Messages

Hey Zusammen, es ist schon etwas her, aber ich bin die letzten Wochen einfach nicht dazu gekommen. Mit eurer Hilfe habe ich richtig konfigurieren können und jetzt läuft es zuverlässig. Zumindest konnte ich seitdem nichts negatives feststellen. War dann doch nicht ganz trivial und daher nochmals Danke!

Als nächstes werde ich mir das dokumentieren, weil dazu bin ich auch nicht gekommen. Danach muss ich mal schauen, ob mein AdGuard Home als DNS auch in Verbindung mit IPv6 richtig funktioniert.

Ich meinte mit WAN MTU die effektiv erreichbare MTU, weil man das im WAN selbst nicht einstellen kann/sollte. Und ja, wenn Du weißt, dass nur 1492 Bytes durchgehen, sollte Dein LAN das den Clients auch signalisieren (und dafür muss es dort eingetragen sein) - der Default sind eben die durch das Howto angestrebten 1500 Bytes.

Entweder das oder eben 1500 am LAN, aber dann per MSS-Clamping eine Anpassung zwischen LAN und dem WAN mit 1492 Bytes machen. Ansonsten werden Websites mit defekter PMTUD nicht (richtig) funktioneren, weil Dein Client mit 1500 Bytes MTU arbeitet, davon aber immer die letzten 8 Bytes nicht ankommen.

Sprich in den LAN und WAN Interface die 1492 einstellen?

You cannot view this attachment.

WAN MTU = LAN MTU

Wie meinst du das genau? Aktuell habe ich ja nur in proxmox die MTU der NIC, Bridge und vnet für WAN angepasst und die PPPoE MTU. Beim WAN Interface und LAN Interface steht kein Wert. So richtig rund läuft es noch nicht.

Meinst du mit WAN MTU = LAN MTU, dass ich in den Interfaces auch eine MTU setze? Wäre das dann die 1492? Laut dem HowTo soll mal ja in den MTUs der Interfaces ja nichts einstellen, wenn man die MTU in der PPPoE einstellt.

OK, schade. Die hoffentlich letzte Frage ist nun...

1. Lasse ich nun die Einstellungen so?
2. Passe ich die aktuelle Einstellung an? Wie?
3. Mache ich alles Rückgängig und trage nur die MTU 1488 in die Interface?

Ja genau, ich setzte den VLAN Tag über Proxmox.

Ich habe jetzt die ganzen Einstellungen gemacht, wobei ich keinen Zugriff auf das Modem habe, um dort die MTU einzustellen. Aber NIC; vmbrX, netX und pppoex ist so wie oben von dir beschrieben. FW neugestartet und proxmox neugestartet.

Das Internet läuft schonmal und das Skript spuckt jetzt eine Maximum MTU size: 1492 aus. Sollte passen, oder hätte hier eine 1500 rauskommen sollen?

OK Danke! Ich habe erstmal auf meinen Interfaces direkt den Wert 1488 eingetragen. Das funktioniert soweit.

Jetzt zur Optimierung:

ISP (außerhalb Deiner Kontrolle) ->
ONT/Modem (???) -> Telekom Glasfasermodem 2
physisches Proxmox-Interface (1512) -> hatte ich auf 1512 gestellt
vmbrX (1512) -> hatte ich auf 1512 gestellt
vtnetX (1512) -> hatte ich vergessen (Hardwareeinstellung der vm)
vlanXX (1508) -> meinst du damit das Interface, oder wo das das eingetragen werden? Ich nutze keine VLAN, da ich 5 NICs habe.
pppoeX (1500) -> hatte ich eingestellt

You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.

OK, ich habe jetzt nochmal alles sorgfältig gelesen und auch alle verlinken Artikel usw. Für mich ergeben sich jedoch weiterhin Fragen, die zumindest für mein Verständnis in dem Artikel nicht geklärt werden.

Klar, also ist die MTU 1488, wie erwartet, nämlich 1500 - 8 Byte PPPoE - 4 Byte VLAN, wie ich sagte.

Ergibt für mich z.B. keinen Sinn. Wie kommst du von 1460 auf 1488. Ich habe jetzt auch mal das Skript von der opnsense aus gestartet und auch da kommt eine 1460 raus. Das bedeutet, dass die MTU 1460 beträgt.

You should set your WAN MTU to the value that the tool will tell you can achieve.

An dieser Stelle im HowTo steht aber auch nicht, wo man diesen Wert einträgt. Ich würde natürlich von hier ausgehen:
You cannot view this attachment.

Ja, weiter unten geht es dann weiter und es ist nicht ganz klar, ob das Optional ist, denn es geht hier um Jumbo Frames und das unterstützt nicht jeder ISP. Die Telekom unterstützt laut Schnittstellenbeschreibung kein RFC 4638, welches Jumbo Frames über PPPoE ermöglicht. Es wird auf eine maximale/empfohlene MTU von 1492 verwiesen, was mich etwas irritiert, da ich ja nur 1460 kann.

Ich verstehe das HowTo daher wie folgt:

Wenn dein ISP Jumbo Frames NICHT unterstützt (geht bei mir)
1. Prüfe mit dem Skript, welche max. MTU du nutzen kannst
2. Füge diesen MTU Wert in WAN Interface ein

Wenn dein ISP Jumbo Frames unterstützt (geht bei mir NICHT)
1. Setze in der PPP Configuration einen MTU Wert von 1500
2. Auf der Netzwerkkarte (in proxmox) eine MTU von 1512

Die MSS musst Du normalerweise nicht setzen, da sie aus der MTU abgeleitet wird.

OK, hab die Einstellung zurückgenommen und auch die in proxmox.

Dann solltest Du wissen, dass der ping-Befehl unter Linux sich von dem unter FreeBSD unterscheidet, denn offenbar hast Du nicht die OpnSense CLI genutzt. Ich würde zuerst vom OpnSense-CLI testen, um den Einfluss der LAN-MTU und MSS-Clamping auszuschließen. Dort geht das so:

ping -s 1472 8.8.8.8

Eine funktionierende Ping-Size von 1472, wenn sie funktioniert, zeigt eine maximal mögliche MTU von 1500 Bytes an (eben abzüglich IP-Header + ICMP-Header).

1456 entspräche also einer MTU von 1484, was ungewöhnlich wenig ist. Normal wären 1492 oder 1488, weil man von der physischen MTU 8 Byte PPPoE-Header und ggf. noch 4 Byte VLAN-Header abziehen muss (letzteres braucht man aber oft nicht). Die Telekom verwendet m.W. sowohl bei Glasfaser wie bei VDSL PPPoE über VLAN und normalerweise macht das Tagging die OpnSense, nicht das Modem oder der ONT.

Hab jetzt den Ping über die CLI von opnsense gemacht und 1460 geht, 1461 geht nicht. (vorher war es ja 1456 als MTU und MSS gesetzt war)

Lies vielleicht mal dies

Ich habe es jetzt nicht mit dem Tool getestet, aber das Skript macht ja nur den Ping solange, bis die max. Größe gefunden ist. Das habe ich manuell auch gemacht und lande bei 1460.

Jetzt würde ich diesen Wert in der Advanced Configuration setzen und nicht im WAN Interface wie bisher. Aber was meinst du mit:

As an example, if you have a WAN over PPPoE over VLAN, you should have to set WAN MTU = 1500, PPPOE VLAN = 1508, ethernet port = 1512, and it really only works for me with these tightly controlled MTUs:

Beachte auch, das die Reihenfolge der Konfiguration der Interfaces (WAN/PPPoE/VLAN/physisches Interface) eine Rolle spielt

Was meinst du damit?

Hey Zusammen, ich habe ein Glasfaseranschluss der Telekom und das WAN Interface entsprechend konfiguriert. Ich möchte nun auch die MTU und MSS richtig setzen. Für die Telekom wird 1492 empfohlen und die opnsens zeigt als Hinweis "Calculated PPP MTU 1484" an. Was bedeutet das?

Ich habe über Ping die MTU geprüft:
ping -f -l 1456 8.8.8.8

Alles was über 1456 ist geht nicht, da es fragmentiert werden würde. Die 1456 deutet aber eher auf eine MTU von 1484 hin (IP-Header 20 + ICMP-Header 8).

Bin dacher verwirrt, ob ich nun 1484 oder 1492 eintragen soll.

Dann kommt MSS. Da ich IPv4 und IPv6 nutzen will, ziehe ich 60 hab und könnte auf 1432 bzw. 1424. Aber im Hinweis steht, dass die 40 bzw. 60 von eingetragenen Wert angezogen werden. Bin daher unschlüssig was ich eintragen soll.

Soll ich dann noch unter Firewall - > Setting - > Normalization das MSS konfigurieren, oder reicht der Wert im WAN Interface.

Hab auch im Netzwerkkontroller vom WAN in proxmox die MTU angegeben. Müssen alle Controller die MTU gesetzt bekommen?

Die Fragen hatte ich mir auch gestellt und als Antwort auf mene Bedenken,
ULA mit NAT eingerichtet.

Eventuell ist auch NPTv6 Hilfreich,

Ich schätzre das ist auch mit der Grund warum IPv6 immernoch Schattendasein führt.

Danke für den Hinweis. Das was ich bisher darüber gelesen habe ist, dass man ULA am besten nicht benutzen sollte:

Es gilt die Empfehlung mit Unique Local Addresses (ULAs) gar nicht erst zu arbeiten. Eine Ausnahme ist in einem Management-Netz, bei dem man durch Renumbering den Zugriff verlieren würde. Hier machen ULAs ausnahmsweise Sinn.

dass ich mein LAN in weitere virtuelle LANs unterteile.

Absolut. Es wäre auch von Anfang an angebracht gewesen, da zumindest theoretisch "jemand" einfach die IP-Adresse einer Maschine hätte ändern können.

Ich glaube ich muss es etwas genauer Beschreiben. Mein Heimserver hat 5 Netzwerkkarten:

admin   192.168.1.1/24
outdoor 192.168.2.1/29
cam     192.168.3.1/29
LAN     192.168.4.1/24
        IPv6/64
WAN     IPv4/32
        IPv6/64

Ich habe dann über meinen managed Router von ubi Eingestellt, dass zum Beispiel die WLAN AP an Port 1-2 dem LAN zugeordnet sind und zum Beispiel die Wallboxen an Port 3 zu Outdoor gehört. Die IPs werden dann auch statisch per MAC vergeben. Nur im LAN gibt es freie dynamische IP Adressen. Ich nutze dann in opnsesen alias wie "Admin-Clients", die dann aus dem LAN z.B. Zugriff auf das Admin-Netzwerk erhalten. Oder z.B. das nur HomeAssistant aus Admin Zugriff auf OUTDOOR hat. Was ich z.B. noch einrichten will ist, dass OUTDOOR nur auf die Updateserver der Wallboxen Zugriff hat. Derzeit ist es noch nicht ganz so restriktiv.

@n3: Nicht ganz richtig. IPv6 nutzt privacy extensions nur ausgehend. Man kann mit IPv6 ja jedem Client mehrere Adressen zuweisen und das geschieht normalerweise auch. Beispielsweise wissen weder SLAAC noch DHCPv6 etwas von privacy extension Adressen, die immer zusätzlich vergeben werden.

Jetzt wenn man das so ließt, klingt es logisch. Hab es ja selber mit ipconfig -all gesehen.

Deswegen ist die "ursprüngliche" IPv6 auch weiter verfügbar und kann für eingehende Verbindungen als Ziel genutzt werden - deshalb gibt es ja auch den Firewall-Alias-Typ "Dynamischer IPv6 Host". Per SLAAC ist sie sogar aus der MAC errechenbar (EUI-64) und taucht als solche auf in der NDP Tabelle (Interfaces: Diagnostics: NDP Table) auf.

TOP Danke für den Hinweis. Schade das in der NDP Tabelle keine Hostnamen angezeigt werden. So eine Art Join aus der DHCPv4 Leases und der NDP basierend auf der MAC.
Muss mich mal in den dynamischen IPv6 Host einlesen...

Es stellt sich aber die Frage, inwiefern es sinnvoll ist, IPv6 abseits von ausgehenden Verbindungen überhaupt einzusetzen, siehe auch: https://forum.opnsense.org/index.php?topic=45822.0 bzw. genauer diesen Post: https://forum.opnsense.org/index.php?topic=47243.msg238466#msg238466

Verstehe ich das Richtig, dass ich eigentlich meine Netzwerk jetzt so lassen kann und nur noch eine Firewallregel einfügen soll, damit die IPv6 raus können und für die interne Kommunikation würde ich dann nur noch IPv4 verwenden? Ich wollte nämlich für meine anderen Netzwerke (admin, outdoor, cam) auch noch IPv6 einrichten und eigentlich IPv4 einstellen. Ist schon irgendwie komisch, dass man nicht voll auf IPv6 setzen kann.
Oder sollte ich auf allen Netzwerken IPv6 einrichten, jedoch nur für die Kommunikation ins Internet und intern die FW-Regeln auf IPv4 belassen?

Hey Zusammen, ich stelle aktuelle mein Netzwerk auf IPv6 um. Ich habe mehrere physisch von einander getrennte Netzwerke und aktuell ist WAN und LAN auf IPv4 und IPv6. Meine Clients aus dem LAN Netzwerk haben standartmäßig Privacy Extension aktiviert.

Mit IPv4 konnte ich in der opnsense Dank DHCP sehen, welche Clients im Netzwerk ist. Mit IPv6 geht das nicht mehr, oder übersehe ich etwas?
Ich habe dann z.B. auch eine Regel, dass nur mein PC und Handy auf die Wallboxen aus einem anderen Netzwerk (OUTDOOR) zugreifen kann. Das geht nun Aufgrund der Privacy Extension nicht mehr. Ich habe ein wenig Recherchiert und man kann scheinbar mit IPv6 nur noch auf LAN Segmente Regeln anwenden. Wenn das der Fall ist, dann ist das doch ein Rückschritt zu IPv4, oder übersehe ich hier auch etwas? Ist die Lösung, dass ich mein LAN in weitere virtuelle LANs unterteile. Z.B. LAN, LAN_DEVICES, LAN_ADMIN, etc. und eine Regel Definiere, die LAN_ADMIN erlaubt auf OUTDOOR zuzugreifen?

so long...

Thats what I meant. It is not safe for crimonal activitys, but with a dynamic prefix I can make it amazon, google etc. a little bit more difficult.

Maybe you can link this documentation to your post: https://docs.opnsense.org/manual/how-tos/ipv6_dsl.html
Or extend the documentation with your post and screenshots.

IPv6 privacy can be had by using IPv6 privacy extensions. Your IPv6 prefix will stay the same, but one cannot see what client actually uses the connection because the lower 64 bits are random. However, there is a tradeoff:

1. For business needs, you will likely use a static prefix, because you have to register IPv6 adresses in DNS (e.g. for web servers).
2. For private use, you may want to completely hide your identity (one might argue that this can only be achieved by using a VPN).

Of course, privacy extensions only change the lower 64 bits, so your "company" connections can always be identified via the upper 64 bits.

I always use reverse proxies with IPv4 on the internal networks. For example, it is damn near impossible to expose Docker services otherwise. Th reverse proxy should be on OpnSense, because it will also fetch the certificates (assumming you use ACME certificates). Why would I delegate network access layer to something behind the firewall?

For safety's sake, the IPv6 has to parts. The prefix and the interface identifier. Afaik the interface identifier is static and the address of my isp. The prefix is dynamic. If I get a stativ IPv6, the prefix will also be static and we get privacy problems. Right?

I thought that the interface identifier is changed and therefor I get more privacy. Is there any example that shows shows the IPv6 with and without privacy extensions?
But I have the feeling that for me I do not get any privacy with a static IPv6, because I only have a few users and services in my network. Right? Therefore a dynamic IPv6 with DynDNS and a reverse proxy.

Danke! Hab mich die Tage etwas eingelesen und meine Frage mal dort gestellt.

@meyergru
Thank you very much for the howto. It helps a lot!

Despite there being enough IPv6 address prefixes with the abundance of 2^128 possible IPs, many ISPs do not provide you with a static IPv6 prefix like the RFCs propose. Some of them will give you just one /64 range, which is awkward, because you usually need one /64 for each of your subnets/VLANs. Even if they provide a /56 or /48 prefix, which you can then subdivide, some ISPs change the ranges regularly or at least when the connection drops. I think this is to make it harder to host services like a business customer would and thus to differentiate business and consumer uplinks. You can try "prevent release" and setting the DUID under "Interfaces : Settings", but usually, it does not help.

Actually I have a FTTH/B connection and my ISP is Telekom. I only have a modem and opnsense use it to establish the connection. I get a IPv4 and IPv6 but since 3 days both addresses are the same. Also when I restart opnsense. I thought about assigning a fixed IP address to the connection but is it realy a good idea? You wrote, that a static prefix is proposed in the RFC, but I also read, that there is a IPv6 Working Group (I fortgot how it is named) that recommend to use dynamic IPv6 due to privacy reasons. I understand, that a stativ IP address is better but for my private use und homelab, I think a dynamic IPv6 will be better, or? I will only expose a nextcloud and a webserver.
Also when I see, that my IP doesn't changed in the last 3 days, a stativ IP maybe do not have disadvantages in privacy.

Long story short: What advantages would I have from a static IP address (bsuiness  contract) in my private environment with two exposed services, and would it make sense regarding privacy reasons?

So, mostly, you want to have inside-out IPv6 access first, potentially using IPv6 privacy extensions for this in order to hide your identity.

How and has it the same privacy like a dynamic ip? Or do you mean additionl privacy extensions for dynamic ips?

If you also want to expose services, I recommend to use reverse proxies like HAproxy, Caddy or Nginx

Only if I have dynanmic ip address and no static? With a stativ ip I do not need a revers proxy, or? If needed, should I use it with a plugin in opnsense, or as a stand alone service (I'm using proxmox).