf Port 2,3 und 4 und auf Port 1 macht sie DHCP für das webGUI? Super seltsames Gerät.

Normalerweise wären auch die DSL Parameter in der OPNsense, schliesslich bridge eine normale bridge das Signal dir nur durch. 

Ist es ein Zyxel GM4100?

Ich verstehe leider immer noch nicht, wo die Fritte hier im Spiel ist.

Ok, das Ding ist also kein Modem sondern eine VDSL Bridge?
Bekommt keine IP, macht kein DHCP.


Von der Zyxel Bridge gehst du auf die OPNsense WAN. Und von OPNsense LAN gehst du auf eine Fritzbox? Und die Geräte sind dahinter?

Doofe Frage, aber ist es möglich das Zyxel Business Modem wegzulassen und direkt OPNsense zu nutzen? DMZ und Bridges machen häufig nur Ärger, unnötig kompliziert, brauchen Strom usw.

First things first. Does you modem support bridge mode? If not, you are in for a lot of pain and double NAT.
What ISP do you have?
Since you have fiber, you are probably better off by just getting SFP+ for OPNsense. That way you can ditch the ISP router.


If for some reason (like phone or TV) you really need to use your ISP router, maybe it has a DMZ option you can put your OPNsense behind.

Thank for this tutorial.


I achieved some results with it, but then got stuck. Unfortunately I don't know how to troubleshoot the issues I have, maybe someone here can steer me into the right direction.

First thing that maybe isn't obvious to anyone, for your AppleTV, you have to go into the system settings -> app settings -> TV7 and there set the mode to multicast. It does not do that automatically!

My setup looks like this: OPNsense -> MikrotTik Switch -> Unifi Switch -> AppleTV.

I for the love of god was not able to run it over the Unifi Switch. I set the ingress port and AppleTV port to multicast, and even set it to flood all multicast traffic, without luck.

By connecting the AppleTV to the MikroTik Switch I got some results. The stream works for a few seconds, then drops.
Mikrotik has fast leave and IGMP Querier disabled, Independent VLAN Lookup, Flood unknown multicast traffic and IGMP Snooping set to true and IGMP version set to 2.

I don't think this is related, but the AppleTV is in a VLAN.

Habe noch ein wenig ausprobiert. Vielleicht hilft es ja jemandem.



https://github.com/jameskimmel/opinions_about_tech_stuff/blob/draft/network%20stuff/wireguard%20and%20DNS.md


Ich finde glaube ich die zweite Variante (nur DNS server angeben, immer den vollen Namen vm.company.local verwenden) am schönsten.
Damit wird kein unnötiger Traffic verursacht.

Warum die search domain nix bringt (ausser ich verwende 0.0.0.0/0) kann ich mir auch nicht erklären.

Stimmt, gibt ja noch mDNS :)

Tippe ich richtig, dass auch der Druckeranschluss weiterhin funktioniert?
Über die link local oder ULA IPv6? Ich meine mein alter HP Drucker hat sich unter Windows bei der Installation selbst so konfiguriert.
Solange ich im WireGuard nicht "AllowedIPs = 0.0.0.0/0, ::/0" verwende, könnte der Drucker weiterlaufen.
 Oder sogar mit dieser Funktion, weil WireGuard ULA anders behandelt?

😂 und den Drucker von Erika auf 192.168.178.25

Danke für die Antwort. Die Weiterleitung ist eine gute Idee, allerdings nur für mich, nicht so praktikabel für den end user Zuhause :)
Egal, kommt dieser halt nicht mehr auf fritz.box, wenn er/sie mit dem Firmennetzwerk verbunden ist.