Messages

1

German - Deutsch / Re: OPNsense am Glasfaser Netztrenner mit HTP

« on: September 21, 2024, 08:31:29 pm »

Ja top, vielen lieben Dank für die Hilfestellung.

Das hat es gebracht. Eine 56er Prefix delegation size hatte ich bereits hinterlegt, aber die drei Haken waren nicht gesetzt.

Da war ich mir auch nicht wirklich sicher ob sie gesetzt werden müssen oder nicht, aber nun klappt es.

Bei den Interfaces (LAN1, VLAN X, Y und Z) ist schon "Track interface" hinterlegt, das "Parent Interface" ist mein WAN1, wo HTP dran anliegt... nur die Assign prefix ID muss ich mir noch genauer anschauen. Wenn ich schon im IPv4 Bereich segmentiere, wäre es gut dieses auch im IPv6 Bereich durchzuführen

Und ich dachte schon, ich habe wieder ein Thema was keiner beantworten kann, bezüglich der OPNsense.

Aber damit hast du mir weitergeholfen.

Ich wünsche dir schon mal einen charmanten Samstag Abend.

Gruß, Domi

2

German - Deutsch / [SOLVED] OPNsense am Glasfaser Netztrenner mit HTP

« on: September 16, 2024, 08:48:42 pm »

Hallo zusammen,

ich war mir nicht sicher ob ich ein neues Topic aufmachen sollte, oder mich bei diesem Thema mit einklinken sollte.

Seit heute habe ich über die Glasfaserleitung der Deutschen Glasfaser meinen HTP Glasfasertarif bekommen. Aufgrund meiner kleinen Selbstständigkeit im Nebenerwerb, habe ich einen "Business FleX Solo" Tarif gebucht.

Genauso wie bei moonsorrox in dem anderen Topic, habe ich meine Daten im Kundencenter von HTP...

Routerkonfiguration - Internetzugang   
Benutzername: xxxxxxx@htp-b00.de
Kennwort: xxxxxxx
Protokoll: PPPoE
CoS: 0
VLAN: 22

Zusätzliche Anschlussinformationen      
Login: xxxxxxx@htp-b00.de      
IP-Adresstyp: Dual-Stack (IPv4 und IPv6)

An sich erst einmal kein Thema, damit ich das ganze über VLAN22 laufen lassen kann, muss ich ja auch ein VLAN erstellen und dem Netzwerkanschluss dann das VLAN mit entsprechendem Parent auswählen.

Gesagt getan, kurz gewartet, IPv4 Adresse bekommen und ich kann loslegen.

Für Später würde ich dann natürlich auch gerne noch IPv6 mit ins Spiel bringen. Nun bin ich mir aber nicht 100% sicher, was ich bei "IPv6 Configuration Type" auswählen muss.

Ich tendiere zu DHCPv6, PPPoEv6 oder 4to6 Tunnel.

Bei PPPoEv6 passiert gar nichts, wenn ich bei Gateways -> Configuration, nachschaue hat der PPPoEv6 eine "fe80::" Adresse. Auch bei DHCPv6 gibt es eine "fe80::" Adresse und bei 4to6 Tunnel, sieht es korrekt aus. Da liegt dann eine "2002:" Adresse an, was schon mal gut aussieht.

Wenn ich nun nach Gateways -> Configuration gehe, die DNS von Cloudflare für ein Monitoring hinterlege, klappt das für die IPv4 problemlos, der IPv6 aber nicht. Ich habe auch schon die IPv6 vom Google DNS hinterlegt, aber auch kein Erfolg.

Hat hier jemand einen Tipp für mich, wie ich eventuell auch IPv6 gangbar bekomme?

Gruß, Domi

3

German - Deutsch / Frage, IPv6 hinter Router an VLAN durch reichen

« on: February 10, 2024, 12:21:03 pm »

Hallo und schönen guten Tag zusammen,

ich habe ein kleines Anliegen und vielleicht kann mir jemand weiterhelfen.

Für ein bestimmtes VLAN würde ich gerne IPv6 aktivieren, doch ich bekomme es leider nicht durch gereicht. Vor ein paar Wochen hatte ich es schon einmal versucht, hier im Forum zwei / drei Topics gefunden und in der offiziellen Dokumentation der OPNsense ist ja sogar ein Telekom Beispiel genannt.

Damit man grob verstehe wie mein Aufbau ist, habe ich mal einen groben Netzplan beigefügt und es geht auch nur um meine OPNsense, die UDM-Pro ist komplett außen vor und bekommt auch nur Internet, damit das System nicht meckert.

Innerhalb der OPNsense habe ich zwei Gateway für WAN1 (WAN1_DHCP und WAN1_DHCP6), dessen Einstellungen ich über "System -> Gateways -> Single" soweit angepasst habe, dass ein Monitoring aktiv ist.

- WAN1_DHCP, Monitor IP = 8.8.8.8
- WAN1_DHCP6, Monitor IP = 2001:4860:4860::8888

Da dieses funktioniert, zeigt es mir, dass IPv6 am WAN1 anliegt

Nun wollte ich für eines meiner VLAN (VLAN72) IPv6 durchreichen, habe "Track Interface" für "IPv6 Configuration Type" gewählt. Unten bei "Track IPv6 Interface" habe ich WAN1 stehenlassen und erst einmal den "IPv6 Prefix ID" auf 0 gelassen.

Als ich vor einem Jahr den Router eines anderen Anbieters anstelle des DrayTek stehen hatte, habe ich es hinbekommen die IPv6 an mein VLAN72 durchzureichen. Bei Interfaces sah ich dann auch dass das VLAN72 zwei IPs hat (IPv4 und IPv6), doch jetzt bekomme ich es nicht hin.

Vermutlich geht es 100mal einfacher, würde ich PPPoE Einwahl am WAN1 durchführen und den DrayTek als Modem laufen lassen, aber wenn hier Glasfaser ins Haus kommt, bräuchte ich in der Konstellation nur ETH0 meiner OPNsense mit einem anderen Gerät anbinden und dank DHCP passiert die Magie von alleine. UDM-Pro ist immer noch außen vor, anderes Thema etc.

Nun meine Frage... hat hier jemand eine Idee oder einen Ansatz was ich noch prüfen könnte, damit ich die IPv6 in dieses VLAN bekomme?

Später würde ich auch gerne weiterhin die Segmentierung aufrecht halten (darum ja VLAN) und nicht alles wieder via IPv6 vermischen, aber es wäre schon mal toll wenn ich nicht bei Schritt eins hängen würde.

Bevor ich es noch vergesse, die Settings meines WAN1 Interface (DHCPv6 client configuration) auf der OPNsense sind wie folgt,

- Configuration Mode = Basic
- equest only an IPv6 prefix = Haken gesetzt
- Prefix delegation size = 56
- Send IPv6 prefix hint = Haken gesetzt
- Use IPv4 connectivity = Haken gesetzt
- Use VLAN priority = Disabled

Schon mal vielen Dank für Tipps und Ansätze.

Gruß, Domi

4

German - Deutsch / Re: Verständnisfrage, Firewall Rules

« on: July 17, 2023, 08:20:22 pm »

Alles klar, vielen Dank für die Information.

Ich hab es mir ja schon fast gedacht als ich die Regeln gebaut hatte und dass sah, aber es hätte ja auch sein können dass ich da etwas übersehen habe.

Was die Floating Regeln angeht, oftmals wird auch in Anleitungen, Dokumentationen und Videos davor gewarnt, weil man damit auch (wie du ebenfalls sagtest) Lücken aufmachen könnte die man gar nicht haben will :-)

Und ja, so viele Regeln sind es auch nicht... meine OPNsense nutze ich zuhause. Ich ziehe die Regeln step-by-step an, experimentiere aktuell nur in meinen VLANs, kann aber auch die paar Regeln die ich habe direkt für die Interfaces erstellen. Mit "Clone" kann man sie ja auch über die Interfaces kopieren.

Bei so einem kleinen Mini PC, bestehend aus Intel Celeron N5105, 256 GB SSD und 16 GB RAM brauche ich mir ja wohl keine Gedanken machen dass Logs, Protokolle oder Regel hier das System lahm legen, oder?

Gruß, Dominik

5

German - Deutsch / Verständnisfrage, Firewall Rules

« on: July 17, 2023, 08:08:07 pm »

Hallo zusammen,

ich hätte da mal eine Verständnisfrage zu den Firewall Rules...

Einiges habe ich hier durch das Forum herausgefunden und bin ziemlich glücklich mit OPNsense. Das Routing meiner VLANs klappt, DNS Auflösungen funktionieren zuverlässig, WAN Anschlüsse und Fall-Back geht auch und nachdem ich hier in einem Topic gesehen habe wie ich IPv6 von einem meiner Anschlüsse auch auf ein VLAN ausweiten kann, geht auch das

So, auf meinem "LAN" Interface habe ich die Default Regel für IPv4 behalten die bei einem frisch installierten System vorhanden ist um mich heran zu tasten.

Da ich mir unter "System -> Gateways -> Group" eine WAN_group für meine beiden Anschlüsse (Deutsche Glasfaser + Deutsche Telekom) erstellt habe, musste ich ja nun dieser Regel sagen dass diese meine Geräte über meine Fall-Back Regel durch schickt (wie im Screenshot)

Ich wunderte ich dann erst einmal dass meine DNS Abfragen nicht mehr korrekt funktionieren wenn ich einen "nslookup" auf den Namen eines Clients mache. Im Live-View hab ich dann nach roten Einträgen gesucht, bemerkte dann aber dass da "let out anything from firewall host itself (force gw)" auftaucht.

Und nun die Verständnisfrage, wenn ich bestimmte Regeln habe die z.B. auf die OPNsense zeigen (z.B. DNS Abfragen) muss ich wirklich meine Regeln separat anlegen, richtig?

1x Regel die auf die Firewall zeigt und erlaubt
1x Regel die auf die WAN_group zeigt und erlaubt

Ich hab mir nun nämlich im "Floating" eine Regel erstellt, welche es erlaubt dass mein LAN + VLANs auf "This Firewall" berechtigt sind DNS Abfragen durchzuführen und dann geht es wieder.

Schönen Gruß,
Dominik